Kategorie: IT-Sicherheit

Zu Besuch beim 36C3 in Leipzig – Motto „36C3: Resource Exhaustion“


36C3 wieder die CCC-Rakete

36C3 wieder die CCC-Rakete

 

Auch in diesem Jahr habe ich den Chaos Communication Congress besucht und wieder allerhand neues zu IT-Security, KI, Netzpolitik und  Medienkunst erfahren. Eine kleine Auswahl an Vorträgen, die ich sehr empfehlen kann,  möchte ich Euch hier nicht vorenthalten.

Zum Thema IT-Security gab es einen Vortrag von Linus Neuman, dem aus Funk und Fernsehen bekannte Pressesprecher des CCC, der wegen der aktuellen Bedrohung mit EMOTET für uns alle sehr interessant ist. Da Linus Neuman als ausgebildeter Psychologe nicht nur IT-spezifische Dinge anspricht, ist der Vortrag auch allgemeinverständlich und sehr sehenswert. Es geht dort um Angst und Lageweile, zwei Faktoren, die uns dazu bringen auf Phishing-Mails hereinzufallen.

Linus Neumann Hirne Hacken – Menschliche Faktoren der IT-Sicherheit

Einen umfassenden Blick auf die IT-(Un)sicherheit der elektronischen Patientenakte bekommt Ihr in dem Vortrag von  Martin Tschirsich, Dr. med. Christian Brodowski und Dr. André Zilch.

“Hacker hin oder her”: Die elektronische Patientenakte kommt!

Was passiert, wenn man Intel-CPUs per Software „undervoltet“, d.h. mit einer niedrigen Spannung betreibt, sieht man im Vortrag von Daniel Gruss und Kit Murdock. Ein Seitenkanalangriff per Software.

Plundervolt: Flipping Bits from Software without Rowhammer

Wer bei der Bahn sparen möchte und wichtige Tipps mitnehmen möchte, wann und ob sich Reservierungen und Sparpreise lohnen, kann sich den  sehr sehenswerten Vortrag ist der von David Kriesel anhören. David Krisel ist wegen seiner Talks auf den Kongressen schon eine Berühmtheit.

BahnMining – Pünktlichkeit ist eine Zier

Wie man aus einer virtuellen Maschine ausbrechen kann, erfahrt Ihr hier im Vortrag von “f1yyy”.

The Great Escape of ESXi - Breaking Out of a Sandboxed Virtual Machine

Wie SQLITE, dass sowohl in jedem IOS und  Android-Device, in Firefox, Chrome als auch in Windows 10 enthalten ist, angegriffen werden kann, kann sich diesen Vortrag von Omer Gull anschauen.

SELECT code_execution FROM * USING SQLite; -Gaining code execution using a malicious SQLite database

Alles was Ihr jemals über SIM-Karten wissen wolltet, beantwortet Euch der Mobilfunkspezialist  Harald Welte aka „Laforge“ in seinem Vortrag.

SIM card technology from A-Z

Wer demnächst in den Urlaub fliegt, kann sich den Spaß am Fliegen durch den spannenden Vortrag von Bernd Sieker verderben lassen.

Boeing 737MAX: Automated Crashes - Underestimating the dangers of designing a protection system

Wer etwas zu den illegalen Überwachungsmaßnamen der US-Geheimdienste  in der Botschaft Ecuadors in London, in der Julian Assange Asyl gewährt worden ist erfahren möchte, kann sich diesen verstörenden Vortrag von Andy Müller-Maguhn anschauen.

Technical aspects of the surveillance in and around the Ecuadorian embassy in London - Details about the man hunt for Julian Assange and Wikileaks

Wie sich die radikalen Rechten im Netz austoben, erfahrt Ihr hier im Vortrag von Arne Vogelsang. Verstörend, aber sehr informativ.

Let’s play Infokrieg - Wie die radikale Rechte (ihre) Politik gamifiziert

Wie man mit WLAN so richtig weit einen Videostream für Drohnen oder überhaupt beliebige Daten übertragen kann, sieht man hier (Spoiler: 10Km Live-HD Video von einer Drohne!) im Vortrag von „befi2.

Wifibroadcast – How to convert standard wifi dongles into digital broadcast transmitters

Für die Fans von Retro-Computing  gibt es hier von Matt Evens den Talk:

The Ultimate Acorn Archimedes talk

Medienkunst bzw. Musik von Frauen gibt es in den Talks von Helen Leight und Jasmine Guffond zu sehen. Hellen Light erwähnt u.A. die Komponistin der original  Dr. Who Titelmelodie:

Hackers & makers changing music technology

Und Jasmine Guffond verwandelt Browser-Cockies in Sounds:

Listening Back Browser Add-On Tranlates Cookies Into Sound - The Sound of Surveillance

Wie man die Verkehrwende selber hacken kann, wie Sharebike und E-Scooteranbieter bei Ihrer Software pfuschen und wie man Open Data in die Stadtverwaltungen bringt, findet sich in diesem großartigen Vortrag von „robbi5“ und „ubahnverleih“, der auch zum Kongressthema Nachhaltigkeit passt:

Verkehrswende selber hacken

Wie man in seiner Garage eine Quantencomputer selber bauen kann erfährt man in dem großartigen Talk von Yann Allain:

Build you own Quantum Computer @ Home – 99% of discount – Hacker Style !

Viel über die Sicherheitslücken in iMessage auf IOS erfährt man im ausgezeichneten Talk von Samuel Groß vom Google Project Zero. Außerdem eine Menge zu Heap-Spraying und ASLR :

Messenger Hacking: Remotely Compromising an iPhone through iMessage

Was sonst alles noch so beim Instant messaging schiefgehen kann, erfährt man bei Will Scott:
What’s left for private messaging?

Alle interessanten Talks kann ich hier gar nicht aufführen, aber unter  https://media.ccc.de/c/36c3 gibt es fast alle Vorträge als Video-Konserven. Viel Spaß damit!

Eine Lanze brechen für PDF/A1 – oder wie sich Verschlüsselungstrojaner (Ransomware) verbreiten


Phishing-Mails mit Office-Makros waren anlässlich der Locky-Ransomware-Welle das Einfallstor in Windows-Systeme.  Damals hatten wir unsere Kunden gewarnt Office-Anhänge zu öffnen und alternativ auf PDF als Austauschformat zurückzugreifen. Das ist aber nur die halbe Wahrheit, weil gut gemachte Phishing-Mails nun auch Verschlüsselungstrojaner über PDF-Anhänge verbreiten. Der Grund dafür sind aktive Inhalte in PDF-Dokumenten. Wenig bekannt ist, dass auch ein PDF-Dokument aktive Inhalte, wie Videos, Audio und auch JavaScript enthalten kann.

Ich habe hier einmal ein Beispiel für ein aktives PDF-Dokument verlinkt. Wenn Sie es im Browser öffnen, sollte nichts interaktiv passieren, sofern Sie einen modernen Browser verwenden. Wenn Sie das Dokument abspeichern und darauf klicken, poppt ein JavaScript „Hallo Welt“ Dialog auf, sofern der Acrobat Reader installiert ist. Der JavaScript-Code könnte auch potentiell gefährliche Dinge mit Ihrem PC anstellen.

Der in Firefox integrierte PDF-Reader ist selber in JavaScript geschrieben und führt keine aktiven Inhalte aus. Zur Erhöhung der Sicherheit auf dem Windows-Desktop kann alternativ zu Adobe Acrobat SumatraPDF verwendet werden, welches ebenfalls keine aktiven PDF-Elemente zulässt. PDF/A1-Dateien für Langzeitarchivierung dürfen per Definition gar keine aktiven Inhalte wie  z.B. Javascript enthalten und sind deshalb als PDF-Austauschformat zu bevorzugen. Ein schöne Anleitung wie Sie ein solches ungefährliches PDF/A1 einfach aus Word heraus erzeugen findet man hier (einfach beim Exportieren als PDF in den Optionen „ISO 19005 kompatibel“ anwählen). Für Dokumente, die nicht weiter bearbeitet werden müssen, sollte ausschließlich PDF/A1 als Austauschformat eingesetzt werden!

Neben Phishing-Mails gibt es weitere Verbreitungswege von Ransomware, wie z.B. Drive-by-Downloads, Verbreitung über das LAN mit Zero-Day-Lücken und neuerdings auch über gekaperte Software-Updateserver. Ein paar Tipps wie man sich gegen Drive-by-Downloads schützen kann, finden sich in unserer Dokumentation.

Gegen schlimme Zero-Day-Lücken, wie bei WannaCry oder gar die Verteilung von Ransomware über Updateserver wie bei NotPetja helfen solche Vorsichtsmaßnamen alleine nicht. Die frühzeitige Warnung unserer Kunden und besonnenes Handeln kann möglicherweise in so einem Fall Schlimmeres verhindern, sofern überhaupt Informationen zum Verbreitungsweg vorliegen. Man darf gespannt sein, was uns in Zukunft noch alles an kreativer Ransomware begegnet. Der aktuelle NotPetja Angriff hat wieder gezeigt, dass hoch zentralisierte Systeme mit „Standardsoftware“ besonders angreifbar sind, wenn es dem Angreifer gelingt in die gemanagte Umgebung einzudringen. Insofern ist die UDE durch die Diversität der eingesetzten Betriebssysteme und der teils dezentralen IT vor einem worst case „IT-Totalschaden“ gesichert. Wenn allerdings zukünftig alle Betriebssysteme virtualisiert auf einer einheitlichen Virtualisierungsumgebung laufen, kann ein erfolgreicher Angriff auf diese die ganze IT der UDE auf einen Schlag lahmlegen. Auch ein erfolgreicher Angriff auf die – oder auch nur ein Fehler in der – Update-Infrastruktur von Microsoft kann zu einem IT-Blackout zu mindestens der MS-Welt führen. Beide Szenarien sind (hoffentlich) sehr unwahrscheinlich und werden hier nur erwähnt, damit ich beim Eintritt Fefes „told you so“-Spruch loswerden kann ;-).

Im Ernst: Die beste Strategie gegen Verschlüsselungstrojaner ist die Erstellung regelmäßiger Backups. Wer alle wichtigen Dateien im Fileservice auf einen unserer Netzwerklaufwerke im ZIM speichert ist auf der sicheren Seite, da diese durch regelmäßige Snapshots unserer NetApp-Dateiserver geschützt sind. Frei nach Marius Mertens: „Es gibt gesicherte Daten und unwichtige Daten“ oder wie es die C‘t formuliert: Kein Backup? Kein Mitleid!

Was tun bei Schadsoftware auf dem Smartphone?


Mobile Security – Virus auf dem Handy – Malware und Trojaner auf dem Smartphone

Ähnlich wie Windows auf dem Desktop ab Ende der 90er Jahre Ziel von Angriffen über das Internet wurde, blüht dieses Schicksal nun Android als dominierender Betriebssystemplattform für Smartphones. Aber auch Angriffe auf iPhones und iPads werden von uns zurzeit vermehrt beobachtet. Dabei handelt es sich überaschenderweise noch um XhostGhost.

Wie werden die Infektionen erkannt?

Wir bekommen vom DFN-Verein (Deutsches Forschungs-Netz, der Internet-Provider der Uni) automatisierte Warnmeldungen, wenn sich ein Computer oder ein Smartphone aus dem IP-Adressbereich der Uni mit dem Kommandoserver eines bekannten Bot-Netzes verbinden will. In so einem Fall informieren wir die Nutzerinnen und Nutzer über den Befall und empfehlen den Besuch des e-Points bzw. des PC-Services um das Gerät von der Schadsoftware zu säubern.

Solche automatisierte Benachrichtigungen bekommen wir vom DFN-Verein

Viele Nutzer setzen Virenscanner auf Smartphones ein. Deren Wirksamkeit auf Smartphones wird aber von Experten stark angezweifelt. Virenscanner erfordern viele, wenn nicht alle, App-Rechte ein  und schaffen so möglicherweise neue Sicherheitslücken. Apple hat den Herstellern von Virenspanner den Vertrieb dieser Software über den iTunes-Store untersagt.

Was kann so eine Infektion anrichten?

Ist ein Smartphone erst einmal von Schadsoftware durchdrungen, ist es ein Leichtes, diese Geräte und so die Nutzer zu verfolgen, persönliche Kontaktdaten
und Passwörter abzugreifen oder das Telefon gar als Abhörwanze zu betreiben. Kein einziger Account und kein Passwort, welches jemals auf so einem Gerät eingegeben worden ist, ist dann noch vertrauenswürdig. Das gilt auch für die Zugänge zu den App-Stores, die möglicherweise auch Zahlungen mit Kreditkarten zulassen.

Vorsicht mit App-Rechten!

Man sollte sich immer bewusst sein, das jede App, die bestimmte Rechte, wie etwa auf die Kamera, oder das Mikrofon, einfordert die Kamera bzw. das Mikrofon zu jeder Zeit auch benutzen kann. Insofern vertraut man immer dem Programmierer bzw. Anbieter der App. Besonders vertrauenswürdig müssen Apps sein, die eine VPN oder eine zusätzliche Tastatureingabemethode realisieren, da sie alle Eingaben bzw. den gesamten Netzwerkverkehr auch anderer Apps belauschen können. Wenn man Bedenken wegen der geringen Anzahl der bisherigen Installationen oder den geforderten App-Rechten hat, sollte man lieber nach einer alternativen App suchen.

 Wie kommt die Schadsoftware auf das Smartphone?

Häufig installieren die Anwender die Schadsoftware selbst in Form von Spielen oder gefälschten Apps unklarer Herkunft. Google und Apple versuchen Schadsoftware aus dem Android Play Store bzw. dem iTunes App Store fernzuhalten, was ihnen aber nicht immer gelingt. Ganz besondere Vorsicht ist bei Apps aus alternativen App-Stores wie z.B. AndroidPit (Android) oder Cydia (für IOS-Geräte mit Jailbreak) geboten, da hier möglicherweise Apps mit sehr unklarer Herkunft gehandelt werden. Siehe auch diese Zusammenstellung von App-Stores für diverse Smartphone-Betriebssysteme. Viele Android-geräte werden bereits mit einem Zugang zu einem alternativen App-Store verkauft.

Die bei uns aktuell beobachteten Fälle mit XhostGhost haben gar eine manipulierte Entwicklungsumgebung für iPhone-Apps als Ursache. Diese manipulierte XCODE-Version wurde 2015 Entwicklern untergeschoben und hat dazu geführt, dass APPs wie WeChat oder die chinesische Version von “Angry Birds 2″ mit einem Trojaner infiziert worden sind.

Aber auch Sicherheitslücken in Smartphone-Betriebssystemen können die Ursache für eine Infektion mit Schadsoftware sein. Achten Sie darauf alle Sicherheitsupdates für Ihr Betriebssystem auch zu installieren. Auch die Apps sollten Sie regelmäßig aktualisieren.

Leider haben die Hersteller wenig Interesse daran, für Security-Updates zu sorgen, nachdem die Geräte erst einmal verkauft worden sind. Apple hat da ein abweichendes Geschäftsmodell und versorgt die sehr viel teureren IOS-Geräte recht lange mit Updates, während es bei Android-Geräten mit Updates eher mau aussieht. Android-Geräte, die von der alternativen Firmware LineageOS unterstützt werden (Geräteliste hier) können sehr viel länger sicher betrieben werden. Wer nachhaltig und IT-sicher agieren möchte, sollte nur Geräte kaufen, die in dieser Liste aufgeführt werden.

Einige Geräte sind „ab Werk“ mit vorinstallierten Apps des Herstellers  oder gar eigenen App-Stores (siehe oben) ausgestattet, die Sicherheitslücken enthalten. Preiswerte Geräte aus China stehen in Verdacht, schon „ab Werk“ Schnüffelsoftware mitzubringen, die den Anwender ausspioniert. Update: Hier noch zwei ganz aktuelle Fälle (Smartphones von Blue Products und Nomu).

Auf Smartphones laufen Webbrowser, die wir ihre Desktop-Pendants Sicherheitslücken haben können. Insofern können Sie sich  auch Schadsoftware per Drive-by-Download einfangen. Besonders perfide sind beispielsweise Pop-Ups auf Webseiten, die die Besucher zu Downloads überreden sollen. Sowohl für Android (Adblock Browser) als auch für IOS (Adblock Browser) gibt es mobile Adblocker, die die Gefahr von Drive-by-Downloads verringern.

Staatliche Malware – der Staatstrojaner

Eher ein politisches Trauerspiel ist es, dass nun auch Strafverfolgungsbehörden in Deutschland Sicherheitslücken ausnutzen oder für neue sorgen dürfen. Der Staatstrojaner soll Daten vor der sicheren Ende-zu-Ende-Verschlüsselung auf dem Gerät abgreifen. Das deutet auf ähnliche Technologien hin, wie Sie oben bei VPN und Tastatur-Apps beschrieben worden sind. Auch solche durch Steuergelder finanzierte Trojaner können Sicherheitslücken enthalten, die möglicherweise von Kriminellen ausgenutzt werden.

Was tun bei einer erkannten Infektion?

Wenn die Infektion durch das ZIM erkannt wurde, bitten wir Sie  umgehend die WLAN-Verbindung in das eduroam unterbrechen und das eduroam-WLAN-Profil löschen. Dann sollten Sie versuchen persönliche Daten vom Smartphone auf einen vertrauenswürdigen Speicher zu kopieren. Wenn Ihre Google bzw. Apple Zugangsdaten gestohlen worden sind, ist auch der Cloudspeicher dort möglicherweise nicht mehr sicher.  Kopieren Sie alle Ihre persönlichen Daten (Kontakte, Fotos) auf einen PC oder die vertrauenswürdige Sciebo-Cloud (auch das Sciebo-Passwort müssen Sie nachher ändern!). Notieren Sie sich alle Zugangsdaten der installierten Apps/Dienste. Für Android-Gräte die OTG-fähig sind gibt es USB-Sticks, die sich für ein Backup auch direkt an der Mikro-USB-Buchse anschließen lassen. Alternativ tut es auch ein OTG-Adapter, an den schon vorhandene USB-Datensticks angeschlossen werden können.

Android_werkszustandAuch beim Verkauf eines Android Smartphones muss es hier auf den Werkszustand zurückgesetzt werden.

Setzen Sie erst danach Ihr Smartphone auf die Werkseinstellungen zurück. Unter Android geht das so:  „Einstellungen“, „Sichern und Zurücksetzen“, „Auf Werkszustand zurück“.

Unter IOS müssen Sie nach Apples Anleitung vorgehen.

Ändern sie danach Ihr Uni-Passwort im Selfcareportal. Wir empfehlen Ihnen dringend auch die Passwörter der Google/Apple App-Store-Account und aller auf dem Smartphone verwendeter Dienste zu ändern! Dann können Sie Ihr Smartphone wieder neu mit Ihrem Google/Apple-Account einrichten. Sie sollten dann alle verfügbaren Updates herunterladen. Verzichten Sie darauf Ihr Smartphone mit Hilfe von Google „meine Daten sichern“ bzw. dem Pendant von Apple wieder automatisiert einzurichten, da Sie dann möglicherweise die Schadsoftware wieder automatisch installieren, wenn sie diese aus dem Google-play-Store installiert haben. Ignorieren Sie keinesfalls eine erkannte Infektion, da sowohl Ihre Privatsphäre als auch die Sicherheit des Uni-Netzes betroffen sind.

Empfehlungen zum Einsatz von Windows 10 an der Universität Duisburg-Essen


Das neue Betriebssystem von Microsoft Windows 10 hat durch seine verstärkte Ausrichtung auf mobile NutzerInnen neue Features erhalten, die ähnlich wie bei IOS und Android erhebliche Auswirkung auf die Privatsphäre der AnwenderInnen haben. So sammelt Windows 10 Telemetriedaten zu den NutzerInnen  um die User-Experience mit Hilfe der integrierten virtuellen Assistentin “Cortana” zu verbessern.
AnwenderInnen die deutsche oder europäische Datenschutzstandards gewohnt sind, werden aber anhand der Daten die Microsoft erhebt ein eher mulmiges Gefühl bekommen.  Microsoft hat die datenschutzrelevanten Einstellungen aber recht übersichtlich in der Registrierkarte “Datenschutz” unter “Einstellungen” zusammengefasst. Leider geht Microsoft nach dem “opt-out”-Verfahren vor, d.h. nach der Installation sind die Einstellungen maximal Datenschutz-ungünstig vorbelegt und die AnwenderInnen müssen sich die Zeitnehmen die Einstellungen anzupassen. Es ist zu befürchten, dass sich nicht Jeder die Zeit nimmt, die Datenschutzeinstellungen sorgfältig zu konfigurieren. Besonders  unangenehm aufgefallen ist, dass Microsoft bei Updates  -  absichtlich oder nicht – die Datenschutzeinstellungen auf ungünstige  Einstellungen zurücksetzt.
Einen schönen Überblick zu der Thematik und Tipps zur Konfiguration gibt dieser Artikel auf Heise-Online.

Die Universität Duisburg-Essen ist  dem Microsoft Bundesvertrag (Mitarbeiter) beigetreten. Im Rahmen dieses Vertrages können Sie Windows-Betriebssysteme  als Upgrade auf allen Arbeitsplatzrechnern und PC-Pools installieren. Voraussetzung für den Einsatz einer aktuellen Windows-Version ist immer das Vorhandensein einer qualifizierenden Betriebssystem-Lizenz. Das ZIM betreibt derzeit in den Pools Windows 7 und empfiehlt auch den AnwenderInnen der UDE diese Windows-Variante an Arbeitsplätzen.  Den Einsatz von Windows 10 an der UDE empfiehlt das ZIM aus Datenschutzerwägungen derzeit explizit nicht.

Wenn Sie nicht auf den Einsatz verzichten wollen oder können, verwenden Sie eine der Versionen  „Windows 10 Education“ oder  „Windows 10 Enterprise LTSB“ (Long Term Servicing Branch). „Windows 10 Enterprise LTSB“ wurde für geschäftskritische Systeme konzipiert. Für diese Version verteilt Microsoft ausschließlich aktuelle Sicherheitsupdates und Hotfixes. Für den Einsatz an Arbeitsplätzen besser geeignet ist die Version “Education”, die kontinuierliche Weiterentwicklungen erhält. Bei diesen beiden Versionen lässt sich über Gruppenrichtlinien zentral die Übermittlung von Telemetrie-Daten an Microsoft vollständig zu unterbinden (Telemetry-Level 0: Security).

UPDATE !!/2019: Scheinbar läßt sich die Übermittlung von Telemetrie-Daten in keiner Windows 10 Version vollständig unterbinden! Siehe:

https://www.dfn-cert.de/dokumente/ds_workshops/Datenschutzkonferenz2016/Windows10_Folien.pdf

und

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/11/Beschluss_zu_TOP_13_Win10_Pr%C3%BCfschema.pdf

Vor diesem Hintergrund würde ich von einer Verwendung von Windows 10 zur Verarbeitung personenbezogenen Daten dringend abraten!

Dies kann auch lokal auf dem jeweiligen Rechner eingestellt werden. Vor der Verwendung  der Versionen “Windows 10 Home” und “Pro”  an Arbeitsplätzen der Hochschule soll aus Datenschutzerwägungen abgesehen werden, da hier kein vollständigen Deaktivieren der Telemetrie möglich ist.

Das kostenlose Tool “O&O shutup10” vereinfacht die Datenschutzeinstellungen.

Für alle NutzerInnen ,die die Datenschutzeinstellungen manuell vornehmen möchten, sind anbei einige Screenshots mit empfohlenen Einstellungen aufgeführt:

win10-1win10-2win10-3win10-5win10-6win10-7

 

Es muss nicht immer VPN sein – surfen im IP-Adressbereich der Uni über einen SSH-Tunnel


Ein virtuelles Privates Netzwerk (VPN) bindet entfernte Nutzer über das Internet in ein lokales Netzwerk ein. Das geschieht im Allgemeinen transparent, d.h. für die Nutzerinnen und Nutzer sieht es so aus, als ob sie sich beispielsweise im Uni-Netz befinden. Alle Netzdienste in einem Firmen- Heim- oder Universitätsnetz können dann unterwegs so genutzt werden, als ob man vor Ort wäre. Sehr häufig geht es aber nur um einen einzigen Netzdienst, nämlich das Web. An der Universität Duisburg-Essen werden viele Dinge heute webbasiert erledigt. Allerdings erfordern viele Seiten, dass sich der Nutzer im IP-Adressbereich der Uni befindet. Warum also ein vollständiges VPN verwenden, wenn eigentlich nur die Verbindungen über die Ports 80 (http) und 443 (https) genutzt werden? Eine Möglichkeit http- und https-Verbindungen umzuleiten ist ein Web-Proxy, der auf Protokollebene zwischen dem Browser und dem Web vermittelt. Dazu muss aber ein dezidierter Proxy-Server betrieben werden, der von außerhalb des Uni-Netzes zugänglich ist. Alternativ realisiert ein sogenannter Socks-Proxy so etwas auf Socket-Ebene also über TCP/IP Ports.

Ein Tunnel sie alle zu knechten …

Alle aktuelle Browser unterstützen die Verbindung auch über einen Socks-Proxy. Wer Login-Zugriff per SSH auf einen Rechner in dem Zielnetz hat, kann sehr einfach einen Socks-Proxy per SSH-Tunnel realisieren. Das ist beispielsweise an der Universität Duisburg-Essen für alle Nutzer der Fall. Alle Mitarbeiter haben mit ihrer Unikennung Zugriff auf staff.uni-due.de und alle Studierende können die Maschine student.uni-due.de mit ihrer Kennung nutzen.

Linux/MacOS/Unix:

Unter unixoiden Betriebsystemen wie Linux und MacOS geht das sehr einfach mit Bordmitteln auf der Kommandozeile (hier mit staff.uni-due.de für Mitarbeiter):

ssh -N -D2000 <unikennung>@staff.uni-due.de

Der Parameter -N verhindert hier den Aufbau einer interaktiven Shell-Verbindung. Der Parameter -D gibt den lokalen Zugriffsport für den dynamischen Tunnel an. Diesen Port wählt man unter Unix geschickter Weise oberhalb von 1023, damit keine Root-Rechte erforderlich sind.

Windows:

Unter Windows benötigen Sie einen SSH-Clienten wie beispielsweise den quelloffen Putty.

Nach der Installation wird Putty folgendermaßen konfiguriert (hier staff.uni-due.de  für Mitarbeiter, Studierende verwenden student.uni-due.de):

putty_tunnel0

Dann wird der Tunnel mit dem lokalen Endpunkt Port 2000 (willkürlich gewählt) konfiguriert. Wichtig für einen Socks-Proxy ist die Einstellung “Dynamic”:

putty_tunnel1

Nach klick auf “Add” ist der Tunnel eingerichtet. Sinnvollerweise speichert man das Profil nun ab. Vorsicht ist geboten bei der Checkbox „Local ports accept connection from other hosts“. Wer diese Option anwählt tunnelt womöglich andere Rechner oder gar Angreifer mit in das Universitätsnetz.

Betriebssystemunabhängig – die Browser-Konfiguration:

So konfiguriert man den Browser (hier z.B. Firefox, sorry ich verwende nur den englischsprachigen), damit er den Tunnel auch benutzt:

putty_tunnel2

Technisch gesehen wird nun jeder http-Request über den lokalen Port 2000 des Klienten abgewickelt, der ja über den (gesicherten) ssh-Tunnel mit dem Publikumsrechner im LAN der Uni verbunden ist.

Wenn der Tunnel erfolgreich in Betrieb genommen worden ist, kann man zum Beispiel auf www.wieistmeineip.de überprüfen, ob auch wirklich der Tunnel im Browser verwendet wird. Dort wird nun eine IP-Adresse aus dem Uni-Adressbereich 132.252.X.X angezeigt. Natürlich muß die Proxy-Einstellung immer wieder rückgängig gemacht werden, wenn der Tunnel wieder abgebaut wird. Zweckmäßig ist die Nutzung eines extra Browsers oder beispielsweise bei Opera die Verwendung der Schnelleinstellungen.

So ein Socks-Proxy funktioniert auch in Umgebungen, in denen herkömmliche VPN-Lösungen versagen (müssen), z.B. doppeltes NAT. Es ist auch möglich beliebig viele Klienten aus einer NAT Umgebung gleichzeitig zu verbinden, was bei einem VPN zu Problemen führen kann. Auch Unitymedia-Kunden mit IPv6-Stack ohne IPv4 profitieren von dieser Lösung.

socks-proxy

Übrigens bekommt Ihr Provider (oder das Internet-Cafe in dem Sie sich befinden) nicht mit was in dem Tunnel passiert, alles ist bis zum Socks-Proxy in der Uni verschlüsselt. Nach dem Tunnel, also ab staff.uni-due.de bzw. student.uni-due.de geht es aber wieder unverschlüsselt weiter. Zumindest Ihr Provider hat aber keine Chance diese Verbindungsdaten abzugreifen.Der Provider sieht nur die Verbindung zum Socks-Proxy. Gegen die Datenschnüffellei der NSA schützt das aber nicht wirklich, da der Traffic aus der Uni zu den Webseiten die Sie besuchen abgegriffen wird, was wirklich eine Frechheit ist!

Spezialitäten:

Wer mehr möchte, kann auch Programme die keine Socks-Proxys unterstützen mit dieser Technik ausstatten, indem man einen Wrapper wie z.B. tsocks einsetzt.

Es ist sogar möglich einen kompletten Stack über einen Socks-Proxy umzuleiten. Dazu wird das Tool tun2sock (bzw. badvpn) eingesetzt. Damit ist ein SSH-basiertes VPN realisierbar.

Für Kunden von Unitymedia mit neuem Ipv6-Stack ohne IPv4 wäre es damit möglich das Zwangs-NAT für alle Verbindungen zu überwinden.

Noch ein Tipp für die Besitzer eines Servers/virtuellen Servers oder eines Shellaccounts mit fester erreichbarer IP:

Wer von einem limitierten Internetzugang (z.B. NAT und kein Zugriff auf den Router) aus Serverdienste (Web, ssh, etc.) betreiben möchte, kann z.B. mit

ssh -R 3333:localhost:22 <gateway-maschine>

einen ssh-Server des nicht erreichbaren Rechers in einem NAT (oder in einem Ipv6-only-Netz) auf den Port 3333 auf einer Gateway-Maschine (die über eine öffentlich erreichbare IP-Adresse verfügt) umlenken, wenn auf der Gateway-Maschine in der Konfigurationsdatei /etc/ssh/sshd_config

GatewayPorts yes

(Neustart des sshd erforderlich) eingetragen wird.

So kann die versteckte Maschine per ssh auf den Port 3333 der Gateway-Maschine erreicht werden. Das klappt beispielsweise auch mit einem Server (z.B. auch Webserver, dann aber Port 80 weiterleiten) auf einem Smartphone (oder einem mobilen Roboter, wie ich das hier im Jahre 2009 realisiert habe) im UMTS-Netz, dass bei fast allen Providern auch per NAT betrieben wird!

nat-tunnel-server

Dazu sind natürlich auf der aus dem Internet erreichbaren Maschine Root-Rechte erforderlich.

Ohne Root-Rechte ist es etwas komplizierter so etwas zu realisieren, hier benötigt man zwei Tunnel:

auf der hinter einem NAT versteckten lokalen Maschine:

ssh -R 3333:localhost:22 <gateway-maschine>

auf der Gateway-Maschine mit öffentlicher IP:

server# ssh -g -L4444:localhost:3333 localhost

Dann kann nun über den Port 4444 der Gateway-Maschine per ssh auf die versteckte Maschine zugegriffen werden. Das funktioniert mit beliebigen Quellports, also auch mit Port 80. Die Beispiele beziehen sich auf die Unix-Kommandozeile aber sollten mit entprechenden Einstellungen auch unter Windows funktionieren, sofern man einen sshd für Windows installiert.

Vorausgesetzt wird immer, dass keine Firewall die Ports blockiert. Wenn man nicht über root-Rechte verfügt, muss man Ports oberhalb von 1023 wählen, es geht bis 65535 ;-) .
Die Maschinen staff.uni-due.de und student.uni-due.de am ZIM der Universität Duisburg-Essen erlauben dieses erweiterte Verfahren übrigens nicht, da sie durch Firewalls geschützt sind. Einen Socks-Proxy können Sie aber mit diesen Maschinen aufbauen.

Dieser Beitrag wurde unter Allgemein, Anwendungen & Dienste, Code & Kernel, Tipps & Tricks abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.