email2fax sicherheit

[darcstar]

hallo,
seit kurzem bietet dus.net ja den email2fax-dienst. ich mache mir dabei sorgen um die sicherheit dieses dienstes, steht doch das verschlüsselte password im betreff der unverschlüsselten mail. das heißt, jeder, der diese mail abfängt oder irrtümlich erhält, könnte doch dann unter angabe meiner betreff-zeile auf meine kosten faxen? wäre dies so einfach? also sind die bedenken bezüglich der sicherheit hierbei von belangen? was denkt ihr darüber?
grüße
tom

 

[voipd]

Ja ist so.

Verschluesselst du deine restlichen emails auch oder hast du noch nie ein Passwort per Mail bekommen?

Ausserdem wird das Telefonie SIP Passwort ebenso unverschluesselt uebertragen.

-> Wo ist der (finanzielle) Unterschied zwischen der unverschluesselten Uebertragung des SIP-Passwortes und der Emailbetreffzeile?

Ja, du hast recht, du kannst aber auch die Faxe aus dem Kundencenter abschicken.

voipd.

 

[darcstar]

in der tat habe ich mit schon öfter gedanken gemacht um die sicherheit der sip-passwörter. ich denke, da muß es wohl erst mal wieder richtig krachen, ergo irgendein provider komplett gehackt werden ehe sich in der richtung was tut. was den fax2mail-dienst angeht: wenn hacker daran interesse haben ist es ein leichtes, die mails mit den faxinhalten gezielt abzufangen da ja das ziel bekannt ist und die hacker wissen wo sie suchen müssen. sicher wird hier und da auch mal ein password per mail verschickt, aber bei vielen milliarden mails am tag ist ein angriff hier sicherlich schwerer und der inhalt vieler mails nicht wirklich interessant. bei serienfaxen kann sich aber ein angriff schon mal lohnen, vielleicht auch nur aus spaß von irgendwelchen kids.

grüsse
tom

 

[voipd]

@darcstar

Also ich bitte dich!

• Erstens wirst du Serienfaxe ueber ein technisch optimierteres Interface schicken.
  
• Zweitens schickt z.B. klarmobil PIN,PUK und Passwoerter als klare Email.
  
• Drittens lohnt es sich wohl eher bei 1und1, Strato, GMX oder Yahoo dem Mailserver aufzumachen, da liegt einem dann fast der ganze elektronische Informationsverkehr der Bundesrepublik zu Fuessen. Damit koennte man sicher gut Konten pluendern
  
• Viertens muss man die Kirche im dorf lassen. Das Risikopotenzial ist genauso hoch wie bei Mail, SIP oder sonstigen Diensten.
  
• Fuenftens ist die Wahrscheinlichkeit, dass jemand dein Portemonnaie mit 100.-- Euro klaut hoeher, als das jemand deinen 2*20.-- Euro Nachladeaccount bei dus.net knackt.
  
• Sechtens, natuerlich hast du recht und es ist ein Sicherheitsrisiko. Auf die Strasse zu gehen uebrings auch.

Also nichts dramatisches, sondern nur Leben Live. ;-)

voipd.

 

[Maik]

Ausserdem wird das Telefonie SIP Passwort ebenso unverschluesselt uebertragen.

Wenn ich das richtig verstehe (Ich bin kein Dus.net-Kunde) kann man beim email2fax immer das gleiche "verschlüsselte Passwort" verwenden. Bei SIP wird allerdings Challenge Response Authentication verwendet. Dabei generieren beide Seiten einen Zufallswert die beim "verschlüsseln" des Passworts mitverwendet werden. Da bringt es also eigentlich nix, wenn man die Nachrichten abfängt. Man kann damit nur erkennen, wer wann mit wem telefoniert hat.

Beim email2fax sieht es aber anscheinend anders aus. Da wäre es evtl. sinnvoll, wenn man jedes mal sowas wie ne TAN angeben müsste. Die könnte man sich ja dann einfach im Webinterface generieren lassen.

 

[voipd]

Mein Kenntnisstand bzgl. SIP sieht anders aus, aber da lasse ich mir gerne etwas beibringen. Danke.

Bei dus.net ist das zur Zeit ein statisches Kennwort. Wegen dem TAN verfahren gebe ich dir insofern auch recht, aber man muss immer Kosten/Nutzen/Risiko abwaegen.

voipd.

 

[Maik]

Mein Kenntnisstand bzgl. SIP sieht anders aus, aber da lasse ich mir gerne etwas beibringen. Danke.

Bei SIP 1.0 gab es noch Plain Text Authentication. Bei 2.0 ist das aber nicht mehr erlaubt und mir ist ehrlich gesagt kein Gerät bekannt, das 1.0 spricht.

 

[tscoreninja]

Nachdem dies hier ja eh fleissig diskutiert wird (@darcstar, hast Du es wenigstens erst direkt bei dus.net bemängelt?): realistisch gesehen dürfte derzeit die Chance, dass jemand den Mailverkehr eines Kunden abfängt und über das Kennwort Faxe verschickt wohl relativ gering sein, da das kommerzielle Potenzial eher gering ist. Allerdings tut sich dus.net keinen guten Dienst, dass solche Sicherheitsprobleme überhaupt existieren.

BTW, eigentlich würde für ein sicheres System bereits die Unterzeichnung per S/MIME ausreichen, wenn man seinen Public Key im Kundenbereich hinterlegen könnte. Da S/MIME recht weit verbreitet ist, wäre dies sicherlich die sinnvollste Lösung des Problems. BTW, dus.net hat diesen Lösungsvorschlag schon seit Mittwoch oder Donnerstag per Kontakt-Formular bekommen.

Grüße,
TSCoreNinja

 

[darcstar]

hallo tscoreninja,
da ich mir nicht sicher war ob das sicherheitsproblem besteht, wollte ich es erstmal hier ansprechen. aber die kompetenten und sehr freundlichen leute von dus.net lesen hier ja mit... ;-)
deine idee mit S/MIME gefällt mit sehr gut.
grüsse
tom