SSL-Ver­schlüs­se­lung mit Micro­soft — Hel­fen Sie der NSA im Cyber-War? Die Lösung, wenn Ihnen Sicher­heit total egal ist!

Micha Borr­mann und Jür­gen Schmidt wei­sen in ihrem Bei­trag Micro­softs Hin­ter­tür — Zwei­fel­haf­te Updates gefähr­den SSL-Ver­schlüs­se­lung auf hei​se​.de sehr gut ver­ständ­lich auf eine der zahl­rei­chen Sicher­heits­lü­cken von Micro­softs Soft­ware hin. Lesen Sie den Bei­trag unbe­dingt! Wenn sie danach jemals wie­der den Inter­net Explo­rer benut­zen, kann Ihnen wirk­lich nie­mand mehr helfen.

Nach­dem in den letz­ten Tagen immer deut­li­cher wur­de, dass die SSL-Zer­ti­fi­kats­ket­te durch die NSA mit hoher Wahr­schein­lich­keit hoch­gra­dig kom­pro­mit­tiert ist, golem​.de berich­te­te über die­sen wei­te­ren Skan­dal im Bei­trag US-Behör­den fra­gen angeb­lich nach Mas­ter-Keys für SSL, weist der Bei­trag auf hei​se​.de ein noch wesent­lich grö­ße­res Sicher­heits­loch nach, wobei man auf­grund des Designs auch von einer poten­ti­el­len Back­door spre­chen kann.

Für unse­re Leser, die nicht den gan­zen Bei­trag von Borr­man und Schmidt lesen wol­len (soll­ten Sie aber!), hier das Konzentrat:

Auf die Ver­schlüs­se­lung von Win­dows kann man sich nicht wirk­lich ver­las­sen. Denn über eine weit­ge­hend unbe­kann­te Funk­ti­on kann Micro­soft – etwa im Auf­trag der NSA – dem Sys­tem jeder­zeit und unsicht­bar für den Anwen­der neue Zer­ti­fi­ka­te unterschieben. 

… kaum jemand weiß, dass das Cryp­toAPI von Win­dows einen Mecha­nis­mus ent­hält, der die Lis­te der Stamm­zer­ti­fi­ka­te dyna­misch aktua­li­siert, wenn das gera­de benö­tig­te nicht auf dem Sys­tem vor­ge­fun­den wird. Micro­soft hat die­ses „Auto­ma­tic Root Cer­ti­fi­ca­tes Update“ ohne gro­ßes Auf­se­hen bereits vor Jah­ren ein­ge­führt und bei allen Win­dows-Ver­sio­nen stan­dard­mä­ßig aktiviert.

Win­dows infor­miert den Benut­zer über die­sen Vor­gang nicht. Der Import geschieht unsicht­bar im Hin­ter­grund durch einen Sys­tem­pro­zess für das gan­ze Sys­tem. Selbst auf einem Win­dows Ser­ver 2008 kann also ein Nut­zer ohne beson­de­re Pri­vi­le­gi­en durch den Auf­ruf einer URL eine neue Root-CA im Sys­tem ver­an­kern; er kann die­se dann auch nicht mehr aus dem Sys­tem entfernen.

Das Pro­blem mit den dyna­misch nach­ge­la­de­nen CA-Zer­ti­fi­ka­ten ist, dass sich damit die TLS/SSL-Ver­schlüs­se­lung ein­fach aus­he­beln lässt. Prin­zi­pi­ell ist es damit mög­lich, bestimm­ten Per­so­nen oder Grup­pen jeder­zeit zusätz­li­che Zer­ti­fi­ka­te unter­zu­schie­ben, die ein Auf­bre­chen der Ver­schlüs­se­lung als Man-In-The-Midd­le erlau­ben. Mit einem heim­lich nach­in­stal­lier­ten CA-Zer­ti­fi­kat könn­te etwa die NSA den kom­plet­ten SSL-ver­schlüs­sel­ten Netz­werk­ver­kehr einer Ziel­per­son mit­le­sen. Selbst­ver­ständ­lich kann eine sol­che CA dann auch S/MI­ME-ver­schlüs­sel­te Mails kom­pro­mit­tie­ren oder Tro­ja­ner so signie­ren, dass sie als legi­ti­me Trei­ber-Soft­ware durchgehen.

Es geht hier wohl­ge­merkt um CAs, die selek­tiv und qua­si unsicht­bar auf ein­zel­nen PCs nach­in­stal­liert wer­den, die bestimm­te Zer­ti­fi­ka­te über­prü­fen. … Auf unse­re Fra­gen, war­um man zusätz­lich einen dyna­mi­schen Nach­la­de-Mecha­nis­mus imple­men­tiert hat, ant­wor­te­te Micro­soft nicht.

Wel­che CAs auf die­sem Weg nach­in­stall­liert wer­den, weiß man nicht so genau. Es gibt zwar ein Wiki mit einer Lis­te der für Win­dows 8 zer­ti­fi­zier­ten CAs; ob die­se wirk­lich voll­stän­dig ist, kann man jedoch bes­ten­falls hof­fen. Der­zeit ent­hält die in Deutsch­land aus­ge­lie­fer­te dyna­mi­sche Lis­te auths​rootstl​.cab etwa 350 Zer­ti­fi­zie­rungs­stel­len. Doch selbst wenn die­se mit der Lis­te im Micro­soft-Wiki über­ein­stim­men soll­te, weiß man nicht, ob sich die­se Lis­te bei Bedarf ändert.

Schon jetzt wer­den die Zer­ti­fi­kats­lis­ten über das Con­tent Dis­tri­bu­ti­on Net­work von Aka­mai aus­ge­lie­fert, sodass es auch kein Pro­blem wäre, etwa Anwen­dern in Chi­na oder Deutsch­land eine ande­re Lis­te zu prä­sen­tie­ren als US-Bür­gern. Ange­sichts der im Rah­men von PRISM bereits doku­men­tier­ten Zusam­men­ar­beit zwi­schen Micro­soft und der NSA muss man anneh­men, dass auch sol­che Hin­ter­tü­ren in Ver­schlüs­se­lungs­funk­tio­nen für das Sam­meln von Infor­ma­tio­nen genutzt werden.

Gegen nach­hal­ti­ge Zwei­fel, ob die SSL-Ver­schlüs­se­lung in Win­dows wirk­lich noch den erwar­te­ten Schutz vor uner­wünsch­ten Lau­schern bie­ten kann, hilft damit letzt­lich nur der Wech­sel des Betriebs­sys­tems. Wer den scheut, kann zumin­dest auf Fire­fox umstei­gen, der sei­ne eige­nen Kryp­to-Diens­te mitbringt.

Wer mit die­sem Wis­sen noch den Inter­net Explo­rer nutzt ist schlicht und ein­fach dumm. IT-Ver­ant­wort­li­che, die den Inter­net Explo­rer in der von ihnen ver­ant­wor­te­ten Infra­struk­tur zulas­sen, han­deln zumin­dest grob fahr­läs­sig, ggf. sogar vor­sätz­lich. Das Ver­bot des Inter­net Explo­rers ist vor die­sem Hin­ter­grund für jeden sicher­heits­ori­en­tier­ten Anwen­der alternativlos.

Ich gehe aber noch einen Schritt wei­ter. Das Ver­bot von Micro­soft-Betriebs­sys­te­men ist für sicher­heits­ori­en­tier­te Anwen­der eben­falls alter­na­tiv­los, denn eine Soft­ware, die solch frag­wür­di­ge Ein­griffs­mög­lich­kei­ten (selbst wenn die­se nur theo­re­tisch bestün­den) bie­tet, hat im Unter­neh­mens­ein­satz schlicht und ein­fach nichts zu suchen. Aber auch auf pri­va­ten Rech­nern hat sol­che Soft­ware nichts zu suchen, denn auch die ggf. mög­li­che Daten­schnüf­fe­lei auf pri­va­ten Rech­nern durch NSA & Co ist kom­plett inakzeptabel.

Wir haben auf die gra­vie­ren­den Risi­ken, die der Ein­satz von Micro­soft-Soft­ware mit sich bringt, vor­ges­tern in unse­rem Bei­trag Was ist denn in der Mobi­lity über­haupt noch sicher? hin­ge­wie­sen. Vie­le der dort getrof­fe­nen Aus­sa­gen und Hin­wei­se gel­ten über die Mobi­li­ty hin­aus, natür­lich auch unse­re War­nun­gen vor Micro­soft an die­ser Stelle.

Was soll­ten Sie also aus die­ser Tat­sa­che, die lei­der ver­mut­lich nur die Spit­ze des Eis­bergs abbil­det, lernen?

Nut­zen Sie ab heu­te nie wie­der den Inter­net Explo­rer! Und stei­gen Sie schnells­tens sowohl auf Ser­vern als auch auf Desk­tops und Note­books auf Linux um — das ist schlicht und ein­fach alter­na­tiv­los. Denn Sie ver­der­ben NSA & Co wahr­schein­lich damit ganz gewal­tig den Schnüffel-Spaß!

Also: Befrei­en Sie Ihre IT — um Ihr geis­ti­ges Eigen­tum und Ihre Per­sön­lich­keits­rech­te zu schüt­zen! Bit­te ab sofort!


Ande­re inter­es­san­te Beiträge:
MDM Essen­ti­als — Siche­res Mobi­le Device Manage­ment vor dem Hin­ter­grund des Patri­ot Act
Ich habe schon in meh­re­ren Bei­trä­gen die­ses The­ma behan­delt, unter ande­rem auch im Bei­trag Mobi­le Device Manage­ment (MDM) – Sicher­heit kann nur aus Euro­pa kom­men. Erfreu­li­cher­wei­se wird die­ses The­ma in den letz­ten Wochen ver­mehrt dis­ku­tiert, bei­spiels­wei­se in dem guten Bei­trag Ärger um den Patri­ot A…
MDM-Essen­ti­als — Mobi­le Device Manage­ment soll­te immer direkt vom Her­stel­ler bezo­gen wer­den – Fin­ger weg von Ange­bo­ten der Car­ri­er!
Wo kauft man ein MDM-Sys­tem? Die­se Fra­ge beschäf­tigt der­zeit immer mehr Unter­neh­men, die sich und ihre Daten auf mobi­len End­ge­rä­ten ver­wal­ten und schüt­zen wol­len bzw. müs­sen. Vie­le Wege füh­ren bekannt­lich nach Rom und in die­sem Fall führt einer auch über die Car­ri­er, bei­spiel­haft sei­en hier Vodafon…
Neue Reli­gi­on Bring Your Own Device (BYOD) — jetzt fehlt nur noch die Bild-Zei­tung mit Volks-BYOD!
Der Hype um Bring Your Own Device (BYOD) kennt kei­ne Gren­zen und deut­sche Web­sei­ten sind sich nicht zu scha­de, den BYOD-Blöd­sinn unre­flek­tiert wei­ter zu ver­brei­ten. Eines der vie­len Bei­spie­le für einen sol­chen Arti­kel fiel mir gera­de bei IT​-Busi​ness​.de auf: Mehr als nur „Bring Your Own Device“ Auc…
Mobi­le Device Manage­ment (MDM) auf dem MWC 2013 — Was ist neu?
Der Mobi­le World Con­gress 2013 bot mehr Infor­ma­tio­nen und Stän­de als jeder MWC zuvor. Für das The­ma Mobi­le Device Manage­ment galt dies aller­dings nicht. Wenn man im Kata­log ‘MDM’ ein­gab, fand man ledig­lich 11 Ein­trä­ge, bei der Ein­ga­be von ‘Mobi­le Device Manage­ment’ waren es eben­falls 11 Ein­trä­ge mit…
MDM-Essen­ti­als — Mobi­le Device Manage­ment: Ist alles aus einer Hand der rich­ti­ge Weg?
Regel­mä­ßi­ge Leser(innen) wis­sen, dass vie­le Bei­trä­ge hier im Pre­tio­so Blog aus mei­nem All­tag ent­ste­hen und die­ser Bei­trag ist wie­der ein sol­cher. Heu­te war ich bei einem der gro­ßen deut­schen Mit­tel­ständ­ler mit hohem Mil­li­ar­den­um­satz und habe dort ein initia­les Mobi­li­ty-Con­sul­ting durch­ge­führt. Neben…

3 Kommentare

Schreibe einen Kommentar»
  1. […] zu hin­ter­fra­gen. Wir haben auf die­se Pro­ble­ma­tik zuletzt vor 6 Wochen im Bei­trag SSL-​Ver­schlüs­se­lung mit Micro­soft — Hel­fen Sie der NSA im Cyber-​War? Die Lösung, wenn … hin­ge­wie­sen, wobei die Spie­gel-​In­for­ma­tio­nen von heu­te eine neue […]

  2. Hal­lo Herr Düll,

    Ihr Vor­schlag, im kom­plet­ten Unter­neh­men auf Micro­soft Pro­duk­te zu ver­zich­ten, hört sich span­nend an, ist mei­ner Mei­nung nach aber nicht umsetz­bar. Zu groß ist die Ver­brei­tung, zu effek­tiv kann man mit den Pro­duk­ten arbei­ten und die­se verwalten.

    Was uns bleibt ist der Ver­such die schlimms­ten Lücken zu „fli­cken” und die Inter­es­sier­ten zu infor­mie­ren, wie Sie es mit Ihrem her­vor­ra­gen­den Blog tun. 

    Die Dis­kus­si­on darf nicht abrei­ßen. Ich befürch­te aber, dass das The­ma die meis­ten Anwen­der nicht inter­es­siert, über­for­dert und mitt­ler­wei­le nervt, wie die „Stop watching us” Teil­neh­mer­zah­len zeigten.

    Mit freund­li­chen Grüßen
    Marc Hüfing

    1. Hal­lo Herr Hüfing,

      vie­len Dank für Ihren Bei­trag. Das kommt auf das Unter­neh­men an. Natür­lich gibt es Spe­zi­al­lö­sun­gen, die nur auf MS-Betriebs­sys­te­men lau­fen. Ich schät­ze 80–90% der Unter­neh­men kön­nen aber her­vor­ra­gend ohne Micro­soft Pro­duk­te leben. Es gibt im Kern auf Dau­er kei­ne Alter­na­ti­ve zur Ver­ban­nung von MS-Produkten.

      Bei Stop­Watchin­gUs sehe ich gera­de erst den Beginn und noch nicht das Ende. Aber Sie haben recht — die Lethar­gie des deut­schen Michels hat schon mehr­fach die Frei­heit been­det — zuletzt 1933.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.