Sensitive Data Exposure

Einleitung

Die grundlegende Frage, die man sich stellen sollte, ist wie schützenswert die Daten sind.Personenbezogene Daten unterliegen beispielsweise der Datenschutzgrundverordnung[44], die strenge Regeln zur Sicherheit von Daten vorgibt. Eine weitere Frage, die man klären muss, ist ob Daten im Klartext übertragen werden. Bei http ist dies offensichtlich, doch beim Versenden von E-Mails via SMTP denken die wenigsten Personen daran, dass die Nachricht unverschlüsselt ist.

Man-in-the-Middle

Denken Sie einmal kurz an Ihre Schulzeit zurück. Haben Sie auch kleine Briefchen von Ihnen zum Freund oder zur Freundin geschickt? Wir hatten damals eher unkreative Verschlüsselungsmethoden wie den Caesar Cipher ^[1] , der nur Buchstaben verschiebt, die Nachricht war somit leicht zu entschlüsseln. Gehen wir nun davon aus zwischen Ihnen (Alice) und Ihrem Freund (Bob) sitzt noch die Angreiferin Eve. Im Bereich der Kryptographie werden diese Namen traditionell für die Buchstaben A und B verwendet, der böse Hacker heißt meist Eve als Abkürzung von „Eavesdropper“ (Lauscher/Lauscherin) wenn er/sie passiv agiert und Mallory in Anlehnung an „malicious“ (hinterhältig, heimtückisch), bei aktiven Angreifern[45]. Wir (Alice) schicken also die Nachricht „Willst du mit mir gehen“ (bei Ceaser1 dann: Xjmmtu ev nju njs hfifo). Eve fängt die Nachricht ab, dekodiert sie, und bessert sie aus auf „Eve findet dich total süß“ (Fwf gjoefu ejdi upubm tüß – man beachte, dass Ceasar1 nicht für Umlaute gedacht ist), was auch so bei Bob ankommt. Dieser hält die Nachricht für authentisch und ist von Alice enttäuscht und schon haben die den Schlamassel. Jetzt denken Sie sicher, ok – kann mir aber nicht passieren – ich passe ja auf. Haben Sie schon einmal bei einem Gast WLAN beispielsweise in einem Hotel Internet-Banking betrieben? Falls ja, schauen wir uns die Sache ein wenig genauer an. Bei der Man-in-the-Middle (MitM) Attacke platziert sich der Angreifer zwischen die beiden Kommunikationspartner. Im einfachsten Fall erreicht man dies in einem gemeinsamen (W)LAN. Will man sich dort erstmals einloggen sucht man sich eine passende SSID und das Kennwort und bekommt via DHCP eine IP Adresse zugeordnet. Nun stellen wir uns die böse EVE vor, die Zugriff auf den AccessPoint des Hotels hat. Der Zugriff kann über Default Passworte[46] oder über Tools wie IRPAS[47] (Internetwork Routing Protocol Attack Suite) erreicht worden sein. Eve kann den Router nun administrieren und trägt einfach ihren Rechner als DHCP Server ein. Ab nun läuft der Datenverkehr über den DHCP Server und man kann Pakete entsprechend manipulieren (was im Fall von Internetbanking nicht ganz trivial ist, da diese ja mittels SSL verschlüsselt sind). Ein prominenter Vertreter von MitM Attacken ist die Poodle Attacke[36],[37]. Sie nutzte eine Schwachstelle im alten SSL 3.0 Protokoll, die zur Zeit des Bekanntwerdens immerhin noch 96% aller Webserver unterstützten und damit fast viele Dienstanbieter im Internet betroffen waren. Das skurrile an dem Fall war, dass die Protokollversion SSL3.0 zum Zeitpunkt der Veröffentlichung der Attacke (2014) bereits seit 15 Jahren vom Nachfolgeprotokoll abgelöst war.

Schutz vor Sensitive Data Exposure

IT Spezialisten wie CISOs (Chief Internet Security Officer) müssen regelmäßig überprüfen ob die kryptographischen Algorithmen noch dem Stand der Technik entsprechen? Der „Stand der Technik“ wird dabei von der Teletrust[50] definiert und gibt klare Regeln vor. Als einen ersten Schritt kann man eine Klassifizierung der Daten, die von einer Anwendung verarbeitet, gespeichert oder übertragen werden vornehmen. Es gilt Daten die gemäß den Datenschutzgesetzen, gesetzlichen Bestimmungen oder Geschäftsanforderungen vertraulich sind zu identifizieren und im einfachsten Fall in einem 2-3 Stufigen Modell zu klassifizieren (Frei zugänglich/schützenswert /besonders schützenswert). Bei besonders sensiblen Daten ist es ratsam diese auch auf den Servern verschlüsselt aufzubewahren. Passwörter sollten niemals für mehrere Anwendungen gleichzeitig verwendet werden und mit starken Hashing-Funktionen auf den Servern gespeichert werden.

Traffic Light Protocol

Das Traffic Light Protocol (TLP)[51] ist eine Verfahrensweise, um Informationen in derlei Weise zu kennzeichnen, sodass jedem Leser unmissverständlich klar ist, mit wem die Dokumente auf welche Weise geteilt werden dürfen. Definition Das TLP kennt vier unterschiedliche Klassifizierungsstufen und damit einhergehende erlaubte Verteilerkreise.

TLP:White: unbegrenzt Das Dokument gilt grundsätzlich für die öffentliche Kommunikation als freigegeben. Es darf unter Berücksichtigung evtl. Urheberrechte weitergegeben werden.

TLP:Green: Organisationsübergreifende Verteilung Informationen dieser Klassifizierung sind für die Kommunikation innerhalb der eigenen Organisation und zu Partnern freigegeben. Das Dokument ist jedoch nicht für eine allgemeine Veröffentlichung vorgesehen. Bei der Verteilung ist entsprechend darauf zu achten, dass das Dokument intern und extern nur an Entitäten weitergegeben wird, die sich ebenfalls dem Regelwerk des TLPs verpflichtet sehen.

TLP:Amber: organisatorische Verteilung Dokumente mit dieser Klassifizierung sind nicht für eine allgemeine Veröffentlichung vorgesehen. Sie dürfen nur innerhalb der eigenen Organisation, an Personen, die den Regeln des TLPs verpflichtet sind, nach dem „Kenntnis nur wenn nötig“-Prinzips verteilt werden. Sollen des Weiteren besondere Regeln bei der Weitergabe vereinbart werden, sind diese durch den Dokumentenersteller klar zu spezifizieren und bekannt zu machen.

TLP:Red: persönlich, nur für benannte Empfänger. TLP:Red ist die höchste Klassifizierung. TLP:Red beschränkt den Zugang zu der Information auf den direkt beteiligten Empfängerkreis. Dies sind z. B. die direkt Anwesenden in einer Besprechung, Video-/Telefonkonferenz oder die direkten Empfänger einer schriftlichen Korrespondenz. TLP:Red Dokumente dürfen nicht weitergehend verteilt werden.

Für die einzelnen TLP-Stufen können bestimmte Maßnahmen festgesetzt werden, wie das folgende Beispiel zeigt:

TLP-White Es sind keine Maßnahmen definiert.

TLP-Green Es sind keine Maßnahmen definiert.

TLP-Amber Die Vervielfältigung von Dokumenten ist auf das unbedingt notwendige Maß einzuschränken. Bei der Übertragung ist das Dokument zu verschlüsseln. Das Dokument ist nur verschlüsselt zu speichern.

TLP-Red Die Vervielfältigung von Dokumenten ist auf das unbedingt notwendige Maß einzuschränken. Bei einer Vervielfältigung sind alle Maßnahmen entsprechend des originalen Dokuments anzuwenden. Bei der Übertragung ist das Dokument zu verschlüsseln. Das Dokument ist nur verschlüsselt zu speichern. Dokumente sind nur in elektronischer Form vorhanden.

Die TLP-Einstufung eines Dokumentes ist entweder in der Kopfzeile oder in der Fußzeile jeder Dokumentenseite auszuweisen. Zur Unterstützung ist die Schriftfarbe in der entsprechenden TLP-Stufe zu wählen.

Praxishinweis Microsoft Word bietet in der aktuellen Version ein Feature zur Dateiverschlüsselung. Entsprechend den Angaben von Microsoft erfolgt die Verschlüsselung nach aktuellem Stand der Technik [52]. Das vorhandene Feature von Microsoft zur Verschlüsselung sowohl für die Speicherung als auch für den Transport ist aus kryptografischer Sicht aktuell ausreichend.

Zusammenfassung

In diesem Kapitel haben wir uns mit dem Thema des Bekanntwerdens sensibler Daten im Internet beschäftigt. Der wichtigste Angriffsvektor ist hierbei die Man-in-the-Middle Attacke, die wir näher betrachtet haben. Um Dokumente im Unternehmen zu kategorisieren haben eignet sich das Traffic Light Protocol sehr gut.  

Übungsbeispiele

Übungsbeispiel 1

Sehen Sie sich mit einem geeigneten Tool wie dem Wi-Fi Scanner[53] Wireless Netzwerke in Reichweite an, und versuchen sie offene oder schlecht gesicherte Netzwerke zu erkennen. Richten Sie in einem zweiten Schritt ein Netzwerk ein, dass lediglich mittels WEP gesichert ist und versuchen sie dies nun mit geeigneten Tools (wie aircrack-ng, dass auch in der Kali Linux Distribution enthalten ist) zu hacken. Hinweis: Schritt 2 setzt voraus, dass Sie eine passende Netzwerkkarte besitzen, die auch packet Injection beherrscht. Netzwerkkarten in Notebooks beherrschen dies in der Regel nicht.

Übungsbeispiel 2

Betrachten sie die „Chatham House Rule“ ^[2] und überlegen Sie, wie Sie diese in das Traffic Light Protocol integrieren können.