Wieso sagen alle, der Bundestrojaner kann TLS brechen?
In zwei YouTube Fillmen habe ich die Aussage gefunden, dass der Bundestrojaner sich erfolgreich als iTunes.com ausgeben kann, obwohl doch heutzutage ohne HTTPS nichts mehr läuft...
Wie kommt's?
Beweise:
2 Antworten
Naja, der Zweck des Bundestrojaners ist QuellenTKÜ. Wenn ich das System der Zielperson kontrolliere, ist mir die TLS-Verschlüsselung ziemlich egal. Entweder greife ich die Daten nach bzw. vor der Entschlüsselung ab oder ich füge eigene Zertifikate in den Zertifikatspeicher ein und breche die Verschlüsselung so auf (wenn ich die Daten auf Netzwerkebene abgreifen will).
Wieso nicht? HTTPS schützt dich nicht davor, dass dir jemand Schadsoftware unterschiebt. Es erschwert ein Einschleusen von Schadsoftware in den Netzwerkverkehr etwas, wenn man das deine Verbindung an einem Kontenpunkt anzapft. Aber
- gibt es noch jede Menge andere Wege, dir Schadsoftware unterzujubeln,
- ist bei weitem noch nicht jede Verbindung verschlüssel, eine einzige unverschlüsselte Verbindung reicht ja schon,
- lässt sich auch die TLS-Verschlüsselung aufbrechen, gerade mit der Power und den rechtlichen Möglichkeiten staatlicher Stellen.
Wenn dich die Thematik interessiert, ließ dich mal in die Grundzüge von Netzwerkprotokollen, die Wege, die deine Daten über den Provider und etwaige Knotenpunkte ins Internet bzw. umgekehrt zurücklegen, und in die Funktionsweise von HTTPS ein, insbesondere in die Arbeitsweise von CAs. Wenn du die Technik halbwegs verstehst, kannst du auch in ansatzweise die Möglichkeiten und Wege potentieller Angreifer nachvollziehen.
Zu deinem anderen Kommentar:
wie könnte man die fälschen? wenn mein Computer itunes.com erwartet... dann muss doch jede Fälschung auffallen und sogar zur Weigerung vom Firefox führen, die Seite auch nur darzustellen...
Der Computer "erwartet" nicht "itunes.com". Er fragt beim DNS-Server nach der IP-Adresse, die zu "itunes.com" gehört. Der DNS-Server antwortet "17.253.144.11". Standardmäßig werden die DNS-Server deines Providers verwendet. Dieser könnte die Anfrage (auf Anordnung der Ermittlungsbehörden, dafür gibt es m. W. inzwischen entsprechende Rechtsgrundlagen) aber zu einer anderen Webseite umleiten (z. B. 80.245.152.130, eine IP die zum BKA gehört).
Oder du wirst einfach auf "ltunes.com" weitergeleitet (eine Webseite, die ziemlich sicher nicht zu Apple gehört) - der Unterschied wird dir im Regelfall kaum auffallen.
Und was HTTPS angeht: Das Vertrauen bei HTTPS bzw. TLS generell basiert auf Zertifikaten. Dein Computer "erwartet" bei einer TLS-verschlüsselten Verbindung, dass sich die Gegenstelle mit einem Zertifikat autorisiert, welches von einer Zertifizierungsstelle (CA) signiert wurde, die im Zertifikatsspeicher deines Browsers oder deines PCs als "vertrauenswürdig" hinterlegt ist. Da gehört die D-Trust GmbH (eine hunderprozentige Tochter der Bundesdruckerei Gruppe GmbH, welche wiederum zu 100 % im Eigentum der Bundesrepublik Deutschland steht) noch zu den vertrauenswürdigsten Stellen. Neben Stellen aus den USA, Japan, Hongkong, Taiwan und der Türkei ist da z. B. auch eine "China Financial Certification Authority" vertreten. Jede dieser CAs kann grundsätzlich für jede beliebige Webseite ein Zertifikat ausstellen, welches vom allergrößten Teil der Webbrowser (und anderer Dienste) ohne weiteres und ohne jede Meldung an den User akzeptiert würde. Natürlich dürfen CAs nicht nach Belieben für irgendwelche Zertifikate ausstellen, dafür gibt es internationale Regeln und Standards. Aber es gab immer wieder CAs, die nachweislich unberechtigt Zertifikate ausgestellt haben. Einige sind daraufhin raus geflogen, andere nicht. Und wohl so ziemlich jede CA wird kooperieren, wenn sie von ihrer der Regierung des jeweiligen Landes (unter Beachtung der jeweils geltenden gesetzlichen Voraussetzungen - oder auch ohne) dazu aufgefordert wird.
ja ok... das mit den CAs, die von der Behörde genutzt werden, um ein korrektes itunes.com Zertifikat auszustellen, ist eine Möglichkeit, an die ich nicht gedacht habe...
deine anderen Vektoren überzeugen mich nicht so... es ist eben heute doch alles TLS.... sogar DNS über HTTPS gibt es... und na klar merkt der Firefox, wenn das Zertifikat nicht für itunes.com sondern für ltunes.com ist... sonst wär der Browser ja blöd wie n Mensch.... lol
Es gibt verschiedene Möglichkeiten, wie der Bundestrojaner TLS brechen kann. Eine Möglichkeit ist, die Schwachstellen in der TLS-Verschlüsselung auszunutzen. Eine andere Möglichkeit ist, gefälschte Zertifikate zu verwenden, um sich als vertrauenswürdige Website oder Server auszugeben.
wie könnte man die fälschen? wenn mein Computer itunes.com erwartet... dann muss doch jede Fälschung auffallen und sogar zur Weigerung vom Firefox führen, die Seite auch nur darzustellen...
ok... aber wie kommt das Ding auf meinen Rechner.... durch eine HTTPS-Verbindung (wie in den Videos behauptet) kann es ja nichts werden... oder?