'Big Brother' - Webmaster sieht alles?

Wenn privater Mailverkehr untersagt ist, gibt es keinerlei
Rechtsanspruch auf Intimität, dann darf dein Abteilungsleiter
jede deiner Mails mitlesen.

Das habe ich auch so in Erinnerung (IANAL).

Falsch. Auch hier gilt grundsätzlich das Postgeheimnis (oder
wie das dann auch immer im Amtsdeutsch heissen mag ).
Er darf lediglich feststellen bzw. abmahnen. Dies kann dann
zwar auch bis zur Kündigung führen, aber die Mails lesen darf
er auf keinen Fall.

Das Postgeheimnis gilt hier genauso wenig wie bei Papiermails
im Unternehmen, die ebenfalls an der Pforte geöffnet und
gelesen werden dürfen.

Ich würde mich sehr wundern, wenn persönlich an mich adressierte Post an mich an der Pforte geöffnet wird.

Das würde der Pförtner nicht lange tun…

Sebastian

[ot] snail mail Vertraulichkeit

Das Postgeheimnis gilt hier genauso wenig wie bei Papiermails
im Unternehmen, die ebenfalls an der Pforte geöffnet und
gelesen werden dürfen.

Ich würde mich sehr wundern, wenn persönlich an mich
adressierte Post an mich an der Pforte geöffnet wird.

Das würde der Pförtner nicht lange tun…

IIRC gibt es hier den Unterschied, ob die Post an

Sebastian Niehaus

adressiert ist (dies wäre vertraulich!) oder aber an

Sebastian Niehaus

In letzterem Fall dürfte jeder in Deiner Einrichtung die Post öffnen, auch der Pförtner. Desweiteren kann ich mir vorstellen, daß es bei bestimmten Berufsgruppen noch zusätzliche Regelungen gibt, die Post vertraulicher machen als bei anderen (schwammig genug ausgedrückt? )…

Gruß,

Doc.

PS: But IANAL,2

ICH VERSTEHE NICHTS MEHR LEUTE
Sorry

Lothar

IIRC gibt es hier den Unterschied, ob die Post an

Sebastian Niehaus

Gutes Beispiel, in der Firma, wo ich arbeite, wird JEDE Post aufgemacht - auch wenn sie wie oben adressiert ist !!!

Don’t panic

Sorry

Lothar

Hallo Lothar,

das ist verständlich. Aus Deiner Frage ist in diesem Teilthread eine hochtechnische Diskussion über Details geworden, die für den Anwender vollkommen abstrus erscheinen muss.
Letztlich geht es um die Bewertung der Aussage „auch gesicherter HTTPS-Traffic ist unter Umständen nicht vertraulich“, also, ob eine Verbindung, die im Browser als sicher verschlüsselt dargestellt ist (durch das Schloß-Symbol bspw.), auch wirklich sicher ist. Es scheint so, daß dies eben nicht der Fall ist.

Für Dich ganz konkret bedeutet das, daß auch, wenn Du Dich bei einem Webmail-Anbieter per SSL anmeldest (was grundsätzlich eine sehr sichere Methode ist), Vertraulichkeit für Dich nicht unbedingt gewährleistet ist, und es offenbar denkbar ist, daß Dein Arbeitgeber auch diesen Datenverkehr im Klartext mitlesen kann. Für „uns Experten“ ist diese Frage recht bedeutsam, weil die Verlässlichkeit eines Prinzips damit in Frage gestellt wird, deshalb ergehen wir uns auch in solche Details.

Letztendlich sieht man hier sehr schön, daß ein Thread nicht dem Initiator „gehört“, sondern sich durchaus für andere interessante Aspekte ergeben können, die dem Ursprungsautor vielleicht nicht mehr so sehr helfen.

Also nicht böse sein, Du hast ja ganz konkrete und gute Antworten bekommen, falls da noch Fragen offen sind, scheu Dich nicht, sie zu stellen, denn im Umkehrschluß gilt auch, daß man nur dann ein wirklicher Experte ist, wenn man sich dem Laien verständlich erklären kann, und dafür sind wir ja alle hier.

Gruß,

Doc.

IIRC gibt es hier den Unterschied, ob die Post an

Sebastian Niehaus

Gutes Beispiel, in der Firma, wo ich arbeite, wird JEDE Post
aufgemacht - auch wenn sie wie oben adressiert ist !!!

Vorsicht! Ich bin kein Fachmann in diesen Dingen, und eigentlich ist das hier auch offtopic. Aber mich interessiert das auch, ich stell die Frage mal ins Rechtsbrett.

Gruß,

Doc.

IIRC gibt es hier den Unterschied, ob die Post an

Sebastian Niehaus

adressiert ist (dies wäre vertraulich!) oder aber an

Sebastian Niehaus

In letzterem Fall dürfte jeder in Deiner Einrichtung die Post
öffnen, auch der Pförtner.

Oh. Klingt immerhin logisch.

Desweiteren kann ich mir
vorstellen, daß es bei bestimmten Berufsgruppen noch
zusätzliche Regelungen gibt, die Post vertraulicher machen als
bei anderen (schwammig genug ausgedrückt? )…

Ja

Obwohl dieses Argument zwar beim Pförtner noch funktioniert, ein paar Stationen weiter dann aber auch nicht mehr…

Sebastian

Open your eyes…

Letztlich geht es um die Bewertung der Aussage „auch
gesicherter HTTPS-Traffic ist unter Umständen nicht
vertraulich“, also, ob eine Verbindung, die im Browser als
sicher verschlüsselt dargestellt ist (durch das Schloß-Symbol
bspw.), auch wirklich sicher ist. Es scheint so, daß dies eben
nicht der Fall ist.

Vielleicht sollte man das Schloß-Symbol scharf ansehen {und es mal „fragen“, zu wem es verschlüsselt}

Das geht, ist aber leicht übersehbar…

Sebastian

bekommen - become

Fazit: Einmal ein falsches Root-Zertifikat akzeptiert, schon
ists vorbei. Das Installieren des Zertifikats sollte ein Sysop
auf den meisten Systemen auch Remote machen können - aber
warum sollte er dann den Verkehr belauschen - er kann ja
gleich Tatstatur und Bildschirm ueberwachen.

Eben. Falsche Freunde zu haben, war schon immer eine verhältnismäßig schlechte Lösung…

Wenn man der Integrität der Kisten am Arbeitsplatz nicht mehr trauen mag, ist ohnehin alles zu spät: da hilft es allenfalls, den eigenen Rechner mitzubringen (was aber ein Verstoß gegen die Security-Policiy sein kann – zu recht…)

Fazit: Einmal ein falsches Root-Zertifikat akzeptiert, schon
ists vorbei. Das Installieren des Zertifikats sollte ein Sysop
auf den meisten Systemen auch Remote machen können - aber
warum sollte er dann den Verkehr belauschen - er kann ja
gleich Tatstatur und Bildschirm ueberwachen.

Eben. Falsche Freunde zu haben, war schon immer eine
verhältnismäßig schlechte Lösung…

Okay, aber offenbar eine mögliche?

Wenn man der Integrität der Kisten am Arbeitsplatz nicht mehr
trauen mag, ist ohnehin alles zu spät:

Das ist aber Alltag.

da hilft es allenfalls,
den eigenen Rechner mitzubringen (was aber ein Verstoß gegen
die Security-Policiy sein kann – zu recht…)

Bei uns ist es sogar ein Verstoß gegen die SecPol, sich mit nicht-Firmeneigener Hard-/Software via VPN einzuwählen. Leute, die keinen Firmenlaptop haben (wie ich z.B.) dürfen dann bestenfalls via Citrix in die Firma, und der Terminalserver ist super dicht - ich kann noch nicht mal von dort ssh benutzen, weil es einfach nicht installiert ist. Die Eingabeaufforderung ist auch deaktiviert, und installieren darf ich selbstmurmelnd nichts. Die einzige Möglichkeit wäre vnc zu meinem Rechner im Büro, weil der vnc-Client ne einfache .exe ist, und mich dann von dort weiterhangeln, aber das ist 1. nicht wirklich performant und 2. auch gegen die SecPol, weil vnc nicht als sicher gelten kann.

Gruß,

Doc.

Sicher? Bei SSL und einem „gängigen Browser“?

1. Man erzeuge sein eigenes Root-Zertifikat (macht inzwischen
   fast jeder, der irgendwas testen will, da sonst zu teuer).

2. Man importiert das in die Liste der Root-Zetifikate des
   Browsers (geht zumindestens bei Netscape und IE)

zweifelsohne. sieht man dort allerdings auch. allerdings koennte man die internetoptionen bzw preferences vieleicht per policy abschalten.

d) der Browser prüft das Zertifikat, glaubt dran, (da von
einem Root-zertifikat bestaetigt)

das sollte man allerdings in der certificate chain deutlich sehen (doppelklick auf’s schlosssymbol). ich glaube nicht, dass man das abschalten kann.

mal abgesehen davon, dass normale proxies so nicht funktionieren. da muesstest du schon squid oder apache hacken, dass sie auf http connect befehle wie beschrieben reagieren…

moeglich, allerdings nur mit einigem knowhow und aufwand sowie in hoechstem masze illegal - wenn du so ne show in der firma durchziehst, hat dein chef ein gravierendes problem mit betriebsrat und deutschen gerichten - und wie gesagt, leicht zu entdecken.

wenn ich sowas machen will, dann kann ich gleich keylogger und aehnliches installieren, das kriegt man leichter „unsichtbar“

joachim

*grübel* Das ist ganz dünnes Eis, auf dem ich mich grad
bewege, also alles unter gro´ßen Vorbehalten - ich hab grad
nicht Muße und Möglichkeit, das zu testen, aber es müsste doch
einstellbar sein, daß Zertifikate nicht überprüft werden,
denke ich - zumindest beim Internet Exploder.

Das kann ich mir nicht vorstellen.

Ich lasse das gerade mal klären, hab mal meinen Squid-Gott
angeschrieben. Rückmeldung folgt. Ansonsten frag ich mal die
Oberchecker von unserem Windows CC in der Firma.

also ich bin zwar nicht der squid-gott und mache auch nicht die proxy-farm bei uns, aber ich kann euch versichern, dass ein ssl-request ueber einen forward proxy normalerweise nicht so laeuft. das geht ueber einen http CONNECT request, mit dem man den proxy freundlich bittet, das fraeulein vom amt zu mimen und einem eine leitung nach hostname:stuck_out_tongue:ort zu schalten und in der folge durchlauferhitzer zu spielen. im normalfall ist das nur fuer port 443 erlaubt, denn ansonsten koennte man damit unschoene spiele machen (geht auch nur mit port 443 noch ein wenig, aber ssl ganz abzudrehen geht meist doch nicht).

man muesste also schon den squid oder apache hacken, dass er was anderes tut.

und was doc meinte, ist ein reverse-proxy, eher mein gebiet, aber den kann man kaum benutzen, um den mitarbeitern das surfen zu ermoeglichen, sowas dient einerseits zum schutz von dahinterstehenden maschinen (oft zusammen mit application level gateways, die noch genauer den traffic auf gueltigkeit pruefen), andererseits mit cache dazu, last von backendservern zu nehmen.

joachim

das sollte man allerdings in der certificate chain deutlich
sehen (doppelklick auf’s schlosssymbol). ich glaube nicht,
dass man das abschalten kann.

Na und ? ich unterschreibe das Zertifikat einfach mit
„The President of the United States“ und wenn man den Fingerprint vergleichen will, dan fängt mein Proxy das ab und substituiert meinen.

Theoretischer Beweis der Totalen Informations Unsicherheit:

Ich baue das Internet einmal nach und hänge den Rechner dran. Solange der Benutzer keinen zweiten „Sicheren“ Kanal hat mit dem er zu echten anderen Menschen Kontakt aufhehmen kann, hat er keine Möglichkeit festzustellen, ob er am „echten“ Internet haengt

Martin, der PGP-Unterschriften wieder drangegeben hat, weil es ihm lieber ist, wenn der Empfänger grundätzlich misstrauisch ist und nochmal anruft, als wenn dieser durch die Unterschrift ein falsches Sicjergeitsgefühl hat.

das sollte man allerdings in der certificate chain deutlich
sehen (doppelklick auf’s schlosssymbol). ich glaube nicht,
dass man das abschalten kann.

Na und ? ich unterschreibe das Zertifikat einfach mit
„The President of the United States“ und wenn man den
Fingerprint vergleichen will, dan fängt mein Proxy das ab und
substituiert meinen.

also den common name im zertifikat sehe ich auch ohne weiteren kontakt zum internet, der ist integraler bestandteil des x509 zerts und damit schon bei mir. und bei diesem wuerde ich misstrauisch werden…

Theoretischer Beweis der Totalen Informations Unsicherheit:

Ich baue das Internet einmal nach und hänge den Rechner
dran. Solange der Benutzer keinen zweiten „Sicheren“ Kanal hat
mit dem er zu echten anderen Menschen Kontakt aufhehmen kann,
hat er keine Möglichkeit festzustellen, ob er am „echten“
Internet haengt

die sache mit dem fehlenden sicheren kanal zum pruefen der key-fingerprints ist zwar richtig, aber es ist auch nicht wirklich unmoeglich, sich die paar bytes zuhause oder im internetcafe auf gutem alten (und vor allem BOFH-sicheren) papier aufzuschreiben und zu vergleichen.

hier koenntest du wieder entgegnen, dass du den installierten browser bzw. die pki-komponente hackst, um trotz falschem public key die richtigen fingerprints anzuzeigen und ich, dass ich mit openssl oder notfalls auch mit netcat noch das server-helo und damit das servercert original bekommen koennte…

etc pp. ad infinitum

aber wie gesagt, ein keylogger oder backorifice sind einfacher und genauso illegal fuer den firmenadmin.

joachim

Na und ? ich unterschreibe das Zertifikat einfach mit
„The President of the United States“ und wenn man den
Fingerprint vergleichen will, dan fängt mein Proxy das ab und
substituiert meinen.

also den common name im zertifikat sehe ich auch ohne weiteren
kontakt zum internet, der ist integraler bestandteil des x509
zerts und damit schon bei mir. und bei diesem wuerde ich
misstrauisch werden…

Mitunter kommen ja passende Meldungen:

http://www.heise.de/newsticker/data/hob-11.03.03-001/

Issmirübel,

Sebastian

Information Warfare

Mitunter kommen ja passende Meldungen:

http://www.heise.de/newsticker/data/hob-11.03.03-001/

Hey, ist doch n total geniales Sicherheitskonzept, alles immer mehr auf einen Single Point of Failure zu verlagern. Am Ende haste dann einen Proxy, der so überladen ist, daß er auf ner Sun Fire 15K oder so laufen muß… Und dann darüber beschweren, daß Security Geld kostet. Dabei wär’s doch mal was einfacher, die Systeme selbst zu härten, vernünftige organisatorische Strukturen zu schaffen und ein sauberes, verteiltes Konzept zu basteln. Geht sogar alles OpenSource.

Verärgert,

Doc.

Mal abgesehen davon dass Du im Prinzip recht hast…

kann ich die Leute verstehen, die sowas machen. Irgendwo im Hausnetz wird immer ein Penner an seinem Rechner rumbasteln
irgendwelchen Schrott installieren etc. Des weiteren kannst Du davon ausgehen, dass deine Belegschaft nicht nur aus „Sebastians“ besteht und oft gar nicht weiss was sie tut - auch „gehaertete Leute“.

Die Sache mit dem einen Proxy ist letztendlich nur die konsequente Umsetzung des Trusted Computing Base Concepts, dass
die Zahl der tatsächlich zu prüfenden Komponenten reduziert. Damit ist nicht nur die Menge der Computer im Haus gemeint, sondern auch die grosse Zahl der hochgradig deterministischen kohlenstoffbasierten (labernden) Informationsverarbeitungseinheiten.

Seit ich das Buch von Mitnick ISBN:0471237124 Buch anschauen gelesen habe, waere ich mir noch nicht mals sicher ob ich als Admin nicht auch den https-Verkehr meiner Leute kontrollieren will.

In dem Buch wird sehr schön beschrieben, wie man - vereinfacht ausgedrückt- einer dreifach Sicherheitsgeschulten Sekreetären mit einem freundlichen Kompliment Ihr Passwort aus der tasche zieht und dies meistens basierend auf öffentlich zur Verfügung gestellten Informationen basierend.

Also ein Filter, der jedes ausgehende Wort einmal gegen die Passwortliste checkt waere schon nicht falsch. Das man den umgehen kann - schön, aber wer ihn absichtlich umgeht muss dies zumindetenst bewusst tun.

(Obwohl analog zu Mitnick:" Liebe Frau X, obwohl ich weiss, dass ich damit wahrscheinlich jede Chance verspiele mal einen Abend mit Ihnen zu verbringen, ich muss Sie da - es tut mir sehr leid - noch um einen kleinen Gefallen bitten: Wissen Sie, die kleine Tochter unseres Systemadministratiors ist krank geworden und er musste sie sofort einliefern und konnte daher die Buchstabenkodierung unseres Rechners nicht zurückstellen. Wir bekommen jetzt alles als Grossbuchtsaben - wir sind alle schon ganz verrückt davon. Koennten Sie mir Ihr unwichtig gewordenes Ersatz-Passwort vielleicht ind Grossbuchtsaben schicken und hinter jedem Buchstaben ein g oder ein k schreiben, je nachdem ob es ein Klein- oder ein Grossbuchstabe ist. Ja, danke, Sie helfen
helfen uns und auch mir ganz persönlich damit sehr und wir werden dies auch bei der nächsten Abteilungsleitertagung zur Sprache bringen " -> und schon ist der Filter umgangen )

Wenn ich mir als Angerifer nun eine Kombination aus einem solchen „social engineer“ und einer Inferenzprogramm/Einem Data Mining Tool etc. vorstelle kann eigentlich nucr noch ein Programm mit den gleichen Deduktionsfähigkeiten den verkehr überwachen.

-> Ich vergram mich in einem Tiefbunker ohne Netzanschluss

ML

Die Sache mit dem einen Proxy ist letztendlich nur die
konsequente Umsetzung des Trusted Computing Base Concepts,
dass
die Zahl der tatsächlich zu prüfenden Komponenten reduziert.

also wenn mickysofts office 2005 (big brother edition) laeuft, kannst du viel bequemer vorgehen: du weist als admin einfach bloss outlook 2005 an, nur noch mailkontakt zu firmeninternen oder sonstwie freigeschalteten zielen zu erlauben, alles andere wird vollkommen transparent fuer den benutzer entweder an den vorgesetzten zur kontrolle oder zu einem automatisierten abmahnserver geschickt, je nach policy…

ok, bin heute nen bisschen zynisch, akute windowsvergiftung…

Also ein Filter, der jedes ausgehende Wort einmal gegen die
Passwortliste checkt waere schon nicht falsch. Das man den
umgehen kann - schön, aber wer ihn absichtlich umgeht muss
dies zumindetenst bewusst tun.

mal abgesehen davon, dass besagtes irrsinnsprodukt von proxy jetzt nicht auf mail abzielt (und gegen pgp auch nicht wirklich hilft), ist ein vergleich mit irgendwelchen listen bekannter passwoerter sicherich recht sinnfrei: es kostet unmengen rechenzeit den ganzen traffic gegen solche listen zu scannen, wird je nach qualitaet der passwoerter unmengen von fehlalarmen produzieren und schafft sehr bequeme angriffspunkte, um sich zentral gelagerte passwortlisten zu verschaffen, die ansonsten je nach heterogenitaet der infrastruktur vielleicht nicht da waeren…

und wie du schon selber schriebst, beliebig leicht zu umgehen.

ausserdem bliebe noch das problem, wie du die telefonanlage online auf solche smooth talker hin ueberwachst, 1990 waere es leichter gewesen entsprechend qualifiziertes fachpersonal vom kombinat horch und guck zu uebernehmen, aber heutzutage sind die doch alle umgeschult. ausserdem gehoert auch schon ne ziemlich gute reaktion dazu, rechtzeitig auf den beep-zensiert knopf zu druecken, bevor das boese wort raus ist…

-> Ich vergram mich in einem Tiefbunker ohne Netzanschluss

-)

vielleicht waere ein tiefbunker _mit_ netzanschluss nicht ganz so langweilig

http://www.thebunker.net/service-hosting.htm

und dir selbst wird auch hoffentlich niemand das root password fuer die ganze firma einfach so aus der nase ziehen…

joachim