Von Kabelhaien, Mittelsmännern und abgehörten Mails

Denn eins ist sicher: die Mail

Ein der Satz, den Norbert Blüm wohl nie gesagt hat. Daran tat Blüm auch gut, denn wahr ist er nicht. Hier und auch anderswo reden sich die Missionare wund, um Ungläubige von der postkartoresken Art der Mail zu überzeugen – oftmals eher erfolglos. Mails abhören, das ist doch was für Geheimdienste. Warum sollten die sich denn für mich interessieren? Nun, es ist Art der Geheimdienste, sich für alles zu interessieren. Aber eigentlich brauchen wir keine Geheimdienste, denn Mails abhören kann theoretisch jeder. Dafür braucht man weder ein Echolon, noch Unsummen an Geld. Nein, man muss nicht einmal programmieren können. Alles was man braucht, um zumindest eigene Mails abzufangen, kann man als fertige Software aus dem Netz laden.

Sniff it, Baby!

Um uns Zugang zu unseren Mails zu verschaffen (so ein Unsinn!), brauchen wir einen Sniffer. Keine Angst, das hat nichts mit Drogen zu tun. Für unser Experiment nehmen wir das Programm Wireshark. Wer möchte, kann sich das Programm herunterladen und die Sicherheit seiner Mails selbst überprüfen, ich werde die wichtigen Fakten wenige Zentimeter weiter unten aber auch vorstellen. Wireshark benötigt während Installation und Betrieb keine Verbindung zum Internet.

Wireshark-Optionen

Wireshark-Optionen

Nach dem Starten sieht man erstmal eine Menge grau sowie viele kryptische Punkte in den Menüs. Das alles ist für uns jetzt uninteressant. Wir gehen auf Capture->Options. Unter Interface muss die Netzwerkkarte ausgewählt werden, über die der Internetverkehr läuft. Sonst sollte alles so eingestellt werden wie auf dem nebenstehendem Screenshot. Sollte das Programm zu langsam laufen, kann man Update list of packages in real time deaktivieren. Als Filter brauchen wir

tcp port 995 or tcp port 110 or tcp port 25

Damit beschränken wir uns auf Netzwerkverkehr über das TCP-Protokoll und schränken uns zusätzlich auf drei Ports ein. Der erste wird gewöhnlich für verschlüsseltes Mailabrufen genutzt, die letzteren beiden für unverschlüsselte Verbindungen. Damit bleibt der Mitschnitt halbwegs übersichtlich. Sollten jetzt beim Abrufen der Mails keine Pakete auftauchen, sollte man in der Mailsoftware prüfen, welche Ports dort eingestellt sind und den Filter entsprechend anpassen. Aber wie gesagt, 25, 110 und 995 sind eigentlich Standard. Ist alles eingestellt, wird auf Start geklickt.

Der Kabelhai frisst meine Mails

Rufen wir jetzt Mails ab oder senden welche, tauchen im Wireshark-Hauptfenster viele Einträge auf, von denen jeder für ein über das Netzwerk versendetes Paket steht. Um nun zu sehen, wie sich die Einstellungen unseres Mailprogramms auf die Sicherheit auswirken, werden wir zunächst die niedrigstmögliche Konfiguration wählen. Ich habe zum Testen extra eine neue Mailadresse angelegt:

Mailadresse: heikehackt@gmx.de
Passwort: heikehacktimtakt

Abgerufen habe ich die Mails mit Opera, weil der mit nur einem Mailaccount ausgestattet in diesem Fall besser handhabbar ist als Thunderbird. Letzteren nutze ich aber, um Mails an heikehacker@gmx.de zu schicken. Ich analysiere nur das Abrufen der Mails, die Einstellungen für das Verschicken bleiben immer gleich – alle Aussagen treffen aber auf beide Richtungen zu.

Der schlimmste vorzustellende Fall (Plaintext)

Um uns gleich die volle Dröhnung zu geben, stellen wir im Mailprogramm unserer Wahl die Servereinstellungen zum Empfangen von Mails auf unverschlüsselt (Häkchen bei SSL entfernen) und unter Authentifikation auf „keine“ oder Plaintext, beide Optionen bringen das gleiche Resultat. Im Thunderbird entfernt man einfach das Häkchen bei Sichere Authentifikation. Jetzt verschicken wir die Mail und sehen im Wireshark erschreckendes: Sowohl unser Login, als auch unser Passwort sind problemlos lesbar!

 

Doch damit nicht genug, auch der Inhalt der Mail wird im Klartext angezeigt. Um den zu finden, muss man eines der Pakete mit dem Namen „Continuation“ anklicken und ein Stück nach unten Scrollen. Dort findet man die komplette Mail: Absender, Kodierung, Betreff und Inhalt. Daran müssen wir natürlich unverzüglich etwas ändern.

 

Passwörter sind geheim (CRAM-MD5)

Wir wählen jetzt im Mailprogramm die Authentifizierungsart CRAM-MD5 beziehungsweise setzen ein Häkchen bei sichere Authentifizierung. Ist das erledigt, senden wir wieder eine Mail und rufen sie auch gleich wieder ab. Tataa: Kein Loginname oder Passwort mehr erkennbar. Das ist schon mal viel Wert. Vor allem, weil eine ganze Menge Leute nur ein Passwort für viele Anwendungen und Accounts nutzen. Mehr zum eingesetzten Verfahren gibt es auf Wikipedia

 

 

Auch wenn unsere Anmeldedaten jetzt nicht mehr lesbar sind, ist die Mail selbst nach wie vor vollständig einsehbar. Doch natürlich lässt sich auch das unterbinden. Wäre ja auch noch schöner, wenn jeder so einfach mitlesen könnte!

 

Super Sicheres Lesen (SSL)

Um uns noch besser vor hungrigen Kabelhaien zu schützen, aktivieren wir jetzt noch SSL (Secure Sockets Layer) oder TSL (Transport Layer Security), je nach dem, was Mailprogramm und Mailprovider anbieten. Schauen wir uns nun den Wireshark-Mitschnitt an, sehen wir, dass wir nichts sehen – zumindest nichts aussagekräftiges. Dies ist haben wir erreicht, weil bei SSL eine verschlüsselte Verbindung zwischen Mailserver und Client hergestellt wird.

 

Einschub I: Der Mann in der Mitte

Doch auch diese Verschlüsselung kann durch einen so genannten Man-in-the-Middle-Angriff geknackt werden. Diese Attacke basiert darauf, dass sich ein Angreifer zwischen Server und Clienten setzt. Wenn nun die SSL-Verbindung aufgebaut werden soll, müssen zuerst einmal Zertifikate und Schlüssel ausgetauscht werden. Der Angreifer kann nun gegenüber dem Clienten so tun, als sei er der Server und dem Server vorspielen, er sei der Client. Somit ist er im Besitz aller notwendigen Daten und kann unbemerkt die ganze Kommunikation über sich selbst laufen lassen. Doch: Auch davor kann man sich schützen.

Einschub II: Verschlüsselung mit GnuPG

Um auch in solch einem Fall noch vertraulich kommunizieren zu können, muss man den Inhalt der Mail selbst verschlüsseln. Die kann man zum Beispiel mit GnuPG tun. Mit diesem Tool verschlüsselt man den Inhalt der E-Mail vor dem Abschicken. Also selbst wenn der Mann in der Mitte die komplette Kommunikation mitschneidet, erhält er nur unverständlichen Zeichensalat. GnuPG lässt sich problemlos in die bekanntesten Mailprogramme einbinden und erzeugt beim verschicken einer Mail keinen nennenswerten Mehraufwand, dafür aber ein riesengroßes Plus an Sicherheit.

Auch direkt ist es nicht sicherer

Es soll ja auch noch Leute geben, die ihre Mails direkt auf der Webseite des Anbieters anschauen. Das kann man machen, sollte aber unbedingt darauf achten, die Adresse nicht mit dem normalen http-Protokoll zu betreten! Denn was dann passiert, sieht man auf dem nebenstehenden Screenshot: Loginname und Passwort sind wieder im Klartext lesbar.

 

 

 

Meldet man sich hingegen mit dem https-Prokoll an, wird wie oben beschrieben SSL verwendet. Dazu schreibt hängt man an http einfach noch ein ’s‘ an und bekommt dann von jedem aktuellen Browser auch eine optische Rückmeldung (eventuell mus man noch ein Zertifikat akzeptieren). Dies gilt auch für andere Seiten, bei denen man sich in irgendeiner Form einloggen muss. Allerdings habe ich zum Beispiel bei last.fm zwar den Nutzernamen finden können, nicht aber das Passwort. [html]<span style=“text-decoration: line-through“>Ob das bedeutet, dass auch ohne https geschützte Übertragungen möglich sind, kann ich nicht sagen.</span>[/html] Das liegt daran, dass das Passwort per SSL übertragen wird – allerdings nur das Passwort, alles andere ist unverschlüsselt.

Die Moral

Um es noch einmal deutlich auszudrücken: Was wir hier selbst an unseren eigenen Mails gemacht haben, kann auch jeder andere mit unseren Mails machen! Er muss sich dazu nur irgendwo zwischen uns und dem Server einnisten.

Wer also noch nie das Optionsmenü seines Mailprogramms bemüht hat, sollte das jetzt schleunigst nachholen. In den Einstellungen für den Mailserver sollte Sichere Authentifizierung / Cram-MD5 sowie SSL/TSL aktiviert sein. Die genauen Bezeichnungen und Einstellungen variieren je nach Programm, was sich aber mit Hilfe einer Suchmaschine schnell aufklären lassen sollte. Außerdem sollte jeder seine Mails verschlüsseln – denn auf Postkarten schreibt man ja sonst auch nur übers Wetter!

Wer noch mehr über Wireshark wissen will, kann den Links unter dem Wikipedia-Artikel folgen, mehr zu GnuPG gibt es auf dessen Webpräsenz.

Dieser Beitrag wurde unter Netzkultur, Software, Technik veröffentlicht. Setze ein Lesezeichen auf den Permalink.

3 Antworten auf Von Kabelhaien, Mittelsmännern und abgehörten Mails

  1. Koloradokäfer sagt:

    Eine geschützte Verbindung ohne SSL ist sicherlich nicht möglich. Für eine Passworteingabe würde mir aber spontan eine mehr oder weniger sichere Lösung einfallen:
    Für das eingegebene Passwort wird mittels JavaScript direkt auf dem Client-Rechner eine Prüfsumme (z.B. SHA-256) gebildet. Diese wird dann an den Server geschickt und dort abgeglichen.

  2. Koloradokäfer sagt:

    Interessant in diesem Zusammenhang: http://www.wehavemorefun.de/fritzbox/Versteckte_Features

    … dann erstreckt es sich schonmal nicht mehr nur auf die eigenen Mails. Aber ich will ja hier nicht zu kriminellen Handlungen anregen.

    Interessant fand ich zum Beispiel, dass in der Liste auch alle Seiten auftauchten, die ich als Feeds abonniert habe, obwohl diese während des Mittschnitts eigentlich garnicht aktualisiert wurden. … Über die Sicherheit meines Webspaces möchte ich hier mal gar nichts sagen. Aber das war mir schon bewusst. 😛

    Bei lastfm funktioniert das Login übrigans über https und bei studivz (was mich jetzt WG-technisch interessiert hätte 😉 ) werden die Daten auch zu https://secure.studiz.net/Login gesendet.

  3. onkelerika sagt:

    Ja, ich hatte die verschlüsselten Protkokolle übersehen. Das Passwort wird per SSL übertragen, ich habe das oben auch geändert.

    Den Fritzboxmitschnitt habe ich hier mit Absicht nicht erwähnt, um keine Begehrlichkeiten zu wecken 😛

    Die Feeds im Mitschnitt war mir auch schon aufgefallen. Es waren aber nicht alle Feeds, sondern nur ein paar. Nach einem Test mit dem RSS-Reader bin ich dann zum Schluss gekommen, dass die Feeds doch nur auftauchen, wenn sie abgerufen werden. Also doch nicht so mysteriös.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.