Es häufen sich Berichte über Fälle, in denen sensitive Daten über öffentliche Kanäle getauscht werden.

Hintergrund ist offenbar, daß der Austausch der Daten über E-Mail zu beschwerlich ist, und geschützte Bereiche auf Webservern o.ä. als zu umständlich empfunden werden.

Zwei unterschiedliche Phänomene sind zu beobachten:

• Austausch von Dateien über öffentliche Peer-to-Peer-Netze (P2P; mit den üblichen Klienten)
• Verwendung von organisationseigenen offenen FTP-Servern (oder auch WWW-Servern)

Beim ersten Punkt installieren sich beide Kommunikationspartner Software für dasselbe P2P-Netzwerk. Der Dateiname wird dann z.B. per E-Mail übermittelt und der Empfänger sucht nach diesem Namen. Wenn er Glück hat, findet er die Datei und kann sie sich vom System des Absenders übertragen lassen. Irgendeine Form von Zugriffsschutz existiert natürlich nicht. Die Suche mit entsprechenden Begriffen in P2P-Netzen führt einiges Interessantes zu Tage, wobei ein Teil sicherlich auch versehentlich mit dem P2P-Klienten freigegeben wurde. Manche Leute stellen aber auch mit voller Absicht sensitive Dokumente in öffentliche P2P-Netze.

Im zweiten Fall wird z.B. ein komplett offener FTP-Server zur Verfügung gestellt, der den Dateitransfer unterstützen soll. Nicht nur kann jedermann die angebotenen Dateien von diesem Server beziehen -- da ein Rückkanal zur Verfügung gestellt werden soll, hat auch jedermann Schreibzugriff. Es ist daher nur eine Frage der Zeit, bis ein solcher Server zum Umschlagplatz für rechtlich bedenkliches Material wird. Selbst wenn ein solcher Server in der Erwartung eingerichtet wird, daß keine kritischen Daten ausgetauscht werden, wird in der Praxis dieser Grundsatz immer wieder verletzt werden, da ein solcher Server gegenüber den anderen Kanälen deutlich leichter zu verwenden ist.

Selbst wenn Dateien in ZIP-Archive verpackt werden und mit einem Paßwort versehen werden, stellt das selten einen adäquaten Schutz dar: Einerseits werden häufig Trivialpaßwörter verwendet, andererseits sind sehr effektive Known-Plaintext-Angriffe gegen den ZIP-Verschlüsselungsalgorithmus bekannt. Zumindest die Problematik der schwachen Paßwörter greift auch dann, wenn eine in der Bürosoftware integrierte Verschlüsselung verwendet wird.

Gegenwärtig mangelt es an einer wirklich massentauglichen Lösung für das Dateitauschproblem. Wenn P2P-Netze und anonymes FTP im wesentlichen ausscheiden, belieben noch folgende Ansätze:

• anonymes FTP mit unlesbaren Verzeichnissen bzw. speziellem Incoming-Verzeichnis

  Dieser Ansatz kann für den Upload durch einen unbekannten Benutzer von außen vergleichsweise sicher sein, insbesondere wenn ein spezielles Incoming-Verzeichnis verwendet wird, welches die Daten an einen gesonderten Ort verschiebt.

  Die andere Richtung (aus der Firma nach außen) läßt sich damit nicht so zuverlässig regeln, da häufig leicht zu ratende Dateienamen gewählt werden.

• nicht-anonymes FTP

  Dies erfordert, daß für jeden Sender bzw. Empfänger ein eigener Account angelegt wird, was nicht praktikabel ist.

• HTTP mit versteckten Verzeichnissen

  Für die Verzeichnisse bzw. die Dateien darin werden regelmäßig leicht zu ratende Namen verwendet, so daß es immer wieder zu Lecks kommt. Auch werden häufig mehr oder weniger versteckte Links auf den vermeintlich sicheren Bereich gesetzt, so daß das Versteck auffliegt.

• Netz-Dateisystem (AFS, NFS, SMB/Windows Shares)

  Hier existieren entweder dieselben Probleme wie bei FTP, oder es ist keine zuverlässige benutzerorientierte Authentifizierung möglich.

• SSH bzw. SCP

  Hier gibt es ähnliche Voraussetzungen wie bei FTP. Zusätzlich ist es bei den meisten SSH-Implementierungen schwierig, dem Kommunikationspartner nicht gleichzeitig vollen Shell-Zugang einzuräumen.

• SAFT bzw. sendfile

  SAFT wurde entworfen, um das angesprochene Problem zu lösen. Es benötigt jedoch spezielle Client- und Server-Software, die für die Massen im Moment leider nicht zugänglich sind.

• IRC (mit DCC) oder Instant Messenger (AIM, ICQ)

  Dateiaustausch per DCC etc. wird von erfahrenen Benutzern dieser Medien gerne verwendet. Hier stellt sich aber auch die Authentifizierungsproblematik, und beide Protokolle sind alles andere als Firewall-freundlich.

• WebDAV

  Bei WebDAV fehlt für Endnutzer die Möglichkeit, neue Principals anzulegen. Es existiert hier also dieselbe Problematik wie bei nicht-anonymem FTP, nur daß das Protokoll leichter durch Paketfilter zu handhaben ist und das Schreiben von interoperablen Implementierungen im Prinzip etwas einfacher ist.

Alles in allem ist die Lage relativ düster, weswegen ja auch mit solcher Verzweiflung zu derart unsicheren Übertragungskanälen gegriffen wird. In der heutigen EDV-Landschaft kommt eigentlich nur ein zentraler Ansatz in Frage (da sonst eine der beiden beteiligten Workstations als Server fungieren müßte). Der Ansatz, das ganze über einen FTP-Server zu machen (oder einen WWW-Server mit WebDAV, was Firewall-freundlicher wäre), erscheint prinzipiell richtig, auch wegen der weiten Verfügbarkeit von Clients. Was allerdings im Augenblick fehlt, ist ein Methode, mit der der Zugriff auf eine Datei nicht automatisch gleich alle anderen Dateien sichtbar macht. Außerdem ist ein Rückkanal erforderlich, der aber nicht von jedermann zur Veröffentlichung von Dateien genutzt werden kann.

Zur Diskussion möglicher Lösungsansätze bietet das RUS-CERT eine Mailingliste an. Gegenwärtig gehen die Überlegungen in die folgende Richtung:

• Jeder im eigenen Netz kann auf einen Webserver Dateien hochladen und bekommt dann eine URL mit dem Hash (oder einer anderen Kennung) angezeigt.
• Diesen URL kann er dann per Mail weiterleiten oder auch per Telefon.
• Nach einer gewissen Zeit expiriert die Datei auf dem Server; möglicherweise schneller, wenn sie abgeholt wurde.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/