Seite wählen

Feind liest mit! Oder doch nicht?

von | Apr 12, 2013 | Security

Vielen ist ja E-Mail mittlerweile zu langsam geworden. Ausserdem ist es ja so was von Web 1.0. Also muss was schnelleres her. ICQ kennt schon fast keiner mehr und IRC kennen viele (leider) nur mehr aus Gruselgeschichten von anno dazumal. Wer also nicht nur vom Handy aus kommunizieren und sich damit zwischen teuren (und schon fast wieder retro-chicen) SMS und dem sicherheitstechnischen Alptraum Whatsapp entscheiden will, dem bleibt ausser dem Apple-only iMessage nur ein (Instant) Messenger.
Da es ja viele verschiedene Messenger Dienste und Protokolle gibt (nun doch wieder ICQ, AIM, Jabber über eigene Server, Jabber über Facebook, Jabber über Gtalk, Skype, …) empfiehlt sich eine Multimessenger Applikation wie Pidgin oder sein Mac OS X Ableger Adium. Darin kann man dann Instant Messenger (und IRC, für alle, die noch wissen was gut ist) Accounts sammeln und alle Kontakte, die geekig genug sind, mehrere Zugänge zu haben, zu einem Meta-Kontakt zusammenfassen. Der Messenger kümmert sich dann um die Auswahl des Dienstes.
Bleibt nur das Problem, dass die Daten ja wieder über die Server eines der Anbieter laufen und der zumindest theoretisch mitlesen könnte. Ausgenommen, man betreibt seinen eigenen Jabber/IRC Server, aber es dürfte doch noch User geben, die das nicht tun. Wer dennoch sichergehen will, dass Instant Messages geheim zwischen Sender und Empfänger bleiben, sollte sich OTR ansehen. Kurz zusammengefasst wird die Message im Client mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und erst der Schlüsseltext über das Messagingprotokoll verschickt. Aus Sicht des Messengerdienstes sieht es aus, als würde man selbst den verschlüsselten Text eintippen, weshalb es völlig wurscht ist, über welchen Dienst man sendet. Dabei kann die Identität des Empfängers zuvor durch Vergleichen des Fingerprints überprüft werden. Kennt man schon? Hat hier jemand PGP|GnuPG|S/MIME gesagt? Ganz oberflächlich betrachtet funktionieren die Lösungen aus Anwendersicht gleich. Der vielleicht wichtigste Unterschied ist, dass der Fingerprint nur zur Überprüfung der Verbindung verwendet wird, die Nachrichten selbst werden nicht signiert. Es kann also im Nachhinein nicht mehr sicher festgestellt werden, wer eine Nachricht verschickt hat.
Adium hat ein OTR Plugin bereits an Bord, für Pidgin gibt’s eines bei den Cypherpunks. Dass beide Kommunikationsteilnehmer einen OTR fähigen Messenger brauchen, versteht sich. Es gibt auch diverse OTR fähige Messenger für Smartphones, aber da besteht derzeit wohl noch etwas Aufholbedarf.
Grösster Nachteil: Viele Messenger (man denke an Facebook oder Google Talk) sind in alle mögliche Software integriert und auch meist aktiv, ohne, dass man sie extra anwerfen müsste. Zwar ist OTR eine hervorragende Möglichkeit, sogar über den Facebook Chat sicher zu kommunizieren, aber wer mehrere Messenger für Facebook aktiv hat, wird leicht mal zugespammt, wenn nicht alle OTR fähig sind und den gleichen Schlüssel haben. Wenn ein Messenger eine Antwort nicht entschlüsseln kann, fordert er meist die Nachricht noch mal an, mit anderem Schlüssel verschlüsselt oder gar nicht verschlüsselt. So entsteht ein netter Pingpong Effekt und jeder Messenger erhält die Nachricht x-mal, mal verschlüsselt lesbar, mal verschlüsselt unlesbar, mal entschlüsselt. Das kann einfach umgangen werden, in dem man wirklich alle Messenger abdreht, die man im Moment nicht benutzt oder sich mit den Kommunikationspartnern auf ein Protokoll bzw. einen Dienst einigt, der nicht in jedem zweiten Smartphone integriert ist.
Noch ein Tip aus der Praxis: Die Messenger legen Protokolle über geführte Unterhaltungen an und die sind normalerweise im Klartext. Wer also sichergehen will, dass die Informationen nicht irgendwann von der Festplatte gekratzt werden, sollte den Messenger (oder das OTR Plugin) so konfigurieren, dass OTR gesicherte Unterhaltungen nicht gespeichert werden.

Thomas Widhalm
Thomas Widhalm
Manager Operations

Pronomina: er/ihm. Anrede: "Hey, Du" oder wenn's ganz förmlich sein muss "Herr". Thomas war Systemadministrator an einer österreichischen Universität und da besonders für Linux und Unix zuständig. Seit 2013 ist er bei der NETWAYS. Zuerst als Consultant, jetzt als Leiter vom Operations Team der NETWAYS Professional Services, das unter anderem zuständig ist für Support und Betriebsunterstützung. Nebenbei hat er sich noch auf alles mögliche rund um den Elastic Stack spezialisiert, schreibt und hält Schulungen und macht auch noch das eine oder andere Consulting zum Thema. Privat begeistert er sich für Outdoorausrüstung und Tarnmuster, was ihm schon mal schiefe Blicke einbringt...

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Mehr Beiträge zum Thema Security

NWS – Unsere Infrastruktur und SLAs

Es gab wahrhaftig schon mal einfachere Zeiten: Zuerst bringt die Corona-Pandemie das öffentliche Leben über Jahre hinweg zum Erliegen und treibt die Leute in die Isolation. Zugegeben: uns als Hosting Provider kam der durch das Homeoffice gestiegene Bedarf an...

DockerCon 2022: Wie geht Containersecurity?

Buzzwords wie Software Supply Chain, Container Security Scanning oder Software Bill of Materials (SBOM) sind in den vergangenen zwei Jahren vermehrt in aller Munde, nicht zuletzt aufgrund des anhaltenden Trends zur Containerisierung vormals monolithischer Anwendungen...