Leserbrief c’t Security II
Lieber Kollege Holger Bleich,
in der aktuellen c’t Security schreiben Sie (S. 11), man solle die „Möglichkeiten der Ermittler“ nicht unterschätzen. So weit, so gut und nachvollziehbar. „Seit 2010 ist bekannt, dass hierzulande auch die sogenannte ‚Quellen-TKÜV‘ zum Einsatz kommt, also das Belauschen von Verdächtigen direkt an ihrem Endgerät. Auf diese Weise haben Behörden bereits verschlüsselte Skype-Telefonate mitgehört und Mails nach der Entschlüsselung am PC abgfangen.“
Gestatten Sie, dass ich „der Kaiser ist nackt!“ rufe. Der Begriff „Quellen-TKÜV“ stammt aus dem Propaganda-Fundus des Innenministeriums und suggeriert, dass Behörden sich ohne Wissen eines Verdächtigen „von fern“ einen Remote-Access-Zugriff auf dessen Rechner verschaffen können. Das ist Unfug, wenn dieser Verdächtige sich einigermaßen vernünftig verhält und zum Beispiel Meldungen wie „cipav.exe is an unknown application. Install anyway?“ ignoriert.
Skype kann abgehört werden. Das Programm kann sogar andere Malware heimlich nachladen. Wer aber das Programm installiert, hat diese Features mit einer freien Willensentscheidung a priori akzeptiert und darf sich über die Folgen dann nicht wundern. Und wie sollen Behörden diese Spionage-Software ohne physikalischen Zugriff auf den (geöffneten!) Rechner installieren können? Dürfte ich auf Ihrem Laptop einfach so Programme installieren? Mir ist nicht bekannt, dass Skype zwangweise installiert werden könnte, ohne dass der Nutzer des jeweiligen Rechners das mitbekommt.
Thesen wie „Online-Durchsuchung: LKA installiert Spionage-Software bei Flughafenkontrollen“ würde ich gern zunächst auf Fakten überprüfen. Die Behörden können mir also Programme auf meinen Laptop installieren, ohne dass ich das merke? Da wüsste ich doch gern mehr über die Details (Ich nutze Windows und Linux und denke mitnichten daran, die BIOS- und Truecrypt-Passworte auf einem Zettel bei mir zu tragen).
Mails nach der Entschlüsselung am PC abgefangen? Ist Ihnen irgendeine technisch nachvollziehbare Möglichkeit bekannt, gezielt (!) verschlüsselte Mails „von fern“ zu lesen, wenn der Verdächtige KEINE Mal- und Spionagesoftware vorher selbst installiert hat? Ich halte das, mit Verlaub, für eine Verschwörungstheorie, die aber so „sexy“ ist, dass sie gern wiederholt wird. „Seit 2010 ist bekannt“ bedeutet nur, dass das irgendwo in der Zeitung stand. Damit wird es nicht richtig. Die Methode „Stille Post“ ist aber für journalistische Standards kein gültiges Referenzsystem.
Kopie an Jürgen Kuri, der – wie ich – zu der leider nur kleinen Gemeinde der Ungläubigen und Zweifler gehört.
Mit freundlichen Grüßen
Burkhard Schröder
(Autor des Buches „Die Online-Durchsuchung“, Telepolis)
Kommentare
13 Kommentare zu “Leserbrief c’t Security II”
Schreibe einen Kommentar
Du bist Tatsächlich der Meinung Windows wäre nur deswegen unsicher weil User sich unbedacht irgend einen Unsinn installieren? Geht es noch?? Es ist absolut fahrlässig und ausgesprochen dämlich derartigen Mist zu verbreiten. Zieh Dir das mal rein:
http://www.heise.de/tp/artikel/5/5274/1.html
Dies ist nur EIN Artikel der sich mit diesem Thema befasst. Du wirst dutzende weitere Artikel finden wenn DU „NSA und „Windows“ als Suchbegriffe eingibst.
Du solltest wenigstens recherchieren bevor Du Menschen trügerisch in Sicherheit wiegst! Fünf Minuten hätten gereicht um zumindest Zweifel an Deinen eigenen Gedanken zu wecken. Man muss sich wirklich fragen warum Du Dich am „werfen von Blendgranaten“ beteiligst. Bist Du so naiv oder eitel nicht zugeben zu können das Du da komplett auf dem Holzweg bist? Bist Du zu dämlich zu begreifen das Dein naiver Glaube an die Vertrauenswürdigkeit von Microsoft reiner Irrsinn ist? Da hätte ich mehr von Dir erwartet!
Wer behauptet hier, Windows sei vertrauenswürdig? Ich nicht.
*einmisch*
Man könnte sagen, Du tust dies zumindest indirekt: Du benutzt selbst Windows[TM] (wie Du selber sagst) und Du schreibst ein Tutorial, wie man „schnell und einfach“ seine emails unter Windows[TM] verschlüsseln kann. Das setzt beides ein bestimmtes Grundvertrauen voraus. Anderenfalls wäre das ja sowas wie bewusste Irreführung der Leute, die Windows[TM] benutzen, aber sich jetzt doch unbehaglich fühlen und ihre Mailinhalte vor der NSA (Huhu!) verbergen wollen.
Denen müsstest Du eigentlich sagen: Sorry Leute, im Zweifel ist alles, was Ihr unter diesem, Eurem so heiss geliebten „Schnell-und-Einfach-OS“ tut, auch für besonders befugte Dritte einsehbar. Also spart Euch den Aufwand und macht Euch nicht unnötig/grundlos für die „Leute mit Durchblick“ interessant!
Es geht nur das eine oder das andere, Burks! Auf einem Betriebssystem, dem man prinzipiell nicht vertrauen kann, macht Verschlüsselung nur wenig Sinn. Es wirkt vielleicht etwas als Placebo, aber nunja… Man muss halt dran glauben.
Zu CIPAV lohnt es sich vielleicht mal, die Dokumente des FBI anzuschauen, die die EFF.org veröffentlicht hat. Sieht garnicht so aus, als ob es nicht funktionert. Wird wohl seit 2001 eingesetzt. Oder sind das Märchen und nur der Guru Burks kennt die Wahrheit?
https://www.eff.org/deeplinks/2011/04/new-fbi-documents-show-depth-government
Ja, die Ente kann fliegen! Nur ein alter Mann will es nicht einsehen.
Jetzt kann Burks also Festplatten mit Truecrypt verschlüsseln – schön. Es wäre besser gewesen, wenn er es auch schon gekonnt hätte, bevor das LKA seinen Rechner mit dem gesamten E-Mail Daten weggetragen hätte. Es ist zu spät, es jetzt sooo lang raushängen zu lassen, dass man es jetzt kann. Als es nötig gewesen wäre, war der Rechner nicht verschlüsselt! Das zählt.
https://www.burks.de/burksblog/2008/11/11/wohnungsdurchsuchung-bei-mir-heute-fruh
Der Rechner war ein Linux-Rechner, guckst du hier:
http://wiki.ubuntuusers.de/System_verschl%C3%BCsseln/Alternate_Installation
Gibt es sowas eigentlich auch in Deutschland?
http://www.newyorker.com/online/blogs/elements/2013/06/what-its-like-to-get-a-national-security-letter.html
Ubuntu? Ist das nicht dieses „experimentelle“ Linux mit teilweise proprietärer (closed source) Software? Das mit der per default eingeschalteten „Amazon Shopping Lens“ die Suchbegriffe und Userdaten zu Amazon überträgt? Oder mit der standardmässig installierten „Ubuntu One“ Cloud, die laut Fraunhofer Institut (auch) nicht sicher ist?
http://www.zdnet.de/41562306/fraunhofer-institut-kritisiert-sicherheitsmaengel-bei-cloud-speicherdiensten
Also muss man erwähnen das man sich, was die Sicherheit angeht, auch bei Ubuntu auf ein kommerzielles Unternehmen verlassen muss: Auf Canonical. Abgesehen davon stammt Ubuntu aus den experimentellen und wenig getesteten Quellen von Debian. Das bedeutet das die Software nicht ausreichend geprüft wurde als das man diese als „stabil“ bezeichnen könnte. Und selbst bei den „stabilen“ Programmversionen gibt es gelegentlich noch Sicherheitsupdates.
Und auch was Windows angeht hat Burks etwas grundsätzlich nicht verstanden: Überwacher brauchen keinen Trojaner in ein Windows System einzuschleusen denn dieser ist schon „nativ“ in jedem aktuellen Windows System enthalten! So schreibt Heise: „Microsoft betonte in seiner Reaktion beim Guardian, man sei verpflichtet, den Behörden Möglichkeiten für den Zugang zu Informationen zu gewähren.“
http://www.heise.de/newsticker/meldung/PRISM-Ueberwachungskandal-Microsoft-ermoeglicht-NSA-Zugriff-auf-Skype-Outlook-com-Skydrive-1916340.html
Weiter:
„Wer Skype nutzt, hat damit auch sein Einverständnis erklärt, dass die Firma alles mitlesen darf. Wie Heise Security feststellte, macht das mittlerweile von Microsoft übernommene Unternehmen von diesen Rechten auch tatsächlich Gebrauch. Zumindest im Chat verschickte https-URLs erhalten kurze Zeit später unangemeldeten Besuch aus Redmond.“
http://www.heise.de/newsticker/meldung/Vorsicht-beim-Skypen-Microsoft-liest-mit-1857620.html
Nun, was ich mich jetzt frage: Burks weiß das alles, ich bin mir sicher das er die dort oben verlinkten Artikel und wahrscheinlich einiges mehr darüber gelesen hat als ich. Warum also, lieber Burks, verharmlost Du diese Realität so vehement? Das fragen wir uns jetzt alle….
Als mein Rechner beschlagnahmt wurde, gab es noch gar keine Clouds. Ausserdem hab ich erst einmal platt gemacht, als ich ihn nach zwei Jahren wiederbekam. Was redest du da eigentlich?
Ein paar Hinweise für Ubuntu-User und Numerobis:
1. Bei der Installation von Ubuntu kann man durchaus auswählen, ob man die Komponenten restricted und multiverse, die unfreie Software enthalten, mit aktiviert.
2. Ob und welche unfreie Software auf dem eigenen System installiert ist, kann man simpel mit dem kleinen Kommandozeilenprogramm vrms herausfinden. Dazu siehe hier:
http://wiki.ubuntuusers.de/vrms
3. Die angesprochene Amazon Shopping Lens ist ein (je nach eigenem Empfinden) Feature/Bug, der nur bei Nutzung des Unity-Desktops (also nicht bei Verwendung von Gnome, KDE, XFCE oder anderen Desktops) ab Ubuntu 12.10 mitinstalliert wird und den man simpel in Systemeinstellungen/Privatsphäre/Suchergebnisse/Onlie-Suchergebnisse deaktivieren oder mit
sudo apt-get remove unity-shopping-lens
ganz einfach deinstallieren kann.
4. Wer eine Cloud nutzt, ist selbst schuld, weil klar sein muss, dass man Daten nicht außerhalb des eigenen Rechners im Netz aufbewahrt. Ubuntu One ist standardmäßig nicht aktiv, muss nicht genutzt und kann ebenfalls einfach mit:
sudo apt-get purge ubuntuone*
deinstalliert werden.
Da man hier bei Burks immer wieder lesen muss, man müsse auf „cipav.exe“ im Mailanhang klicken, damit das FBI seinen Trojaner installieren kann, empfehle ich dringend, die aktuellen Deanonymisierung von tausenden Nutzers des Tor Hidden Service „Freedom Hosting“ zu lesen.
Ein 0day Exploit im TorBrowser (für Windows) wurde ausgenutzt, um den Shell-Code zu installieren und mit einem bösartigen Trojaner die Nutzer zu deanonymisieren. Nix mit „Klicken Sie auf….“
Dieser spezielle Trojaner wurde wahrscheinlich vom FBI eingesetzt, kann also als Trojaner Frederal mit speziellen Aufgaben gelten.
Die Ente KANN fliegen, wenn sie will.
Links:
https://blog.torproject.org/blog/hidden-services-current-events-and-freedom-hosting
http://www.golem.de/news/freedom-hosting-mit-browser-exploit-gegen-kinderpornografie-1308-100783.html
„Eine Sicherheitslücke, die ausgerechnet die Unternehmensversion von Firefox 17.0.6 ESR (Extended Support Release)“
Wo ist die Sicherheitslücke im Tor-Browser?
TorBrowser ist ein leicht modifizierter Firefox 17.0.6 ESR, also ist es auch eine Sicherheitslücke im TorBrowser (oder war der TorBrowser etwas nicht betroffen?).
Die aktuelle Version von Firefox ist 17.0.7 ESR und nicht von dem 0day betroffen.
Der aktuelle JonDoBrowser basiert z.B. auf Firefox 17.0.7 ESR und ist nicht von dem 0day betroffen.
Die Torleute hätten schon vor 5-6 Wochen auf Firefox 17.0.7 ESR umstellen können. Nur TorBrowser verwendet noch den Firefox 17.0.6 ESR mit mehreren bekannten Bugs und ist damit als einziger aktueller BRowser betroffen. Alle anderen sind bei Version 17.0.7 ESR.
Ergo: Bug im TorBrowser.
Zum aktuellen Problem mit dem Tor-Browser siehe hier:
http://www.heise.de/newsticker/meldung/Tor-Nutzer-ueber-Firefox-Luecke-verfolgt-1930154.html
Wird Zeit, dass das gefixt wird.
Abgesehen davon bevorzuge ich JonDo.