Sicherheit von TLS

Eine Sicherheitsbetrachtung des TLS-Verfahrens schließt die Betrachtung von TLS ab. Eine wich-tige Beobachtung ist, dass TLS selbst als sicher zu betrachten ist. Allerdings wird in der Praxis oft der Mensch zu einer Fehlhandlung ’motiviert’ (Social Engineering) oder eine Implementierung stellt sich als fehlerhaft heraus.

Ein erster wichtiger Punkt zur Sicherheit von TLS ist die Art der Authentifikation. Zun¨achst bestimmt allein der Server die CipherSuite und damit das Authentifikationsverfahren. Der Client muss also seine Vorschlagsliste auf CipherSuites beschr¨anken, die er f¨ur sicher h¨alt. Weiterhin ist die Pr¨ufung der Zertifikatskette des Public Key des Servers sicherheitskritisch; diese ¨ubermittelt der Server mit seinerCertificate-Nachricht. Die Zertifikatskette muss aus vertrauensw¨urdigen Zer-tifikaten bestehen, insbesondere mit einem solchen enden. Andernfalls sind Phishing-Angriffe auch

¨uber eine HTTPS-Verbindung m¨oglich.

Die ¨ubertragenen Daten werden nicht signiert, TLS erzielt also keine Verbindlichkeit von Ak-tionen. Das ist meist nicht weiter wichtig. Relevanter ist, dass TLS keine Maßnahmen zur Abwehr von Verkehrsflussanalysen bereitstellt, da nur die Nutzdaten in den TCP/IP-Paketen verschl¨usselt werden. Das Sicherheitsziel Pseudonymit¨at oder gar Anonymit¨at ist außerhalb des Fokus von TLS.

Die Sicherheit des Protokolls h¨angt auch von den verwendeten kryptografischen Verfahren ab, die die Kommunikationspartner im Handshake miteinander abstimmen. Falls ein Angreifer daf¨ur sorgen kann, dass die Kommunikationspartner schwache Verschl¨usselungsverfahren oder schwa-che Schl¨ussel aushandeln, k¨onnte er anschließend versuchen, den verwendeten Kommunikations-schl¨ussel zu brechen.

Eine wichtige Eigenschaft in diesem Kontext ist Forward Secrecy. Das bedeutet, dass ein in der Vergangenheit ausgetauschtes PMS weiterhin sicher bleibt, selbst wenn ein Private Key (ty-pischerweise der des TLS-Servers) heute kompromittiert wird und die alte TLS-Kommunikation gespeichert wurde. Die CipherSuiteTLS_RSA_WITH_...gew¨ahrleistet kein Forward Secrecy, weil das PMS mit dem kompromittierten RSA-Private Key berechnet werden kann. Daher verwenden heutige TLS-Verbindungen CipherSuites der FormTLS_DHE_RSA_WITH_..., da die Diffie-Hellman-Schl¨ussel genau einmal verwendet werden. Eine Kompromittierung der DH-Schl¨ussel betrifft also

nur die aktuelle Verbindung.

Des ¨Ofteren lesen Sie ¨uber Angriffe, die SSL/TLS ’gebrochen’ haben sollen. Meist wird nicht das TLS-Konzept selber kompromittiert, sondern der Angreifer hat spezielle Voraussetzungen auf dem Zielrechner oder der Angriff betrifft eine bestimmte Implementierung. Beispiele sindBEAST (hier muss der Angreifer Zugriff auf ein Java Applet haben),CRIME (hier muss Komprimierung eingesetzt werden),Heartbleed (siehe unten) oder derPoodle-Angriff.

Letzteren Angriff wird genauer beschrieben. Poodle zielt auf die R¨uckw¨artskompatibilit¨at von TLS ab. Bei diesem Angriff wird veranlasst, dass sich Server und Client auf das nun veraltete SSLv3 Protokoll anstelle von TLS einigen. Dazu muss der Angreifer allerdings als Man-In-The-Middle fungieren. Sofern einer der beiden Kommunikationspartner SSLv3 ablehnt, ist der Angriff nicht m¨oglich. Eine weitere H¨urde f¨ur den Angreifer besteht darin, dass er diesen Code auf dem Ger¨at des Opfers ausf¨uhren k¨onnen muss. Das wird beispielsweise durch das Einbauen des Codes in eine unverschl¨usselte Web-Seite erreicht, die der Anwender gerade ¨offnet. Durch eine wohlbekannte Padding-Attacke auf den CBC-Mode kann der Angreifer einzelne Bytes der SSLv3-Verbindung erfahren. Der Angreifer kann somit nicht die ganze SSLv3-Verbindung dechiffrieren, sondern Byte-weise ausgew¨ahlte Teile davon [? ].

DerHeartbleed-Angriff nutzt eine Schwachstelle in der Heartbeat-Erweiterung der verbreiteten TLS-Implementierung openssl aus. ¨Uber eine Heartbeat-Anfrage kann der Client den Server fragen, ob dieser noch verf¨ugbar ist. Dazu wird eine Nachricht gesendet, die der Server wiederholen soll (echo-Nachricht). Die Schwachstelle besteht darin, dass der Client mehr Zeichen vom Server zur¨uckfordert als er sendet. In diesem Fall liest der Server zum Auff¨ullen seiner echo-Antwort benachbarte Inhalte seines Hauptspeichers aus und sendet diese an den Client. In dem betroffenen RAM-Bereich des Servers k¨onnen aber sensible Daten (z.B. private Schl¨ussel) gespeichert werden, weil die Speicherseiten zumopenssl-Prozess geh¨oren.

Kontrollaufgabe 28 (TLS). 1. Erl¨autern Sie, was unter ’Forward Secrecy’ zu verstehen ist.

2. Welche TLS Handshaking Protokolle gibt es?

3. Wozu dient die Finished-Nachricht?

4. Welche Aufgabe hat das TLS Change Cipher Spec Protocol?

5. Erl¨autern Sie f¨ur die folgenden CipherSuites jeweils, welche kryptographischen Verfahren zum Austausch des PMS, zur Instanzauthentifikation sowie zur Datenvertraulichkeit bzw.

-integrit¨at genutzt werden. Bewerten Sie auch kurz die Verfahren.

(a) TLS_RSA_WITH_3DES_EDE_CBC_SHAaus Beispiel 23.

(b) TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

(c) Wie funktioniert die Verhandlung bzgl. einer Ciphersuite zwischen den beiden Kommu-nikationspartnern? Worin sehen Sie bei dieser Verhandlung Probleme?

Kapitel 6

IT-Forensik

6.1 Einf¨ uhrung

In den letzten Jahren hat die Verbreitung und der Gebrauch von elektronischen Ger¨aten drastisch zugenommen. Traditionelle Informationstr¨ager wie B¨ucher, Fotos, Briefe und Schallplatten wurden durch E-Books, digitale Fotografie, E-Mails und MP3s ersetzt. Dieser Wandel geht einher mit der wachsenden Speicherkapazit¨at von heutigen Datentr¨agern, die von ein paar Megabyte auf mehrere Terabyte anwuchsen. Somit k¨onnen Anwender ihre kompletten Informationen auf einer einfachen Festplatte speichern anstelle einer analogen Ablage in Hunderten Kartons auf dem Dachboden.

Auch wenn der physikalisch eingenommene Platz sich um ein Vielfaches verringert, so bleibt die In-formationsmenge zumindest dieselbe. Oftmals ¨ubersteigt sie diese aber signifikant. Zur Sicherung, Selektion, Analyse und Auswertung dieser enormen Datenmenge bedarf es geschulten Personals – einesIT-Forensikers.

Bei der IT-Forensik geht es darum, strafbare bzw. anderweitig rechtswidrige oder sozialsch¨ adli-che Handlungen nachzuweisen und aufzukl¨aren, indem digitale Spuren gerichtsverwertbar gesichert und ausgewertet werden¹. Die Ziele einer solchen Ermittlung sind nach einem Systemeinbruch oder einem anderen Sicherheitsvorfall in der Regel

• die Identifikation der Methode oder der Schwachstelle, die zum Systemeinbruch gef¨uhrt ha-ben k¨onnte,

• die Ermittlung des entstandenen Schadens,

• die Identifizierung der T¨ater/Angreifer und

• die Sicherung der Spuren f¨ur weitere juristische Aktionen.

Die wachsende Bedeutung der IT-Forensik spiegelt sich auch in einem immer breiteren An-gebot an Arbeitgebern wider. Typische Arbeitspl¨atze eines IT-Forensikers sind neben Strafver-folgungsbeh¨orden wie dem Bundeskriminalamt (BKA), den Landeskriminal¨amtern (LKA) und Polizeipr¨asidien auch immer mehr spezialisierte IT-Forensikunternehmen. Weiterhin unterhalten die großen Wirtschaftspr¨ufungsgesellschaften wie Ernst&Young, Deloitte, PricewaterhouseCoopers oder KPMG eigene IT-Forensik-Abteilungen, die typischerweise bei Wirtschaftskriminalit¨at zum Einsatz kommen. Insbesondere Alexander Geschonneck von KPMG gilt als einer der Pioniere der IT-Forensik im deutschsprachigen Raum. Schließlich arbeiten IT-Forensiker auch als unabh¨angige Sachverst¨andige.

Mit seinem Standardwerk Computer Forensik hat Geschonneck das Standardwerk in deut-scher Sprache zur IT-Forensik ver¨offentlicht. Weitere wichtige Literatur zu dem allgemeinen The-ma IT-Forensik stammt von Eoghan Casey. Das Standardwerk zur Analyse von Dateisystemen hat Brian Carriergeschrieben, der auch Autor des verbreiteten IT-Forensik Toolkits TSK (The

1https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m06/m06126.html

97

SleuthKit)² ist. Weiterf¨uhrende Literatur ist auch ¨uber Studienmaterialien des Weiterbildungs-projekts OpenC³S (Open Competence Center for Cyber Security)³verf¨ugbar, in dessen Rahmen die Hochschule Darmstadt unter Anderem Module zu dem Thema IT-Forensik entwickelt. Schließ-lich weisen wir noch hin auf das WahlpfSchließ-lichtmodul Einf¨uhrung in die digitale Forensik, das im Rahmen des Bachelorprogramms an der Hochschule Darmstadt belegt werden kann.

In diesem Kapitel starten wir zun¨achst in Abschnitt 6.2 mit den Grundlagen der IT-Forensik – wir erkl¨aren zentrale Begriffe der Forensik sowie der Teildisziplin IT-Forensik. Danach gehen wir in Abschnitt 6.3 auf grundlegende Prinzipien sowie Vorgehensmodelle der IT-Forensik ein.

In Abschnitt 6.4 stellen wir unterschiedliche Abstraktionsebenen analysef¨ahiger Datenstrukturen vor.