Wenn staatliche Stellen auf privaten Rechnern einen hingepfuschten Bundestrojaner mit Sicherheitslöchern so groß wie ein Scheunentor installieren, denn ist das den Datenschützern einfach nur scheißegal. Die fragen da nicht nach, sondern glauben einfach, dass schon alles seine Ordnung hat. Nur, falls jemand glaubt, dass die irgendwie unabhängig sind und die Interessen der Menschen vertreten. Die sind einfach nur dafür da, ein bisschen »gefühlten Datenschutz« zu erzeugen. Mehr nicht. Und mehr machen sie offenbar auch nicht.
Schlagwort Security RSS
-
Nachtwächter
-
Nachtwächter
Da fragt mich doch gerade jemand, wie man seinen Klapprechner vorm Bundestrojaner schützen kann, wenn er beim Zoll etc. mal kurz mitgenommen wird. Für Linuxer ist es relativ einfach, eine komplett verschlüsselte Festplatte zu benutzen und bei jedem Booten die Passphrase einzugeben, wenn das vielleicht auch ein bisschen unbequem ist.
Wer ein anderes System verwendet, hat es nicht so leicht, Sicherheit herzustellen. Aber es ist immer noch möglich, die Manipulation durch einen Mitarbeiter des Zolls sicher zu erkennen. Einfach vor und nach der Abgabe des Klapprechners Knoppix von einer CD oder einem Datenzäpfchen booten, um die Festplatte untersuchen zu können, ohne das installierte System zu booten und damit den Inhalt der Festplatte zu verändern. Beide Male ein »dd if=/dev/sda bs=64M | md5sum« an der Kommandozeile absetzen und die beiden Ausgaben vergleichen (die erste am besten notieren). Wenn sich diese Ausgaben auch nur in einem einzigen Zeichen unterscheiden (der Unterschied ist in der Regel gravierend), wurde das Dateisystem der Festplatte mit Sicherheit von Zoll-Mitarbeitern manipuliert – mindestens wurde der Klapprechner hochgefahren, warum zum Teufel auch immer. Wenn das der Fall ist, am besten den Rechner gar nicht mehr hochfahren und die Platte zum CCC schicken, damit die Leute dort die Stasi-2.0-Software auch mal in installierter Form vor sich haben und nicht nach einer stümperhaften Löschung rekonstruieren müssen.
So lässt sich mit relativ geringem Aufwand die Installation einer Schadsoftware durch den Zoll wenigstens erkennen – und es kommt zu einer Dokumentation derartiger Übergriffe in persönliche Kommunikations- und Organisationsgeräte.
Und sollte der Zoll gewohnheitsmäßig jeden Rechner booten, den er in die Hände bekommt… na, wozu sollte er das tun, wozu zum schwefelkackenden Höllenhund?! Etwa, um ungeschützte Daten lesen zu können? Einen objektiven Grund, der das Booten eines Rechners im allgemeinen Falle erforderlich macht, gibt es bei der Kontrolle nicht. Es wäre auch schon wieder ein Politikum…
-
Nachtwächter
Das waren wohl mal wieder so richtige Experten, die den »Bundestrojaner« geschrieben haben: Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können. Finde ich übrigens toll, dass das Ding fernsteuerbar ist und nach der Installation beliebiges Zeug droppen kann. Das freut die Ermittler bestimmt. Wenn sie bei der Untersuchung und Überwachung schon nichts finden können, dann haben sie wenigstens die Möglichkeit – und gäbe es da jemanden, der das kontrollierte? – einfach ein bisschen belastendes Material auf dem untersuchten Rechner zu hinterlegen. Das sind doch großartige Möglichkeiten, um langwierige Ermittlungen ein wenig zu beschleunigen!
Nachtrag: Ich lese gerade die Dokumentation des CCC und denke mir immer wieder nur: Das kann doch nicht wahr sein! Haben die sich etwa ein Ei unterjubeln lassen? Wenn dieser Trojaner auf einem Rechner läuft, kann er von jedem anderen Rechner im Internet angesteuert werden. Es gibt kein Authentifizierungsverfahren. Auf keiner Seite der Kommunikation. (Okay, die IP-Adresse muss gespooft werden, aber das ist Kinderkacke.) Der Trojaner sendet einfach nur als eigene Identifikation C3PO-r2d2-POE zurück. Ja, C3PO und R2D2! Laserschwert, ich hör dich brummen! Und jeder Rechner im Internet, über den das geroutet wird, könnte an der bloßen Tatsache, dass dieser festgesetzte String gesendet wird, den Trojaner erkennen und alles mögliche damit machen. Zum Beispiel beliebige ausführbare Dateien auf den befallenen Rechner hochladen, die dann ausgeführt werden. Die müssen nicht einmal verschlüsselt werden. Unfassbar! So doof können die Programmierer im mutmaßlichen Auftrag des BKA doch gar nicht gewesen sein. Und wenn sie es doch waren, kann das durch keine Revision gekommen sein. Wenn das wirklich der Bundestrojaner ist, denn hat sich in Zukunft jedes Vertrauen in eine staatlich erstellte Software erübrigt. Da herrscht gnadenlose Unfähigkeit. Das ist einfach nur…
Nachtrag Zwei: Hallo, Zeit Online, Einschläge? »Ein besserer Schutz wäre klarere Gesetze« – das Ding ist jetzt schon klar gesetzwidrig. Das hat sich schon vor einer vollständigen Analyse gezeigt. Glaubt die Zeit da allen Ernstes, dass andere, nein: »bessere« Gesetze eher eingehalten würden? Puh, wenn das der Journalismus ist, der die Machenschaften für die Menschen in der BRD kontrolliert und erklärt, dann brauchen die Profiteure der Machenschaften aber keine Angst vor diesem Journalismus zu haben.
Nachtrag Drei (Weil ich gerade hellwach geworden bin): Die FAZ hat es wirklich gut und laientauglich erklärt, ohne sich durch staatstragende Bullshit-Erklärungen hervorzutun. Schade, dass ich niemanden kenne, der die FAS liest, sonst hätte ich etwas, worauf ich mich schon freuen würde…
Nachtrag Vier: Lesenswert ist der Kommentar und die Zusammenfassung im Lawblog.
Nachtrag Fünf: Das sehe ich ja jetzt erst. Was für eine Tomate auf den Augen! »Der Code wird morgen in ausführlicher und kommentierter Form im Feuilleton der ›Frankfurter Allgemeinen Sonntagszeitung‹ abgedruckt« – ROFL! Treffer und versenkt! Danke, CCC, Danke! Dass ich das noch einmal erleben darf, dass solche »Staatsgeheimnisse« der BRD in einer deutschsprachigen Zeitung stehen!
Nachtrag Sechs: Ein Video des CCC über den Bundestrojaner und seine Möglichkeiten.
-
Nachtwächter
Ich finde die Idee der Banken, dass man das so genannte »Online-Banking« (kann man nicht einfach »Fernkontoführung« sagen) sicherer macht, indem man es nicht nur in einer komplexen und deshalb für den Normalanwender undurchschaubaren Anwendung wie einem Webbrowser laufen lässt, sondern zudem die zusätzliche Komplexität eines für den Normalanwender ebenfalls undurchschaubaren mTAN-Verfahrens einbaut, bei dem die TAN über das (ebenfalls angreifbare) Händi übermittelt wird, mehr als nur ein bisschen bescheuert. Sicherheit und Komplexität sind ein Gegensatzpaar; ein komplexes Verfahren zur »Sicherheit« ist um so leichter angreifbar, je weniger die Menschen, die dieses Verfahren anwenden sollen, dabei in die Lage versetzt werden, es zu verstehen und damit die für wirkliche Sicherheit erforderliche Selbstverantwortung wahrzunehmen. Von daher bin ich nicht darüber überrascht, dass jetzt die ersten einigermaßen ausgefeilten Angriffe gegen das mTAN-Verfahren laufen. Vermutlich wird es Banken (und damit ihre Kunden) einige Milliarden Euro Lehrgeld kosten, bis endlich die Lektion gelernt wird, dass Sicherheit nur durch eine größtmögliche Reduktion der Komplexität (und damit der angreifbaren Komponenten eines Verfahrens) erreichbar ist. Vermutlich wird man dann erst einsehen, dass gewisse Dinge nicht in einem Browser getan werden sollten…
-
Nachtwächter
Und in der endlosen Galerie von Beispielen, warum man auch einigermaßen seriösen Websites nicht pauschal die Verwendung von Plugins und das Ausführen von Skripten im Browser gestatten sollte (wie es die Grundeinstellung aller Browser ist), gibt es ein weiteres Ausstellungsstück: Die Website MySQL.com wurde gecrackt und hat Malware an Windows-Rechner verteilt.
-
Nachtwächter
Kleiner Lacher zur Nacht: Endlich ist Java so richtig sicher geworden, denn Code, der nicht ausgeführt wird, hat auch keine ausbeutbaren Sicherheitslücken.
-
Nachtwächter
Security-Fail des Tages: Nicht nur DigiNotar wurde gehackt, auch GlobalSign musste gerade etwas recht peinliches vermelden. Mit Gruß von diesen ganzen CAs, auf die sich alle Browser dieser Welt ab Werk vorbehaltlos verlassen.
Wollen wir mal hoffen, dass der Webserver wirklich so isoliert vom Rest der technischen Infrastruktur war, wie sich das gehört. Wenn nicht, könnten jetzt noch mehr falsche Zertifikate im Umlauf sein.
-
Nachtwächter
Oops! »[…] eine Liste mit 531 Zertifikaten ausgehändigt, in der sich auch die Domains zahlreicher Geheimdienste wiederfinden: Die Angreifer konnten jeweils mehrere Zertifikate für www.sis.gov.uk (MI6), www.cia.gov und www.mossad.gov.il ausstellen. Auch für diverse Microsoft-Domains wurden missbräuchlich Zertifikate ausgestellt, darunter microsoft.com, windowsupdate.com, login.live.com und skype.com. Weitere Prominente Opfer sind facebook.com, twitter.com, aol.com, android.com und secure.logmein.com« – schon bemerkenswert, dieser Crack bei DigiNotar. Vor allem ists bemerkenswert, wie so nach und nach die Informationen über den wirklichen Umfang rausgetröpfelt werden und hoffentlich für ein allgemeines Misstrauen sorgen. Sonst fängt noch jemand an, zu glauben, dass mit TLS verschlüsselte Internetverbindungen sicher, authentifiziert und unbelauschbar sind. (Sind sie nicht und sind sie nie gewesen, wer es nicht glaubt, schaue bitte mal in seinen Browsereinstellungen, welchen Zertifizierungsstellen ab Werk vorbehaltlos vertraut wird.) Zertifikate sind über dieses besondere Vertrauen gegenüber Regierungsstellungen hinaus vollkommen wertlos, was sich daran zeigt, dass das Gesamtsystem kompromittiert werden kann, wenn es gelingt, in eine einzige Klitsche einzudringen und sich nach Herzenslust welche auszustellen.
Nachtrag: Aufgrund des Vertrauensverlusts gegenüber DigiNotar und und um einen weiteren Missbrauch zu verhindern, habe die niederländische Regierung die Kontrolle über DigiNotar übernommen… aber glaube mal keiner, dass die niederländische Regierung kompromittierte Infrastrukturen abschaltet, indem sie die Zertifikate zurückzieht! Das würde ja zu Ausfällen führen, huch wie schrecklich. Wenn ich DigiNotar gehäckselt hätte, dann würde ich mir jetzt die Hände reiben und mich sehr darüber freuen, dass die von mir kompromittierten Systeme jetzt mit der scheinbaren Autorität eines staatlich kontrollierten Ladens laufen. Was für ein Fail!
-
Nachtwächter
Ach übrigens: Die Verschlüsselung bei DE-Mail (also die Übertragung einer Klartext-Mail über HTTPS zu einem Server, der die Klartext-Mail lesen kann) ist genau so sicher gegen das Mitlesen oder gegen Manipulationen wie Google Mail über HTTPS – also gar nicht, wenn signierte Zertifikate auf irgend einem Weg in der Hand eines Abhörers auf der Leitung geraten sind.
Nachtrag: NEIN, Heise, das war kein GAU. Es war kein »Unfall« oder gar höhere Gewalt. Es war gezielte, von Menschen durchgeführte Manipulation, aufgetreten in einer Stelle, der nahezu sämtliche Browser im Internet vertraut haben. Eine mutmaßlich aus niederen Motiven durchgeführte Manipulation, vielleicht aber auch aus religiösem Fanatismus – warten wirs ab, wie es duftet, wenn man im Schlamm stochert. Dass dabei die private Kommunikation von Menschen einem autoritären und bis zum Justizmord gewaltbereiten Staat ausgehändigt wird, hat die Menschen, die gezielte Manipulationen vorgenommen haben, nicht weiter gestört… was immer auch ihre Motive waren. Heise, so etwas als »Unfall« zu bezeichnen, ist schon ein bisschen zynisch.
Nachtrag Zwei: Das Zertifikat ist übrigens angeblich als Folge eines Hacks nach draußen gelangt. Und dieser Laden DigiNotar, der es offensichtlich durch Einsparung des Gehaltes eines Menschen, der sich mit IT-Sicherheit auch auskennt, ermöglicht hat, dass mit einen Angriff auf einen ständig mit dem Internet verbundenen »Opferrechner« Zertifikate generiert werden konnten, hat jedes Vertrauen verspielt. Ziemlich endgültig. Wie das wohl bei den anderen, in jedem Browser ab Haus als »vertrauenswürdig« vorgegebenen Zertifikatsausstellern aussieht?
Nachtrag Drei: Bitte diese aktuellen Screenshots betrachten und darüber nachdenken, was das für Leute sind, denen das gesamte Internet vertrauen soll.
-
Nachtwächter
Man kann es den Angreifern aus dem Internet aber auch einfach machen. Zum Beispiel, wenn man für die Fernwartung seines Windows-Servers ein Passwort wählt, dass erraten werden kann, indem Listen bekannter Passwörter durchprobiert werden. Das ist keine Sicherheitslücke in Windows, das ist eine Sicherheitslücke im Schädel des Administrators.
Nachtrag: Ein Admin, der für einen Rechner zuständig ist, der jetzt von Morto befallen wurde, muss sofort gekündigt werden. Kündigungsgrund? Die Passwörter, die Morto durchprobiert.
-
Nachtwächter
WTF? Was die da als tolle Sicherheitslösung verkaufen wollen, ist doch ziemlich genau das, was man in Form von Tor schon lange frei und völlig kostenlos haben kann. Na ja, jeden Tag steht ein neuer
DeppKunde auf, der auch fürs Kostenlose zu bezahlen bereit ist. Wie oft ein solcherDeppKunde wohl »Entscheider« in irgendwelchen Unternehmen ist? -
Nachtwächter
Wikileaks hat wenigstens bislang erfolgreich den Eindruck erweckt, dass es für die Leute, die da irgendwelches Material hochladen, sicher wäre. War es aber nicht. Und jetzt leakt Wikileaks…