Volkszählung: Online-Übermittlung unsicher

Aus aktuellem Anlass (die Fragebögen sollen bald raus und jemand der einen bekommen soll hat mich kontaktiert) habe ich mir den Zensus-Kram nochmal angeschaut und mir ist eine Sache aufgefallen: Laut dem Musterfragebogen zur Haushaltsbefragung: werden die Leute, die den Fragebogen online ausfüllen wollen, auf „www.zensus2011.de“ geleitet – sollen die Seite also per unverschlüsseltem HTTP aufrufen. Das ist unsicher, und ob danach sofort eine Umleitung auf HTTPS erfolgt, ist im Fall eines aktiven Angriffs irrelevant, da die erste Anfrage über HTTP rausgeht und somit vom Angreifer manipuliert werden kann, bevor der Server überhaupt was mitbekommt und den Nutzer umleiten kann.

Um diese Art von Angriff zu demonstrieren, gibt es eine fertige Software namens „sslstrip“ von Moxie Marlinspike. Schaltet man diese in die Leitung, so fängt sie https-redirects automatisch ab, sodass der Nutzer weiter http nutzt und die Daten im Klartext über die Leitung gehen. Ich weiß nicht wie weit die Software entwickelt ist, d.h. ob sie auch in diesem Fall ohne Anpassungen funktioniert, aber in dem Moment wo die erste Anfrage unverschlüsselt rausgeht, ist der Angriff machbar.

Um Missverständnisse zu vermeiden – das bedeutet NICHT

  • dass die Server gehackt wären
  • dass Daten schon offen/geklaut/geleakt wären
  • dass jeder mit dem Tool einfach so sämtliche Zensusdaten abgreifen kann
  • dass Daten im Normalfall (d.h. ohne Angriff) unverschlüsselt verschickt würden
  • dass ein rein passiver Angreifer die Daten abgreifen könnte

Ein aktiver Angreifer kann aber die Daten abfangen. Es zeigt vor allem, dass Sicherheit offenbar nicht wirklich ernstgenommen wird – die Lösung wäre einfach gewesen ein https:// auf den Zensusbogen zu schreiben und darauf hinzuweisen, dass diese Adresse exakt einzugeben ist. Nachträglich könnte man das vermutlich am Besten mit einem zusätzlichen Infoblatt noch retten, was man zusammen mit den Fragebögen austeilen könnte.

Was bedeutet „aktiver Angreifer“? Wie auch die AusweisApp-Geschichte setzt dies voraus, dass der Angreifer den Datenverkehr nicht nur abhören, sondern auch manipulieren kann. Das ist nicht trivial, aber machbar und schon vorgekommen. In der IT- und Netzwerksicherheit geht man – nicht ohne Grund – eigentlich immer von einem sogenannten Dolev-Yao-Angreifer aus, der genau diese Möglichkeiten hat. Die Zertifikate, ein ziemlich komplexer Baustein bei SSL, sind auch nicht ohne Grund da. Die verschiedenen Methoden wie sowas passieren kann müsste ich mal ausführlicher bloggen, einige wären:

  • DNS-Server der Domain manipulieren (wie z. B. beim Sicherheitsdienstleister Secunia passiert)
  • DNS-Server/Cache des Providers manipulieren/vergiften
  • DNS-Cache des Routers manipulieren/vergiften
  • Falsches kostenloses WLAN
  • Angreifer im gleichen Netzwerk (WG, Firma, Schule, verseuchter PC im Haushalt), dann ARP spoofing/poisoning (oder Kontrolle über Proxy/Router)

Diese Angriffe betreffen den Nutzer auch, wenn sein Computer an sich sicher ist! Um sich zu schützen, muss man vor dem Login prüfen, dass a) HTTPS verwendet wird und b) man immer noch auf der richtigen Seite ist.

Die Zensus-Seite für das Online-Ausfüllen ist noch nicht online – ob da noch weitere peinliche Lücken auftauchen weiß ich nicht, ich hoffe nur, dass Finder sie melden oder veröffentlichen statt sie zu missbrauchen.

Eine andere unschöne Geschichte ist noch, dass beim Zensus die ausgefüllten Fragebögen wahlweise bei den Interviewern gelagert werden (siehe auch: NPD ruft Mitglieder auf, Volkszähler zu werden) oder per Post eingeschickt werden können – aber nicht immer an die statistischen Landesämter, sondern teilweise an private Firmen an die der Kram outgesourced wurde.

Zur generellen Kritik am Zensus sei noch gesagt, dass der Zensus keineswegs anonym ist und die Daten jahrelang personenbeziehbar abgelegt sein dürfen. („Hilfsmerkmale“ sind die personenbezogenen Daten)

Abgefragt (und ggf. bei den Interviewern zuhause gelagert!) werden unter anderem:

  • Name, Adresse
  • Geburtsdatum
  • Telefonnummer
  • alle Staatsangehörigkeiten
  • Religionsgesellschaft (Pflichtfrage!)
  • Glaubensrichtung (freiwillig – bei Islam möchte man es gerne genau wissen: sunnitisch, schiitisch oder alevitisch?)
  • Zugewandert? Falls ja, wann und woher?
  • Das gleiche nochmal für die Eltern!
  • Exakter Beruf(z. B. „Blumenverkäuferin“, nicht „Verkäuferin“)
  • Stichworte zur Tätigkeit (z. B. „Beratung, Verkauf, Verpacken von Pflanzen“)

Im Bezug auf die Datenschutzversprechen könnte auch mein Artikel über die herumliegenden Daten die gar nicht da sein sollten beim Statistischen Bundesamt interessant sein.

An dieser Stelle sei noch verwiesen auf:

  • Die „Volkszählungsfibel“ des AK Zensus (Zensuskritiker) mit einem guten Überblick über den Zensus und die Kritik daran
  • Die FAQ auf der offiziellen Seite

UPDATE:
Um die Angriffe zu verdeutlichen, hier ein paar Diagramme (können per Klick vergrößert werden).
Schwarze Linien zeigen unverschlüsselte Verbindungen an, blaue Linien sind HTTPS-Verbindungen (d.h. verschlüsselt und die Identität des Servers wird geprüft).

Zunächst einmal der normale Ablauf ohne Angriff:

Der Nutzer gibt die Adresse auf dem Papierfragebogen ein, sein Browser geht (unverschlüsselt) zum Server und bekommt einen HTTPS-Link auf den Online-Fragebogen. Der Nutzer klickt drauf, sein Browser holt über eine gesicherte Verbindung den Fragebogen ab, der Nutzer loggt sich ein und füllt ihn aus.

Nun ein Angriff:

Der Angreifer leitet sämtliche Verbindungen des Nutzers auf sich um.
Der Nutzer gibt die Adresse auf dem Papierfragebogen ein, sein Browser geht (unverschlüsselt) zum (falschen!) Server und bekommt eine Antwort mit einem HTTPS-Link auf einen falschen Fragebogen auf einer Domain die dem Angreifer gehört (und für die er daher ein Zertifikat hat). Beispielsweise http://www.zensus2011-befragung.de ist noch frei (die echte Seite heißt zensus2011-befragungen.de, was der normale Nutzer aber nicht wissen kann). Eventuelle Sicherheitshinweise auf der Seite mit dem Link sind natürlich auch auf den falschen Namen angepasst. Der Rest läuft wie beim normalen Zensus, nur dass der Nutzer den Fragebogen des Angreifers ausfüllt. Der kann entweder eine Kopie des echten Fragebogens sein, oder gleich noch zusätzliche Fragen enthalten.

Mit sslstrip kann man einen anderen Angriff automatisiert machen:

Das sieht erstmal komplizierter aus, ist es aber nicht, weil es weitgehend automatisch passiert. Der Nutzer bekommt hier einen http-Link auf die echte Domain, die ungesicherten Anfragen fängt der Angreifer wieder ab, leitet sie (per https, weil der echte Server keine unverschlüsselten Anfragen will) an den Server weiter und liefert die Antwort wieder an den Zensus-Teilnehmer. Dabei liest er natürlich mit, wenn der Teilnehmer den Fragebogen ausfüllt.

Statt einem HTTP-Link (der das Opfer eventuell wegen der fehlenden Verschlüsselung stören könnte) kann der Angreifer auch einen HTTPS-Link auf eine andere, eigene Domain (wie bei Angriff 1) liefern, und die an ihn gestellten Anfragen von sslstrip weiterreichen lassen.

Wenn auf dem Fragebogen die Adresse mit https stehen würde, würde es so aussehen:

Bereits die erste Anfrage geht über HTTPS, es gibt keine unverschlüsselten Anfragen! Würde der Angreifer hier angreifen wollen, würde es so aussehen:

Der Browser merkt beim Aufbau der gesicherten Verbindung, dass er nicht mit dem richtigen Server spricht, und bricht mit einer sehr deutlichen Warnmeldung an den User ab.

Die Diagramme sind übrigens mit mscgen erstellt.

  1. 2011-05-08 um 02:29 UTC

    # Religionsgesellschaft (Pflichtfrage!)

    die frage nach der religion ist imho freiwillig. was soll der scheiß mit: „Pflichtfrage!“ also danach?

  2. 2011-05-08 um 02:37 UTC

    okay. die frage nach der ‚religionsgesellschaft‘ also ob katholisch oder evangelisch oder so, mag ne pflichtfrage sein. steht aber eh im melderegister oder auf der lohnsteuerkarte. aber diese herausstellung suggeriert eine verpflichtende frage zum glaubensbekenntnis. und das ist schlicht falsch. und mit solchen ‚unscharfen‘ äußerungen diskreditiert man sich meißt selbst. zumal wenn man mit ausrufezeichen arbeitet.

    • Jan
      2011-05-08 um 03:09 UTC

      Um genau dieses Missverständnis zu vermeiden, ist auch die freiwillige Frage nach dem Glaubensbekenntnis direkt dahinter mit aufgeführt.

  3. 2011-05-08 um 03:42 UTC

    Das macht keinen Unterschied ob die erste URL HTTP oder HTTPS ist. In beiden Fällen ist das nur sicher wenn der Benutzer das Zertifikat prüft, sein Rechner nicht kompromittiert ist, und kein Zertifikat für die Domain auf dem gefakten Server erschlichen wurde.

    Allerdings ist das Risiko recht gering, dass ein Provider das ausnutzt.

    Gruss
    Bernd

    • Jan
      2011-05-08 um 04:00 UTC

      Ja, auch mit korrekter Verwendung von HTTPS gibt es weiterhin Gefahren – das Zertifikat wird automatisch geprüft, aber der kompromittierte Rechner und das erschlichene Zertifikat sind reale Gefahren. Die erste Verbindung über HTTP erlaubt jedoch zahlreiche weitere Angriffe, und statt dass der Angreifer MitM machen und HTTPS überwinden muss, reicht ein MitM alleine aus.

      Die Gefahr, dass ein Provider das ausnutzt, sehe ich auch als minimal an. Aber nur weil der Provider so einen Angriff natürlich ideal machen könnte, heißt das noch lange nicht, dass er der einzige mögliche Angreifer ist – die MitM-Attacken sind auch ohne Kooperation eines Providers möglich.

  4. Christian
    2011-05-08 um 20:13 UTC

    Nur aus Neugier: Wie hast du es geschafft, das Eingabeformular ohne https aufzurufen? Wenn ich das versuche, bekomme ich immer eine Fehlermeldung, dass die Serverkonfiguration dies verbietet.

    • Jan
      2011-05-08 um 21:12 UTC
      C:\Users\Jan>wget -O nul www.zensus2011.de
      --23:14:06--  http://www.zensus2011.de/
                 => `nul'
      Resolving www.zensus2011.de... 89.146.222.222
      Connecting to www.zensus2011.de|89.146.222.222|:80... connected.
      HTTP request sent, awaiting response... 200 OK
      Length: 45.993 (45K) [text/html]
      
      100%[====================================>] 45.993        --.--K/s
      
      23:14:06 (322.42 KB/s) - `nul' saved [45993/45993]
      

      Falls du das Formular an sich meinst: Wie im Artikel erwähnt kommt es darauf nicht an, weil der Angriff schon bei dem ersten (hier demonstrierten) HTTP-Request passiert.

  5. Christian
    2011-05-09 um 06:59 UTC

    Das ist die falsche Seite, dort werden keine Daten eingegeben. Auf die Eingabeseite selbst kommst du nur mit https. Und ein Angreifer, der in der Lage ist https-Verbindungen abzufangen, gegen den wird es eh sehr, sehr schwierig…

    • Jan
      2011-05-09 um 08:30 UTC

      Der Angriff bedeutet, dass die Anfragen die echte Eingabeseite nie direkt erreichen. Und dank stripssl (ggf. muss man es anpassen damit es nicht zuerst http versucht) funktioniert die Seite dann sehr gut auch ohne https – die Anfrage geht an stripssl, stripssl holt die echte Seite per https und leitet sie per http an den Nutzer weiter. Oder der Link geht auf eine eigene Domain (mit eigenem gültigen SSL-Zertifikat) und da wartet dann stripssl und macht das Proxying (ggf. ist dafür eine Modifikation nötig).

      Oder man macht es sich ganz einfach und setzt auf die (gefakete) Homepage einen Link auf eine Phishingseite (kann der Nutzer nicht erkennen, bei der Gebäudegeschichte ist es ja auch ne separate Domain) – oder direkt ein Loginformular, was die Logindaten abgreift, den Nutzer dann auf die echte Seite umleitet (dürfte die wenigsten wundern wenn das Login scheinbar ohne Fehler fehlschlägt) und sich die Daten dann mittels des geklauten Logins vom echten Server holt sobald sie ausgefüllt wurden (falls das nicht geht, bleibt die stripssl-Methode).

      • Christian
        2011-05-09 um 08:48 UTC

        Also halten wir fest: Netzwerkverkehr kann mit genügend hohem Aufwand manipuliert werden.

        Wow. Wer hätte das gedacht.

        Wer genau ist die Zielgruppe für den Angriff? Menschen, die öffentlichen WLANs nutzen, um ihre Daten einzugeben?

        • Jan
          2011-05-09 um 09:44 UTC

          Ich habe den Eindruck, du willst den Artikel nicht lesen und/oder verstehen. Möglichkeiten, wie das auch ohne öffentliche WLANs ein Problem sein kann, sind genannt, und weil Netzverkehr manipuliert werden kann und das bekannt ist, hätte man entsprechende Sicherheitsmaßnahmen treffen müssen, die auch leicht umsetzbar sind.

  6. Martina
    2011-05-09 um 08:17 UTC

    Ich finde es schon wieder völlig undurchdacht von den Staatlichen Organen. Da macht man schon so eine Umfrage, die ja bestimmt ihren Sinn haben wird und dann macht man so einen Blödsinn, dabei konnte man doch vorher damit rechnen, dass es dabei wieder zu einer Datenschutzdiskussion kommt, da müsste man dann doch von vorne mit solchen Problemen rechnen. Hat man denn nciht ein paar Experten beim Thema Volkszählung gefragt. Schade drum, aber die werden sicherlich nichts dran ändern.

  7. Christian
    2011-05-09 um 10:30 UTC

    Jan :
    Ich habe den Eindruck, du willst den Artikel nicht lesen und/oder verstehen. Möglichkeiten, wie das auch ohne öffentliche WLANs ein Problem sein kann, sind genannt, und weil Netzverkehr manipuliert werden kann und das bekannt ist, hätte man entsprechende Sicherheitsmaßnahmen treffen müssen, die auch leicht umsetzbar sind.

    Na da bin ich gespannt. Ich denke, mit dem Whitepaper in dem steht, wie du universell Netzwerke unangreifbar machen kannst, wirst du deutlich mehr Aufsehen erregen, als mit dem feststellen von Offensichtlichkeiten.

  8. 2011-05-10 um 09:56 UTC

    Finde es auch merkwürdig, wie hier das Thema aufbereitet wird – so in der Art: „Man hätte es komplett sicher machen können, hat man aber nicht.“

    Eigentliche Aussage des Artikels ist: Auf dem Formular steht „HTTP“ in der Adresse und das kann die Basis eines Angriffs sein.

    „HTTPS“ auf dem Formular wäre aber auch nicht viel sicherer. Kann ja nen Artikel schreiben „Nie wieder HTTPS nutzen! Erst nach Update!“ – Warum? Wegen dem Comodo-Hack. Und es haben sicher noch nicht alle Deutschen (die am Zensus teilnehmen müssen) ein Update der Comodo-Root-Zertifikate ausgerollt.

    • Jan
      2011-05-10 um 10:08 UTC

      Ja, HTTPS ist nicht völlig unangreifbar (auch wenn der Comodo-Hack den Zensus nicht betrifft, selbst wenn man die Updates nicht hat). Aber es entspricht wenigstens dem Stand der Technik (siehe auch § 20 ZensG 2011) und ein Angriff auf eine ordentlich gesicherte Website erfordert, dass man a) die Verbindung umleitet (wie hier) und b) zusätzlich noch SSL aushebelt – also eine sehr deutliche zusätzliche Hürde.

      Ist eigentlich schon ein Fall bekannt, wo falsch ausgestellte Zertifikate tatsächlich missbraucht wurden?

  9. fish
    2011-05-10 um 13:17 UTC

    …man zeige mir eine einzige Webseite auf der das anders gehandhabt wird.

  10. Sir_Andz
    2011-05-10 um 16:57 UTC

    Also ein SSLstrip Angriff ist in einem unsicheren System innerhalb von ein paar Sekunden startklar. Unsicher = ARP-spoofbarer Router.
    Das funktioniert aber bei so ziemlich allen HTTPS homepages.. Da reiht sich die Zensushomepage eben auch mit ein.
    Dem Opfer fällt das natürlich nicht als http auf, es wird einfach HTTPS vorgetäuscht und wird 0815-Usern niemals auffallen.

    Wer also heutzutage noch Router verwendet die ARP-spoofbar sind, habens wohl offensichtlich nicht gecheckt wie wichtig die Sicherheit ihrer Daten ist?!
    Wohl eher kaum, da das allgemeine technische Verständnis der meisten Menschen nicht so ausgeprägt ist wie von z.b. Hackern…
    Deswegen benutzen ja auch noch viele WEP ^^

    Also evtl. hier die falsche Stelle gegen die Volkszählung zu demonstrieren, weils einfach nur peinlich ist.

    Ich halte übrigens auch nichts von der Zählung…

  11. Harald S. Groh
    2011-05-11 um 08:40 UTC

    Die Anmeldung und die Übertragung der Formulare werden mit dem Protokoll https durchgeführt!

  12. Tobi1980cgn
    2011-05-11 um 08:53 UTC

    Habt Ihr Euch die Fragen des Fragebogens mal genau durchgelesen und wieviel Aufwand für einen solchen Angriff nötigt ist?

    Die User von Facebook geben mehr Infos an und stimmen der Verarbeitung zu.

    Zudem machen wir doch mal das Fass richtig auf und gucken uns die Homepage von der Postbank an. Oh nein ohne https und dabei kommt man hier zum OnlineBanking.

    • Jan
      2011-05-11 um 11:43 UTC

      Kleine, aber feiner Unterschiede:
      – Beim Onlinebanking sind den Nutzern die Risiken bekannt (Klarstellung: d.h. sie passen auf)
      – Es werden EV-Zertifikate verwendet, die die Identität der Bank bestätigen
      – Es wird nicht beim Übergang zum Login auf eine Domain gewechselt, die völlig falsch sein könnte
      – Um Transaktionen durchführen zu können, wird mittlerweile ein separat gesicherter Kanal benutzt
      und last but not least:
      – Ich hab den ganzen Papierkram grad nicht hier, aber wird dort nicht drauf hingewiesen dass man die URL immer manuell und mit https eingeben soll – also genau das was ich hier fordere? Auf jeden Fall wird in der Broschüre, die ich gefunden habe, dem Nuztzer erklärt, wie er nach der Umleitung und vor der Passworteingabe prüfen kann, dass er auf der richtigen Seite ist.

  13. Ron
    2011-05-11 um 13:37 UTC

    Glaubt dem Staat kein Wort!

    Der Euro kommt- nichts wird teurer!

    Die Volkszählung kommt- die Daten sind sicher!

    Ich nehme mir das Recht heraus welches sich unser EX Bundeskanzler Helmut Kohl nach der Spendenaffäre auch herausnahm: Das Recht zu Schweigen.

    Volkszählung boykottieren!

  14. Heinz
    2011-05-11 um 14:29 UTC

    Also ist es tatächlich möglich, dass jemand meinen http request abfängt, ich den Hinweis auf
    http://www.zensus2011.de/fragebogen/haushalte-und-wiederholungsbefragung.html ignoriere und mit einer gebastelten Kopie der Webseite, meinen Aktivierungscode akzeptiert um dann meine Religion herauszufinden?

    Ach du Scheisse! Dann wäre es ja sinnlos gewesen, dass mich jahrelang immer in die Kirche geschlichen habe.

    Gott bewahre… habt ihr Probleme.

  15. Thomas35
    2011-05-12 um 06:48 UTC

    So einen Fehler muss man ja schon als Vorsatz bezeichnen, das weiß doch heute fast jedes Grundschulkind, dass nur https sicher sind. Dass die Daten auch bei den Zählern nicht sicher aufgehoben sind, kann man hier nachlesen:
    http://www.kommunalforum.de/showthread.php?tid=1301

    • Jan
      2011-05-12 um 18:24 UTC

      Naja – sie nutzen ja https, nur eben zu spät. Der Fehler wird desöfteren gemacht, deswegen gibt es ja sslstrip um die Gefahr zu demonstrieren.

  1. 2011-05-08 um 13:01 UTC
  2. 2011-05-09 um 07:11 UTC
  3. 2011-05-10 um 18:24 UTC
  4. 2011-05-11 um 21:16 UTC
  5. 2011-05-15 um 21:30 UTC
  6. 2011-05-17 um 19:42 UTC
  7. 2011-06-30 um 09:24 UTC

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: