Warum auch die NSA mal lernen sollte, einen WWW-Server zu konfigurieren. (Und warum Facebook gefährlich ist.)
Ich weiß, ich nerve mit meinen Forderungen nach IT-Sicherheit. Aber heute muss sich die NSA sagen lassen: Hättet ihr mal auf mich gehört. Dann wäre euch diese Peinlichkeit hier erspart geblieben. Das Üble: Weil auch Facebook und viele andere Unternehmen das Thema sichere Verschlüsselung eher sorglos angehen, waren (unter vielen anderen) auch solche WWW-Seiten von schweren Sicherheitsproblemen betroffen, die nur den Facebook-Like-Button einbinden.
Verschlüsselung sollte sicher sein
Dass personenbezogene Daten - und am besten jede WWW-Seite - nur verschlüsselt übertragen werden dürfen, hatte ich bereits dargelegt (zum Vortragsvideo von der DSRI-Herbstakademie; der Beitrag ist aktualisiert in CR 2014, 726 – 732 erschienen). Dort hatte ich auch dargestellt, welche Verschlüsselungsverfahren verwendet werden dürfen und welche nicht.
Neuer Angriff auf unsichere Verschlüsselung
Nun ist wieder einmal ein neuer Angriff auf veraltete Verschlüsselungsverfahren bekannt geworden: FREAK. Wer mit einem Browser mit Programmierfehlern (z.B. mit Apples Safari oder dem Android-Browser) im Netz surft, kann gefälschte Seiten untergeschoben bekommen, die sich aber mit einem gültigen HTTPS-Zertifikat ausweisen. Voraussetzung ist, dass der Server, der angegriffen werden soll, sogenannte Export-Verschlüsselung unterstützt - quasi eine Hintertür für die US-Geheimdienste, die aber für etwa 50 US-Dollar heute jedermann benutzen kann. Warum zum Teufel benutzen selbst Banken so etwas noch? Und Content-Delivery-Netzwerke wie Akamai, die damit ihre Kunden gefährden - und das sind fast alle großen Unternehmen? Und Facebook für den Like-Button, das damit Angriffe auf Seiten ermöglicht, die den Like-Button enthalten?
Schlechte Verschlüsselung ist gefährlicher als gar keine
Schon vor Monaten habe ich hier im Blog geschrieben: "Das Fatale an dieser Schlamperei ist: Der normale Nutzer bemerkt nichts davon. Weil gerade Banken viel Geld für “Extended Validation”-Zertifikate ausgeben, erscheint ein grünes Schloss in der Browser-Leiste. Der User denkt: Super, sicher! Und gibt seine vertraulichen Daten ein."
Liebe Admins, wenn euer Server hier nicht mindestens ein "A" bekommt, dann nutzt ihr bitte die nächsten 30 Minuten, um das Problem endlich zu lösen!