Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1019

[Generic] Datentausch über öffentliche Dienste
(2002-11-19 11:47:03.357397+00)


Es häufen sich Berichte über Fälle, in denen sensitive Daten über öffentliche Kanäle getauscht werden.

Hintergrund ist offenbar, daß der Austausch der Daten über E-Mail zu beschwerlich ist, und geschützte Bereiche auf Webservern o.ä. als zu umständlich empfunden werden.

Zwei unterschiedliche Phänomene sind zu beobachten:

Beim ersten Punkt installieren sich beide Kommunikationspartner Software für dasselbe P2P-Netzwerk. Der Dateiname wird dann z.B. per E-Mail übermittelt und der Empfänger sucht nach diesem Namen. Wenn er Glück hat, findet er die Datei und kann sie sich vom System des Absenders übertragen lassen. Irgendeine Form von Zugriffsschutz existiert natürlich nicht. Die Suche mit entsprechenden Begriffen in P2P-Netzen führt einiges Interessantes zu Tage, wobei ein Teil sicherlich auch versehentlich mit dem P2P-Klienten freigegeben wurde. Manche Leute stellen aber auch mit voller Absicht sensitive Dokumente in öffentliche P2P-Netze.

Im zweiten Fall wird z.B. ein komplett offener FTP-Server zur Verfügung gestellt, der den Dateitransfer unterstützen soll. Nicht nur kann jedermann die angebotenen Dateien von diesem Server beziehen -- da ein Rückkanal zur Verfügung gestellt werden soll, hat auch jedermann Schreibzugriff. Es ist daher nur eine Frage der Zeit, bis ein solcher Server zum Umschlagplatz für rechtlich bedenkliches Material wird. Selbst wenn ein solcher Server in der Erwartung eingerichtet wird, daß keine kritischen Daten ausgetauscht werden, wird in der Praxis dieser Grundsatz immer wieder verletzt werden, da ein solcher Server gegenüber den anderen Kanälen deutlich leichter zu verwenden ist.

Selbst wenn Dateien in ZIP-Archive verpackt werden und mit einem Paßwort versehen werden, stellt das selten einen adäquaten Schutz dar: Einerseits werden häufig Trivialpaßwörter verwendet, andererseits sind sehr effektive Known-Plaintext-Angriffe gegen den ZIP-Verschlüsselungsalgorithmus bekannt. Zumindest die Problematik der schwachen Paßwörter greift auch dann, wenn eine in der Bürosoftware integrierte Verschlüsselung verwendet wird.

Gegenwärtig mangelt es an einer wirklich massentauglichen Lösung für das Dateitauschproblem. Wenn P2P-Netze und anonymes FTP im wesentlichen ausscheiden, belieben noch folgende Ansätze:

Alles in allem ist die Lage relativ düster, weswegen ja auch mit solcher Verzweiflung zu derart unsicheren Übertragungskanälen gegriffen wird. In der heutigen EDV-Landschaft kommt eigentlich nur ein zentraler Ansatz in Frage (da sonst eine der beiden beteiligten Workstations als Server fungieren müßte). Der Ansatz, das ganze über einen FTP-Server zu machen (oder einen WWW-Server mit WebDAV, was Firewall-freundlicher wäre), erscheint prinzipiell richtig, auch wegen der weiten Verfügbarkeit von Clients. Was allerdings im Augenblick fehlt, ist ein Methode, mit der der Zugriff auf eine Datei nicht automatisch gleich alle anderen Dateien sichtbar macht. Außerdem ist ein Rückkanal erforderlich, der aber nicht von jedermann zur Veröffentlichung von Dateien genutzt werden kann.

Zur Diskussion möglicher Lösungsansätze bietet das RUS-CERT eine Mailingliste an. Gegenwärtig gehen die Überlegungen in die folgende Richtung:

Dieser Ansatz scheint die meisten Probleme zu lösen. Bei Bedarf läßt sich auch Server-basierte Verschlüsselung nachrüsten. Bei den heutigen Plattenpreisen sollte eine zentralisierte Lösung kein Problem darstellen (da die Dateien sich nur im Transit befinden, sind Datenverluste durch die lausige Plattenqualität auch nicht so schlimm). (fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1019