Zertifikat für Mailserver

Gregor Hermens gregor.hermens at a-mazing.de
Do Okt 20 10:29:17 CEST 2016 

Hallo Walter,

Am Donnerstag, 20. Oktober 2016 schrieb Walter H.:
> On Thu, October 20, 2016 07:57, Gregor Hermens wrote:
> > In beiden Fällen muß ich nur zusätzlich Einfluß auf den DNS-Resolver des
> > Opfers nehmen können,
> 
> was ohne entsprechende Kollateralschäden schon mal nicht möglich ist;
> 
> > was bei genügend krimineller Energie kein Hexenwerk ist...
> 
> doch, weils in der Menge derer, die diesen Resolver verwenden, garantiert
> mind. einen gibt, dem es verhext vorkommt und mit dem Besen andere warnt
> ;-)
> 
> oder anders: ein MITM Angriff auf die Art nur auf EINE ganz bestimmte
> Person ist ausgeschlossen;

wenn ich es schaffe, mich in die Internet-Verbindung meines Opfers 
einzuklinken, kann ich mich diesem gegenüber sowohl als dessen Resolver als 
auch Mailserver ausgeben.

Beispiel: Ich könnte einen WLAN-Access-Point aufsetzen, diesem die SSID eines 
offenen WLAN geben, daß das Opfer auch benutzt, mich in die Nähe des Opfers 
begeben und so dafür sorgen, daß sich dessen Smartphone statt über das 
Mobilfunknetz über das ihm bekannte WLAN mit dem Internet verbindet. Der echte 
Resolver und dessen andere Nutzer bekommen davon nichts mit, ich habe aber 
Zugriff auf den gesamten unverschlüsselten Traffic des Opfers und kann 
verschlüsselten Traffic terminieren für alle Gegenstellen, deren Zertifikat 
ich fälschen konnte. Der Angriff auf eine einzelne Person ist imho also sogar 
leichter als der auf eine ganze Gruppe.

> hat jemand seine eigene Domain, und betreibt zusätzlich seinen eigenen
> Resolver sowie auch die Athoritativen DNS Server der Domain, ist ein
> derartiger MITM-Angriff das kleinere Problem ...

Das ist aber nicht der Normalfall. Aber auch hier reicht es, wenn ich mich 
zwischen das Opfer und seinen Resolver setzen oder den Resolver z.B. per Cache 
Poisoning beeinflussen kann. Das Opfer müsste z.B. Certificate Pinning 
betreiben, um sich zu schützen.

Gruß,
Gregor
-- 
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  gregor.hermens at a-mazing.de
D-82216 Gernlinden    http://www.a-mazing.de/

Mehr Informationen über die Mailingliste postfix-users