Tag - Sicherheitslücken

1
Digitaler Herbst in Deutschland: VPN wird Pflichtprogramm
2
Warum benötige ich ein VPN für mein iPhone, obwohl es bereits verschlüsselt ist?
3
DNS-Hijacking & IPv6-Leackage: Was bedeutet es – und ist CyberGhost betroffen?

Digitaler Herbst in Deutschland: VPN wird Pflichtprogramm

Alle (4) Jahre wieder: Kaum nähert sich der nächste Wahltermin, häufen sich die Versprechen zum Breitbandausbau für alle Bürger, der danach dann ebenso regelmäßig wieder ins Stocken gerät und das Land gerade einmal den 22. Platz im internationalen Geschwindigkeits-Ranking beschert, weit abgeschlagen hinter Litauen (9. Platz) und erst recht Süd-Korea (Platz 1). Richtig interessiert scheinen die Verantwortlichen hingegen, wenn es um die Kontrolle der digitalen Datenströme der deutschen Bürger geht. In diesem Bereich produziert man/frau ungewohnt zügig und konsequent immer weiter gehende Überwachungsbefugnisse, als sei Nord- statt Süd-Korea das bessere Vorbild.

Read More

Warum benötige ich ein VPN für mein iPhone, obwohl es bereits verschlüsselt ist?

[Aus dem Englischen, Original-Autor: Corina Dobre]

Mit Veröffentlichung von iOS 8 im Jahr 2014 informierte Apple seine Nutzer über die Möglichkeit der integrierten Geräteverschlüsselung, mit der Daten vor Hackern, Dieben und Regierungsbehörden geschützt werden können. Mit iOS 9 verschärfte Apple diese Sicherheitsvorkehrungen, indem es Entwicklern vorschreibt, alle Apps mit HTTPS zu verschlüsseln.

Read More

DNS-Hijacking & IPv6-Leackage: Was bedeutet es – und ist CyberGhost betroffen?

Hoppla, große Aufregung: Eine Studie von fünf Sicherheitsforschern der Queen Mary University of London (QMUL) in Zusammenarbeit mit der Universität Rom offenbart, dass viele Internet-Anonymisierungsprogramme Nutzerdaten entfleuchen lassen. Die Studie widmete sich vierzehn der populärsten VPN-Dienste, wobei zehn keinen Schutz vor IPv6-Lücken besaßen, satte 13 DNS-Hijacking schutzlos ausgeliefert sind und keiner gegen beide Bedrohungen gleichzeitig gefeit ist. Außer dein Lieblingsgeist aus der Nachbarschaft, CyberGhost VPN, aber der wurde leider nicht getestet.

Was ist DNS-Hijacking?

Domain Name Server (DNS) sind die Verkehrsleitstellen im Internet. Du tippst eine Adresse in deinen Browser -> der sie ins Internet sendet -> wo sie im DN-Server landet -> der sie zu einem Zahlencode umwandelt -> der wiederum zu einer existierenden Webseite gehört -> zu der du dann weitergeleitet wirst. Existiert der Zielserver nicht, wird eine Fehlermeldung ausgegeben.

So weit, so gut. Leider erlaubt diese Technik aber auch die böswillige oder nicht ganz so böswillige Umleitung solcher Anfragen. Nicht ganz böswillig ist es, wenn ein Provider bei toten Adressen keine Fehlermeldung ausgibt, sondern zum hauseigenen Suchdienst weiterleitet. Übel wird es aber, wenn eine durchaus lebende Adresse durch eine andere ausgetauscht wird, die zu einer gefälschten Zielseite führt. Dann meint man zwar, man befindet sich bspw. auf der Homepage seiner Bank oder Sparkasse, in Wirklichkeit vertraut man jedoch einer täuschend echten Nachbildung Daten an, die man lieber behalten hätte. Eine PIN beispielsweise.

Was ist IPv6-Leackage?

Das Internet-Protokoll Version 4 stößt im modernen Netz an seine Grenzen, weshalb man mit Version 6 Abhilfe schaffen will, in erster Linie, um der Limitierung an verfügbaren Internetadressen zu entkommen. Flächendeckend verfügbar ist IPv6 allerdings noch längst nicht und so haben nicht alle VPN-Anbieter das Protokoll in ihren Funktionsumfang integriert. Ergebnis: Stehen an einem Internetanschluss sowohl IPv6 als auch IPv4 zur Verfügung und unterstützt ein VPN IPv6 nicht, kann es sein, dass Daten parallel zum aufgebauten IPv4-Tunnel ungeschützt versendet werden.

Vor ein paar Jahren hatte dies noch kaum jemanden interessiert, im modernen Internet nimmt der IPv6-Verkehr allerdings zu und so rangiert das Ausspähpotenzial von der Webseite, die jemand besucht bis hin zu Kommentaren, die sie oder er auf Foren hinterlässt. Immerhin: Finanzielle Transaktionen oder andere sensitive Aktivitäten fallen nicht darunter, solange man HTTPS-Seiten nutzt. Dafür aber ist der komplette Browser-Verlauf beim Aufruf von IPv4-Webseiten einsehbar.

Die Studie

Laut der Studie fallen bis auf einen Anbieter alle untersuchten Dienste auf DNS-Hijacking herein und erlauben die Preisgabe von Nutzerdaten. “Trotz der kritischen Bedeutung des DNS-Auflösungsprozesses fanden wir, dass die meisten VPN-Dienste keine wichtigen Schritte zu dessen Schutz einleiteten “, so die Autoren in ihrer Ausführung (A Glance through the VPN Looking Glass: IPv6 Leakage and DNS Hijacking in Commercial VPN clients (PDF)).

Nicht ganz so  gruselig, aber immer noch dramatisch sah es im Hinblick auf IPv6-Leackage aus: „Begann unsere Arbeit zunächst als allgemeine Erkundung, entdeckten wir schnell, dass nahezu alle Dienste eine ernsthafte Sicherheitslücke, IPv6-Traffic-Leackage, aufweisen. In vielen Fällen konnten wir den kompletten IPv6-Datenverkehr eines Anwenders über die native Schnittstelle aufzeichnen.” Immerhin vier von 14 konnten in dieser Hinsicht überzeugen, indem sie ihre Anwender vor Datenverlust bewahrten.

leaks and hijacks

Das Team untersuchte das Verhalten der von den jeweiligen Betreibern angebotenen Software-Clients an einem Wi-Fi-Accesspoint. Sie erzeugten einen IPv6-durch-IPv4-Tunnel (Campus Dual Stack OpenWRT) und erprobten zwei DNS-Hijacking-Angriffe, die Zugang zu allem Traffic des Ausgespähten gewährten. Alle Experimente erfolgten unter aktuellen Ubuntu-, Windows-, OSX-, iOS 7- und Android-Versionen, also den gängigsten Einsatzbereichen für VPNs. Präsentiert wurde das Papier am 30. Juni 2015 beim Privacy Enhancing Technologies Symposium in Philadelphia.

Und CyberGhost VPN?

CyberGhost ist nicht betroffen und verhindert mit seinem Windows-Client zuverlässig sowohl IPv6-Leackage als auch DNS-Hijacking. Wenn du individuell testen möchtest, ob du ausreichend geschützt bist, gehe bitte folgendermaßen vor:

  1. Aktiviere CyberGhost
  2. Verbinde dich mit einem Server
  3. besuche die folgenden Testseiten:
    1. IPv6-Leaktest: http://ipv6leak.com/ (die Ergebnisse sind eindeutig, du bist entweder geschützt (grün) oder nicht (rot))
    2. DNS-Leaktest: https://www.dnsleaktest.com/ (Stammt einer der aufgelisteten Server nicht von CyberGhost, ist der Test fehlgeschlagen, im Bild sind beide CG-DNS bei einer geschützten Verbindung aufgelistet. Update: Ursprünglich illustrierte das Bild eine ungeschützte Verbindung, führte aber zu Irritationen, weshalb es ausgetauscht wurde.)

dnsleaktest

Sollte bei einem oder beiden Tests ein negatives Ergebnis erscheinen, öffne bitte die Einstellungen zum Client, klicke auf ‚Erweiterte Einstellungen anzeigen‘ und aktiviere das Register ‚Verbindung‘. Dort gehören zwei Häkchen jeweils in die Box zu ‚CyberGhost DNS-Server erzwingen‘ und ‚IPv6-Protokoll deaktivieren‘. Fehlt eines, aktiviere bitte die entsprechende Option. Danach wiederhole den Test.

CG_Settings

Copyright © 2014. Created by Meks. Powered by WordPress.