[FYI] BSI: Sicherheitsrisiko "Surf-Turbos"

To: debate@xxxxxxxxxxxxxx
Subject: [FYI] BSI: Sicherheitsrisiko "Surf-Turbos"
From: Florian Weimer <fw@xxxxxxxxxxxxx>
Date: Sat, 16 Apr 2005 22:22:16 +0200
List-help: <mailto:debate-help@lists.fitug.de>
List-id: <debate.lists.fitug.de>
List-post: <mailto:debate@lists.fitug.de>
List-subscribe: <mailto:debate-subscribe@lists.fitug.de>
List-unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
Mailing-list: contact debate-help@xxxxxxxxxxxxxx; run by ezmlm

Ich möchte Euch auf folgende, bislang wenig beachtete Mitteilung des
BSI hinweisen:

| Das Computer-Notfallteam des Bundes (CERT-Bund) informiert und warnt
| bei akuten Gefährdungen der IT-Sicherheit die Institutionen des
| öffentlichen Dienstes. In den vergangenen Wochen erreichte uns auch
| verstärkt der Wunsch unserer Leser nach zeitnahen Informationen zu
| sicherheitskritischen Vorfällen im Netz. Diese Anregung greifen wir
| gern auf. Die erste Sonderausgabe unseres Newsletters "SICHER °
| INFORMIERT" thematisiert das Sicherheitsrisiko durch "Surf-Turbos".
| 
| Sicherheitsrisiko "Surf-Turbos"
| 
| In den letzten Monaten mehren sich die Angebote verschiedener
| Anbieter, die durch die Installation einer speziellen Zusatzsoftware
| auf dem PC des Kunden ein schnelleres Surfen im Internet
| versprechen. In der Regel handelt es sich dabei um unseriöse
| Marktforschungsunternehmen, die diese Software nach einer
| Registrierung kostenlos zum Download zur Verfügung stellen. Durch
| die Installation der Software wird der Datenverkehr beim Surfen im
| Internet über Proxy-Server des Anbieters geleitet - die
| Geschwindigkeitssteigerung soll dabei durch Komprimierung der Daten
| bei der Übertragung zwischen Anbieter und Kunde erzielt werden.
| 
| Die meisten Anwender sind sich bei der Nutzung eines solchen
| Angebots nicht bewusst, dass der Anbieter den gesamten Datenverkehr
| mitlesen, analysieren und mit den vom Anwender bei der Registrierung
| angegebenen persönlichen Daten verknüpfen kann. Eine besondere
| Bedrohung besteht darin, dass auch sensible Informationen -
| z. B. beim Internet-Banking übermittelte Daten wie Kontostand oder
| PINs und TANs - mitgelesen werden können. Auch vermeintlich durch
| eine SSL-Verbindung geschützte Daten sind bei der Nutzung von
| "Surf-Turbos" einiger Anbieter nicht vor unbefugtem Mitlesen sicher,
| da die verschlüsselte Verbindung auf dem Proxy-Server des Anbieters
| aufgebrochen wird. Es besteht dann keine direkte verschlüsselte
| Verbindung zwischen dem Browser des Anwenders und dem Server der
| besuchten Webseite, sondern der Datenstrom wird auf dem Proxy-Server
| entschlüsselt und anschließend erneut verschlüsselt. Dies geschieht
| für den Anwender unbemerkt, da bei der Installation der Software ein
| zusätzliches Zertifikat des Anbieters installiert und automatisch in
| die Liste der vertrauenswürdigen Zertifikate aufgenommen wird. Der
| Internet-Browser zeigt dadurch keine Warnmeldung, dass die
| verschlüsselte Verbindung nicht zwischen dem PC des Anwenders und
| dem Server der besuchten Webseite (zum Beispiel einer Online-Bank),
| sondern lediglich bis zum Proxy-Server des Anbieters besteht.
| 
| Das BSI rät von der Nutzung von "Surf-Turbos" ab, wenn beim Surfen
| sensible Informationen wie Passwörter, PINs, TANs, vertrauliche oder
| personenbezogene Daten übermittelt werden. [...]

<http://www.bsi-fuer-buerger.de/newsletter/newsletter05/newsletter230305.htm>

Nach dem, was man so hört, war der Anlaß für diese
Nicht-ganz-Pressemitteilung (gut versteckt ist sie, und der durchaus
reale Hintergrund ist nicht ganz offensichtlich, um es mal vorsichtig
auszudrücken) das Geschäftsgebahren der Firma MarketScore:

  <http://www.marketscore.com/>

(Andere Namen sind wohl NetSetter und OpinionSquare.)

Es gelang diesem Unternehmen immerhin, für ihre Datenschutzprozesse
ein WebTrust-Siegel zu erhalten, was wiederum ziemlich viel über das
Siegel aussagt.

Inzwischen sollte das Verfahren von MarketScore dahingehend
umgestaltet worden sein, daß keine Proxies mehr zum Einsatz kommen
(die Daten werden direkt auf dem Rechner des Endnutzers ausgeleitet).
Dies macht die Detektion für Anbieter von Webseiten natürlich
bedeutend komplizierter, wenn nicht gar unmöglich. Und dank
fehlgeleiteter Datenschutzbestrebungen seitens der Access-Provider
kann man betroffene Internetnutzer in vielen Fällen gar nicht auf ihr
Problem hinweisen.

Wenn jemand in seine Logs schauen will: Die Proxies haben offenbar
Namen der Form proxyhttp*.*.netsetter.com und
proxy*.*.marketscore.com. Die IP-Adressen sind über einige
Housings/ISPs verstreut (u.a. 66.119.33.128/25, 66.119.34.0/25,
170.224.224.0/24, 216.148.244.0/24, aber das ist dünn besetzt,
d.h. dort liegt ggf. auch harmlose Angebote dazwischen).

Diese Angelegenheit bestätigt mal wieder die Faustregel: Mit fast
allem, was im Untergrund gehandelt wird, werden auch legale Geschäfte
gemacht, nur unter anderen Schlagworten und manchmal mit einer
zeitlichen Verzögerung (siehe Botnets und Grid Computing).

--
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx

Follow-Ups:
- Re: [FYI] BSI: Sicherheitsrisiko "Surf-Turbos"
  - From: Florian Weimer

Prev by Date: Re: Praktische Frage zu Mobilfunk-Spam
Next by Date: [FYI] CFP: Unheilige Allianzen zum Schutz der Privatsphäre gesucht
Previous by thread: [FYI] BMI prüft Protokollierung von Verbindungsdaten bei Anonymisierungsdiensten
Next by thread: Re: [FYI] BSI: Sicherheitsrisiko "Surf-Turbos"
Index(es):
- Date
- Thread