[linux-l] tor sicherheitsfrage

Benjamin Schieder blindcoder at scavenger.homeip.net
Do Jan 11 13:21:56 CET 2007 

On 11.01.2007 13:09:03, Ivan F. Villanueva B. wrote:
> Hallo,
> ich habe eine Sicherheitsfrage. Angenommen, jemand betreibt einen Torserver, der
> der Ausgangspunkt von einer Verbindung zu einem Onlinebanking-Überweisung ist.
> Ist es nicht möglich, dass der Server einen Man-In-The-Middle-Angriff macht, so
> dass nach eine Überweisung die Bank gar keine Überweisung macht, aber der
> Serverbetreiber alle Daten bekommt, die man braucht, um eine Überweisung mit
> diesem Konto zu erledigen?
> 
> Um das zu vermeiden, es bleibt nur übrig, die Zertifikate der Bank zu
> überprüfen. Oder? Wie macht man es? Oder macht es Firefox schon automatisch?

Ich habe mir just heute darueber Gedanken gemacht.
Dazu waeren folgende Dinge noetig:

Vorraussetzung:
	Ich betreibe einen Tor Server.
	Du nutzt meinen Tor Server zum Online-Banking.
	Du nutzt Tor zur DNS Aufloesung.
	Ich schicke gefaelschte DNS Antworten an dich.
	Ich betreibe einen Webserver mit einem MITM PHP Skript o.Ae.
	Ich erstelle fuer deine Bank einen Eintrag in meinem Apache.
	Ich erstelle ein SSL Zertifikat fuer deine Bank.

Damit waere es moeglich. Drei Schwachstellen sehe ich hier:
	1) Du verwendest Tor um den DNS Namen deiner Bank aufzuloesen.
	   Schlechte Idee, sollte man in die /etc/hosts eintragen.
	2) Ich habe zufaellig ein SSL Zertifikat fuer den DNS Namen deiner
	   Bank. Merke: Pro IP Adresse und Service (HTTP in dem Fall) kann
	   nur ein Zertifikat verwendet werden.
	3) Du weisst den SSL Fingerprint deiner Bank nicht und klickst die
	   Browsermeldung ueber ein geaendertes Zertifikat einfach weg.


Punkt 3) ist wohl der, den du ansprichst. Ja, FF meldet geaenderte
Zertifikate. Hoffe ich. Mozilla hat es gemacht.


Gruesse,
	Benjamin
-- 
  ____  _        _    ____  _   _ _ _____ __  __ 
 / ___|| |      / \  / ___|| | | ( ) ____|  \/  |
 \___ \| |     / _ \ \___ \| |_| |/|  _| | |\/| |
  ___) | |___ / ___ \ ___) |  _  | | |___| |  | |
 |____/|_____/_/   \_\____/|_| |_| |_____|_|  |_|
 play online: telnet://slashem.crash-override.net
 view scores: http://slashem.crash-override.net
 watch deaths: irc://irc.freenode.net#slashem
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20070111/17279c87/attachment.sig>

Mehr Informationen über die Mailingliste linux-l