1 st Conference Seminar on IT Security 11

Transkript

1 Proceedings of the 1 st Conference Seminar on IT Security ITSEC@i1 11 Erlangen, January 24th, 2011 Chair for IT Security Infrastructures University of Erlangen-Nuremberg

2 Programme committee Zinaida Benenson (Universität Mannheim) Hans-Georg Eßer (Universität Erlangen-Nürnberg) Felix Freiling (Universität Erlangen-Nürnberg, Vorsitz) Christian Moch (Universität Erlangen-Nürnberg) Tilo Müller (Universität Erlangen-Nürnberg) Michael Spreitzenbarth (Universität Erlangen-Nürnberg) Stefan Vömel (Universität Erlangen-Nürnberg) Additional reviewers Julian Hammer (Universität Erlangen-Nürnberg) André Hanak (Universität Erlangen-Nürnberg) Mykola Protsenko (Universität Erlangen-Nürnberg) Sergiy Protsenko (Universität Erlangen-Nürnberg) Kilian Redel (Universität Erlangen-Nürnberg) Arne Hendricks (Universität Erlangen-Nürnberg) 2

3 Inhaltsverzeichnis Ein Überblick über verschiedene Schwachstellen des Privaten Modus bei aktuellen Browsern André Hanak Verified by Visa und MasterCard SecureCode, oder: Wie man die Authentifizierung nicht entwerfen sollte Sergiy Protsenko (Un-)sicherheit in komplexen Systemen Kilian Redel Practical capabilities for UNIX Mykola Protsenko An MD5 collision based attack on the SSL key infrastructure Julian Hammer

4 Ein Überblick über verschiedene Schwachstellen des Privaten Modus bei Ein Überblick über verschiedene Schwachstellen des Privaten Modus bei aktuellen Browsern André Hanak Universität Erlangen Zusammenfassung Der Beitrag beschreibt, wie es möglich ist das Surfverhalten eines Nutzers zu analysieren, obwohl dieser den Privaten Modus seines Browsers verwendet. Besonderer Wert wird dabei auf zwei Angriffsszenarien gelegt: Auf der einen Seite wird erläutert, wie die Analyse des Nutzerverhaltens auf der Seite eines Webseitenbetreibers aussehen kann. Dies betrifft vor allem, inwiefern man Benutzer während ihrer Aktivitäten im Internet verfolgen kann. Auf der anderen Seite wird untersucht, ob eine Person, die lokal vollen Zugriff auf den Computer hat, an Daten gelangen kann, die eigentlich durch den Privaten Modus geschützt werden sollen. Dabei werden verschiedene Szenarien erläutert und beispielhaft bekannte Schwachstellen genauer untersucht. I. EINFÜHRUNG Der Private Modus ist in den letzten Jahren zu einem beliebten Feature in Browsern geworden. Die vier am weitesten verbreiteten Browser [10] (stand Oktober 2010) Firefox, Internet Explorer, Chrome und Safari unterstützen diesen in ihren aktuellen Versionen. Durch die Verwendung soll im Allgemeinen verhindert werden, dass andere Personen herausfinden können welche Internetseiten besucht wurden, während der Private Modus aktiviert war. In einem Konferenzbeitrag von Aggarwal, Bursztein, Jackson und Boneh mit dem englischen Titel An Analysis of Private Browsing Modes in Modern Browsers [1] analysieren die Autoren die Sicherheit dieser Modi exakt. Sie zeigen in diesem Artikel wie man automatisiert nach Sicherheitslücken suchen kann und stellen die Ergebnisse vor. Dieser Beitrag steht inhaltlich in engem Zusammenhang mit meiner Arbeit. Der oben genannt Beitrag nennt zwei im Grundsatz verschiedene Sicherheitsziele. Auf der einen Seite steht der Schutz vor Personen, die vollen Zugriff auf den verwendeten Computer haben. Sie werden als lokaler Angreifer bezeichnet. Es könnten beispielsweise Familienmitglieder sein, die sich einen Rechner teilen. Auf der anderen Seite steht der Schutz vor Personen, die über diesen direkten Zugang nicht verfügen, dem entfernten Angreifer. Beispielsweise soll der Betreiber einer Internetseite keinen Zusammenhang zwischen dem Besuch seines Angebots mit und ohne Privaten Modus herstellen können. Letzteres wird von den aktuellen Browsern oft nur teilweise oder überhaupt nicht umgesetzt. Dieser Beitrag ist nach dem Top-Down Ansatz gestaltet. Am Anfang steht eine Einführung in den Privaten Modus. Beginnend mit einem kurzen Überblick über die verschiedenen Dieser Beitrag entstand im Rahmen des Konferenzseminars IT- Sicherheit, das im Wintersemester 2010/11 an der Universität Erlangen- Nürnberg durchgeführt wurde. Es wurde organisiert vom Lehrstuhl für IT- Sicherheitsinfrastrukturen (Prof. Dr. F. Freiling). Browser wird anschließend untersucht wie die Browserhersteller den Privaten Modus ankündigen und danach eine Studie zu dessen Verwendung vorgestellt. Im Kapitel III geht es weiter ins Detail, dort werden Sicherheitsziele definiert, die Browser einhalten sollen. Etwas praktischer werden dann die Einzelheiten der Implementierungen in Kapitel IV analysiert und Abweichungen vom definierten Sicherheitsmodell deutlich herausgearbeitet. Nach einer Aufzählung der Sicherheitslücken in den Browsern selbst, werden anschließend Probleme erläutert, die bei Verwendung von Erweiterungen auftreten. Dabei wird auch auf einen Lösungsvorschlag näher eingegangen und dieser hinsichtlich der Praxistauglichkeit bewertet. II. GRUNDLAGEN Um die Sicherheit des Privaten Modus zu untersuchen ist es zunächst einmal nötig Grundlagen zu erläutern. Es folgt eine Übersicht über die verschiedenen Browser und ihre Art Private Browsing umzusetzen. A. Überblick über die vier Browser Der Firefox Browser von Mozilla unterstützt den Privaten Modus ab Version 3.5 vom [7]. Er lässt sich über das Extras Menü starten. Dabei werden alle aktuell geöffneten Fenster und Tabs geschlossen. Abgesehen von einem Vermerk in der Titelleiste des Fensters weist während der Verwendung nichts auf die private Sitzung hin. Beendigt wird sie wieder über das Menü Extras. Vorher geöffnete Tabs und Fenster werden wieder hergestellt. Der Internet Explorer von Microsoft unterstützt die Funktion ab Version 8 [6]. Die Funktion heißt hier InPrivate-Browsen. Startet man den Modus, so wird ein neues Fenster geöffnet. Der Benutzer bekommt durch eine Schaltfläche auf der Adressleiste mit der Aufschrift InPrivate angezeigt, dass er diese Funktion gerade verwendet. Google Chrome nennt das Feature Inkognito Modus. Dieser lässt sich öffnen, indem man auf die Einstellungs- Schaltfläche klickt und dann ein neues Inkognito Fenster über das Menü öffnet. Der Benutzer wird auf den Privaten Modus mit Hilfe eines Icons hingewiesen. In Safari heißt der Modus Privates Surfen er lässt sich über das Optionsmenü starten. Es erscheint eine Dialogbox, die bestätigt werden muss. Anschließend befinden sich alle geöffneten Fenster im Privaten Modus. Im Safari 4 ist der einzige Hinweis auf die Verwendung ein Haken vor dem entsprechenden Menüeintrag. Seit Safari 5 befindet sich auch noch ein entsprechender Hinweis in der Adressleiste. Details zu den Implementierungen werden in Kapitel IV-A genauer untersucht. André Hanak 4

5 Ein Überblick über verschiedene Schwachstellen des Privaten Modus bei Abbildung 1: Verwendung des Privaten Modus [1] B. Vermarktung des Privaten Modus Es gibt unterschiedliche Gründe den Privaten Modus zu verwenden. Alle vier Browserhersteller präsentieren das Feature auf ihren Internetseiten. Im Folgenden möchte ich kurz zusammenfassen welche Gründe für die Benutzung genannt werden und wovor der Private Modus exakt schützt. Firefox beschreibt auf der Internetseite [8] sehr exakt was den Privaten Modus von einer einer normalen Sitzung unterscheidet. Interessant ist dabei vor allem ein Absatz, in dem klargestellt wird, dass kein Schutz vor einem entfernten Angreifer besteht, obwohl man beim Firefox sehr wohl bemüht ist davor Schutz zu bieten. Ein Grund zur Verwendung des Privaten Modus wird nur sehr allgemein formuliert: Teilt man sich mit anderen Personen einen Rechner, dann möchte man vermeiden, dass diese Personen herausfinden können welche Internetseiten man besucht hat. Auf der Seite des Internet Explorer [6] heißt es: Endlich können Sie ein besonderes Geschenk bestellen, ohne dass die Familie versehentlich darüber stolpert, oder einen freigegebenen Computer verwenden, ohne Spuren zu hinterlassen.. Vor was der Modus genau schützt ist nicht beschrieben. Das Planen von Überraschungen oder Geburtstagen nennt Google auf der Internetseite zu Chrome [5]. Dabei wird zusätzlich noch einmal darauf hingewiesen, dass heruntergeladene Dateien auf dem Computer vorhanden bleiben und dass Internetseiten das Ziel des Inkognito Modus unter Umständen untergraben können. C. Studie über die Benutzung des Privaten Modus Aggarwal, Bursztein, Jackson und Boneh [1, S. 8] führten eine Studie durch, in der sie die Verwendung des Privaten Modus verschiedener Browser bei verschiedenen Kategorien von Internetseiten untersuchen. Zur Ermittlung dieser Daten wurden Werbeanzeigen geschaltet. Diese enthielten JavaScript Code, der erkennen kann ob der Private Modus gerade aktiviert ist. Um dies festzustellen nutzen die Entwickler aus, dass alle gängigen Browser noch nicht besuchte Links in blau darstellen, während Seiten, die in der Browserchronik bereits vorhanden sind lila eingefärbt werden. Ein Link zu einer bereits in einem Frame angezeigten Seite wird also normalerweise immer lila dargestellt. Eine Ausnahme stellt das Verhalten im Privaten Modus dar: Hier sind alle Links in blauer Schriftfarbe, da keine Chronik existiert. Die Ergebnisse sind in Abbildung 1 dargestellt. Aus der Grafik kann man zwei Aussagen direkt ableiten. Zum einen fällt auf, dass auf Erotikseiten der Private Modus verstärkt eingesetzt wird, andererseits hängt die Verwendung auch deutlich vom Typ des Browsers ab. Während auf Erotikseiten im Durchschnitt etwa 8% den Privaten Modus verwenden sind es bei Seiten auf denen man Geschenke kaufen kann oder auf Nachrichtenseiten etwa 6%. Man kann also davon ausgehen, dass der Private Modus nicht überwiegend dazu verwendet wird, um den Kauf von Geschenken über das Internet zu verstecken. Ein anderer interessanter Aspekt ist, dass die Häufigkeit der Nutzung offensichtlich stark vom verwendeten Browser abhängt. Benutzer von Safari und Firefox aktivieren den Privaten Modus offenbar wesentlich häufiger, als beispielsweise diejenigen, die den Internet Explorer verwenden. Auf der Grafik erkennt man, dass die Verwendung des Modus auf Nachrichtenseiten zwischen 1% (Internet Explorer 8) und knapp 10% (Mozilla Firefox) schwankt. Eine mögliche Erklärung für diese Statistik ist die Art und Weise, wie die verschiedenen Browser auf den aktivierten Modus hinweisen. Firefox und Safari weisen eher unauffällig darauf hin, während der Indikator bei Google Chrome oder dem Internet Explorer sehr viel auffälliger ist. Der Internet Explorer verwendet einen Hinweis in der Adressleiste (Abbildung 2), hingegen zeigt Abbildung 3 das deutlich sichtbare Icon von Google Chrome. Im Gegensatz dazu ist im Firefox der Hinweis in der Titelleiste (Abbildung 4) leicht zu übersehen. Bei Safari (Abbildung 5) ist in der Version, die während der Studie aktuell war, auf der normalen Oberfläche kein Hinweis zu sehen. Man kann nur über das Einstellungsmenü herausfinden, dass der Private Modus gerade verwendet wird. Es liegt also der Verdacht nahe, dass ein leicht zu übersehender Indikator dazu führt, dass die Benutzer vergessen den Privaten Modus wieder auszuschalten. Eine weitere Ursache für die so unterschiedliche Nutzung ist die unterschiedliche Implementierung in den Browsern. Während Internet Explorer und Chrome das gleichzeitige Surfen mit und ohne Privaten Modus durch das Öffnen eines zusätzlichen privaten Fensters erlauben ist es bei Firefox und Safari nicht möglich gleichzeitig privat und normal zu surfen. III. SICHERHEITSMODELL UND SICHERHEITSZIELE Um die Sicherheit des Privaten Modus zu untersuchen ist es zunächst einmal nötig formal zu spezifizieren was dieser genau leisten soll und vor welchen Angriffszenarien man sich dabei schützen muss. Wie in dem Konferenzbeitrag [1, S. 2] werden zwei Angriffszenarien definiert: Der lokale Angreifer André Hanak 5

6 Ein Überblick über verschiedene Schwachstellen des Privaten Modus bei Abbildung 2: Bildschirmfoto Internet Explorer Abbildung 4: Bildschirmfoto Firefox Abbildung 3: Bildschirmfoto Chrome Abbildung 5: Bildschirmfoto Safari ist eine Person, die direkten Zugriff auf den Computer hat. Das zweite Szenario sieht einen entfernten Angreifer vor. Dieser kontrolliert die Internetseite, die im Privaten Modus besucht wird. Ein weiterer Begriff ist der Benutzer, hiermit wird im folgenden die Person bezeichnet, die den Privaten Modus verwendet. A. Lokaler Angreifer Vermieden werden soll im Falle des lokalen Angreifers, dass auf dem Rechner nach Beendigung des Privaten Modus Spuren zurückgelassen werden, die dem Angreifer Rückschlüsse auf die besuchten Seiten zulässt. Konkret heißt das, dass ein Angreifer, der die Kontrolle über den Rechner des Benutzers übernommen hat, nachdem der Benutzer den Privaten Modus beendet hat, keinerlei Informationen über das Verhalten des Benutzers während des privaten Surfens erhalten darf. Dies wird weiter unten genauer beschrieben. Besonders wichtig ist dabei, dass der Angreifer erst Zugriff erlangt, nachdem der Private Modus beendet wurde. Erlangt er vorher oder auch während des privaten Surfens Zugriff auf den Rechner, so ist es ein leichtes für den Angreifer an diese Informationen zu kommen, ganz egal wie gut oder schlecht der Private Modus im Browser implementiert ist. Beispielsweise könnte ein Keylogger installiert werden oder der Netzwerkverkehr mitgehört werden. Der Angriff wird alleine auf die anschließende Analyse beschränkt. Daher kann die Sicherheit theoretisch dadurch gewährleistet werden, dass nach Beendigung des Privaten Modus alle hinterlassenen Spuren zuverlässig gelöscht werden. Ganz so einfach stellt sich das dann aber doch nicht dar. Da die verschiedenen Browser auch im Privaten Modus eine möglichst hohe Benutzerfreundlichkeit erreichen sollen, ist es nicht von Vorteil alle Veränderungen wieder zu löschen. So soll es beispielsweise auch möglich sein im Privaten Modus Lesezeichen anzulegen, die erhalten bleiben. Es ist also nötig Änderungen zu klassifizieren: 1) Änderungen, die von der Internetseite angestoßen werden und keinerlei Interaktion des Benutzers benötigen, beispielsweise Einträge im Cache, gespeicherte Cookies oder Einträge in der Browserchronik. André Hanak 6

7 Ein Überblick über verschiedene Schwachstellen des Privaten Modus bei ) Änderungen, die von der Internetseite angestoßen werden, aber zusätzlich Interaktion des Benutzers benötigen. Beispiele dafür sind das generieren eines Client Zertifikats oder das Speichern von Passwörtern. 3) Änderungen, die vom Benutzer angestoßen werden. Zum Beispiel das Hinzufügen eines Lesezeichens oder das Herunterladen einer Datei. 4) Änderungen, die nicht anwenderspezifisch sind. Hierunter fällt zum Beispiel das Installieren einer Browser Aktualisierung oder das Aktualisieren der Liste zum Schutz vor Phishing. Alle Browser haben als Ziel Änderungen zu verwerfen, wie sie im Punkt (1) beschrieben sind. Erfüllen sie dieses Ziel nicht, so kann dies als Verstoß gegen das Sicherheitsmodell, also als Sicherheitslücke, aufgefasst werden. Die restlichen Punkte stellen eine Grauzone dar. Welche Arten von Änderungen verworfen werden sollen unterscheidet sich stark, je nach Browser. Aber auch das Verhalten eines Browsers ist oft inkonsistent. Diese Fälle werden im nächsten Kapitel ausführlich beschrieben. Um das Sicherheitsmodell exakter zu beschreiben werden im folgenden die Fähigkeiten des Angreifers definiert: Der Angreifer tritt nicht in Aktion, bis zu dem Zeitpunkt, an dem der Benutzer den Privaten Modus verlässt. Ab diesem Zeitpunkt bekommt der Angreifer vollen Zugriff auf die Maschine. Dies limitiert den Angreifer auf die anschließende Analyse forensischer Art. Dabei werden in dieser Arbeit Spuren ignoriert, die nur im flüchtigen Speicher vorhanden sind. Diese Spuren zu verwischen kann sehr kompliziert werden und kein Browser besitzt momentan diese Fähigkeit. Eine weitere Voraussetzung ist, dass der Angreifer keinen Zugriff auf Informationen im Netzwerk hat, während der Benutzer in einer privaten Sitzung ist. Dies ist einfach damit erklärbar, dass in der Arbeit die Sicherheit der Browser untersucht werden soll. Ein Browser kann aber beispielsweise nicht verhindern, dass der Netzwerkverkehr mitgeschnitten wird. Ein Problem für die Einhaltung der Ziele von privatem Browsern stellen die Internetseiten dar. Als Beispiel sei folgendes Szenario gegeben: Ein Benutzer loggt sich innerhalb des Privaten Modus auf einem Forum ein. Dieses hat auf der Hauptseite für alle Besucher sichtbar einen Abschnitt Benutzer, die heute Online waren. In diesem Fall wird das Sicherheitsziel verletzt. Allerdings ist ein hundertprozentiger Schutz technisch kaum realisierbar. Denkbare Lösungsmöglichkeiten sind: Einführen einer Liste mit Internetseiten, ähnlich wie bei Phishing, die im Privaten Modus nicht angezeigt werden sollte. Einführung einer elektronischen Kennzeichnung auf Internetseiten, die angibt, dass diese Seite nicht gegen Sicherheitsziele des Privaten Modus verstößt. Einführung eines Logos, welches nach Prüfung durch eine offizielle Stelle auf einer Internetseite angezeigt werden kann. Ist dieses Logo vorhanden weiß der Benutzer, dass die Seite im Privaten Modus gefahrlos besucht werden kann. Es gibt auch sonst verschiedene Schwierigkeiten beim Einhalten der Sicherheitsziele gegenüber einem lokalen Angreifer. Eine davon ist das verwendete Betriebssystem. Dabei gibt es zwei Probleme. Ein Problem sind DNS 1 Anfragen. Diese müssen für jede besuchte Domain ausgeführt werden, dabei speichern viele Betriebssysteme die Anfragen in einem lokalen Zwischenspeicher. Anhand der eingetragenen Domains und der zugehörigen TTL 2 lässt sich dann herausfinden welche Seite wann besucht wurde. Eine korrekte Implementierung des Privaten Modus darf also bei Durchführung der DNS Abfragen keine Einträge im Zwischenspeicher des Systems hinzufügen oder entfernen. Eine andere, wesentlich aggressivere, Möglichkeit besteht darin den kompletten DNS Zwischenspeicher zu leeren. Die DNS Problematik wird jedoch momentan von keinem großen Browser aufgegriffen. Das andere Problem ist das Auslagern von Hauptspeicherseiten auf der Festplatte. Ist im Hauptspeicher zu wenig Platz, dann kann das Betriebssystem Teile davon auf der Festplatte auslagern. Dies erfolgt unter Windows in einer Auslagerungsdatei auf der Festplatte und unter Linux meist in einer extra Partition auf der Festplatte. In dieser Datei oder Partition könnten sich nur Informationen über das Nutzungsverhalten befinden. Aggarwal, Bursztein, Jackson und Boneh [1, S. 3] haben ein Experiment durchgeführt, welches diese Theorie eindeutig belegt: Unter Ubuntu 9.10 Linux und Firefox surften sie im Privaten Modus. Nach Beendigung starteten sie ein Programm mit einem Speicherleck, so dass das Betriebssystem gezwungen wurde Teile des Hauptspeichers auszulagern. In diesem Fall wurde eine Auslagerungsdatei verwendet. Diese Auslagerungsdatei wurde untersucht und es wurden darin sowohl Internet Adressen, als auch Links und auch Text der Internetseiten gefunden. Zuletzt möchte ich ein paar Implementierungsmöglichkeiten gemäß ihrer Realisierbarkeit erläutern. Eine auf den ersten Blick sinnvoll erscheinende Variante ist die Verwendung von Schnappschüssen (engl. snapshot) einer virtuellen Maschine. Vor dem Surfen im Privaten Modus wird dann ein Schnappschuss angelegt. Wird der Modus beendet, so wird der Rechner wieder auf den Stand vor dem Starten des Privaten Modus zurückgesetzt. Dieses Verfahren hat aber sehr viele Nachteile, so dass die Verwendung keinen Sinn macht: Änderungen, die der Benutzer explizit selber veranlasst (siehe Punkte (3) und (4) in obiger Aufzählung) werden danach wieder verworfen. Dies betrifft Sicherheitsupdates, heruntergeladene Dateien und Einstellungen wie die Startseite oder verwendete Symbolleisten. Dies führt zu schlechter Benutzerfreundlichkeit und damit zu frustrierten Benutzern. Eine sehr einfache Möglichkeit obige Lösung zu implementieren bieten Benutzerprofile wie sie beispielsweise Mozilla 1 DNS: Domain Name System, dient u.a. der Zuordnung von menschenlesbaren Namen zu IP Adressen 2 TTL: Time to live. Jeder Eintrag im Zwischenspeicher erhält ein Ablaufdatum. Kennt der Angreifer dieses und ist beispielsweise bekannt, dass dieses beim Eintragen in den Speicher gewöhnlich eine Stunde in die Zukunft gesetzt wird, so lässt sich der Zeitpunkt des Eintragens berechnen. André Hanak 7

8 Ein Überblick über verschiedene Schwachstellen des Privaten Modus bei Firefox bereits verwendet. Man könnte beim Start des Privaten Modus eine Sicherungskopie des Profils anlegen und diese nach Beendigung wieder herstellen. Dieses Verfahren hat aber im Wesentlichen dieselben Nachteile wie oben bereits beschrieben. Alle vier großen Browser verwenden die gleiche Möglichkeit. Einerseits versuchen sie möglichst wenig Daten zu speichern, so wird beispielsweise die Chronik erst gar nicht mitgeschnitten. Andererseits werden Daten, die gespeichert werden müssen, nach der Beendigung wieder gelöscht. Cookies sind ein gutes Beispiel dafür. Soweit die Theorie, tatsächlich werden jedoch nicht alle Daten korrekt gelöscht, wie in Kapitel IV gezeigt wird. B. Entfernter Angreifer Im Gegensatz zum lokalen Angreifer hat der entfernte Angreifer keinen Zugriff auf den Computer des Benutzers. Dafür kontrolliert er eine oder mehrere Internetseiten, die der Benutzer mit Hilfe des Privaten Modus besucht hat. Die meisten Browser versuchen auch vor diesem Angriffszenario in einem gewissen Grad zu schützen. Eine Ausnahme stellt Safari dar der Browser ignoriert das Modell des entfernten Angreifers komplett. Ziele: 1) Besucht ein Benutzer dieselbe Internetseite sowohl mit als auch ohne Privaten Modus, so darf der Webseitenbetreiber keine Verbindung zwischen diesen beiden Seitenaufrufen herstellen können. Dieses Ziel wird bei Chrome, Firefox und Internet Explorer zumindest teilweise implementiert indem Cookies im Privaten Modus nicht verfügbar sind, die ohne Privaten Modus gesetzt wurden. 2) Besucht der Benutzer eine Internetseite in zwei verschiedenen privaten Sitzungen, so darf es nicht möglich sein den Zusammenhang zu einem Benutzer herzustellen Als Beispiel sei folgendes Szenario gegeben: Ein Benutzer besucht eine Internetseite das erste mal ohne Privaten Modus, danach ein zweites mal im Privaten Modus. Anschließend nochmal ohne und beim vierten und letzten mal wieder unter Schutz der Privatsphäre. Anschließend soll der entfernte Angreifer nicht erkennen können, dass es sich bei dem zweiten und vierten mal um denselben Benutzer handelte. Dieses Ziel ist in den Browsern zumindest teilweise dadurch umgesetzt, dass Cookies wieder gelöscht werden, die während der privaten Sitzung gespeichert wurden. 3) Eine Internetseite soll nicht in der Lage sein zu erkennen, ob der Private Modus gerade aktiviert ist oder nicht. Wie in Kapitel II-C bereits erwähnt wurde, hat zur Zeit der Studie von Aggarwal, Bursztein, Jackson und Boneh [1] kein Browser dieses Ziel umsetzen können. Die Ziele (1) und (2) sind für Browser sehr schwer einzuhalten. Es gibt zahlreiche Möglichkeiten Benutzer zu verfolgen (engl. tracking), die wenn überhaupt nur mit enormen Aufwand unterbunden werden können. Erkennungsmerkmale, die dazu verwendet werden können sind beispielsweise die IP Tabelle I: Welche Daten aus dem normalen Modus sind während einer privaten Sitzung verfügbar? [1, S. 7] FF Safari Chrome IE Chronik ja ja nein nein Cookies nein ja nein nein Lokaler Speicher HTML5 nein ja nein nein Lesezeichen ja ja ja ja Passwort Datenbank ja ja ja ja Formular Autovervollständigung ja ja ja nein Selbst signierte SSL Zertifikate ja ja ja ja Einträge in der Download Liste nein ja ja n/a Heruntergeladene Dateien ja ja ja ja Suchausdrücke und Suchfeld ja ja ja ja Cache nein nein nein nein Client Zertifikate ja ja ja ja Anwender-spezifische Protokolle ja n/a n/a n/a Seiten-spezifische Zoomstufe nein n/a ja n/a Tabelle II: Welche Daten aus dem Privaten Modus sind nach Ende der Sitzung noch verfügbar? [1, S. 7] FF Safari Chrome IE Chronik nein nein nein nein Cookies nein nein nein nein Lokaler Speicher HTML5 nein nein nein nein Lesezeichen ja ja ja ja Passwort Datenbank nein nein nein nein Formular Autovervollständigung nein nein nein nein Selbst signierte SSL Zertifikate nein ja ja ja Einträge in der Download Liste nein nein nein n/a Heruntergeladene Dateien ja ja ja ja Suchausdrücke und Suchfeld nein nein nein nein Cache nein nein nein nein Client Zertifikate ja n/a n/a ja Anwender-spezifische Protokolle ja n/a n/a n/a Seiten-spezifische Zoomstufe nein n/a nein n/a Adresse, die Bildschirmauflösung, installierte Plugins, installierte Schriftarten oder die Zeitzone. Abgesehen von der IP sind alle Eigenschaften über Javascript auslesbar. Die Electronic Frontier Foundation zeigte im Projekt Panopticlick [2, 3], dass für nahezu alle Browser ein einzigartiger Fingerabdruck (engl. Fingerprint) erstellbar ist, der dazu verwendet werden kann Benutzer zu verfolgen und damit die Ziele (1) und (2) komplett zu umgehen. Torbutton [9] ist ein Browserplugin, welches mit Hilfe des Tor 3 Dienstes die IP Adresse verschleiert und gleichzeitig Maßnahmen ergreift um das Erstellen eines Fingerabdrucks zu erschweren. Die Verwendung des Plugins hat jedoch einen erheblichen Verlust in Geschwindigkeit und Komfort zur Folge. IV. ABWEICHUNGEN VON DEN SICHERHEITSZIELEN A. Unterschiede in den Implementierungen der verschiedenen Browser In Kapitel II-A wurde bereits ein Überblick über die verschiedenen Browser und deren Benutzeroberfläche gegeben. Es werden unterschiedliche Indikatoren zur Kennzeichnung des aktivierten Privaten Modus verwendet. Neben der Benutzerfreundlichkeit spielt bei der Wahl des Indikators auch 3 Tor ist ein Netzwerk zur Anonymisierung. Es verhindert die Identifikation eines Benutzers anhand seiner IP Adresse, indem der Netzwerkverkehr über zahlreiche Computer geleitet wird. André Hanak 8

9 Ein Überblick über verschiedene Schwachstellen des Privaten Modus bei Tabelle III: Welche Daten sind während des Privaten Modus verfügbar? [1, S. 7] FF Safari Chrome IE Chronik nein nein nein nein Cookies ja ja ja ja Lokaler Speicher HTML5 ja ja ja ja Lesezeichen ja ja ja ja Passwort Datenbank nein nein nein nein Formular Autovervollständigung nein nein nein nein Selbst signierte SSL Zertifikate ja ja ja ja Einträge in der Download Liste ja nein nein n/a Heruntergeladene Dateien ja ja ja ja Suchausdrücke und Suchfeld nein nein nein nein Cache ja ja ja ja Client Zertifikate ja n/a n/a ja Anwender-spezifische Protokolle ja n/a n/a n/a Seiten-spezifische Zoomstufe nein n/a ja n/a die Privatsphäre eine Rolle. Einer Person, die dem Benutzer über die Schulter schaut, fällt es bei deutlich erkennbaren Indikatoren leichter herauszufinden, ob der Modus aktiv ist. Im Safari 4 wurde das Problem ernst genommen, im Firefox fällt der Hinweis in der Titelleiste zumindest nicht sofort auf. In allen anderen Browsern ist der Hinweis in oder neben der Adressleiste deutlich erkennbar. Im Folgenden soll das interne Verhalten genauer untersucht werden. Aggarwal, Bursztein, Jackson und Boneh [1, S. 4] haben untersucht, wie sich verschiedene Browserfunktionen im Privaten Modus verhalten. Die Tests wurden unter Windows 7 mit den Standardeinstellungen der Browser durchgeführt. Die Ergebnisse sind in den Tabellen I, II und III zusammengefasst. Tabelle I beschreibt inwiefern im normalen Modus gespeicherte Daten im Privaten Modus zugreifbar sind. Das Erschweren des Zugriffs auf solche Daten dient im Wesentlichen dem Schutz vor dem entfernten Angreifer aus III-B. Dass Safari dieses Modell vollständig ignoriert sieht man in der zweiten Spalte. Alle Daten, mit Ausnahme des Caches, sind beim privaten Surfen zugänglich. Bei allen Browsern sind die Chronik, Lesezeichen und gespeicherte Passwörter im Privaten Modus verfügbar. Firefox, Chrome und der Internet Explorer blockieren hingegen öffentlich gesetzte Cookies oder Inhalte des HTML5 Speichers. In anderen Dingen verhalten sich die Browser oft inkonsistent. So verwendet Firefox ohne Privaten Modus generierte Client Zertifikate auch in diesem Modus. Dies ist widersprüchlich zum Sperren von Cookies, denn mit Client Zertifikaten lässt sich genauso wie bei Cookies eine Verbindung zwischen dem Besuchen einer Seite mit und ohne Privaten Modus herstellen. Tabelle II zeigt, ob Daten, die während des Surfens im Privaten Modus anfallen, auch nach Beendigung dieses Modus noch verfügbar sind. Dies stellt den Kern des Privaten Modus dar. Die Sicherheit vor einem lokalen Angreifer soll damit gewährleistet werden. Alle Browser versuchen dieses Ziel umzusetzen. Allen Browsern ist gemeinsam, dass sie die Chronik, Cookies und den HTML5 Speicher löschen. Alle übernehmen Lesezeichen und heruntergeladene Dateien. Akzeptiert und speichert ein Benutzer ein selbst signiertes SSL Zertifikat, so wird dieses nur im Firefox wieder verworfen. Tabelle III ist eine Übersicht darüber, welche Informationen während ein und derselben privaten Sitzung temporär verfügbar sind. Firefox schreibt nichts in die Chronik, merkt sich keine Passwörter oder Suchausdrücke. Im Gegensatz dazu werden Cookies zunächst gespeichert und erst am Ende der Sitzung gelöscht. Die Cookies und auch der Cache werden aber nur im Arbeitsspeicher abgelegt, so dass nach einem möglichen Absturz keine Spuren hinterlassen werden. Firefox ist der einzige Browser, der im Privaten Modus Einträge in die Download Liste schreibt. Auch diese werden allerdings am Ende der Sitzung wieder gelöscht. B. Schwachstellen aufgrund der Implementierungen und Inkonsistenzen Aufgrund der oben genannten unterschiedlichen Implementierungen und Inkonsistenzen in den verschiedenen Browsern entstehen bereits zahlreiche Probleme, die mit der Einhaltung der Sicherheitsziele bezüglich der Privatsphäre im Widerspruch stehen. Ich möchte hier vier dieser Probleme beschreiben. Ein Problem ist eine Funktion in HTML5, die sich custom protocol handlers (CPH) nennt. Diese Funktion erlaubt es Internetseiten eigene Protokolle zu definieren. Das eigene Protokoll xyz kann in einer URL der Form xyz://adresse/pfad verwendet werden. Firefox speichert diese Daten jedoch auch nach Ende der privaten Sitzung. Verwendet eine vom Benutzer im Privaten Modus besuchte Internetseite so ein CPH, so kann der Angreifer im Nachhinein nachvollziehen, dass diese bestimmte Seite schon einmal besucht wurde. Client Zertifikate sind ein weiteres Problem. Sie können zur Autorisierung dienen und beispielsweise die Anmeldung über eine Session Cookie ersetzen. Auch diese Funktion implementiert nur Firefox und behält das Zertifikat auch nach Ende der privaten Sitzung. Wurde im Privaten Modus also eine Seite aufgerufen, die diese Technik verwendet, so weiß der Angreifer zumindest, dass die Seite schon einmal besucht wurde. Ein weiteres Problem bei dem Zertifikate eine Rolle spielen stellen selbst signierte Serverzertifikate dar. Da von einer vertrauten Authentifizierungsstelle unterschriebene Zertifikate in der Regel kostenpflichtig sind, verwenden viele Internetseiten selbst signierte Zertifikate oder lassen sie von Zertifizierungsstellen signieren, die dem Browser nicht bekannt sind. Diese Zertifikate müssen dann vom Benutzer extra bestätigt werden und werden als Ausnahme gespeichert. Chrome, Internet Explorer und Safari löschen diese Ausnahmen nicht nach Ende der Sitzung. Ein Angreifer kann also wiederum herausfinden, welche Internetseiten besucht wurden, für den Fall dass diese solch ein Zertifikat verwenden. Problematisch sind weiterhin SMB 4 Anfragen beim Internet Explorer. Der Internet Explorer ermöglicht es beispielsweise Bilder von einem Rechner innerhalb des Windows Netzwerks einzubinden. Adressen haben dabei die Form \\Rechnername\Pfad\Dateiname. Ein entfernter 4 SMB: Protokoll, dass verwendet wird, um auf Windows Netzwerkfreigaben zuzugreifen André Hanak 9