Sicherheitsrisiko "Surf-Turbos"
In den letzten Monaten mehren sich die Angebote verschiedener Anbieter, die
durch die Installation einer speziellen Zusatzsoftware auf dem PC des Kunden
ein schnelleres Surfen im Internet versprechen. In der Regel handelt es sich
dabei um unserioese Marktforschungsunternehmen, die diese Software nach
einer Registrierung kostenlos zum Download zur Verfuegung stellen. Durch die
Installation der Software wird der Datenverkehr beim Surfen im Internet
ueber Proxy-Server des Anbieters geleitet - die Geschwindigkeitssteigerung
soll dabei durch Komprimierung der Daten bei der Uebertragung zwischen
Anbieter und Kunde erzielt werden.
Die meisten Anwender sind sich bei der Nutzung eines solchen Angebots nicht
bewusst, dass der Anbieter den gesamten Datenverkehr mitlesen, analysieren
und mit den vom Anwender bei der Registrierung angegebenen persoenlichen
Daten verknuepfen kann. Eine besondere Bedrohung besteht darin, dass auch
sensible Informationen - z. B. beim Internet-Banking uebermittelte Daten wie
Kontostand oder PINs und TANs - mitgelesen werden koennen. Auch vermeintlich
durch eine SSL-Verbindung geschuetzte Daten sind bei der Nutzung von
"Surf-Turbos" einiger Anbieter nicht vor unbefugtem Mitlesen sicher, da die
verschluesselte Verbindung auf dem Proxy-Server des Anbieters aufgebrochen
wird. Es besteht dann keine direkte verschluesselte Verbindung zwischen dem
Browser des Anwenders und dem Server der besuchten Webseite, sondern der
Datenstrom wird auf dem Proxy-Server entschluesselt und anschliessend erneut
verschluesselt. Dies geschieht fuer den Anwender unbemerkt, da bei der
Installation der Software ein zusaetzliches Zertifikat des Anbieters
installiert und automatisch in die Liste der vertrauenswuerdigen Zertifikate
aufgenommen wird. Der Internet-Browser zeigt dadurch keine Warnmeldung, dass
die verschluesselte Verbindung nicht zwischen dem PC des Anwenders und dem
Server der besuchten Webseite (zum Beispiel einer Online-Bank), sondern
lediglich bis zum Proxy-Server des Anbieters besteht.
Das BSI raet von der Nutzung von "Surf-Turbos" ab, wenn beim Surfen sensible
Informationen wie Passwoerter, PINs, TANs, vertrauliche oder
personenbezogene Daten uebermittelt werden.
Quelle
Seite 1 von 1
Sicherheitsrisiko "surf-turbos"
Anzeige
#2
geschrieben 23. März 2005 - 18:19
hey heftig. habe genau gesehen wie sie sowas im TV-Shop verkauft haben.
Die haben auch geschwindigkeitsvorteil durch datenkompresion seitens server versprochen.
Als beispiel hatte er zwei rohren synbolisch für die i-net leitung.
die eine mit ca. 10 orangen. und die ander mit orangen saft.
und meint das dir kunden mit der software quasi nur den saft kriegen und der abfall
vorher entfällt
Die haben auch geschwindigkeitsvorteil durch datenkompresion seitens server versprochen.
Als beispiel hatte er zwei rohren synbolisch für die i-net leitung.
die eine mit ca. 10 orangen. und die ander mit orangen saft.
und meint das dir kunden mit der software quasi nur den saft kriegen und der abfall
vorher entfällt
Trust me, i know what i´m doing
#3
geschrieben 23. März 2005 - 20:09
Zitat
Der Internet-Browser zeigt dadurch keine Warnmeldung, dass
die verschluesselte Verbindung nicht zwischen dem PC des Anwenders und dem
Server der besuchten Webseite (zum Beispiel einer Online-Bank), sondern
lediglich bis zum Proxy-Server des Anbieters besteht.
die verschluesselte Verbindung nicht zwischen dem PC des Anwenders und dem
Server der besuchten Webseite (zum Beispiel einer Online-Bank), sondern
lediglich bis zum Proxy-Server des Anbieters besteht.
PEBKAC
Man sollte _immer_ das SSL-Zertifikat überprüfen und schauen, auf welchem Pfad es verifiziert wird. Am besten betreibt man Online-Banking sowieso von einer Knoppix-CD aus.
Indes, gegenüber gzip/deflate von HTTP/1.1, was heutzutage fast jeder Browser und ein großer Teil der Webserver spricht, wird man kaum nennenswerte Gewinne erzielen.
Dieser Beitrag wurde von Rika bearbeitet: 23. März 2005 - 20:11
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Thema verteilen:
Seite 1 von 1