Archiv für den Monat: Oktober 2011

Univention signiert Xen-Windows-Treiber

Die auf Open-Source-Komplettlösungen spezialisierte Univention GmbH spendiert den unter GPL stehenden Xen-Windows-Treibern eine Signatur. Durch diese Signatur ist es erst möglich, die Treiber regulär in 64-Bit-Windows-Systemen einzusetzen. Bisher musste man modernere Windows-Versionen, wenn es sich um die 64-Bit-Variante handelt, in einen speziellen Testmodus versetzen, um die von James Harper entwickelten Treiber überhaupt einsetzen zu können. Vergleichbare, signierte Treiber für Xen gibt es zwar auch von Citrix, doch einen Einsatz mit der Community-Variante des Hypervisors hat man dort nie offiziell gutgeheißen.

Die jetzt mit Signatur erhältlichen (PV-)Treiber werden nachträglich in einer Windows-VM unter Xen installiert. Sie etablieren eine neue Schnittstelle für Netzwerk- und Festplattenzugriffe zur Kommunikation mit dem Hypervisor, die deutlich schneller zu Werke geht als die andernfalls aktive Emulation solcher Geräte — diese Besonderheit, die auch Paravirtualisierung genannt wird, ist eine Spezialität von Xen. Sie ist aber inzwischen auch bei KVM gebräuchlich, dort liefert Red Hat entsprechende, mittlerweile auch signierte Treiber, und sogar Microsoft benutzt in Windows mit Hyper-V ähnliche Technik.

Den originalen Artikel mit allen Links sowie eine englische Version des Artikels von Peter Siering, findet ihr unter Univention signiert Xen-Windows-Treiber von heise.de.

Freundliche Grüße
das OSS-Haus Team

Bessere Suche für Thunderbird

Mit der Erweiterung ‚CryptoBird‘ können Nutzer des quelloffenen E-Mail-Programms Thunderbird zukünftig auch verschlüsselte E-Mails durchsuchen. Wer seine Daten nicht im Klartext auf der Festplatte oder bei einem Webmail-Anbieter speichern will, musste bisher auf wichtige Funktionen wie die Schlagwortsuche verzichten.

Wissenschaftler der TU Darmstadt bieten die am LOEWE-Zentrum Center for Advanced Security Research Darmstadt (CASED) entwickelte Software kostenlos als Download an.

Obwohl praktisch jedes moderne E-Mail-Programm Verschlüsselung anbietet, setzen nur wenige Nutzer und Unternehmen sie bisher ein. Einen Grund vermutet der Darmstädter Informatiker Dr. Alexander Wiesmaier in der eingeschränkten Funktionalität: „Ich nutze Thunderbird als Mailprogramm, um mich mit meiner Arbeitsgruppe zu koordinieren. Dabei hat mich immer geärgert, dass ich verschlüsselte E-Mails nicht durchsuchen kann.“

Wiesmaier konnte eine Gruppe von Informatikstudenten für die Aufgabenstellung gewinnen. Im Rahmen von Praktika entwickelten Jurlind Budurushi, Christian Fritz, Franziskus Kiefer, Christian Kirschner und Maik Thöner das Add-on CryptoBird. „Uns war wichtig, dass sich CryptoBird nahtlos in die gewohnte Benutzeroberfläche integriert, damit die Verschlüsselung beim Arbeiten kaum auffällt“, sagte der Student Franziskus Kiefer. „Jetzt ergänzen wir noch weitere Funktionalitäten, wie zum Beispiel das Anlegen und Durchsuchen verschlüsselter Kalendereinträge. Die erweiterte Version ist dann bald als Update verfügbar.“

Die Forscher hoffen, dass interessierte Programmierer CryptoBird im Open-Source-Projekt fortführen und für weitere E-Mail-Clients wie Outlook, Evolution und Apple Mail sowie für mobile Plattformen anpassen.

Den originalen Artikel mit allen Links und Fotogalerie von Lutz Poessneck, findet ihr unter Bessere Suche für Thunderbird von silicon.de.

Freundliche Grüße
das OSS-Haus Team

LibreOffice kommt auf iOS, Android und in den Browser

Die freie Büro-Software, die aus OpenOffice hervorgegangen ist, soll künftig auch auf den Mobilbetriebssystemen Android und iOS laufen.

Zudem, wie die Document Foundation auf einer LibreOffice-Konferenz in Paris erklärte, werde die quelloffene Suite auch in Browsern laufen. Bis es so weit ist, wird jedoch einige Zeit vergehen, wie die Document Foundation mitteilt: „Das sind keine Produkte, die für Endanwender erhältlich sind, sondern fortgeschrittene Entwicklungsprojekte, die Ende 2012 oder Anfang 2013 zu Produkten werden sollen.“

Der Prototyp der Online-Version von LibreOffice nutzt das Software Framework GTK+, HTML Canvas für 2D-Grafik und WebSocket für die Kommunikation zwischen Browser und Server. Dem Projekt steht der Deutsche Michael Meeks von Suse vor.

Für die Android- und iOS-Varianten von LibreOffice zeichnet sich mit Tor Lillqvist ebenfalls ein Suse-Programmierer verantwortlich. Nach Angaben der Document Foundation steht aber die Arbeit an der Benutzeroberfläche noch am Anfang. Teile des Programmcodes wurden aber bereits kompiliert.

Im Rahmen der Konferenz gab die Document Foundation bekannt, dass mehrere französische Regierungsbehörden insgesamt 500.000 Computer, der größte Teil davon Windows-Rechner, von OpenOffice.org auf LibreOffice umstellen. „Dadurch vergrößert sich die Installationsbasis unter Windows auf einem Schlag um 5 Prozent“, so die Document Foundation.

Dies ist ein weiteres Zeichen dafür, dass nicht nur die Community, sondern auch die Anwender inzwischen LibreOffice dem Vorgänger OpenOffice vorziehen. Die Document Foundation und damit auch LibreOffice waren von Programmierern ins Leben gerufen worden, die mit der Entwicklung von OpenOffice in den Monaten nach der Übernahme von Sun Microsystems durch Oracle unzufrieden waren. Einige Zeit danach übergab Oracle die Verantwortung für OpenOffice an die Apache Software Foundation.

Viele Linux-Anbieter wie Red Hat, Suse und Ubuntu haben sich hinter LibreOffice gestellt. IBM, dessen kostenlose Produktivitätsanwendungen Lotus Symphony auf OpenOffice basieren, unterstützt hingegen weiterhin OpenOffice.org.

Den originalen Artikel mit Fotogalerie von Martin Schindler, findet ihr unter LibreOffice kommt auf iOS, Android und in den Browser von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Copyright-Klage gegen Zeitzonen-Datenbank

Die unter anderem von allen Unix- und Linux-Versionen als Referenz für Zeitzoneninformationen genutzte Datenbank ist nicht mehr verfügbar. Wie das britische Nachrichtenportal The Register berichtet, wurde der FTP-Server, den die amerikanischen National Institutes of Health (NIH) betrieben haben, vom Netz genommen. Grund dafür soll eine Copyright-Klage gegen Arthur David Olson und Paul Eggert sein, die die so genannte Olson-Datenbank und den Server seit vielen Jahren pflegen.

Die bislang als Public Domain frei verfügbare tz-Datenbank enthält historische Informationen über die lokale Zeit für ausgewählte Orte der Erde (Beispiel: „Europe/Berlin“). Sie wird unter anderem von allen Unix- und Linux-Versionen sowie etlichen Websites und Java-Anwendungen verwendet. Die Zeitzonendaten sind normalerweise statisch gespeichert und werden über System-Updates aktualisiert. Linux legt die Daten im Verzeichnis /usr/share/zoneinfo ab.

Zeitzonen ändern sich erstaunlich oft: Der Java-Entwickler Stephen Colebourne schätzt in seinem Blog, dass es bis zu hundert Änderungen pro Jahr gibt. Bislang veröffentlichte Olson etwa im Monatstakt neue Versionen der tz-Datenbank. Mittlerweile hat Robert Elz vorübergehend ein Backup der Datenbank verfügbar gemacht.

Geklagt hat Astrolabe, Hersteller von Astrologie-Software, in Boston. Astrolabe bietet unter anderem das Programm ACS Atlas an, das aus den beiden Teilen „ACS International Atlas“ und „ACS American Atlas“ besteht. Mit der Software lässt sich die historische Zeit an jedem beliebigen Ort zwecks Erstellung von Horoskopen bestimmen.

Die Olson-Datenbank, so die Klage, verwende unrechtmäßig Material aus dem ACS Atlas, an dem Astrolabe das Copyright halte. Tatsächlich erwähnt ein Kommentar in der Zeitzonen-Datenbank das Buch „The American Atlas“ von ACS Publications als zuverlässige Quelle für Zeitzoneninformationen für die USA vor 1991. Wie die Copyright-Verhältnisse tatsächlich liegen und ob die Zeitzoneninformationen überhaupt durch das Urheberrecht geschützt sind, muss nun das Gericht entscheiden.

Den originalen Artikel mit allen Links von Oliver Diedrich, findet ihr unter Copyright-Klage gegen Zeitzonen-Datenbank von heise.de.

Freundliche Grüße
das OSS-Haus Team

CCC: „Rechtsbruch durch Bundestrojaner“

Der Chaos Computer Club (CCC) hat nach eigenen Angaben Festplatten mit „staatlicher Spionagesoftware“ zugespielt bekommen und die Software analysiert. Stimmt die Analyse und haben Behörden damit gearbeitet, dürften sie Grundrechte missachtet haben. silicon.de zeigt die technische Perspektive und die verfassungsrechtliche Perspektive des Falls.

Wie der Trojaner funktioniert

Wie CCC-Sprecher Frank Rieger in der FAZ vom 9. Oktober berichtet, erhielt der CCC mehrere Festplatten in brauen Umschlägen ohne Absender, vermutlich von „Betroffenen“. Der CCC habe auf allen Festplatten eine Trojaner-Software entdeckt, deren Varianten sehr ähnlich gewesen seien. Die Trojaner-Dateien seien nur „amateurhaft gelöscht“ gewesen.

Die Analyse habe ergeben, dass sich die Software nach dem Start des Computers in alle laufenden Anwendungen einblende. Sie sende Signale an einen fest konfigurierten Server in den USA, um ihre Dienstbereitschaft zu signalisieren. Dieser Datenaustausch werde mit AES verschlüsselt – die Verschlüsselung sei jedoch falsch implementiert gewesen. Auch nehme die Software Befehle des Servers ohne jegliche Authentifizierung entgegen. Einzige Bedingung für die Akzeptanz eines Befehls sei es, dass er von der IP-Adresse des US-Servers zu kommen scheine.

Laut CCC verfügt die Software über vorkonfigurierte Funktionen:

  • Abhören von Skype-Telefonaten
  • Anfertigen von Bildschirmfotos in schneller Folge sowie
  • Nachladen eines beliebigen Programmes aus dem Netz

Die letzte Funktion könne genutzt werden, um mögliche Features zu installieren:

  • Raumüberwachung mit Mikrofon und Kamera des Computers
  • Durchsuchen der Festplatte sowie
  • Herunterladen von Dateien auf die Festplatte

Die letztgenannte Funktion – das Herunterladen von Dateien auf die Festplatte – sei die einzige Funktion der Software gewesen, die gegen eine spätere Analyse getarnt worden sei, so Rieger. Im Code habe sich kein Hinweis auf den Urheber der Software gefunden. Im Jahr 2008 sei jedoch ein interner Schriftverkehr einer Justizbehörde bekannt geworden. Daraus sei hervorgegangen, dass ein deutsches Unternehmen einen Trojaner zum Abhören von Skype angeboten habe, dessen Funktionsumfang sich mit dem jetzt vom CCC analysierten Trojaner decke. Rieger: „Sogar die Anmietung des Weiterleitungsservers im Ausland, um die IP-Adresse der Trojaner-Kontrollstation zu verschleiern, war im Angebot erwähnt.“ Nach Angaben der Frankfurter Rundschau handelt es sich beim besagten Unternehmen um die Firma DigiTask aus dem hessischen Haiger.

Der CCC hat den Quellcode der Trojaner-Software ins Netz gestellt. Der Code ist zudem in der FAZ vom 9. Oktober nachzulesen (Seiten 43 bis 47). Die Behörden wurden zuvor in Kenntnis gesetzt. „Gemäß unserer Hackerethik und um eine Enttarnung von laufenden Ermittlungsmaßnahmen auszuschließen, wurde das Bundesinnenministerium rechtzeitig vor dieser Veröffentlichung informiert. So blieb genügend Zeit, um die Selbstzerstörungsfunktion des Schnüffel-Trojaners zu aktivieren.“

Was das Verfassungsgericht sagt

Das Thema „Bundestrojaner“ ist nicht neu. Im Februar 2008 entschied das Karlsruher Bundesverfassungsgericht, dass Online-Durchsuchungen zulässig, jedoch an strenge Auflagen gebunden sind. Die Richter führten in diesem Zusammenhang ein neues Grundrecht ein: das Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Nach diesem Urteil muss die Online-Durchsuchung durch einen Richter angeordnet werden. Sie ist nur zulässig, wenn Gefahr für Leib, Leben oder Freiheit einer Person besteht. Die Intim- und Privatsphäre („Kernbereich privater Lebensgestaltung“) darf überhaupt nicht angetastet werden – so lange nicht der begründete Verdacht besteht, dass der Verdächtige diesen Schutz ausnutzt. Falls Daten aus dem Intimbereich zufällig erhoben werden, müssen sie sofort gelöscht werden.

Erlaubt ist demnach – nach richterlicher Anordnung – auch die sogenannte Quellen-Telekommunikationsüberwachung. Diese erlaubt den Behörden, Daten auf dem Rechner mitzuschneiden, bevor sie verschlüsselt werden – jedoch nicht dauerhaft, sondern nur für einen bestimmten Telekommunikationsvorgang.

Was der CCC fordert

Laut CCC zeigt die vorliegende Trojaner-Software, dass der Gesetzgeber nachbessern muss. Schon die vorkonfigurierten Funktionen des Trojaners – ohne nachgeladene Programme – seien besorgniserregend. Die von „den Behörden suggerierte strikte Trennung von genehmigt abhörbarer Telekommunikation und der zu schützenden digitalen Intimsphäre“ existiere in der Praxis nicht. Der Richtervorbehalt könne nicht vor einem Eingriff in den privaten Kernbereich schützen.

„Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut“, sagte ein CCC-Sprecher. „Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner.“

Der Trojaner könne auf Kommando – unkontrolliert durch den Ermittlungsrichter – Funktionserweiterungen laden, um die Schadsoftware für weitere Aufgaben beim Ausforschen des Systems zu benutzen. Dieser Vollzugriff auf den Rechner, auch durch unautorisierte Dritte, könne etwa zum Hinterlegen gefälschten belastenden Materials benutzt werden und stelle damit den Sinn dieser Überwachungsmethode grundsätzlich in Frage.

Der Gesetzgeber sei gefordert, dem „ausufernden Computerschnüffeln“ ein Ende zu setzen und „endlich unmissverständlich“ zu formulieren, wie die digitale Intimsphäre juristisch zu definieren und wirksam zu bewahren sei. „Leider orientiert sich der Gesetzgeber schon zu lange nicht mehr an den Freiheitswerten und der Frage, wie sie unter digitalen Bedingungen zu schützen sind, sondern lässt sich auf immer neue Forderungen nach technischer Überwachung ein.“ Dass der Gesetzgeber die Technik nicht überblicken, geschweige denn kontrollieren könne, zeige die vorliegende Analyse der Funktionen der Schadsoftware.

Im Streit um das staatliche Infiltrieren von Computern hätten der Ex-Bundesinnenminister Wolfgang Schäuble (CDU) und BKA-Chef Jörg Ziercke stets betont, die Bürger müssten sich auf höchstens „eine Handvoll Einsätze von Staatstrojanern“ einstellen. Entweder sei nun fast das ganze Set an staatlichen Computerwanzen beim CCC eingegangen oder das Versprechen sei schneller als erwartet von der Überwachungswirklichkeit überholt worden.

Auch andere Zusagen hätten in der Realität keine Entsprechung gefunden. So habe es 2008 geheißen, alle Versionen der „Quellen-TKÜ-Software“ würden individuell angefertigt. Der CCC habe nun mehrere verschiedene Versionen des Trojaners vorliegen, die alle denselben hartkodierten kryptographischen Schlüssel benutzen und nicht individualisiert seien. „Der CCC hofft inständig, dass dieser Fall nicht repräsentativ für die besonders intensive Qualitätssicherung bei Bundesbehörden ist.“

Wie es weiter geht

Das Bundesinnenministerium hat den Einsatz von Spionagesoftware durch das Bundeskriminalamt (BKA) mittlerweile dementiert. „Was auch immer der CCC untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner“, zitierte das Magazin Focus aus einer Mitteilung des Ministeriums.

Den kompletten Artikel mit allen Links von Lutz Poessneck, findet ihr unter CCC: „Rechtsbruch durch Bundestrojaner“ von silicon.de.

Freundliche Grüße
das OSS-Haus Team