Schau mir in die Daten, Kleines

Während sich Möchtegern-Propheten in allen erdenklichen Papiererzeugnissen noch darüber streiten, ob das Internet denn nun Aktionsplattform für Nazis, Sekten und Kinderschänder ist oder aber ein revolutionäres Medium, das eine historisch unvergleichliche Informations-Anarchie einläuten wird, sehen viele User zu Recht ihre Datensicherheit in Gefahr.

Von Erik Möller

Das Internet ist wohl ein Thema, zu dem jeder seinen selten schmackhaften Senf abgeben will, vergleichbar mit dem Medienrummel um die "Tamagotchis": Inkompetente Redakteure in aller Welt berichten ausführlich über etwas, das sie mangels persönlicher Kenntnis der Materie ohnehin nicht einmal ansatzweise verstehen. Aber die "Schwaller" genießen eben eine unangefochtene Autorität in der europäischen Medienlandschaft (und es bliebe zu beweisen, daß es anderswo nicht so ist).

Politiker, die offen zugeben, nicht einmal den Schalter ihres Computers zu finden, fordern beherzt Initiativen hinsichtlich des "gesetzlosen Raums" - dabei geht es in erster Linie um die Beibehaltung (oder Stärkung) des staatlichen Gewaltmonopols.

Kinder dürfen alles essen, aber nicht alles wissen.

Die tatsächliche Gefahr der "globalen Vernetzung" besteht nicht etwa in der Verwahrlosung und Traumatisierung wehr- und geistloser Minderjähriger, die sich illegal Zugang zu schrecklich schädlichen Pornobildern verschafft haben. Sie besteht auch nur sekundär in http://www.scientology.org und der "Zündelsite" [1], auf welcher der "Neo"-Nazi Ernst Zündel seine zumeist anderswo abgeschriebenen pseudowissenschaftlichen Haßpamphlete ohne Angst vor gesetzlicher Verfolgung verbreiten kann.

Denn in diesem Bereich gibt es tatsächlich eine gewisse Selbstregulation des Netzes. "Kindersicherungs"-Software sorgt dafür, daß sich die Sprößlinge nicht selbst aufklären [2] (der Sinn und die Effektivität solcher Programme sind jedoch fragwürdig), mutige und gebildete Benutzer kümmern sich um die ausführliche Widerlegung der nicht immer leicht durchschaubaren Nazi-Lügen [3].

Das Ausmaß der Transparenz ist undurchsichtig.

Was aber von den meisten Usern mit fadenscheinigen Arguemten bestritten, geleugnet oder schlicht ignoriert wird: Die Datensicherheit im Netz ist in keiner Weise gewährleistet, wie kürzlich durch einige auf diversen Netzinformationsdiensten [4] verstreute Puzzlestückchen eine erschreckend kleine Zahl von Usern erfuhr. Diejenigen Medien, welche diese Informationslücke hätten schließen können, kümmerten sich zu der Zeit lieber um die armen Tamagotchis.

Dabei ist dieses Jahr das interessanteste, was Sicherheitslücken im Netz angeht. Und auch die Nutzbarkeit dieser Lücken zu mehr oder weniger finsteren Zwecken wurde erstmals einer breiteren Masse möglich. Der Kampf um die Daten hat begonnen.

Der Feind in meinem Netz, oder: Wie ich lernte, Microsoft zu hassen.

Es fing damit an, daß viele notorische "Chatter", also Benutzer von Echtzeit-Kommunikationssystemen [5], über plötzliche Abstürze ihrer Netzverbindungen oder gar Totalabstürze klagten. Nach einem Reboot und erneuten Login zogen sie sich oft höhnische Bemerkungen ihrer Gesprächspartner zu - das müsse wohl etwas mit ihrem Betriebssystem zu tun haben.

Und diese Analyse hätte treffender nicht sein können. Bekanntlich gibt es im Internet zahlreiche wohlklingende Übertragungsstandards, und alle müssen von dem jeweils ins Netz geklinkten Rechner korrekt interpretiert werden. Passiert dies nicht, so kann es unerwartete Folgen haben.

Darüber waren sich die Microsoft-Programmierer offenbar nicht im klaren, als sie ihren TCP/IP-Stack schufen. Empfängt das MS-Betriebssystem sogenannte "Out of Band" (OOB)-Daten, verabschiedet es sich, ganz gleich, ob es sich um Windows 3.x, Windows 95 oder Windows NT handelt, auf die ein oder andere Art und Weise. Bestenfalls können im Netz keine Daten mehr empfangen werden, schlimmstenfalls dürfen Sie Ihren Rechner neu starten.

Als das in Hackerkreisen bekannt wurde, entstanden die ersten "Nuker" [6]. Diese praktischen kleinen Programme erlauben es jedem unter Kenntnis der IP-Adresse (*) des Opfers dessen Rechner durch Nutzung der oben genannten Sicherheitslücke zum Absturz zu bringen.

Besonders gut möglich ist dies (wie gesagt) im "Chat", denn dort ist die Adresse der Gesprächspartner ein offenes Geheimnis, vor allem im Internet Relay Chat (IRC), wo mit dem einfachen Befehl "/DNS <username>" die numerische Adresse eines Users aufgelöst werden kann.

Löcher mit Löchern stopfen?

Wie es sich für ein milliardenschweres Softwarehaus gehört, versprach die Firma Microsoft schon bald nach dem "Bekanntwerden" dieses Problems in Teilen der Net-Community, einen entsprechenden "Bugfix" (also ein Mini-Update) zu liefern. Wie schon so oft sollten so Probleme gelöst werden, die man ohne Microsoft gar nicht hätte.

Doch selbst diese Serviceleistung entwickelte sich zur Farce: Die ersten Patches stellten keine Immunität vor Attacken durch Rechner her, die nicht selbst MS-Betriebssysteme verwendeten. Und auch nach der Installation des allerneuesten, angeblich voll funktionsfähigen offiziellen Miniaturupdates [6] konnte ich durch entsprechende Testseiten selbst feststellen, daß man nicht nur vor, sondern auch mit Microsoft nicht sicher sein kann.

Ironischerweise wurden diese Testseiten teilweise von den Providern zensiert, da sie ihrer Meinung nach trotz mehrseitiger Warnungen nicht ausführlich genug deutlich machten, daß nach Beendigung des Tests Datenverluste eintreten könnten. Erst nach der Installation eines inoffiziellen Bugfixes [6], dessen Programierer in der Dokumentation sogar auf eventuell ungelöst bleibende Probleme verweisen, können Sie sich halbwegs sicher vor den Nukern im Netz fühlen.

Doch für wie lange? Eine wirkliche Sicherheit nach der Installation offizieller oder inoffizieller Updates zu vermuten, ist illusionär. Insbesondere, da professionelle Nuker ihre Attacken nicht nur über das auf Port 139 liegende NETBIOS durchführen, das die meisten Bugfixes schlichtweg sperren, sondern auch über andere TCP/IP-Ports (**).

Play it again, Bill.

Doch es existieren weitere Sicherheitslöcher in Microsofts TCP/IP-Stacks. Über das Verschicken spezieller ICMP-Datenpakete, die normalerweise nur der Bemessung der Antwortzeit eines Rechners dienen, läßt sich ein Rechner unter Windows 95 oder Windows NT zum Absturz bringen. Hierzu existiert ein Programm namens SSPing [6]. Wie bei WinNuke dauerte es eine halbe Ewigkeit, bis die entsprechenden Bugfixes auf Microsofts Website abrufbar waren, Hacker der Gruppe "Phrozen Crew" hatten schon Tage zuvor einen inoffiziellen Patch herausgebracht.

Über SSPing wurde in den Medien überhaupt nicht berichtet. Und das ist noch nicht alles, mit speziellen ICMP-Datenpaketen lassen sich bei vielen gängigen TCP/IP-Stacks, Microsofts DFÜ-Netzwerk eingeschlossen, Login-Name und Paßwort (!) des Opfers herausfinden. Wieso diese Daten eigentlich übertragen werden, bleibt rätselhaft.

Dies ist nur ein Kapitel der Windows-Sicherheit. Ein anderes ist ActiveX, ein System, das der Microsoft Internet Explorer als Alternative zu Java für hübsche kleine Onlineprogramme verwendet. Der Chaos-Computerclub hat bereits gezeigt, daß mit ActiveX unter bestimmten Umständen (der Benutzer muß, falls diese Abfrage nicht abgestellt ist, der Ausführung des ActiveX-Codes zustimmen) die für Online-Banking relevanten PINs ausspioniert werden können. [7]

Ein User namens Fred McLain hat überdies demonstriert, daß es problemlos möglich ist, mit einer ActiveX-Control namens "Internet Exploder" ein Windows 95 System, dessen Benutzer mit dem Microsoft Internet Explorer eine Webseite besucht, das berühmte "Herunterfahren" des Rechners durchführen zu lassen. Nach wenigen Veränderungen funktioniert die Control auch unter Windows NT. [8]

Seiner Meinung nach ist es möglich, jede beliebige Operation auf dem System des Opfers durchzuführen, also auch seine Festplatte zu formatieren oder Daten zwischen dem System und einem anderen auszutauschen. Mit einer weiteren Demo-Control, dem "Runner", hat McLain kürzlich bewiesen, daß jedes beliebige DOS- oder Windows-Programm ferngesteuert ausgeführt werden kann.

Die sogenannte ActiveX-Signatur bietet dabei keinerlei Sicherheit. Sie erlaubt zwar, den Autor einer Control zu identifizieren, aber die Anmeldeprozedur zum Erwerb der entsprechenden Signaturen läßt sich von falschen Daten täuschen, so daß jeder Hacker innerhalb weniger Tage zu einer Sicherheit vortäuschenden signierten Control kommen kann.

ActiveX ist somit für Datendiebe und Netzsaboteure die beste Wahl. Unzählige erschreckende Szenarien sind denkbar. Schließlich können auch verfängliche Daten auf der Festplatte eines Nutzers abgelegt werden. So kann jeder politische, wirtschaftliche oder private Gegner ausgeschaltet werden, indem zum Beispiel Kinderpornos oder Attentatspläne auf seinen Rechner überspielt werden. Anschließend genügt ein Anruf bei der Polizei.

Zu allem Übel wird der Internet Explorer, und damit auch ActiveX, wahrscheinlich fester Bestandteil der Arbeitsoberfläche von Windows 98 sein.

Download Headscape ... whenever [9]

Benutzer des Internet-Browsers Netscape sollten sich jedoch nicht sicher fühlen. Ganz gleich, welches Betriebssystem sie installiert haben, sofern sie nicht den neuesten Netscape Communicator oder ältere entsprechend gepatchte Versionen verwenden, ist ihre Festplatte ein offenes Buch. [10]

Genauer gesagt erlaubt der Bug jedem Administrator einer Website, beliebige Dateien des Zielrechners einzusehen, sofern ihr Dateiname ihm bekannt ist. Vereinfacht wird die Suche, wenn Windows 95 das Betriebssystem des Opfers ist. Denn Windows speichert in den Dateien USER.DAT und SYSTEM.DAT, die im Windows-Verzeichnis liegen, zahlreiche für Hacker praktische Informationen über Verzeichnisstruktur und Dateinamen. Schauen Sie sich diese Dateien mal mit einem Binär-Viewer an.

Aufgespürt wurde der Bug durch die dänische Softwarefirma CaboComm. In Zusammenarbeit mit dem PC Magazine und CNNfn brachte sie die Information an die Öffentlichkeit, ohne jedoch technische Details zu verraten. Da Netscape für die technischen Informationen, die zum Bugfix erforderlich gewesen wären, nur den für solche Fälle üblichen "Finderlohn" von 1000 $ und einem T-Shirt zu zahlen bereit war, weigerten sich die Entdecker des Problems, mehr zu verraten.

Dennoch hat Netscape unter mysteriösen Umständen die Wurzel des Problems gefunden und wenige Tage später einen entsprechenden Bugfix für den "Communicator" herausgegeben. Ältere Versionen wurden bewußt nicht korrigiert. So wurde ein verheerender Fehler in einem Programm belassen, um dessen Benutzer zum Update zu zwingen.

Opfer dieses "Fehlers" wurde möglicherweise der Buchautor Udo Ulfkotte ("Verschlußsache BND"). Er berichtete mir gegenüber, daß Anrufer mit amerikanischem Akzent Details seiner jüngsten Arbeiten kannten, über die er mit niemandem geredet hatte. Nur sein Computer kannte sie - und mit dem hatte er regelmäßig die Seiten der amerikanischem Geheimdienste besucht. Er vermutet, daß hierbei im Hintergrund Daten übertragen wurden.

Bestätigt wurde das von Dr. Kersten vom Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Amerikaner hätten Zugriff auf seine Festplatte. Und Ulfkotte hält es für selbstverständlich, daß die Geheimdienste vom Netscape-Problem wußten.

Kürzlich ist auch ein Bug in der Internet-Programmiersprache JavaScript aufgetaucht, der es erlaubt, Formulardaten (die z. B. bei Online-Bestellungen genutzt werden) auszuspionieren und weiterzuleiten. So können Kreditkartennummern und Adressen leicht in falsche Hände geraten. Auch solche Seiten, die Kryptographiestandards nutzen, bleiben von diesem Bug nicht verschont. [11]

Phil Zimmermann: Der Schlüsselmeister

Apropos Kryptographiestandards: Einer davon ist Pretty Good Privacy (PGP, engl. "Ziemlich gute Sicherheit") von Philip Zimmermann [12]. PGP arbeitet nach dem RSA-Verfahren und in neueren Versionen auch nach dem DSS/Diffie-Hellman-Verfahren. Der Gedanke der Verschlüsselung, vertrauliche Daten in eine für Unbefugte nicht entzifferbare Form zu bringen, wurde in PGP scheinbar gelungen umgesetzt.

Entscheidend bei der Verschlüsselung im Internet zum sicheren Transport von E-Mail ist, daß normalerweise kein Kanal zur Verfügung steht, um einen zu den Daten passenden Schlüssel an den Empfänger zu übermitteln. In PGP wird dieses Problem geschickt umgangen: Jeder Benutzer verfügt sowohl über einen öffentlichen Schlüssel als auch über einen privaten, streng geheimen.

Um einen Text zu verschlüsseln, braucht der Sender nur den öffentlichen Schlüssel des potentiellen Empfängers und der Empfänger nur den des Senders. Diese öffentlichen Schlüssel können über alle Kanäle verschickt werden.

Denn die Kenntnis des öffentlichen Schlüssels nützt bei Versuchen, PGP zu knacken, wenig. Wie erfolgreich solche Versuche sind, hängt allerdings auch von der Länge der verwendeten Schlüssel ab. Generell gilt: Je länger der Schlüssel, desto besser (und desto langsamer).

Angesichts der Tatsache, daß bereits 1995 ein Schlüssel von 384 Bit Länge innerhalb von 3 Monaten geknackt worden ist [13] und die Hacker damals der Meinung waren, für eine größere Organisation sei es eine Leichtigkeit, auch 512-Bit-Schlüssel zu knacken, muß man wohl davon ausgehen, daß inwzischen die NSA auch die beliebten 1024-Bit-Schlüssel mit erheblichem Aufwand knacken kann.

Schließlich stehen der National Security Agency, die so geheim ist, daß sie manchmal auch "No Such Agency" genannt wird, die besten Krypto-Experten des Landes, verfeinerte Algorithmen und Rechner zur Verfügung, deren Leistungsfähigkeit in Kubikmetern gemessen wird.

Der mathematische Angriff ist jedoch der aufwendigste. In der Praxis kann man sich die Arbeit wohl in den meisten Fällen sparen. Durch Ausnutzung des erwähnten Problems in Netscape oder Spionage über ActiveX läßt sich der Web-Browser zum Suchen auf der Festplatte des Benutzers nach der Datei "secring.pkr" einsetzen. Diese wird dann unauffällig kopiert, und der Rest ist ein Kinderspiel.

Auch laut Udo Ulfkotte ist PGP alles andere als sicher. Er behauptet, von einem PGP-Mann erfahren zu haben, daß modifizierte PGP-Versionen in Umlauf sind. Die Vereinten Nationen hätten monatelang mit einer solchen gearbeitet.

Oft wird argumentiert, jeder könne den Quellcode von PGP einsehen und selbst kompilieren, also von der Programmiersprache in eine ausführbare Datei übersetzen. Im Prinzip ist das Richtig. Doch mit rund 3,2 MB (die Bibel ist nicht viel größer) in Version 5.0i hat der Code einen Umfang, der eine solche Prüfung nahezu unmöglich macht. Auch einen Profi-Programmierer und Kryptoexperten würde diese Aufgabe Monate unbezahlter Arbeit kosten.

Da man einem Benutzer von Windows 95 kaum zumuten kann, sich sein Programm selbst zu kompilieren, nutzen die meisten Benutzer ohnehin die abrufbaren ausführbaren Dateien.

Und wenn die Behauptungen von Dr. Kersten vom Bundesamt für Sicherheit in der Informationstechnik zutreffen, verfügen die US-Geheimdienste ohnehin über einen "Master Key", der die Entschlüsselung jeder PGP-Nachricht erlaubt.

Exportverbote hin oder her, auf der Hackerkonferenz "Hacking in Progress 1997" wurde der komplette Quellcode der neuesten plattformunabhängigen Version von PGP unter großem Aufwand aus einem Buch digitalisiert, und auch ältere Versionen können abgerufen werden [14]. Ob dies angesichts der genannten Fakten sinnvoll ist, ist eine andere Frage.

Eine Welt voller Wanzen: Das digitale Ungeziefer breitet sich aus.

Die erwähnten Bugs in Microsoft- und Netscape-Produkten sind nur die schwerwiegendsten. Täglich findet man irgendwo im Internet Meldungen über neue, gefährliche Sicherheitslöcher in bestimmten Programmen. Wirklich sicher ist deshalb nur, daß nichts wirklich sicher ist.

Immerhin gibt es genügend Alternativen zu Microsoft und Netscape. Die kostenlosen und extrem leistungsfähigen Betriebssyteme Linux und FreeBSD [15] setzen sich immer mehr durch, Browser gibt es en masse (wobei man jedoch in den meisten Fällen auf "Luxus" wie Java, Frames und ActiveX verzichten muß). Letztlich bieten jedoch auch diese Systeme keineswegs vollständige Sicherheit.

Man muß auch die Frage stellen dürfen, ob alle "Bugs" wirklich unabsichtlich entstanden sind. Durch den Verkauf sensitiver Informationen oder die Sabotage fremder Rechner ließe sich zumindest theoretisch eine Menge Geld verdienen, und womit eine Firma wie Netscape eigentlich ihr Geld verdient, ist ohnehin unklar. Datenspionage wird sich jedenfalls zweifellos zu einem der lukrativsten Businesses des Informationszeitalters entwickeln.

Abschließend kann nur die Empfehlung ausgesprochen werden, wirklich bedeutende Daten nicht auf Rechnern mit einer Verbindung ins Internet zu speichern. Denn wie sich gezeigt hat, ist der Nutzen von Schutzmechanismen wie Firewalls gegen die Angriffsmethoden der Hacker in den meisten Fällen gering.

Und am Rande des digitalen Feldweges Internet warten die Datenräuber.

Anmerkungen und Quellen:

(*) Die IP-Adresse ist Ihre numerische "Anschrift" im Internet, unter der Sie für die Dauer Ihrer Verbindung ein vollwertiges Mitglied des Netzes sind.

(**) Die Ports dienen dazu, die einzelnen Netzdienste wie WWW, FTP, Telnet, IRC usw. voneinander zu separieren.

[1] Zündels Propaganda kann man sich, wenn man seine gute Laune aufs Spiel setzen möchte, unter http://www.zundelsite.org ansehen. Mehr zu Zündels Person und seinen Umtrieben findet man in einem Teilbereich des Nizkor-Archivs: http://www-mathphys.iam.uni-bonn.de/nizkor/hweb/people/z/zundel-ernst/

[2] Eine Linksammlung zum Thema "Pornographieprävention per Software" findet sich unter http://www.worldvillage.com/wv/school/html/control.htm.

[3] Vor allem wäre hier das Nizkor-Archiv zu nennen: http://www.nizkor.org.

[4] Aktuelle Informationen aus der Computerwelt findet man vor allem auf http://www.news.com. http://www.cnn.com berichtete (wenn auch wenig ausführlich) über den Netscape-Bug. Will man sich über Bugs auf dem laufenden halten, sollte man sich in den Archiven der "Bugtraq"-Mailing-List umsehen: http://www.netspace.org/lsv-archive/bugtraq.html.

[5] Eine umfangreiche FAQ (Antworten auf häufig gestellte Fragen) zum Thema Chatten/IRC: http://autos.cs.tu-berlin.de/~oswald/de-comm-chatsystems-faq.html

[6] Eine sehr schöne Seite, auf der man Informationen über die beiden verheerenden Windows-"Nuker" ebenso findet (WinNuke, SSPing) wie die offiziellen und inoffiziellen Bugfixes, ist http://www.darkening.com/flawed/index.html.

[7] Informationen über die Sicherheitsprobleme von ActiveX bezüglich Online- Banking gibt es unter http://www.news.com/News/Item/0,4,7761,00.html und http://www.iks-jena.de/mitarb/lutz/security/activex.pe.heise.html. Die offiziellen Informationen des Chaos Computer Club zum Thema finden sich unter http://www.ccc.de/radioactivex.html.

[8] Den Microsoft Intenet Exploder findet man, falls Fred McLain nicht rechtliche Probleme mit Microsoft bekommen hat, unter http://www.halcyon.com/mclain/ActiveX/.

[9] http://www.netaxs.com/~cparker/headscape/headscape.html

[10] Unter anderem berichtete news.com ausführlich über den Netscape-Bug. Die erste Mitteilung hierzu: http://www.news.com/News/Item/0,4,11474,00.html.

[11] http://www.news.com/News/Item/0,4,12282,00.html.

[12] Die FAQ zum Thema PGP befindet sich unter
http://www.iks-jena.de/mitarb/lutz/security/pgpfaq.html.

[13] Es handelte sich um die Attacke auf den öffentlichen 384-Bit-Schlüssel des anonym arbeitenden Informationsanbieters "BlackNet". Die "Täter" beschreiben hier ihre Vorgehensweise:
http://baby.indstate.edu/msattler/sci-tech/comp/privacy/pgp/misc/blacknet-key-attack.html

[14] Der PGP-Code und die ausführbaren Dateien sind abrufbar unter http://www.ifi.uio.no/pgp/.

[15] Im Web gibt es zahllose Informationen zum Thema Linux. Für einen Gesamtüberblick sind http://www.linux.org und http://www.linuxhq.com zu empfehlen. Deutsche Linux-Versionen ("Distributionen") findet man unter http://www.delix.de, http://www.suse.de und http://www.unifix.de. Die wohl wichtigste Seite für FreeBSD-Benutzer ist http://www.freebsd.org.