Mail-Verschlüsselung für Outlook und iPhone via S/MIME

Bis vor kurzem war das Verschlüsseln von Mails eher eine Sache für Nerds und große Firmen. Ich zumindest konnte wenige meiner nicht-IT-Freunde davon überzeugen Nachrichten verschlüsselt zu übertragen. Dank PRISM wird das langsam besser. Immer mehr meiner Bekannten fragen mich wie man seine Mails schützen kann. Zum Glück ist die Technik dafür sehr ausgereift und zwischenzeitlich auf vielen Endgeräten verfügbar. Wenn man sich ran hält ist das ganze auch in ca. 5 Minuten erledigt.

Schritt 1 – Wir brauchen ein Zertifikat

Viele Wege führen hier zum gewünschten Ziel. Für eine reine private Nutzung würde ich jedoch den einfachsten Weg wählen und ein Klasse 1 Zertifikat (die meist kostenlos sind) beantragen. Höhere Klassen bedingen eine Identitätsprüfung und kosten damit mehr Zeit und natürlich auch Geld (Klasse 2 Zertifikate kosten ca. 60 – 100 € und sind i. d. R. 2 Jahre gültig). Ich habe mich für mein HowTo für StartSSL und deren kostenloses Klasse 1 Zertifikat entschieden.

snaghtml3d678ce6_thumb-3932671image_thumb1-6444567

Nachdem man das Einstiegsformular ausgefüllt hat bekommt man das entsprechende Zertifikat für die hinterlegte Mail ausgestellt. Dieses Zertifikat wird auch gleichzeitig dafür verwendet um sich an der Seite anzumelden.

Technisch wird der private Schlüssel im Browser generiert und liegt somit dem Anbieter nicht vor. Die NSA sollte somit nicht auf direktem Weg einen Zweitschlüssel bekommen…

Hat man das Zertifikat nicht mit dem Internet Explorer generiert, so wird dieses auch nicht automatisch in den Zertifikatsspeicher des Betriebssystems geladen. Um dies z. B. im Firefox nachzuholen, öffnet man dort das Optionsmenü – wählt dort Erweitert aus und wechselt auf den Reiter Verschlüsselung. Über Zertifikate anzeigen, kann man sich diese ausgeben lassen und dann recht komfortabel exportieren:

snaghtml3d6ea0e3_thumb-2300049snaghtml3d6faf92_thumb-5471020

Die exportierten Zertifikate kann man direkt auf einen USB Stick kopieren und als Backup an einem sicheren Ort hinterlegen. Gleichzeitig klickt man die Erstellte Backup Datei (Endung ist *.p12) doppelt an und befördert das Zertifikat auch in den Windows Schlüssel Manager.

Schritt 2 –  Zertifikat Verwenden

Schritt 2.1 – Outlook 2013

Nachdem das Zertifikat in Windows eingebunden wurde, ist es mit wenigen Klicks auch für die Verwendung in Outlook bereit. Hierzu wählt man Datei – Optionen – und wechselt dann in das Trust Center (ist das ist Deutsch Vertrauens Center?). Von dort aus geht es über die Einstellungen links unten direkt an den Ort an den wir wollen – die E-mail Sicherheit. Ein weiteres Mal wählt man Einstellungen und wählt  hier aus der drop down Liste sein Zertifikat aus. Das wars schon. Ab jetzt kann man mit jedem Zertifikatsinhaber dessen öffentlichen Schlüssel man besitzt verschlüsselt Mails austauschen.

snaghtml3d4ed1d1_thumb-5390915snaghtml3d4f3322_thumb-8434016snaghtml3d506643_thumb-8053417snaghtml3d51e0af_thumb-6743999

 

Schritt 2.2 – iPhone

Produkte von Apple und Google können bereits ab Werk ebenfalls mit S/MIME arbeiten. Hierzu muss man den exportierten Schlüssel jedoch auf das Endgerät bekommen. Der unsicherste Weg wäre, es sich einfach zu mailen… (geht aber technisch auch). Der für das iPhone richtige Weg geht über ein von Apple bereitgestelltes Tool – das iPhone-Konfigurationsprogramm.

Nachdem Ihr iPhone in der Liste erscheint wählen Sie dieses aus und gehen zu dem Reiter “Konfigurationsprofil”. Wählen Sie danach Datei – Neues Konfigurationsprofil und geben Sie in dem sich öffnenden Fenster einen frei wählbaren Namen und Identifier für das Profil ein. Danach wechseln Sie auf die Option Zertifikate und fügen dieses hinzu. (Es werden alle Zertifikate im Zertifikatsspeicher von Windows angezeigt – das kann ggf. etwas unübersichtlich sein). Nun wechseln Sie in der linken Navigationsleiste zurück zu Ihrem iPhone, wählen dort den Reiter Konfigurationsprofile und klicken hinter dem soeben erstellten Profil auf installieren.

P. S. Das Tool ist an sich dafür gedacht Konfigurationsprofile zu erstellen die man auf viele Geräte verteilen kann. Es kann also z. B. auch dafür verwendet werden um neuen Geräten auf einen Schlag alle notwendigen WLan’s der Familie bekannt zu machen etc.

snaghtml3d7f57e2_thumb-9756369snaghtml3d8558eb_thumb-6029010snaghtml3d85c718_thumb-7036294snaghtml3d9163e4_thumb-6172968

Auf dem Endgerät selbst aktiviert man S/MIME wie folgt: Einstellungen – “Mail, Kontakte, Kalender” und dort wählt man seine Mailbox aus und danach direkt wieder. Auf der darauf folgenden Seite ganz unten kann man S/MIME aktivieren und danach das dafür zu verwendende Zertifikat auswählen (wenn man mehr als eines hat).

snaghtml3da4767a_thumb-9837563snaghtml3da6168f_thumb-4633735image_thumb2-7056809snaghtml3da85e39_thumb-2762883

McAfee Total Protection Anti-Spam Funktion

Da Microsoft Security Essentials in letzter Zeit mit seiner Erkennungsrate immer mehr zu wünschen übrig gelassen hat, bin ich vor einigen Tagen auf McAfee Total Protection umgestiegen. Schon kurz nach der Installation wollte McAfee mehr Aufmerksamkeit von mir und hat ständig behauptet, dass mein Computer einer Bedrohung ausgesetzt ist “Your computer is at risk”. Die Meldung wollte auch nach mehreren Updates und reboots einfach nicht weg gehen. In einer Remote-Session hat der McAfee Support dann einfach die aktuelle Version deinstalliert und erneut installiert… suuuper fix…

snaghtml3708c15c_thumb-2229520

Heute habe ich nun festgestellt, dass sich der SPAM-Filter der Software auch aktiviert hat und dass dieser auch schon angefangen hat HAM zu produzieren. Beim Versuch diesen zu konfiguieren ist mir nachfolgende Einstellung aufgefallen:

image_thumb-5424444

Per default schickt dieser Filter doch tatsächlich alle SPAM-Mails vollständig zu McAfee!!! Die Option dafür ist in den Untiefen der Einstellungen verborgen und bei der Installation gibts dazu auch keine Option (die mir aufgefallen wäre). Versucht heute eigentlich jeder seine Nutzer auszuspionieren?

Woran man erkennt, dass eine Seite nicht mehr wichtig ist…

Hi,

nachdem ich seit Jahren meinen StudiVZ/MeinVZ TestAccount nicht mehr verwendet habe, wollte ich diesen heute löschen und habe mich daher angemeldet. Bei der Anmeldung teilt mir mein Browser doch tatsächlich mit, dass das Zertifikat der Webseite abgelaufen ist:

image_thumb-9535927

Ich scheine somit nicht der einzige zu sein, der die Seite nicht mehr verwendet ;-). R.I.P. MeinVZ.

Zahlung der Rundfunkbeiträge – an alle privaten Haushalte

Unglaublich, aber jetzt wird SPAM sogar schon via Post verteilt. Ich und meine ganzen Nachbarn hatten heute einen Brief des “Beitragsservice von ARD, ZDF und Deutschlandradio” im Briefkasten mit dem Hinweis, dass ich eine neue Beitragsnummer zugewiesen bekommen habe und nun die Zahlung für den Zeitraum von “April 2013 bis Juni 2013 von 53,94 EUR” via beigefügtem Überweisungsträger durchführen soll.

Paranoide Mitbürgern und insbesondere solchen die bereits bei den Anfängen von E-Mail SPAM dabei waren, werden wohl feststellen, dass es wohl kaum sein kann, dass der Brief zum einen an den Empfänger “An alle privaten Haushalte im Beitragsgebiet” gehen kann und gleichzeitig eine neue individuelle Beitragsnummer zugeteilt wird. Von diesem Fehler und den wenigen kleinen Rechtsschreibfehlern abgesehen ist der Brief aber wirklich gut gemacht und der Überweisungsträger ist sogar zum einfachen entnehmen vorperforiert!

image_thumb6-4427661

BlackHat Europe 2013 Hacking (Polycom) Video Conferencing Systems

Moritz Jodeit, ein Security Consultant der n.runs AG, hat sich mit der Sicherheit von Video Konferenz Systemen beschäftigt und seine Ergebnisse auf der BlackHat vorgestellt. Die bereits bekannten bzw. weit verbreiteten Konfigurationsfehler zur automatischen Anrufannahme solcher Systeme waren dabei nicht Gegenstand seiner Arbeit wenngleich jedem der ein solches System betreibt zu empfehlen ist, diese Funktion zu deaktivieren oder mindestens einzuschränken.

Aufgrund der Kosten solcher Systeme (~20 T€) wurden die Tests derzeit nur mit einem Polycom HDX 7000 HD durchgeführt. Weitere Untersuchungen anderer großer Hersteller wie z. B. Cisco werden ggf. noch folgen. Das erste Ziel der Arbeit war es auf dem System Root-Rechte zu erlangen um gezielt nach weiteren möglichen Schwachstellen suchen zu können:

Wie die meisten Produkte kann auch dieses System über ein Webinterface mit Firmware Updates versorgt werden. Die Analyse dieses Files zeigte dabei, dass das ZIP Archiv eine PUP Datei enthält. Bei der Installation der Firmware wird dabei, wie sich das gehört, die Datei verifiziert. Leider hat man sich jedoch für einen HMAC entschieden, was bedeutet, dass auf dem Gerät selbst auch irgendwo ein privater Key zu finden sein müsste. In diesem speziellen Fall war dies sogar noch einfacher, da der Key direkt in der Update Datei (puputils.ppc) zu finden war. Der Key selbst lässt auf ein gesundes Selbstvertrauen der Entwickler schließen: „weAREtheCAMPIONS“. Die Entwickler wollten es sich und damit auch Angreifern jedoch noch einfacher machen. Das Tool pubutils.ppc wird zur Verifizierung von Update Paketen verwendet. Gibt man diesem Tool nun ein Packet mit einer falschen Prüfziffer vor, so ist es so freundlich und gibt nicht nur eine Fehlermeldung aus sondern es gibt auch gleich den Wert mit aus, den es erwarten würde. Clever! J

image_thumb5-8251172

Damit konnte man jedoch noch kein eigenes Update Paket auf das System laden. Es gibt noch eine zweite Prüfroutine welche mittels einer Public Key DSA Signatur die Integrität des gesamten Files prüft. Dieser Mechanismus erschien auf den ersten Blick recht starkt – daher erfolgte keine weitere Untersuchung dieses Vektors. Dies war jedoch auch nicht weiter notwendig. Die bereits erhaltenen Einblicke in das System zeigten, dass es einen Entwickler Modus gibt welcher auch in der produktiven Version der Firmware noch vorhanden ist. Aktiviert wird dieser Modus recht einfach durch die Übergabe von Variablen wärend des Bootens. Dies wiederum erreicht man über die Flash Variablen „othbootargs“ (z. B. mit command injection über den Dateinamen der Firmware). Nach dem aktivieren des Entwicklermodus wird u. a. ein telnet server auf port 23 gestartet welcher den root Zugang ohne Passwort erlaubt. BINGO. Eine kurze Analyse der Umgebung zeigte auch, dass z. B. der Webserver der für des Webinterface verwendet wird unter root läuft und neben der bereits erwähnten command injection noch unzählige weitere Schwachstellen enthält ;-).

Root-Rechte auf dem System zu erlangen war somit offensichtlich recht einfach. Allerdings wollte Moritz Jodeit einen Zugang zu dem System finden, der einfacher aus der Entfernung ausgenutzt werden kann und zudem nicht so einfach zu patchen ist. Sein nächstes Ziel war somit das core-business der Geräte – die Übertragung von Sprach / Video Daten (H.323 und SIP). Auch der hierfür verwendete Service läuft unter root und bietet somit einen perfekten Ansatzpunkt für weitere Untersuchungen. Schon der erste Blick war dabei sehr vielversprechend:

  • Mehr als 800 xrefs zu strcpy()
  • Mehr als 1400 xrefs zu sprintf()
  • Keinerlei Schutz gegen Exploits im Code
  • Einfaches reverse engineering da die Symbols vorhanden sind

Für eine der gefundenen Schwachstellen (Format String Bug) beim Anrufaufbau mit Hilfe von H.323 hat Moritz Jodeit auch einen Exploit entwickelt welcher nach seinen Ausführungen wie folgt funktioniert:

  • Turn bug into write4 primitive (single SETUP pkt)
  • Use write4 primitive to store shellcode
  • Trigger again to overwrite function pointer

Für seinen Proof of Concept Exploit hat er eine payload geschrieben welche die volle Kontrolle über die Kamera, das Mikrofone, die Lautsprecher und das Display übernimmt. Im vorgeführten Beispiel wurde von den Lautsprechern Musik abgespielt und die Kamera bewegte sich passend dazu wie ein Scheinwerfer hin und her…

Wie Moritz betonte ist der Hersteller Polycom ein sehr gutes Beispiel für ein Unternehmen, welches offen mit entsprechenden Schwachstellen umgeht und konstruktiv daran arbeitet diese zu beseitigen. Es gab wohl sehr regen Kontakt und ein sehr weitgehenden Informationsaustausch zu dem Thema. Dies resultierte auch in einem Firmware Update welches am Tag vor der BlackHat veröffentlicht wurde. Allein Besitzern entsprechender Geräte sei als angeraten dieses Update zeitnah zu installieren und auch in Zukunft ein Auge auf die Geräte zu werfen. Die aufgezeigten doch sehr grundliegenden Schwächen lassen vermuten, dass noch sehr viel Arbeit auf Polycom zukommt um das System sicher zu machen.