Leserbrief c’t Security II

Lieber Kollege Holger Bleich,

in der aktuellen c’t Security schreiben Sie (S. 11), man solle die „Möglichkeiten der Ermittler“ nicht unterschätzen. So weit, so gut und nachvollziehbar. „Seit 2010 ist bekannt, dass hierzulande auch die sogenannte ‚Quellen-TKÜV‘ zum Einsatz kommt, also das Belauschen von Verdächtigen direkt an ihrem Endgerät. Auf diese Weise haben Behörden bereits verschlüsselte Skype-Telefonate mitgehört und Mails nach der Entschlüsselung am PC abgfangen.“

Gestatten Sie, dass ich „der Kaiser ist nackt!“ rufe. Der Begriff „Quellen-TKÜV“ stammt aus dem Propaganda-Fundus des Innenministeriums und suggeriert, dass Behörden sich ohne Wissen eines Verdächtigen „von fern“ einen Remote-Access-Zugriff auf dessen Rechner verschaffen können. Das ist Unfug, wenn dieser Verdächtige sich einigermaßen vernünftig verhält und zum Beispiel Meldungen wie „cipav.exe is an unknown application. Install anyway?“ ignoriert.

Skype kann abgehört werden. Das Programm kann sogar andere Malware heimlich nachladen. Wer aber das Programm installiert, hat diese Features mit einer freien Willensentscheidung a priori akzeptiert und darf sich über die Folgen dann nicht wundern. Und wie sollen Behörden diese Spionage-Software ohne physikalischen Zugriff auf den (geöffneten!) Rechner installieren können? Dürfte ich auf Ihrem Laptop einfach so Programme installieren? Mir ist nicht bekannt, dass Skype zwangweise installiert werden könnte, ohne dass der Nutzer des jeweiligen Rechners das mitbekommt.

Thesen wie „Online-Durchsuchung: LKA installiert Spionage-Software bei Flughafenkontrollen“ würde ich gern zunächst auf Fakten überprüfen. Die Behörden können mir also Programme auf meinen Laptop installieren, ohne dass ich das merke? Da wüsste ich doch gern mehr über die Details (Ich nutze Windows und Linux und denke mitnichten daran, die BIOS- und Truecrypt-Passworte auf einem Zettel bei mir zu tragen).

Mails nach der Entschlüsselung am PC abgefangen? Ist Ihnen irgendeine technisch nachvollziehbare Möglichkeit bekannt, gezielt (!) verschlüsselte Mails „von fern“ zu lesen, wenn der Verdächtige KEINE Mal- und Spionagesoftware vorher selbst installiert hat? Ich halte das, mit Verlaub, für eine Verschwörungstheorie, die aber so „sexy“ ist, dass sie gern wiederholt wird. „Seit 2010 ist bekannt“ bedeutet nur, dass das irgendwo in der Zeitung stand. Damit wird es nicht richtig. Die Methode „Stille Post“ ist aber für journalistische Standards kein gültiges Referenzsystem.

Kopie an Jürgen Kuri, der – wie ich – zu der leider nur kleinen Gemeinde der Ungläubigen und Zweifler gehört.

Mit freundlichen Grüßen
Burkhard Schröder
(Autor des Buches „Die Online-Durchsuchung“, Telepolis)

Kommentare

13 Kommentare zu “Leserbrief c’t Security II”

  1. Numerobis am August 3rd, 2013 10:57 am

    Du bist Tatsächlich der Meinung Windows wäre nur deswegen unsicher weil User sich unbedacht irgend einen Unsinn installieren? Geht es noch?? Es ist absolut fahrlässig und ausgesprochen dämlich derartigen Mist zu verbreiten. Zieh Dir das mal rein:

    http://www.heise.de/tp/artikel/5/5274/1.html

    Dies ist nur EIN Artikel der sich mit diesem Thema befasst. Du wirst dutzende weitere Artikel finden wenn DU „NSA und „Windows“ als Suchbegriffe eingibst.

    Du solltest wenigstens recherchieren bevor Du Menschen trügerisch in Sicherheit wiegst! Fünf Minuten hätten gereicht um zumindest Zweifel an Deinen eigenen Gedanken zu wecken. Man muss sich wirklich fragen warum Du Dich am „werfen von Blendgranaten“ beteiligst. Bist Du so naiv oder eitel nicht zugeben zu können das Du da komplett auf dem Holzweg bist? Bist Du zu dämlich zu begreifen das Dein naiver Glaube an die Vertrauenswürdigkeit von Microsoft reiner Irrsinn ist? Da hätte ich mehr von Dir erwartet!

  2. admin am August 3rd, 2013 11:59 am

    Wer behauptet hier, Windows sei vertrauenswürdig? Ich nicht.

  3. Dominic am August 3rd, 2013 6:08 pm

    *einmisch*

    Wer behauptet hier, Windows sei vertrauenswürdig? Ich nicht.

    Man könnte sagen, Du tust dies zumindest indirekt: Du benutzt selbst Windows[TM] (wie Du selber sagst) und Du schreibst ein Tutorial, wie man „schnell und einfach“ seine emails unter Windows[TM] verschlüsseln kann. Das setzt beides ein bestimmtes Grundvertrauen voraus. Anderenfalls wäre das ja sowas wie bewusste Irreführung der Leute, die Windows[TM] benutzen, aber sich jetzt doch unbehaglich fühlen und ihre Mailinhalte vor der NSA (Huhu!) verbergen wollen.

    Denen müsstest Du eigentlich sagen: Sorry Leute, im Zweifel ist alles, was Ihr unter diesem, Eurem so heiss geliebten „Schnell-und-Einfach-OS“ tut, auch für besonders befugte Dritte einsehbar. Also spart Euch den Aufwand und macht Euch nicht unnötig/grundlos für die „Leute mit Durchblick“ interessant!

    Es geht nur das eine oder das andere, Burks! Auf einem Betriebssystem, dem man prinzipiell nicht vertrauen kann, macht Verschlüsselung nur wenig Sinn. Es wirkt vielleicht etwas als Placebo, aber nunja… Man muss halt dran glauben.

  4. digitalis am August 3rd, 2013 6:58 pm

    Zu CIPAV lohnt es sich vielleicht mal, die Dokumente des FBI anzuschauen, die die EFF.org veröffentlicht hat. Sieht garnicht so aus, als ob es nicht funktionert. Wird wohl seit 2001 eingesetzt. Oder sind das Märchen und nur der Guru Burks kennt die Wahrheit?

    https://www.eff.org/deeplinks/2011/04/new-fbi-documents-show-depth-government

    Ja, die Ente kann fliegen! Nur ein alter Mann will es nicht einsehen.

    Jetzt kann Burks also Festplatten mit Truecrypt verschlüsseln – schön. Es wäre besser gewesen, wenn er es auch schon gekonnt hätte, bevor das LKA seinen Rechner mit dem gesamten E-Mail Daten weggetragen hätte. Es ist zu spät, es jetzt sooo lang raushängen zu lassen, dass man es jetzt kann. Als es nötig gewesen wäre, war der Rechner nicht verschlüsselt! Das zählt.

    http://www.burks.de/burksblog/2008/11/11/wohnungsdurchsuchung-bei-mir-heute-fruh

  5. admin am August 3rd, 2013 8:51 pm

    Der Rechner war ein Linux-Rechner, guckst du hier:
    http://wiki.ubuntuusers.de/System_verschl%C3%BCsseln/Alternate_Installation

  6. koogleschreiber am August 4th, 2013 3:30 am
  7. Numerobis am August 4th, 2013 8:59 am

    Ubuntu? Ist das nicht dieses „experimentelle“ Linux mit teilweise proprietärer (closed source) Software? Das mit der per default eingeschalteten „Amazon Shopping Lens“ die Suchbegriffe und Userdaten zu Amazon überträgt? Oder mit der standardmässig installierten „Ubuntu One“ Cloud, die laut Fraunhofer Institut (auch) nicht sicher ist?

    http://www.zdnet.de/41562306/fraunhofer-institut-kritisiert-sicherheitsmaengel-bei-cloud-speicherdiensten

    Also muss man erwähnen das man sich, was die Sicherheit angeht, auch bei Ubuntu auf ein kommerzielles Unternehmen verlassen muss: Auf Canonical. Abgesehen davon stammt Ubuntu aus den experimentellen und wenig getesteten Quellen von Debian. Das bedeutet das die Software nicht ausreichend geprüft wurde als das man diese als „stabil“ bezeichnen könnte. Und selbst bei den „stabilen“ Programmversionen gibt es gelegentlich noch Sicherheitsupdates.

    Und auch was Windows angeht hat Burks etwas grundsätzlich nicht verstanden: Überwacher brauchen keinen Trojaner in ein Windows System einzuschleusen denn dieser ist schon „nativ“ in jedem aktuellen Windows System enthalten! So schreibt Heise: „Microsoft betonte in seiner Reaktion beim Guardian, man sei verpflichtet, den Behörden Möglichkeiten für den Zugang zu Informationen zu gewähren.“

    http://www.heise.de/newsticker/meldung/PRISM-Ueberwachungskandal-Microsoft-ermoeglicht-NSA-Zugriff-auf-Skype-Outlook-com-Skydrive-1916340.html

    Weiter:
    „Wer Skype nutzt, hat damit auch sein Einverständnis erklärt, dass die Firma alles mitlesen darf. Wie Heise Security feststellte, macht das mittlerweile von Microsoft übernommene Unternehmen von diesen Rechten auch tatsächlich Gebrauch. Zumindest im Chat verschickte https-URLs erhalten kurze Zeit später unangemeldeten Besuch aus Redmond.“

    http://www.heise.de/newsticker/meldung/Vorsicht-beim-Skypen-Microsoft-liest-mit-1857620.html

    Nun, was ich mich jetzt frage: Burks weiß das alles, ich bin mir sicher das er die dort oben verlinkten Artikel und wahrscheinlich einiges mehr darüber gelesen hat als ich. Warum also, lieber Burks, verharmlost Du diese Realität so vehement? Das fragen wir uns jetzt alle….

  8. admin am August 4th, 2013 10:33 am

    Als mein Rechner beschlagnahmt wurde, gab es noch gar keine Clouds. Ausserdem hab ich erst einmal platt gemacht, als ich ihn nach zwei Jahren wiederbekam. Was redest du da eigentlich?

  9. kikujiro am August 5th, 2013 11:42 am

    Ein paar Hinweise für Ubuntu-User und Numerobis:

    1. Bei der Installation von Ubuntu kann man durchaus auswählen, ob man die Komponenten restricted und multiverse, die unfreie Software enthalten, mit aktiviert.

    2. Ob und welche unfreie Software auf dem eigenen System installiert ist, kann man simpel mit dem kleinen Kommandozeilenprogramm vrms herausfinden. Dazu siehe hier:
    http://wiki.ubuntuusers.de/vrms

    3. Die angesprochene Amazon Shopping Lens ist ein (je nach eigenem Empfinden) Feature/Bug, der nur bei Nutzung des Unity-Desktops (also nicht bei Verwendung von Gnome, KDE, XFCE oder anderen Desktops) ab Ubuntu 12.10 mitinstalliert wird und den man simpel in Systemeinstellungen/Privatsphäre/Suchergebnisse/Onlie-Suchergebnisse deaktivieren oder mit

    sudo apt-get remove unity-shopping-lens

    ganz einfach deinstallieren kann.

    4. Wer eine Cloud nutzt, ist selbst schuld, weil klar sein muss, dass man Daten nicht außerhalb des eigenen Rechners im Netz aufbewahrt. Ubuntu One ist standardmäßig nicht aktiv, muss nicht genutzt und kann ebenfalls einfach mit:

    sudo apt-get purge ubuntuone*

    deinstalliert werden.

  10. digitalis2 am August 5th, 2013 12:24 pm

    Da man hier bei Burks immer wieder lesen muss, man müsse auf „cipav.exe“ im Mailanhang klicken, damit das FBI seinen Trojaner installieren kann, empfehle ich dringend, die aktuellen Deanonymisierung von tausenden Nutzers des Tor Hidden Service „Freedom Hosting“ zu lesen.

    Ein 0day Exploit im TorBrowser (für Windows) wurde ausgenutzt, um den Shell-Code zu installieren und mit einem bösartigen Trojaner die Nutzer zu deanonymisieren. Nix mit „Klicken Sie auf….“

    Dieser spezielle Trojaner wurde wahrscheinlich vom FBI eingesetzt, kann also als Trojaner Frederal mit speziellen Aufgaben gelten.

    Die Ente KANN fliegen, wenn sie will.

    Links:

    https://blog.torproject.org/blog/hidden-services-current-events-and-freedom-hosting

    http://www.golem.de/news/freedom-hosting-mit-browser-exploit-gegen-kinderpornografie-1308-100783.html

  11. admin am August 5th, 2013 12:49 pm

    „Eine Sicherheitslücke, die ausgerechnet die Unternehmensversion von Firefox 17.0.6 ESR (Extended Support Release)“

    Wo ist die Sicherheitslücke im Tor-Browser?

  12. digitalis2 am August 5th, 2013 1:25 pm

    TorBrowser ist ein leicht modifizierter Firefox 17.0.6 ESR, also ist es auch eine Sicherheitslücke im TorBrowser (oder war der TorBrowser etwas nicht betroffen?).

    Die aktuelle Version von Firefox ist 17.0.7 ESR und nicht von dem 0day betroffen.

    Der aktuelle JonDoBrowser basiert z.B. auf Firefox 17.0.7 ESR und ist nicht von dem 0day betroffen.

    Die Torleute hätten schon vor 5-6 Wochen auf Firefox 17.0.7 ESR umstellen können. Nur TorBrowser verwendet noch den Firefox 17.0.6 ESR mit mehreren bekannten Bugs und ist damit als einziger aktueller BRowser betroffen. Alle anderen sind bei Version 17.0.7 ESR.

    Ergo: Bug im TorBrowser.

  13. kikujiro am August 6th, 2013 6:51 am

    Zum aktuellen Problem mit dem Tor-Browser siehe hier:
    http://www.heise.de/newsticker/meldung/Tor-Nutzer-ueber-Firefox-Luecke-verfolgt-1930154.html

    Wird Zeit, dass das gefixt wird.

    Abgesehen davon bevorzuge ich JonDo.

Schreibe einen Kommentar