datenritter blog

Ein Wort zur Nacht – bzw. zur Sinnhaftigkeit der PKI.

Momentan im Fokus der Medien ist der Wurm "Stuxnet", der Industrieanlagen mit Steuersystemen der Firma Siemens angreift. In der FAZ hat Frank Rieger etwas darüber geschrieben. Und in seinem Blog. Bei heise gab's schon vor ein paar Tagen was dazu. Und wired.com hat ebenfalls einen längeren einen Artikel. Aus diesem möchte ich nur einen Satz zitieren:

The malware is digitally signed with legitimate certificates stolen from two certificate authorities.

Ende der Durchsage.

• Tag "tastatur" in diesem Blog.
• Einhändig bedienbare Tastaturen von Maltron erinnern ein bisschen an Randall Munroes Mirrorboard. Für die, die nur eine Hand haben oder die andere für einen Joystick o.ä. brauchen. Sieht sicher cool aus, wenn man damit umgehen kann. Dieses hier hab ich auch mal in irgendeinem Film gesehen. Durch die Krümmung dürfte es deutlich schwerer sein, dem Benutzer auf die Finger zu schauen.
• Schneier on Security: Sniffing Keyboard Keystrokes with a Laser (Schon mehr als ein Jahr alt, sorry.) – Funktioniert nicht so toll, wie die Messung von Vibrationen an einer Fensterscheibe, aber auch Worte lassen sich erraten. Ein möglicher Schutz: Laptops ohne Tastatur. ;)
• In Kombination mit dem Abhören über die Stromleitung ergab sich das hier: Sniffing keystrokes via laser and keyboard power. (Auch bei hackaday.)
• Im August 2009 schließlich meldete heise: "Apple-Tastaturen können mitlauschen", weil sie einen frei programmierbaren Microcontroller enthalten.

Seit dem ist mir nichts neues zum Thema aufgefallen.

So, nun wird diese ganze SSL-Problematik langsam unheimlich.

Erklärung: http://blog.fefe.de/?ts=b544bbc7.

Konsequenz:



Und unter Debian:



Grmbl.

Gulli berichtet:

Eine neue wissenschaftliche Arbeit kommt zu dem Schluss, dass die US-Regierung mit vielen SSL-Zertifizierungsstellen kooperiert, um das Mitlesen verschlüsselter Verbindungen zu ermöglichen.

Die IT-Sicherheitsforscher Christopher Soghoian und Sid Stamm kommen zu dem Schluss, dass die Regierung vielfach die Schlüssel von SSL-Zertifikaten von den Zertifizierungsstellen (Certificate Authorities - CAs) erhält. So können sie Websites vortäuschen und die Benutzer in Sicherheit wiegen. Mit Hilfe von Forensik-Tools können sogenannte Man-in-the-Middle-Angriffe sogar automatisiert durchgeführt werden. Die Konsequenz: die US-Regierung ist offenbar in der Lage, routinemäßig SSL-Verbindungen mitzulesen, ohne den Schlüssel knacken zu müssen.

Es ist absolut nicht überraschend, dass eine Zertifikatsautorität für "Bedarfsträger" falsche Zertifikate ausstellen kann, das sieht der X.509-Standard so vor.

Stand hier schon 2008.

Und wie schon erwähnt erzählt Dan Kaminsky einiges dazu in seinem Vortrag auf dem 26C3.

Dass eine Regierung von dieser Möglichkeit Gebrauch macht ist eine Selbstverständlichkeit. Wenn eine Vertrauensstelle in einem System vorkommt, sei es eine Bank, ein Offizier, ein Programmierer oder eben eine Zertifikatsauthorität, dann ist diese immer ein möglicher Angriffspunkt, daran lässt sich auch kaum etwas ändern. Aber X.509 setzt darauf, dass wir den Autoritäten vertrauen, denen die Browserlieferanten vertrauen. Allen. Allen gleichzeitig. Selbst schuld.

Das Magazin Foreign Policy hat eine wunderbare "Anleitung", wie man den "erschreckendsten Cyberwar-Artikel aller Zeiten" schreibt.

Die Tipps sind vielfältig und mit Links zu entsprechenden Beispielen hinterlegt:

It pays to cannibalize on some recent tragic event from the real world; adding "cyber" to its name would usually trigger all the right associations. Studies show that references to "digital Pearl Harbor","cyber-Katrina", and "electronic 9/11" are most effective, particularly for stories involving electricity grids or dams. Never make any explicit attempts to explain the bizarre choice of your title– you need to leave enough ambiguity out there for your readers to "connect the dots" themselves.

Nicht den Estland-Vorfall vergessen:

Begin the story in Estonia, with a reference to its 2007 attacks; make sure to play up the “E-stonia” tune and how the entire country was under online siege for a month (never mention that rioting in the Estonian streets was much more devastating and that the actual online siege lasted for twenty minutes at best).

Und China muss natürlich erwähnt werden, wird erklärt. Ganz wichtig auch die Sache mit den Experten:

5. Find and quote industry experts with the biggest possible conflicts of interest – preferably those who make their living thanks to the public paranoia about cybersecurity. Make sure you give them enough space to quote their latest anti-virus solutions and consulting services.

Das kennen wir ja zur Genüge.

I bet half of your readers would never want to use a computer again.

(Wäre das nicht eigentlich ganz gut so?)

Bruce Schneier berichtet über einen Gesetzentwurf der Republikaner, der angeblich vorsieht, dass alle Digitalkameras in den USA bei Aufnahme ein "Klick"-Geräusch machen müssen. Tatsächlich bezieht sich der Entwurf nur auf Kameras in Mobiltelefonen, was die Idee aber nicht besser macht.

Begründet wird er damit, dass Menschen sonst heimlich Fotos von anderen machen könnten. Welch eine Überraschung! Doch damit nicht genug, der Entwurf kommt wie so oft unter dem Deckmäntelchen des Kinderschutzes, ein emotionalisierendes Scheinargument, auf das leider immer noch Menschen hereinfallen.

Bruce meint dazu nur:

This is so silly it defies comment.

Das sehen seine Leser allerdings anders und diskutieren:
• wie nervig die Geräuschkulisse auf den Straßen wäre
• wie es unmöglich wird, Sprecher auf Konferenzen abzulichten ohne dumm aufzufallen, und
• welchen Nutzen heimliches Fotografieren beispielsweise bei der Verbrechensbekämpfung hat.

In dem Irrglauben, es gehe um alle Digitalkameras überschlagen sich die Kommentare:

• Freilich hätten "Kriminelle oder Politiker" gerne so eine akustische Warnung, meint einer.
• Problematisch sei, dass Polizeigewalt zum Beispiel auf Demonstrationen nun nicht mehr unbemerkt und sicher dokumentiert werden könne, ein anderer. In der Tat bekommt das Gesetz hierdurch einen gewissen Beigeschmack.
• Die Frage, ob Kameras mit Teleobjektiv lauter klicken sollten, steht im Raum.
• Einer meint gar sarkastisch, dass taube Mitmenschen benachteiligt würden, wenn man Kameras nicht auch zum Blitzen zwingt.

In Italien und Japan gibt es angeblich schon entsprechende Regelungen, was zeigt, dass man vor den Dummen nirgends sicher ist. Natürlich kann man das Geräusch immer irgendwie abschalten, notfalls setzt man einen einfachen Schalter in das Lautsprecherkabel.

Die Idee, das ganze gleich noch auf Camcorder auszudehnen, die das Surrgeräusch einer Super-8-Kamera machen sollten, wurde auch schon genannt.

Ich frage mich ja: Was ist eigentlich aus der roten Signallampe geworden? Insbesondere Überwachungskameras zeigen den nicht mehr, werden gar in Zügen und Geldautomaten hinter dunklen Plexiglasscheiben angebracht. Was mir daher noch fehlt: Ein Gesetz, dass Überwachungskameras zu dem aus Film und Fernsehen bekannten dezenten "Piep Piep Piep" und bei Bewegung zu einem eutlichen "Frrrrrr" zwingt!

Vor kurzem schrieb ich, dass Kameras mit Orientierungsinformationen technisch und künstlerisch interessant seien. Das war natürlich nur die halbe Wahrheit.

Erweitert man so eine Kamera um Batterie und Funkschnittstelle und Aufprallschutz, so kann man sie sogar wegwerfen.

Peter Glaser stellt im "Verriss des Monats" der Technolgy Review einige Kameras vor, die gerollt oder geworfen werden können und trotzdem ein stabiles Bild liefern — sei es nach dem Aufprall oder sogar während der Bewegung.

Manche der Kameras wirken zwar nicht so, als kämen wirklich Orientierungssensoren zum Einsatz, aber das ist bei ausreichend hoher Bildrate auch nicht nötig. Der Rechner, der die Bilder empfängt, kann sie mit Methoden der Bildverarbeitung eventuell trotzdem zusammensetzen.

Der cnet-Artikel über das iBall genannte Spielzeug schottischer Herkunft macht klar, wofür es wohl am ehesten gut sein wird:

The I-Ball can be tossed into a room, fired from a grenade launcher or even a mortar, and its advanced image stabilization technology will still deliver a steady picture and easy to see "high-value" video(...) The grenade-size, wireless camera will allow the redcoats to have a quick peek before entering a room or cresting a ridge (...)

(Hervorhebungen von mir.)

Und das Prinzip der direkt für's Militär entwickelten Macroswiss Short Range Throwing Camera ist geradezu primitiv. Sie ist so ausbalanciert, dass sie immer auf dem Fuß landen soll, in ihrem inneren dreht sich dann nach der Landung die eigentliche Kamera um die Vertikalachse.

Es ist offensichtlich, dass Wurfkameras für's Militär interessant sind — aber eben auch für Spionageeinsätze und neugierige Nachbarn. Was als tun, wenn einem eine über's Grundstück rollt? Behalten.

Zur akustischen Abhörbarkeit von Computersystemen hatte ich schon einmal etwas geschrieben.

Bei hack a day wurde kürzlich über die Möglichkeit, Wände als Eingabegerät zu nutzen, berichtet. Chris Harrison, der auch sonst einige interessante Projekte auf seinen Seiten präsentiert, hat sich mit der Entwicklung einer solchen "Kratz-Eingabe" beschäftigt. Das System erkennt an die Wand gekratzte Gesten wie Kreise oder Linien und Klopfen auch über vermeintliche Hindernisse wie Türen hinweg.

Aber auch Buchstaben sind Gesten. Ein auf Papier geschriebenes (beziehungsweise "gekratztes") X ist von einem U zu unterscheiden. Menschen mit absolutem Gehör erkennen Töne zielsicher. Blinde hören die erstaunlichsten Details aus ihrer Umgebung heraus, weil ihr Hörsinn stärker ausgebildet ist. Also ist es auch möglich, manuelle Schreibvorgänge — will sagen: Handschrift — abzuhören.

Wie das eingangs genannte Experiment zeigt, brauchen Spione und Geheimdienste keine Blinden mehr zu beschäftigen. Ist die Schrift sehr leise oder durch Störgeräusche für einen Menschen nicht mehr wahrnehmbar, müssen ohnehin Mikrofone und Signalverarbeitung helfen. Da liegt es nahe, gleich eine Software als etwas ausgefeilteres "Eingabegerät" anzuschließen, die mit hoher Erkennungsrate handschriftliche Notizen mitschreiben kann. Die klare zeitliche Abfolge der Geräusche und die minimalen Abweichungen der Handschrift eines Menschen dürften die Auswertung zu einem Kinderspiel machen.

Die Kosten sind minimal: Ist die Software erstmal entwickelt, braucht man nur noch ein Notebook und ein geschickt angebrachtes Mikrofon.

Bei letzterem hat man es wegen der guten Fortpflanzung von Schallwellen in festen Körpern sogar recht leicht: Mikrofone können auch an schwer erkennbaren Stellen angebracht werden. Da die meisten Notizblöcke auf Tischen liegen, würde ich mal spontan die Zimmerdecke der darunterliegenden Wohnung ausprobieren. Dann hilft dem Heimlichtuer von heute auch der aus Filmen bekannte aufgedrehte Wasserhahn nicht mehr.

Die Preisgabe der IP-Adressen des Bundesnachrichtendienstes (siehe [1], [2], [3]) könnte für dessen Mitarbeiter ein paar Konsequenzen haben, die ich bisher noch gar nicht bedacht hatte. Kommentare in Bruce Schneiers Weblog brachten mich darauf.

Nehmen wir an, jemand beim BND hätte den Fehler gemacht "von der Arbeit aus" irgendetwas (eine DVD, ein Buch...) im Internet zu bestellen. Oder ein Auto zu mieten. (Oder Begleitung bei einem Escort-Service, laut Wikileaks gibt es da ja Zugriffe. ) Oder einen Flug zu buchen, oder eine Bahnfahrt, oder auch nur einen Routenplaner zu benutzen. Oder gar private Mails über einen Webmailer zu lesen. Oder bei eBay zu bieten.

Klingt dumm? Menschen tun dumme Dinge.

Beim Durchsuchen der eigenen Logfiles könnte der ein oder andere dann Identitäten und Privatadressen oder andere sensible Informationen von BND-Mitarbeitern aufdecken. Unschön. Allein die Information, dass eine bestimmte Kreditkarte vom BND genutzt wird, ist sicher ein paar Euro Wert. Was also sollte einen gelangweilten Admin davon abhalten entsprechende Recherchen anzustellen?

Wie ich schon festgestellt hatte, sind zwar nur wenige Spuren im Web zu finden. So gab es z.B. wenige Änderungen in der Wikipedia. Die "verdächtigen" Edits der Adressbereiche 195.243.248.224-231 und 62.156.187.232-239 kann man sich übrigens mittels des Wikiscanners angucken. Doch selbst wenn bei der geheimsten aller deutschen Behörden darauf geachtet wurde, dass niemand die dienstlichen Anschlüsse für Privates oder ohne Anonymisierung verwendet: Ein einziger Fehler kann genügen, um jemanden in ernsthafte Schwierigkeiten zu bringen oder die nachrichtendienstliche Arbeit empfindlich zu stören.

Und dass solche Fehler zuverlässig verhindert wurden, kann man nach bisherigem Kenntnisstand bezweifeln.

Die IP-Adressen des Bundesnachrichtendienstes waren echt. Nach der Veröffentlichung auf Wikileaks hätte es einfach still bleiben können. Oder eine Firma, auch eine Tarnfirma des BND, hätte darauf hinweisen können, dass es ihre Adressen seien. Beides hätte zwar Raum für Spekulationen gelassen, aber eben nur den.

Stattdessen aber richtete sich das Computer Emergency Response Team (CERT) von T-Systems mit der Bitte an Wikileaks, das entsprechende Dokument zu entfernen, was nicht nur einer geradezu amtlichen Bestätigung der Echtheit gleichkommt, sondern auch noch absolut peinlich ist.

Erstens ist Wikileaks gerade eine Einrichtung, die bewusst zur ununterdrückbaren Veröffentlichung von Informationen, also gegen Zensur betrieben wird. Zweitens lassen sich Informationen bekanntlich so gut aus dem Internet zurückholen, wie Urin aus einem Swimmingpool.

Eigentlich könnte der BND darauf pfeifen, ob seine statischen IP-Adressen bekannt sind oder nicht. Davon, dass fremde Dienste die Adressen kennen, muss man sowieso ausgehen. Und für verdeckte Recherchen gibt es schließlich Anonymisierungsdienste wie das TOR-Netzwerk, dass sich hervorragend für nachrichtendienstliche Arbeit eignen dürfte.

Dennoch wurden seitens T-Systems hektisch Änderungen am Adresspool der geheimsten aller deutschen Behörden vorgenommen. Wikileaks schreibt in einem Artikel etwas reißerisch:

Zwischen Freitag Nacht und Sonntag morgen fand eine grossangelegte Säuberungsaktion beim Europäischen Internet Adressregister (RIPE) zur Entfernung von Details zum Bundesnachrichtendienst statt.

Die Säuberung folgt einer Enthüllung von mehr als zwei Dutzend verdeckter BND Netzwerke die durch T-Systems bereitgestellt wurden. Die Netzwerke waren einer nicht im Handelsregister registrierten Tarnfirma mittels eines Münchner Postfachs zugewiesen.

T-Systems bereinigte die RIPE Datenbank von allen Netzwerken die durch Wikileaks enthüllt wurden und verschob die Adressen in verschiedene grosse Adresspools um somit die Zuweisung zu anonymisieren. Die Pools geben ausser ihrer Zugehörigkeit zu T-Systems keine Auskunft über ihre interne Struktur.

Warum wurden überhaupt an einen Geheimdienst Adressbereiche vergeben, die "Aufschluss über die interne Struktur" gaben? Warum werden diese nun geändert? Dachte man etwa bisher, diese IP-Adressen seien ein schützbares Geheimnis?

Hinweise auf so eine Annahme gibt es durchaus. Da diverse Seitenbetreiber nun ihre alten Logfiles nach den Adressen durchsucht haben, sind allerlei Zugriffe bekannt geworden. Viele sind bedeutungslos, doch hat der BND offenbar das Netz automatisiert durchkämmt und hatte dabei die Technik nicht ganz unter Kontrolle:

(...) wie auch dem systematischen Durchkämmen des Internets zu Terrorismus-nahen Themen, wie dem Mordanschlag auf den Rebellenanführer Abu Musab Zarqawi im Irak. 2006 hatten sich hier zahlreiche Betreiber von Webseiten über ein ausser Kontrolle geratenes, automatisiertes Datamining ausgehend von den betreffenden Adressen beschwert.

Dass so etwas peinliches passiert, erklärt dann vielleicht auch den Rat des BNDs in seinen Stellenanzeigen:

Bitte behandeln Sie Ihre Bewerbung in Ihrem Umfeld ebenso diskret, wie Sie es von uns erwarten.