Schlagwort-Archive: Silicon.de

Convergence – endlich ein Fix für SSL?

Millionen von Internet-Transaktionen täglich werden von Secure Socket Layer (SSL)-Technologie geschützt. Doch Sicherheitsprobleme tauchen immer wieder auf. Hier könnte ein ganz neues Verfahren eine Lösung bieten.

Vor wenigen Wochen wurde die Open-Source-Webseite von MySQL von Hackern mit JavaScript-Code injiziert und damit der Traffic auf die Malware-Seite BlackHole umgeleitet. Zum Glück dauerte die Weiterleitung nur wenigen Stunden, da verschiedene Sicherheits-Firmen sofort den Betreiber der Seite, Oracle, informierten und das Loch schnell gestopft war. Nun sind derartige Injektionen an sich nichts ungewöhnliches, was diesen Fall so besonders interessant gemacht hat, war die Tatsache, dass dieser Angriff nur möglich war, weil die Hacker Root-Access-Rechte hatten.

Laut den Security-Experten von Trend Micro haben sich die Hacker die Zugänge für die MySQL-Cluster-Server für rund 3000 Dollar auf dem Schwarzmarkt beschafft. Möglich wurde das durch die Attacken auf die SSL-Zertifikatsanbieter DigiNotar, Comodo und Global Sign, die dazu geführt haben, dass sich Hacker immer häufiger Root-Access verschaffen können.

Schon seit 2004 weiß man um die Probleme von SSL/TLS. „Es ist schon lange bekannt, dass es eine Schwäche in diesem Protokoll gibt, und dass wir schon längst einen Update hätten vornehmen müssen“, bestätigt der SSL-Vater Taher Elgamal. Doch seiner Ansicht nach ist es nicht nur das Protokoll, sondern das gesamte Eco-System heutiger Websicherheit. „Wenn ich die Chance hätte, würde ich bessere Browser machen“, sagte Elgamal jüngst in einem Gespräch mit silicon.de und schob damit den Schwarzen Peter an die Browser-Hersteller.

Doch die Browser sind nur eine weitere Schwachstelle der gesamten Infrastruktur-Schwäche. Laut Moxie Marlinspike vom Security-Anbieter Qualys gibt es inzwischen über 650 Organisationen, die wie Comodo oder Global Sign, berechtigt sind, Zertifikate abzuzeichnen. „Bei so vielen digitalen Stempeln wird das ursprüngliche Prinzip eines ‚Single Point of Trust‘ ad absurdum geführt“, sagte Marlinspike jüngst auf einer Sicherheits-Konferenz in San Francisco.

Sein Unternehmen hat sich deshalb eine Lösung einfallen lassen, die von immer mehr Sicherheitsexperten anerkannt wird. „Convergence“ nennt Marlinspike das Verfahren, das nicht auf der Public-Key-Infrastructure aufsetzt, sondern aus einem konföderierten Netz an Notar-Servern besteht, die unabhängig für ein Zertifikat bürgen. Seit April denken Marlinspike und andere Security-Experten bereits über die Implementierung dieser Idee nach. Eines der großen Probleme ist der Traffic der schnell und sicher bewältigt werden muss. Doch inzwischen gibt eine Lösung, die man sich als eine Art Peer-to-Peer-Infrastruktur von unabhängigen Notaren vorstellen kann.

Den kompletten Artikel mit Links von Harald Weiss, findet ihr unter Convergence – endlich ein Fix für SSL? von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Ubuntu wagt den Business-Desktop

Der zunehmenden Nachfrage nach „Ubuntu-Desktops in Firmenumgebungen“ will Canonical jetzt mit verlängertem Support entgegnen.

Der Support für das im April 2012 erscheinenden Ubuntu 12.04, Code-Name „Precise Pangolin“ werde fünf Jahre laufen und nicht drei wie bisher angekündigt. Precise Pangolin ist ohnehin eine Version die für den Long-Term Support, kurz LTS vorgesehen ist.

Mit der Laufzeitverlängerung wolle man Ubuntu-Desktops in Firmenumgebungen stärken, „wo längere Wartungszyklen die Norm sind“. Außerdem laufe das Desktop-Produkt synchron mit der Server-Variante, für deren LTS-Versionen Canonical weiter fünf Jahre Support garantiert.

Canonical-Chef Mark Shuttleworth begründete die Entscheidung zusätzlich detailliert in einem Blog: „Wir müssen der Tatsache Rechnung tragen, dass 12.04 LTS der Desktop der Wahl für einige der größten Linux-Desktop-Rollouts der Welt sein wird, mit in manchen Fällen einer halben Million Desktops unter einem Dach. Mit 12.04 LTS können wir also auch sicherstellen, dass unser Desktop auch in große Installationen verwaltbar ist.“ Dazu gehöre auch ein unproblematischer Übergang von 10.04 LTS und verbesserte Unterstützung mehrerer Monitore, was häufig an Arbeitsplätzen gefordert sei.

Für die Nutzerschnittstelle verwende Canonical wie auch bei der aktuellen Version Unity; eine Rückkehr zu Gnome 2 soll es Shuttleworth zufolge nicht geben. Auf dem Ubuntu Developer Summit werde man eine Liste der Bereiche erstellen, die Verbesserungen und Feinschliff benötigen. Allerdings plane man dann keine großen Änderungen mehr.

Canonical liefert auch den Grund, warum es mit der April-Version keine Experimente eingehen will: „LTS-Versionen sind besonders beliebt bei professionellen Linux-Nutzern. Unseren Zahlen nach setzen 70 Prozent aller Ubuntu-Server-Kunden LTS-Versionen ein.“ Wenn der Desktop genauso lang unterstützt wird wie der Server, so die Kalkulation von Canonical, so wird er in Unternehmen hoffentlich auch ähnlich oft eingesetzt.

Ubuntu 12.04 werde die erste LTS-Version sein, die Cloud-Unterstützung für ARM- und x86-Architekturen liefert, hatte Shuttleworth schon in der ersten Ankündigung geschrieben. Ubuntu 12.04 LTS soll „robust, langlebig, zuverlässig, grundsolide und gut verteidigt“ sein. All diese Attribute schreibt Shuttleworth auch dem namensgebenden Schuppentier (Pangolin) zu.

Den originalen Artikel mit Link und Fotogalerie von Martin Schindler, findet ihr unter Ubuntu wagt den Business-Desktop von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Bessere Suche für Thunderbird

Mit der Erweiterung ‚CryptoBird‘ können Nutzer des quelloffenen E-Mail-Programms Thunderbird zukünftig auch verschlüsselte E-Mails durchsuchen. Wer seine Daten nicht im Klartext auf der Festplatte oder bei einem Webmail-Anbieter speichern will, musste bisher auf wichtige Funktionen wie die Schlagwortsuche verzichten.

Wissenschaftler der TU Darmstadt bieten die am LOEWE-Zentrum Center for Advanced Security Research Darmstadt (CASED) entwickelte Software kostenlos als Download an.

Obwohl praktisch jedes moderne E-Mail-Programm Verschlüsselung anbietet, setzen nur wenige Nutzer und Unternehmen sie bisher ein. Einen Grund vermutet der Darmstädter Informatiker Dr. Alexander Wiesmaier in der eingeschränkten Funktionalität: „Ich nutze Thunderbird als Mailprogramm, um mich mit meiner Arbeitsgruppe zu koordinieren. Dabei hat mich immer geärgert, dass ich verschlüsselte E-Mails nicht durchsuchen kann.“

Wiesmaier konnte eine Gruppe von Informatikstudenten für die Aufgabenstellung gewinnen. Im Rahmen von Praktika entwickelten Jurlind Budurushi, Christian Fritz, Franziskus Kiefer, Christian Kirschner und Maik Thöner das Add-on CryptoBird. „Uns war wichtig, dass sich CryptoBird nahtlos in die gewohnte Benutzeroberfläche integriert, damit die Verschlüsselung beim Arbeiten kaum auffällt“, sagte der Student Franziskus Kiefer. „Jetzt ergänzen wir noch weitere Funktionalitäten, wie zum Beispiel das Anlegen und Durchsuchen verschlüsselter Kalendereinträge. Die erweiterte Version ist dann bald als Update verfügbar.“

Die Forscher hoffen, dass interessierte Programmierer CryptoBird im Open-Source-Projekt fortführen und für weitere E-Mail-Clients wie Outlook, Evolution und Apple Mail sowie für mobile Plattformen anpassen.

Den originalen Artikel mit allen Links und Fotogalerie von Lutz Poessneck, findet ihr unter Bessere Suche für Thunderbird von silicon.de.

Freundliche Grüße
das OSS-Haus Team

LibreOffice kommt auf iOS, Android und in den Browser

Die freie Büro-Software, die aus OpenOffice hervorgegangen ist, soll künftig auch auf den Mobilbetriebssystemen Android und iOS laufen.

Zudem, wie die Document Foundation auf einer LibreOffice-Konferenz in Paris erklärte, werde die quelloffene Suite auch in Browsern laufen. Bis es so weit ist, wird jedoch einige Zeit vergehen, wie die Document Foundation mitteilt: „Das sind keine Produkte, die für Endanwender erhältlich sind, sondern fortgeschrittene Entwicklungsprojekte, die Ende 2012 oder Anfang 2013 zu Produkten werden sollen.“

Der Prototyp der Online-Version von LibreOffice nutzt das Software Framework GTK+, HTML Canvas für 2D-Grafik und WebSocket für die Kommunikation zwischen Browser und Server. Dem Projekt steht der Deutsche Michael Meeks von Suse vor.

Für die Android- und iOS-Varianten von LibreOffice zeichnet sich mit Tor Lillqvist ebenfalls ein Suse-Programmierer verantwortlich. Nach Angaben der Document Foundation steht aber die Arbeit an der Benutzeroberfläche noch am Anfang. Teile des Programmcodes wurden aber bereits kompiliert.

Im Rahmen der Konferenz gab die Document Foundation bekannt, dass mehrere französische Regierungsbehörden insgesamt 500.000 Computer, der größte Teil davon Windows-Rechner, von OpenOffice.org auf LibreOffice umstellen. „Dadurch vergrößert sich die Installationsbasis unter Windows auf einem Schlag um 5 Prozent“, so die Document Foundation.

Dies ist ein weiteres Zeichen dafür, dass nicht nur die Community, sondern auch die Anwender inzwischen LibreOffice dem Vorgänger OpenOffice vorziehen. Die Document Foundation und damit auch LibreOffice waren von Programmierern ins Leben gerufen worden, die mit der Entwicklung von OpenOffice in den Monaten nach der Übernahme von Sun Microsystems durch Oracle unzufrieden waren. Einige Zeit danach übergab Oracle die Verantwortung für OpenOffice an die Apache Software Foundation.

Viele Linux-Anbieter wie Red Hat, Suse und Ubuntu haben sich hinter LibreOffice gestellt. IBM, dessen kostenlose Produktivitätsanwendungen Lotus Symphony auf OpenOffice basieren, unterstützt hingegen weiterhin OpenOffice.org.

Den originalen Artikel mit Fotogalerie von Martin Schindler, findet ihr unter LibreOffice kommt auf iOS, Android und in den Browser von silicon.de.

Freundliche Grüße
das OSS-Haus Team

CCC: „Rechtsbruch durch Bundestrojaner“

Der Chaos Computer Club (CCC) hat nach eigenen Angaben Festplatten mit „staatlicher Spionagesoftware“ zugespielt bekommen und die Software analysiert. Stimmt die Analyse und haben Behörden damit gearbeitet, dürften sie Grundrechte missachtet haben. silicon.de zeigt die technische Perspektive und die verfassungsrechtliche Perspektive des Falls.

Wie der Trojaner funktioniert

Wie CCC-Sprecher Frank Rieger in der FAZ vom 9. Oktober berichtet, erhielt der CCC mehrere Festplatten in brauen Umschlägen ohne Absender, vermutlich von „Betroffenen“. Der CCC habe auf allen Festplatten eine Trojaner-Software entdeckt, deren Varianten sehr ähnlich gewesen seien. Die Trojaner-Dateien seien nur „amateurhaft gelöscht“ gewesen.

Die Analyse habe ergeben, dass sich die Software nach dem Start des Computers in alle laufenden Anwendungen einblende. Sie sende Signale an einen fest konfigurierten Server in den USA, um ihre Dienstbereitschaft zu signalisieren. Dieser Datenaustausch werde mit AES verschlüsselt – die Verschlüsselung sei jedoch falsch implementiert gewesen. Auch nehme die Software Befehle des Servers ohne jegliche Authentifizierung entgegen. Einzige Bedingung für die Akzeptanz eines Befehls sei es, dass er von der IP-Adresse des US-Servers zu kommen scheine.

Laut CCC verfügt die Software über vorkonfigurierte Funktionen:

  • Abhören von Skype-Telefonaten
  • Anfertigen von Bildschirmfotos in schneller Folge sowie
  • Nachladen eines beliebigen Programmes aus dem Netz

Die letzte Funktion könne genutzt werden, um mögliche Features zu installieren:

  • Raumüberwachung mit Mikrofon und Kamera des Computers
  • Durchsuchen der Festplatte sowie
  • Herunterladen von Dateien auf die Festplatte

Die letztgenannte Funktion – das Herunterladen von Dateien auf die Festplatte – sei die einzige Funktion der Software gewesen, die gegen eine spätere Analyse getarnt worden sei, so Rieger. Im Code habe sich kein Hinweis auf den Urheber der Software gefunden. Im Jahr 2008 sei jedoch ein interner Schriftverkehr einer Justizbehörde bekannt geworden. Daraus sei hervorgegangen, dass ein deutsches Unternehmen einen Trojaner zum Abhören von Skype angeboten habe, dessen Funktionsumfang sich mit dem jetzt vom CCC analysierten Trojaner decke. Rieger: „Sogar die Anmietung des Weiterleitungsservers im Ausland, um die IP-Adresse der Trojaner-Kontrollstation zu verschleiern, war im Angebot erwähnt.“ Nach Angaben der Frankfurter Rundschau handelt es sich beim besagten Unternehmen um die Firma DigiTask aus dem hessischen Haiger.

Der CCC hat den Quellcode der Trojaner-Software ins Netz gestellt. Der Code ist zudem in der FAZ vom 9. Oktober nachzulesen (Seiten 43 bis 47). Die Behörden wurden zuvor in Kenntnis gesetzt. „Gemäß unserer Hackerethik und um eine Enttarnung von laufenden Ermittlungsmaßnahmen auszuschließen, wurde das Bundesinnenministerium rechtzeitig vor dieser Veröffentlichung informiert. So blieb genügend Zeit, um die Selbstzerstörungsfunktion des Schnüffel-Trojaners zu aktivieren.“

Was das Verfassungsgericht sagt

Das Thema „Bundestrojaner“ ist nicht neu. Im Februar 2008 entschied das Karlsruher Bundesverfassungsgericht, dass Online-Durchsuchungen zulässig, jedoch an strenge Auflagen gebunden sind. Die Richter führten in diesem Zusammenhang ein neues Grundrecht ein: das Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Nach diesem Urteil muss die Online-Durchsuchung durch einen Richter angeordnet werden. Sie ist nur zulässig, wenn Gefahr für Leib, Leben oder Freiheit einer Person besteht. Die Intim- und Privatsphäre („Kernbereich privater Lebensgestaltung“) darf überhaupt nicht angetastet werden – so lange nicht der begründete Verdacht besteht, dass der Verdächtige diesen Schutz ausnutzt. Falls Daten aus dem Intimbereich zufällig erhoben werden, müssen sie sofort gelöscht werden.

Erlaubt ist demnach – nach richterlicher Anordnung – auch die sogenannte Quellen-Telekommunikationsüberwachung. Diese erlaubt den Behörden, Daten auf dem Rechner mitzuschneiden, bevor sie verschlüsselt werden – jedoch nicht dauerhaft, sondern nur für einen bestimmten Telekommunikationsvorgang.

Was der CCC fordert

Laut CCC zeigt die vorliegende Trojaner-Software, dass der Gesetzgeber nachbessern muss. Schon die vorkonfigurierten Funktionen des Trojaners – ohne nachgeladene Programme – seien besorgniserregend. Die von „den Behörden suggerierte strikte Trennung von genehmigt abhörbarer Telekommunikation und der zu schützenden digitalen Intimsphäre“ existiere in der Praxis nicht. Der Richtervorbehalt könne nicht vor einem Eingriff in den privaten Kernbereich schützen.

„Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut“, sagte ein CCC-Sprecher. „Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner.“

Der Trojaner könne auf Kommando – unkontrolliert durch den Ermittlungsrichter – Funktionserweiterungen laden, um die Schadsoftware für weitere Aufgaben beim Ausforschen des Systems zu benutzen. Dieser Vollzugriff auf den Rechner, auch durch unautorisierte Dritte, könne etwa zum Hinterlegen gefälschten belastenden Materials benutzt werden und stelle damit den Sinn dieser Überwachungsmethode grundsätzlich in Frage.

Der Gesetzgeber sei gefordert, dem „ausufernden Computerschnüffeln“ ein Ende zu setzen und „endlich unmissverständlich“ zu formulieren, wie die digitale Intimsphäre juristisch zu definieren und wirksam zu bewahren sei. „Leider orientiert sich der Gesetzgeber schon zu lange nicht mehr an den Freiheitswerten und der Frage, wie sie unter digitalen Bedingungen zu schützen sind, sondern lässt sich auf immer neue Forderungen nach technischer Überwachung ein.“ Dass der Gesetzgeber die Technik nicht überblicken, geschweige denn kontrollieren könne, zeige die vorliegende Analyse der Funktionen der Schadsoftware.

Im Streit um das staatliche Infiltrieren von Computern hätten der Ex-Bundesinnenminister Wolfgang Schäuble (CDU) und BKA-Chef Jörg Ziercke stets betont, die Bürger müssten sich auf höchstens „eine Handvoll Einsätze von Staatstrojanern“ einstellen. Entweder sei nun fast das ganze Set an staatlichen Computerwanzen beim CCC eingegangen oder das Versprechen sei schneller als erwartet von der Überwachungswirklichkeit überholt worden.

Auch andere Zusagen hätten in der Realität keine Entsprechung gefunden. So habe es 2008 geheißen, alle Versionen der „Quellen-TKÜ-Software“ würden individuell angefertigt. Der CCC habe nun mehrere verschiedene Versionen des Trojaners vorliegen, die alle denselben hartkodierten kryptographischen Schlüssel benutzen und nicht individualisiert seien. „Der CCC hofft inständig, dass dieser Fall nicht repräsentativ für die besonders intensive Qualitätssicherung bei Bundesbehörden ist.“

Wie es weiter geht

Das Bundesinnenministerium hat den Einsatz von Spionagesoftware durch das Bundeskriminalamt (BKA) mittlerweile dementiert. „Was auch immer der CCC untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner“, zitierte das Magazin Focus aus einer Mitteilung des Ministeriums.

Den kompletten Artikel mit allen Links von Lutz Poessneck, findet ihr unter CCC: „Rechtsbruch durch Bundestrojaner“ von silicon.de.

Freundliche Grüße
das OSS-Haus Team