Mitternachtshacking

Eine Studie des Antivirensoftware-Herstellers Avast hat ergeben, dass die meisten Webseiten die versuchen, Benutzer mit Schadprogrammen zu infizieren ganz normale Webseiten und keine obskuren Adult- oder Hacker-Seiten sind. Angeblich kommen 99% der Angriffe von eigentlich legitimen aber infizierten Webseiten:

“HTML files from sub-domain blackberry.vodafone.co.uk still contain malicious code at the time of writing but point to a site containing the attack payload site that has been pulled offline.”

Ich kann mir das gut vorstellen. Immerhin gibt es in vielen Unternehmen URL-Filter die bestimmte Seiten generell blockieren. Dazu gehören eben viele Adult- und Hacker-Seiten. Die Zielgruppe wäre deshalb recht gering wenn sich die Angreifer nur auf solche Seiten stürzen würden. Viel lukrativer sind doch infizierte Werbeserver wie erst vor einigen Monaten wieder bei Holtzbrinck passiert. Damit erwischt man auf einen Schlag tausende nichtsahnender Anwender und hat (weil u.a. genug Firmen noch den Internet Explorer 6 einsetzen) auch eine gute Ergebnisquote.

Wenn man mit einem frisch installierten Firefox beispielsweise die Webseite des CCC aufruft, bekommt man diesen lustigen Zertifikatsfehler:

Der Grund ist bekanntlich, daß die Zertifizierungsstelle CACert im Browser nicht als vertrauenswürdige CA enthalten ist.

Einige Browserhersteller liefern deshalb auch CA-Aktualisierungen aus. Microsoft beispielsweise stellt immer wieder mal über Microsoft Update eine Aktualisierung der Zertifizierungsstellen (”Update der Stammzertifizierungsstellen”) bereit. Ich kucke meistens dann auch, wer da alles neu drin steht.

Meines Wissens (ich lasse mich aber gerne eines besseren belehren) verlangt Microsoft, um in die Liste der vertrauenswürdigen Zertifizierungsstellen aufgenommen zu werden, die Erfüllung mehrerer Voraussetzungen:

• Eine Vereinbarung mit Microsoft (Microsoft CA Agreement)
• Mind. 2048 Bit Schlüssellänge, mind. SHA-1 Hashalgorithmus, min. 8 Jahre gültig, höchstens bis 2030
• CRL Distribution Point Extension, d.h. eine CRL muß bereitgestellt werden
• Eine dokumentierte Policy (Certificate Practice Statement, CPS)
• Ein erfolgreich bestandenes Audit, typischerweise nach
  • WebTrust for Certificate Authorities v1.0 or later, durch einen lizensierten WebTrust for CAs Auditor
  • ETSI TS 101 456 v1.2.1 or later
  • ETSI TS 102 042 V1.1.1 or later
  • ISO 21188:2006, “Public key infrastructure for financial services — Practices and policy framework”, ebenfalls durch einen lizenzierten Auditor
• Außerdem habe ich mal gehört, daß Microsoft dann noch so ca. 50.000 USD haben möchte, für den ganzen Aufwand

In den Auditregeln stehen insgesamt ganz schön viele  Anforderungen drin. CACert beispielsweise wird von Microsoft nicht aufgenommen, alleine weil die vermutlich die geforderten Kosten für Audit und RootCA-Zertifikatsverteilung nicht bezahlen können. Bei einigen Antragstellern scheint es Microsoft mit den Regeln auch nicht ganz so genau zu nehmen. Beispielsweise muß man das CPS der Cisco Root CA im Internet suchen. Im Zertifikat ist der Link dahin leider nicht enthalten.

Was mir aber langsam Sorgen macht, sind die vielen Regierungs-CAs die als vertrauenswürdige Zertifizierungsstellen im Internet Explorer (und anderen Browsern mit Verzögerung) auftauchen. Hier beispielsweise die Liste cer CAs die mir beim Durchsehen des aktuellen IEs aufgefallen sind:

• CN = AC RAIZ DNIE, OU = DNIE, O = DIRECCION GENERAL DE LA POLICIA, C = ES
• OU = Application CA G2, O = LGPKI, C = JP (Japanese Local Government)
• OU = ApplicationCA, O = Japanese Government, C = JP
• CN = Common Policy, OU = FBCA, O = U.S. Government, C = us
• CN = ComSign, O = ComSign CA, C = IL
• O = Government Root Certification Authority, C = TW
• CN = GPKIRootCA, OU = GPKI, O = Government of Korea, C = KR
• CN = IGC/A, OU = DCSSI, O = PM/SGDN, L = Paris, S = France, C = FR (Secrétariat Général de la Défense Nationale)
• OU = MPHPT Certification Authority, OU = MPHPT, O = Japanese Government, C = JP
• CN = Root CA, OU = GPKI, O = Government of Korea, C = KR
• CN = Root CA Generalitat Valenciana, OU = PKIGVA, O = Generalitat Valenciana, C = ES
• OU = sigov-ca, O = state-institutions, C = si
• CN = Staat der Nederlanden Root CA, O = Staat der Nederlanden, C = NL
• CN = VRK Gov. Root CA, OU = Varmennepalvelut, OU = Certification Authority Services, O = Vaestorekisterikeskus CA, S = Finland, C = FI

Bei Firefox ist das nicht anders. Mozilla (Kathleen Wilson) selbst sagt dazu:

“Mozilla has included many root certificates that are operated either by actual government agencies or by organizations that are government sponsored. We do not have a policy against accepting government sponsored CAs into our program.”

Bei der Aufnahme bzw. dem späteren Rauswurf von CNNIC, einer (möglicherweise staatlich kontrollierten) chinesischen Zertifizierungsstelle gab es bei Mozilla riesige Diskussionen. Die spanische Polizei kann aber inzwischen genauso Man-in-the-Middle Angriffe mit gültigen Zertifikaten auf beliebige SSL-Verbindungen durchführen. Und ich bin sicher, die eine oder andere scheinbar harmlose Organisation im Browser die nicht auf meiner Liste steht, wird von irgendeinem Geheimdienst kontrolliert.

Im Ergebnis habe ich folglich im Browser inzwischen fast 300 RootCA-Zertifikate von rund 100 Zertifizierungsstellen. Welche davon staatlich kontrolliert sind, welche davon tatsächlich vertrauenswürdig sind und welche böse, ist für mich nicht mehr überschaubar. Die Regeln Microsoft, Mozilla und Co. helfen wie oben gesehen leider nicht weiter. Ich denke, ich werde demnächst meine eigene Liste “Mitternachtshacking traut diesen CAs” veröffentlichen und alle anderen aus meinem Browser rauswerfen. Tatsächlich stammen alle SSL-Zertifikate der von mir genutzten verschlüsselten Verbindungen aus den letzten drei Monaten von lediglich 8 Zertifizierungsstellen, sagt Certificate Patrol. Die anderen 92 können folglich raus.

Spannender Artikel bei Zscaler Research (ja, das sind die mit dem komischen Cloud Scanning). Jeff Forristal liefert einen Überblick, welche Möglichkeiten es inzwischen gibt das Surfverhalten der Nutzer auszuspähen. Da kommen Ideen zum Vorschein, auf die ich bisher gar nicht gekommen bin aber die durchaus nicht völlig aus der Luft gegriffen sind, wenn man die Historie beteiligter Unternehmen wie Verisign berücksichtigt:

• Toolbars (Alexa, Google, Yahoo und Co), aber das ist Opt-In, die installiert sich jeder selbst
• Phorm und andere Sachen die beim Provider laufen, lassen wir aber auch außer acht
• Interne Firmenproxys die alles auswerten sind anscheinend bei Post und Bahn und den meisten anderen Großkonzernen sowieso üblich

Nun aber zu den spannenden Sachen:

Startseite: Die meisten Startseiten werden nur beim Starten des Browsers oder öffnen eines Fensters aufgerufen weil kaum jemand auf “Home” klickt. Zusammen mit den dort vergebenen Cookies läßt sich recht genau tracken, wann eine Person üblicherweise beginnt, im Internet zu surfen. Zusammen mit der IP-Adresse (Geolocation und Firmenzuordnung) kann man recht zuverlässig sagen, ob die Person von Zuhause oder aus der Firma surft. Apple leitet auch noch zu einer Omniture-Seite weiter (gehört zu Google), die Privatspäre geht damit komplett flöten.

HTTPS: Die meisten Browser unterstützen irgendeine Art von Zertifikatsverifizierung, entweder mit CRLs oder OCSP. Insbesondere bei OCSP wird die Seriennummer des Zertifikats einer Webseite (z.B. der Commerzbank) an die Zertifizierungsstelle (z.B. Verisign) geschickt (ja, die Commerzbank hat ein TC Trustcenter-Zertifikat, mir geht’s aber um das Prinzip und Verisign ist böse!). Folglich weiß Verisign, wann auf bestimmte Webseiten mit HTTPS zugegriffen wurde. Und Verisign und ihre Tochterfirmen habe etwa 57% aller Zertifikate ausgestellt.

Anti-Phishing: Praktisch jeder Browser bietet die Möglichkeit, eine Webseite vor dem Zugriff darauf prüfen zu lassen, ob es sich um eine Phishing-Seite handelt. Einige Implementierungen verwenden eine lokal heruntergeladene Datenbank, vergleichbar Antivirus-Signaturen, andere schicken einen Hash der Seite an eine zentrale Datenbank. Opera mit SiteCheck läßt sich jeden kompletten Rechnernamen schicken, der angesurft wird. Ganz toll!

Eigentlich kann man nur noch zwischen zwei unerwünschten Situationen wählen. Verzichtet man auf Privatspäre  und bekommt mehr Sicherheit oder will man mehr Privacy auf kosten der Sicherheit.

Hier der komplette Artikel: Those who know where and when you surf

Soso, Frau Kroes, unsere allseits (außer bei Microsoft und Intel) geschätzte EU-Wettbewerbskommissarin hat ein paar neue Ideen um Microsoft zu drangsalieren. Diesmal auf Beschwerde von Opera. Ihre neueste Idee ist jetzt, daß Microsoft neben dem Internet Explorer auch weitere Browser mit dem Betriebssystem bündeln soll.

Ich persönlich halte das aus mehreren Gründen für einen ausgemachten Schwachsinn.

1. Welche Browser sollen denn mit aufgenommen werden? Firefox, Opera und Chrome? Warum Chrome, Google hat einen vernachlässigbaren Marktanteil und ist eine Gefahr für die Privatspähre aller EU-Bürger. Dafür Safari? Macht man ein Quorum (erst ab 2,5% Marktanteil) und wie bestimmt man das? Oder kommt jeder rein, der laut genug schreit? Das wären dann aber ganz schön viele.
2. Wer stellt die Liste der Browser zusammen? Microsoft? Die EU-Kommission? Zensursula von den Laien? Eine “Expertenkommission”? Wodurch qualifizieren sich diese Experten? Wie die Hausfrau die sich beim Callcenter mit Verweis auf ihre Telefonrechnung bewirbt?
3. Wie ist das mit den Browser-Updates? Werden die dann auch von Microsoft verteilt? Wie schnell? Was ist, wenn da was schief geht? Ist dann Microsoft schuld (weil nicht getestet) oder der Browserhersteller? Und fliegen Browser raus bei denen das Update fünf mal schief lief?
4. Was ist eigentlich (mal rein hypothetisch) mit Firmen, die ihren Browser wirklich noch verkaufen wollen? So gegen richtiges echtes Geld? Wenn alle Browser kostenlos gebündelt werden ist der Markt erst recht tot.
5. Überhaupt, warum wird das auf die Browser beschränkt? Ich fühle mich total monopolistisch unterdrückt, weil ich vor vielen Jahrzehnten mal ein Tool programmiert habe mit dem sich eine Platte defragmentieren läßt. Bei Windows Defragmentierungstools hat Microsoft durch das Bündeln mit Windows einen Marktanteil von fast 100%. Ich verlange, daß mein Tool auch von Microsoft mit angeboten wird!

Ich bin ja kein besonderer Freund von Microsoft, aber diese Idee kommt mir mindestens genauso intelligent vor wie das Internet mit einem Stop-Schild zu filtern. Lauter Laien in der Regierung.

Andererseits … wenn da wirklich jeder Browser mit verteilt werden müsste, könnte die von der Leyen ja einen “Bundesbrowser” entwickeln, der garantiert keine Bilder mehr anzeigt (dann gibt’s nämlich auch keine KiPos mehr) und diesen an alle deutschen Rechner gleich mitverteilen. Und GröIaZ Schäuble kann seinen “Bundestrojaner” mitbündeln, dann ist der auch direkt auf allen Rechnern. Oder nee, das wäre ja eine EU-rechtlich unzulässige Kopplung. Ich hätte da nämlich auch ein Konkurrenzprodukt zum Bundestrojaner, frisch aus Frankreich importiert.

The Inquirer hat erste Webstatistiken veröffentlicht und auch wenn die mit viel Vorsicht zu genießen sind, sehe ich doch einen Trend darin:

• NetApplikation berichtet, letzte Woche direkt nach dem Launch war der Marktanteil von Chrome noch bei 1,7 Prozent, aktuell ist er auf 1 Prozent runter
• Ally Insider (eine Geek-Seite) behauptet, letzte Woche direkt nach dem Start waren 6,6 Prozent aller Visits mit Chrome, aktuell sind es nur noch 4,7 Prozenz

Oder anders ausgedrückt: man lädt sich Chrome mal runter, startet es, probiert es aus und das war es dann auch.

Im gedruckten Focus (Ausgabe Nr. 37 vom 8. September 2008) steht ein interessanter Artikel zu Googles Chrome. Überschrift: “Angriff der Datenkrake“. Leider gibt es den Artikel bisher nicht online aber einen anderen mit ähnlichem Tenor.

Interessant finde ich den Artikel aus zwei Gründen: zum einen, weil der Artikel des Focus von allen Medien die mir so untergekommen sind noch am differenziertesten berichtet und auch die Datenschutzproblematik thematisiert. Vermutlich ist das ein Vorteil des Print, man kann sich etwas mehr Zeit lassen und daher ausgewogener berichten (Hr. Niggemeier würde das vermutlich abstreiten).

Zum anderen stellt Focus jedoch eine bemerkenswerte Theorie auf, die meiner Ansicht nach völliger Blödsinn ist. Auf der ersten Seite wird Chip-Redakteur Henschel mit der Aussage “die Marktmacht des Internet Explorers sei zumindest derzeit weniger gefährdet” zitiert. Und auch wenn ich von Chip nicht besonders viel halte, möchte ich Herrn Henschel hier uneingeschränkt recht geben. Auf der nächsten Seite kommt dann jedoch der Informationswissenschaftler Dirk Lewandowski von der Hochschule für angewandte Wissenschaften in Hamburg zu Wort, der eine haarsträubende Theorie aufstellt:

“Chrome ist somit mehr als nur ein neuer Browser - das Programm könnte sich zu einem Web-Betriebssystem entwickeln und stellt somit einen Angriff auf Microsoft dar.”

Begründet wird diese Aussage mit vagen Verweisen auf Cloud-Computing. Bei Cloud-Computing werden Programme, Daten und Rechenkapazität sozusagen ins Internet verlagert. Man spricht dann von einer diffusen Wolke, der Cloud. Angeblicher Vorteil: die Daten sollen sicher in einem Rechenzentrum lagern und können  jederzeit und von überall wieder abgerufen werden. Nachteil: die persönlichen Daten liegen bei einem fremden Unternehmen, das sich diese gerne auch mal per AGB aneignet.

Ein Web-Betriebssystem! Was für ein Quatsch.

Zu einem Betriebssystem gehört mehr als nur ein GUI zur Anzeige von etwas Text und Grafik. In erster Linie zeichnet sich das Betriebssystem für mich durch die Steuerung der Hardware aus. Dazu gehören Treiber für Festplatte und Wireless LAN genauso wie Anpassungen an eine deutsche Tastatur und den angeschlossenen Monitor. Microsoft Windows XP ist ein Betriebssystem. Microsoft Vista mit vielleicht etwas zähneknirschen auch. GNU/Linux ist sogar ein Open Source Betriebssystem, genau wie FreeBSD. Debian, SuSE und Ubuntu sind Varianten (Distributionen) von Linux. Chrome ist ein Browser.

Ein Browser mit etwas schnellerer Javascript-Engine und einem simplen “Prozesse statt Threads”-Konzept wie man das vor 10 Jahren schon hatte ist kein Betriebssystem. Auch Gears macht Chrome nicht zum Betriebssystem und Chrome wird das Betriebssystem niemals ersetzen. Ich stelle mir das auch gerade spannend vor, einen modernen DirectX-10 Ego-Shooter wie Crysis in Chrome laufen zu lassen. Es muß echt schwierig sein, die 3D-Grafikberechnungen in Javascript sauber hinzubekommen. Ich vermute so 0,01 Frames/sek müsste man vielleich schaffen.

Zum zweiten, wer vertraut denn ernsthaft sensible Daten anonym in einer Cloud einem fremden Unternehmen an. Und dann auch noch speziell Google und deren AGB? Die Daten sind weder besonders zuverlässig in so einer Cloud gespeichert, wie beispielsweise Twitter feststellen musste, als Amazons S3 Service (den ich im Grunde für recht gut halte) leider ausgefallen ist. Noch wird vom Anbieter sichergestellt, daß kein Fremder Zugriff auf die Daten erhält. Dazu aber bei gegebenem Anlaß einen eigenen Artikel.

Auf keinen Fall kann (und will) Google mit Chrome einen Angriff auf das Microsoft Windows Betriebssystem starten. Vielleicht, aber nur ganz ganz vielleicht kann Google damit ein paar winzige Prozent Marktanteile von Office abknabbern. Ich denke, das ist noch nicht einmal direkt geplant. Das einzige was Google will ist, daß die eigenen AJAX-Programme weiterhin vernünftig in verschiedenen Browsern funktionieren. Und das geht am besten mit einem Referenzbrowser, dessen Funktionalität andere nachbilden müssen. Die “Balkanisierung” des Browsermarkts, in dem sich inzwischen neben dem Internet Explorer und Mozilla Firefox auch Opera, Safari und Chrome tummeln sorgt wahrscheinlich auch dafür, daß sich die Entwickler von Webseiten gezwungen sehen, sich mehr an Standards zu halten. Webseiten nur noch für den Internet Explorer zu entwickeln kann sich heute niemand mehr leisten.

Auf anderen Märkten ist Google übrigens durchaus mit einem eigenen Betriebssystem vertreten. T-Mobile USA möchte sogar noch 2008 erste Mobiltelefone mit dem Google Handybetriebssystem Android ausliefern. Android ist Linux-basiert und steht in direkter Konkurrenz zu Symbian, iPhone und Windows Mobile.

Aber Google Chrome als Web-Betriebssystem zu bezeichnen … my ass!

Golem hat eine haarsträubende Anleitung veröffentlicht, wie man der Datenschutzseuche Chrome die eindeutige Browser-ID abgewöhnen kann. Vermutlich nicht ganz sondern Chrome verwendet dann bei jedem Start eine neue eindeutige Browser-ID, aber besser als gar nichts.

Im Grunde funktioniert das so, daß man in der Datei C:\Dokumente und Einstellungen\Login\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data/Local State (bei einem deutschen Windows XP) den Wert bei client_id löscht. Anschließend muß man den Schreibschutz für diese Datei setzen, damit Chrome keine neue ID einträgt. Und weil Chrome in diesem Fall mit einer Backup-Datei arbeitet, gilt das gleiche für die Datei “Local State.tmp” im gleichen Verzeichnis.

Verdammt, für das Teil gibt es doch den Source Code, oder? Das nächste was ich  mache ist, einen PrivacyChrome daraus zu machen, der bei jeder Google-Anfrage (d.h. jedem einzelnen HTTP-Request) eine andere Client-ID mitschickt. Eat this, Google.

Andererseits … ich könnte ja Wetten, daß zufällig und ganz versehentlich natürlich in die Lizenz von Chrome eine Klausel reingerutscht ist, die genau das entfernen der eindeutigen Identifizierungsmöglichkeiten verbietet. Google is Evil.

Cnet hingegen gibt dem Bösen ein Gesicht. Nein, damit ist nicht Stephen King gemeint, Cnet hat im Beitrag “Photos: The brains behind Google Chrome” Fotos der Entwickler veröffentlicht. Und wie zu erwarten, die sehen eigentlich ganz normal aus. Ein bisschen wie Al Pacino in “Im Auftrag des Teufels” :-;

Matthias Gärtner (Bundesamt für Sicherheit in der Informationstechnik): “Google Chrome sollte nicht für den allgemeinen Gebrauch eingesetzt werden”

Daniel Bachfeld (heise.de und ct): “Ich rate davon ab, mit Google Chrome außer zu Testzwecken zu surfen”

Christian Gresser (Autor bei Mitternachtshacking ): “Google ist eine bösartige Datenkrake. Freiwillig sollte man Google so wenig Daten wie möglich geben”

Ach ja, die Quelle der ersten beiden Zitate ist die Berliner Zeitung.

Google hat gegenüber Ars Technica angekündigt, die Chrome AGB angeblich überarbeiten zu wollen:

“Es sei nicht Googles Absicht, sich ein solches Nutzungsrecht an den Inhalten der Chrome-Nutzer einräumen zu lassen.”

Ja sagt mal, glaubt denen eigentlich irgendwer noch irgendwas? Ein Riesenkonzern wie Google, der Milliardengewinne einfährt, einen Bösenwert größer als die Deutsche Bank, die Deutsche Post und die Deutsche Telekom zusammen haben (ok, schlechtes Beispiel, das sind ausgerechnet die größten deutschen Pannenfirmen, aber ihr wißt was ich meine) und hunderte Rechtsberater in allen Ländern der Erde beschäftigt soll nicht in der Lage sein, vernünftige AGB zu formulieren? Ha ha. Ich wette, da hat jemand vorsätzlich entschieden, genaue diese Formulierung in die AGB zu schreiben um zu sehen ob es jemand merkt. Hinterher entschuldigen kann man sich ja immer noch.

Das erinnert mich an die AGB von Googles Text & Tabellen. Ich zitiere daraus einen Satz der Stand heute, 04.09.2008 so darin vorkommt:

“Wenn Sie Inhalte in die Dienste einstellen, räumen Sie dadurch Google (und den zur Google Gruppe gehörenden Unternehmen sowie den Vertragspartnern von Google) das nichtausschließliche, weltweite und zeitlich unbeschränkte Recht ein, diese Inhalte für die Dienste zu nutzen, insbesondere die Inhalte zu vervielfältigen und anderen Nutzern öffentlich zugänglich zu machen.”

Eine ähnliche Formulierung mit identischer Bedeutung war bereits vor einem Jahr in der Diskussion. Google hat sich dann gegenüber Golem angeblich davon distanziert und die AGB so umformuliert, daß es etwas harmloser klingt, sich Google aber weiterhin gewaltige Rechte einfach so klaut. Die gegenüber Golem gemachte angebliche Aussage von Google Deutschland: “Google beansprucht keinerlei Eigentumsrechte oder Kontrolle an den mit Google Text & Tabellen erstellten Inhalten.” widerspricht jedoch klar den AGB und im Zweifelsfall wird sich Google sicher die größeren Rechte wie in den AGB formuliert einräumen.

Wollen wir wetten, daß die Chrome AGB nur ein klein wenig umformuliert werden, die Bedeutung aber identisch erhalten bleibt?

Liebe Google Jungs und Mädels, ich kann mir keinen Konzern vorstellen, der “more Evil” ist als Google. Auf meiner persönlichen Skala habt ihr inzwischen sogar Microsoft überholt. Schämt Euch.

Nochmal was lustiges trauriges vom Google Browser:

11. Content licence from you
11.1 You retain copyright and any other rights that you already hold in Content that you submit, post or display on or through the Services. By submitting, posting or displaying the content, you give Google a perpetual, irrevocable, worldwide, royalty-free and non-exclusive licence to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content that you submit, post or display on or through the Services. This licence is for the sole purpose of enabling Google to display, distribute and promote the Services and may be revoked for certain Services as defined in the Additional Terms of those Services.

Faktisch, zumindest im amerikanischen Recht bedeutet das, Google eignet sich das Urheberrecht für alles an, was mittels Chrome erzeugt, geschrieben und irgendwo gepostet wird. Das kenne wir ja schon von Googles Text & Tabellen.

Geht es eigentlich noch mehr Evil?

Bei uns in der Firma ist die Installation und Nutzung von Google Chrome deshalb verboten.

(via The Register)