Nachdem Sie im ersten Teil dieser Artikelreihe zum Thema „Sichere Verbindungen mithilfe von TLS“ lesen konnten, aus welchen Gründen Sie als Betreiber einer Webseite die Umstellung Ihrer Webseite auf TLS erwägen sollten, geht es in diesem und dem nächsten Teil darum, die Gründe für die Notwendigkeit von TLS anhand des technischen Aufbaus des Internets zu erläutern.

Speziell in diesem Teil wird der grundlegende Aufbau des Internets beschrieben.

Da Daten innerhalb von HTTP-Verbindungen ohne Verwendung von TLS grundsätzlich unverschlüsselt übertragen werden, gibt es eine ganze Reihe von Angriffsmöglichkeiten auf diese Verbindungen, die sowohl die mangelnde Sicherung der Datenintegrität, als auch die Übertragung der Daten im Klartext ausnutzen.

Diese Problematik betrifft leider nicht nur HTTP-Verbindungen, sondern Verbindungen aller Art, die unverschlüsselt über öffentliche Netzwerke oder auch Netzwerke mit einem beschränkten Teilnehmerkreis, wie beispielsweise Intranets oder Extranets übertragen werden. Insbesondere, aber nicht ausschließlich, das Post Office Protocol (POP) oder das File Transfer Protocol (FTP) sind von dieser Problematik gleichermaßen betroffen. In diesem Artikel wollen wir beispielhaft nur das HTTP-Protokoll betrachten.

Datenübermittlung im Internet

Daten werden im Internet als sogenannte Pakete versendet. Das kann man sich jedoch keineswegs wie bei der Post vorstellen, der es mit einigen Ausnahmen streng verboten ist, Pakete zu öffnen und deren Inhalt zu begutachten. Auch der häufige Vergleich mit dem Versenden von Postkarten wird dem eigentlichen Prozess des Datenversands im Internet nicht gerecht, zumindest nicht, wenn man annimmt, dass eine Postkarte die innerhalb eines Landes versendet wird, dieses Land niemals verlässt und in aller Regel auch nur bei einem Versanddienstleister verweilt. Vielmehr kann man sich den Versand von Daten über das Internet vorstellen wie das übermitteln von Nachrichten in der Schule, während des Unterrichts:

Der Absender schreibt seine Nachricht auf ein Stück Papier, faltet es zusammen, notiert den Namen des Empfängers auf der Vorderseite und reicht es an seinen Nebenmann weiter. Dieser gibt es wiederum an seinen Nebenmann weiter und das so fort, bis die Nachricht bei ihrem Adressat ankommt. Wie bei dieser Methode gilt auch im Internet, dass das Verfahren grundsätzlich funktioniert, dass jedoch für Angreifer durchaus die Möglichkeit besteht, in den Prozess einzugreifen und das, im Gegensatz zu unserem Beispiel in der Schule, ohne dass davon jemand etwas mitbekommt. Die traurige Wahrheit ist, dass es im Internet, ähnlich wie in der Schule, quasi eine Garantie dafür gibt, dass mindestens drei von zehn der vermittelnden Stellen die Nachricht ebenfalls lesen; in manchen Fällen landet diese sogar direkt beim Feind[1]. Doch das ist längst nicht alles: Ebenso wie es in der Schule vorkommt, dass eine Person die Nachricht um eigene Inhalte ergänzt, können Angreifer auch im Internet die übertragenen Daten manipulieren.

Um sich die Tragweite dieses Sachverhaltes bewusst zu machen, ist es erforderlich, sich den Aufbau des Internets etwas genauer anzusehen:

Im Wesentlichen besteht das Internet aus einer Vielzahl von Teilnetzen, die über nur wenige Kontenpunkte miteinander verbunden sind. Diese Knotenpunkte nennt man auch Backbones (siehe rote Knotenpunkte in Abbildung 1). Jedes Teilnetz wiederum kommuniziert typischerweise durch ein sogenanntes Gateway (siehe blaue Knotenpunkte in Abbildung 1) mit anderen Netzwerken, sodass auch hier ein Großteil des Verkehrs über einen einzigen Knotenpunkt abgewickelt wird. Der dritte große Angriffspunkt auf die Kommunikation zweier Teilnehmer im Internet ist das sogenannte Prinzip des Broadcastings. Dieses Prinzip findet zum einen bei der Auflösung der eigentlichen Adressen Anwendung, kommt jedoch vor allem in den letzten Stufen des Vermittlungsprozesses zum Einsatz[2], wenn Nachrichten nicht mehr geroutet werden, d.h. exklusiv an das zuständige Ziel weitergegeben werden, sondern stattdessen im Vertrauen darauf, dass nur der rechtmäßige Empfänger diese liest, über eine Datenleitung versendet werden, die von mehreren Teilnehmern genutzt wird (siehe Abbildung 1).

Abbildung 1: Vereinfachter, schematischer Aufbau des Internets aus Backbones (rot), Gateways (blau), Routern / Switches / Hubs / Bridges (weiß) und Nutzern (grün).

Abbildung 1: Vereinfachter, schematischer Aufbau des Internets aus Backbones (rot), Gateways (blau), Routern / Switches / Hubs / Bridges (weiß) und Nutzern (grün).

Um zu untersuchen, an welchen Stellen ein Angreifer Pakete einer Kommunikation zwischen Client und Server abfangen kann, wollen wir ein Beispiel betrachten: Dazu gehen wir davon aus, dass Teilnehmer 3 aus Abbildung 1 mit Teilnehmer 34 kommuniziert. Die von ihm gesendete Nachricht wird dabei zunächst an Knoten 12 und von dort an die Knoten 17, 19, 20, 22, 23, 24, 27 und schließlich an den Zielknoten 34 übertragen, sie durchläuft also insgesamt acht Zwischenstationen, auch Hops genannt, bis Sie bei ihrem Empfänger angekommen ist. Das ist eine Zahl die durchaus realistisch, ja sogar beinahe untertrieben ist. Es wäre jedoch auch möglich, dass die Nachricht einen anderen Weg nimmt und von Knoten 20 zunächst an Knoten 21 und erst dann an Knoten 22 übermittelt wird.

Ein Angreifer hat nun also potenziell die Möglichkeit, die Nachricht an einer dieser acht Zwischenstationen abzufangen. Außerdem können die Knoten 33, sowie 1, 2 und 4 die Nachricht ebenfalls mitlesen, da sie jeweils die gleiche Datenleitung wie die Kommunikationspartner nutzen, um mit anderen Stationen zu interagieren.

Seit Edward Snowdens Enthüllungen im Frühjahr/Sommer 2013 ist bekannt, dass geheimdienstliche Organisationen wie die NSA oder der britische GHCQ nicht nur bestrebt sind, Zugriff auf Kommunikationsdaten an den in Abbildung 1 rot dargestellten Backbones zu erlangen, sondern dass im Rahmen des JETPLOW Programms der NSA auch zahlreiche der weißen und blauen Knotenpunkte mit einer Art Wanze ausgestattet werden, die es erlaubt, den darüber abgewickelten Datenverkehr mitzuverfolgen. Konkret wird eine sogenannte Backdoor in die Firmware von CISCO-Routern implantiert, wenn diese an Kunden versendet werden. Dazu fängt die NSA die Paketsendungen ab, öffnet diese und versendet diese nach dem Eingriff an den ahnungslosen Empfänger weiter.

Welchen Weg eine Nachricht, die Sie über das Internet versenden im Einzelfall nimmt, können Sie mithilfe des Programms traceroute ermitteln. Übergeben Sie zu diesem Zweck einfach den Domainnamen oder die IP-Adresse an das
UNIX-Konsolenprogramm traceroute (unter Windows tracert). Als Ergebnis werden Ihnen die einzelnen Zwischenstationen der Nachricht ausgegeben (siehe Abbildung 2).

 Abbildung 2: Traceroute am Beispiel der Domain google.com

Abbildung 2: Traceroute am Beispiel der Domain google.com

Wie Sie bei eigenen Experimenten sicherlich feststellen werden antworten nicht immer alle Zwischenstationen auf die von traceroute verwendeten ICMP Echo-Request Pakete. Das ist jedoch in aller Regel auch gar nicht weiter notwendig, um mit einem solchen Vorgehen zumindest die Infrastruktur des umliegenden Netzwerkes zu erforschen.

Im nächsten Teil dieser Artikelreihe werden Sie erfahren, wie Angreifer an den einzelnen Knotenpunkten Daten abgreifen und manipulieren können, bevor Sie mit den organisatorischen Herausforderungen einer TLS Umstellung vertraut gemacht werden.

[1]    In der Schule ist das der Lehrer, im Kontext des Internets können das Staaten, Unternehmen oder Kriminelle sein, je nachdem welchen Inhalt eine Nachricht trägt.

[2]    Hier spricht man dann von einem Bussystem

Weitere Teile Teile der Blogserie TLS:

1. Blogserie TLS – Folge 1: Gründe für eine Umstellung auf TLS