SSL-Ver­schlüs­se­lung mit Micro­soft — Hel­fen Sie der NSA im Cyber-War? Die Lösung, wenn Ihnen Sicher­heit total egal ist!

Micha Borr­mann und Jür­gen Schmidt wei­sen in ihrem Bei­trag Micro­softs Hin­ter­tür — Zwei­fel­haf­te Updates gefähr­den SSL-Ver­schlüs­se­lung auf hei​se​.de sehr gut ver­ständ­lich auf eine der zahl­rei­chen Sicher­heits­lü­cken von Micro­softs Soft­ware hin. Lesen Sie den Bei­trag unbe­dingt! Wenn sie danach jemals wie­der den Inter­net Explo­rer benut­zen, kann Ihnen wirk­lich nie­mand mehr helfen.

Nach­dem in den letz­ten Tagen immer deut­li­cher wur­de, dass die SSL-Zer­ti­fi­kats­ket­te durch die NSA mit hoher Wahr­schein­lich­keit hoch­gra­dig kom­pro­mit­tiert ist, golem​.de berich­te­te über die­sen wei­te­ren Skan­dal im Bei­trag US-Behör­den fra­gen angeb­lich nach Mas­ter-Keys für SSL, weist der Bei­trag auf hei​se​.de ein noch wesent­lich grö­ße­res Sicher­heits­loch nach, wobei man auf­grund des Designs auch von einer poten­ti­el­len Back­door spre­chen kann.

Für unse­re Leser, die nicht den gan­zen Bei­trag von Borr­man und Schmidt lesen wol­len (soll­ten Sie aber!), hier das Konzentrat:

Auf die Ver­schlüs­se­lung von Win­dows kann man sich nicht wirk­lich ver­las­sen. Denn über eine weit­ge­hend unbe­kann­te Funk­ti­on kann Micro­soft – etwa im Auf­trag der NSA – dem Sys­tem jeder­zeit und unsicht­bar für den Anwen­der neue Zer­ti­fi­ka­te unterschieben. 

… kaum jemand weiß, dass das Cryp­toAPI von Win­dows einen Mecha­nis­mus ent­hält, der die Lis­te der Stamm­zer­ti­fi­ka­te dyna­misch aktua­li­siert, wenn das gera­de benö­tig­te nicht auf dem Sys­tem vor­ge­fun­den wird. Micro­soft hat die­ses „Auto­ma­tic Root Cer­ti­fi­ca­tes Update“ ohne gro­ßes Auf­se­hen bereits vor Jah­ren ein­ge­führt und bei allen Win­dows-Ver­sio­nen stan­dard­mä­ßig aktiviert.

Win­dows infor­miert den Benut­zer über die­sen Vor­gang nicht. Der Import geschieht unsicht­bar im Hin­ter­grund durch einen Sys­tem­pro­zess für das gan­ze Sys­tem. Selbst auf einem Win­dows Ser­ver 2008 kann also ein Nut­zer ohne beson­de­re Pri­vi­le­gi­en durch den Auf­ruf einer URL eine neue Root-CA im Sys­tem ver­an­kern; er kann die­se dann auch nicht mehr aus dem Sys­tem entfernen.

Das Pro­blem mit den dyna­misch nach­ge­la­de­nen CA-Zer­ti­fi­ka­ten ist, dass sich damit die TLS/SSL-Ver­schlüs­se­lung ein­fach aus­he­beln lässt. Prin­zi­pi­ell ist es damit mög­lich, bestimm­ten Per­so­nen oder Grup­pen jeder­zeit zusätz­li­che Zer­ti­fi­ka­te unter­zu­schie­ben, die ein Auf­bre­chen der Ver­schlüs­se­lung als Man-In-The-Midd­le erlau­ben. Mit einem heim­lich nach­in­stal­lier­ten CA-Zer­ti­fi­kat könn­te etwa die NSA den kom­plet­ten SSL-ver­schlüs­sel­ten Netz­werk­ver­kehr einer Ziel­per­son mit­le­sen. Selbst­ver­ständ­lich kann eine sol­che CA dann auch S/MI­ME-ver­schlüs­sel­te Mails kom­pro­mit­tie­ren oder Tro­ja­ner so signie­ren, dass sie als legi­ti­me Trei­ber-Soft­ware durchgehen.

Es geht hier wohl­ge­merkt um CAs, die selek­tiv und qua­si unsicht­bar auf ein­zel­nen PCs nach­in­stal­liert wer­den, die bestimm­te Zer­ti­fi­ka­te über­prü­fen. … Auf unse­re Fra­gen, war­um man zusätz­lich einen dyna­mi­schen Nach­la­de-Mecha­nis­mus imple­men­tiert hat, ant­wor­te­te Micro­soft nicht.

Wel­che CAs auf die­sem Weg nach­in­stall­liert wer­den, weiß man nicht so genau. Es gibt zwar ein Wiki mit einer Lis­te der für Win­dows 8 zer­ti­fi­zier­ten CAs; ob die­se wirk­lich voll­stän­dig ist, kann man jedoch bes­ten­falls hof­fen. Der­zeit ent­hält die in Deutsch­land aus­ge­lie­fer­te dyna­mi­sche Lis­te auths​rootstl​.cab etwa 350 Zer­ti­fi­zie­rungs­stel­len. Doch selbst wenn die­se mit der Lis­te im Micro­soft-Wiki über­ein­stim­men soll­te, weiß man nicht, ob sich die­se Lis­te bei Bedarf ändert.

Schon jetzt wer­den die Zer­ti­fi­kats­lis­ten über das Con­tent Dis­tri­bu­ti­on Net­work von Aka­mai aus­ge­lie­fert, sodass es auch kein Pro­blem wäre, etwa Anwen­dern in Chi­na oder Deutsch­land eine ande­re Lis­te zu prä­sen­tie­ren als US-Bür­gern. Ange­sichts der im Rah­men von PRISM bereits doku­men­tier­ten Zusam­men­ar­beit zwi­schen Micro­soft und der NSA muss man anneh­men, dass auch sol­che Hin­ter­tü­ren in Ver­schlüs­se­lungs­funk­tio­nen für das Sam­meln von Infor­ma­tio­nen genutzt werden.

Gegen nach­hal­ti­ge Zwei­fel, ob die SSL-Ver­schlüs­se­lung in Win­dows wirk­lich noch den erwar­te­ten Schutz vor uner­wünsch­ten Lau­schern bie­ten kann, hilft damit letzt­lich nur der Wech­sel des Betriebs­sys­tems. Wer den scheut, kann zumin­dest auf Fire­fox umstei­gen, der sei­ne eige­nen Kryp­to-Diens­te mitbringt.

Wer mit die­sem Wis­sen noch den Inter­net Explo­rer nutzt ist schlicht und ein­fach dumm. IT-Ver­ant­wort­li­che, die den Inter­net Explo­rer in der von ihnen ver­ant­wor­te­ten Infra­struk­tur zulas­sen, han­deln zumin­dest grob fahr­läs­sig, ggf. sogar vor­sätz­lich. Das Ver­bot des Inter­net Explo­rers ist vor die­sem Hin­ter­grund für jeden sicher­heits­ori­en­tier­ten Anwen­der alternativlos.

Ich gehe aber noch einen Schritt wei­ter. Das Ver­bot von Micro­soft-Betriebs­sys­te­men ist für sicher­heits­ori­en­tier­te Anwen­der eben­falls alter­na­tiv­los, denn eine Soft­ware, die solch frag­wür­di­ge Ein­griffs­mög­lich­kei­ten (selbst wenn die­se nur theo­re­tisch bestün­den) bie­tet, hat im Unter­neh­mens­ein­satz schlicht und ein­fach nichts zu suchen. Aber auch auf pri­va­ten Rech­nern hat sol­che Soft­ware nichts zu suchen, denn auch die ggf. mög­li­che Daten­schnüf­fe­lei auf pri­va­ten Rech­nern durch NSA & Co ist kom­plett inakzeptabel.

Wir haben auf die gra­vie­ren­den Risi­ken, die der Ein­satz von Micro­soft-Soft­ware mit sich bringt, vor­ges­tern in unse­rem Bei­trag Was ist denn in der Mobi­lity über­haupt noch sicher? hin­ge­wie­sen. Vie­le der dort getrof­fe­nen Aus­sa­gen und Hin­wei­se gel­ten über die Mobi­li­ty hin­aus, natür­lich auch unse­re War­nun­gen vor Micro­soft an die­ser Stelle.

Was soll­ten Sie also aus die­ser Tat­sa­che, die lei­der ver­mut­lich nur die Spit­ze des Eis­bergs abbil­det, lernen?

Nut­zen Sie ab heu­te nie wie­der den Inter­net Explo­rer! Und stei­gen Sie schnells­tens sowohl auf Ser­vern als auch auf Desk­tops und Note­books auf Linux um — das ist schlicht und ein­fach alter­na­tiv­los. Denn Sie ver­der­ben NSA & Co wahr­schein­lich damit ganz gewal­tig den Schnüffel-Spaß!

Also: Befrei­en Sie Ihre IT — um Ihr geis­ti­ges Eigen­tum und Ihre Per­sön­lich­keits­rech­te zu schüt­zen! Bit­te ab sofort!


Ande­re inter­es­san­te Beiträge:
datomo Mobi­le Device Manage­ment (MDM) 3.8.3, 3.8.4, 3.8.5 — Wei­te­re Ver­bes­se­rung der Jail­b­reak- und Roo­ting-Erken­nung
In die­ser Woche haben wir für datomo Mobi­le Device Manage­ment gleich 3 neue Ver­sio­nen ver­öf­fent­licht, die alle der wei­te­ren Ver­bes­se­rung von Roo­ting- und Jail­b­reak-Erken­nung die­nen, aus die­sem Grund berich­ten wir dies­mal zusam­men­ge­fasst zu allen Ver­sio­nen. Die Ver­bes­se­run­gen der ein­zel­nen Versionen:…
datomo Mobi­le Device Manage­ment – MDM-Allein­stel­lungs­merk­mal: Web­DAV App­li­an­ce mit datomo Secu­re­View – auch für BYOD geeig­net
datomo Mobi­le Device Manage­ment hebt sich mit vie­len Fea­tures deut­lich aus dem Markt her­vor. datomo Mobi­le Device Manage­ment bie­tet u.a. auch eine eige­ne Web­DAV App­li­an­ce, die mit datomo Secu­re View inte­griert ist. Damit lässt sich die Sicher­heit der auf dem mobi­len End­ge­rät genutz­ten und geöffnete…
datomo Mobi­le Device Manage­ment – Zer­ti­fi­kats­ver­wal­tung und ‑erstel­lung mit dem MDM-System
datomo Mobi­le Device Manage­ment bie­tet eine leis­tungs­fä­hi­ge Zer­ti­fi­kats­ver­wal­tung. Zer­ti­fi­ka­te die­nen dem Infra­struk­tur­schutz und wer­den zum Schutz per­sön­li­cher und unter­neh­mens­be­zo­ge­ner Daten erstellt. Gene­rell müs­sen Zer­ti­fi­ka­te zum einen ver­wal­tet und zum ande­ren auch aus dem Sys­tem her­aus erze…
MDM Essen­ti­als — Mobi­le Device Manage­ment muss microSD-Kar­ten mana­gen kön­nen
Das Manage­ment von microSD-Kar­ten ist ein viel­fach ver­nach­läs­sig­ter Aspekt von MDM-Sys­te­men. Vie­le Anbie­ter kön­nen dies nicht oder nicht aus­rei­chend. Es liegt auf der Hand, dass die siche­re Ver­wal­tung der in den mobi­len End­ge­rä­ten ein­ge­setz­ten microSD-Kar­ten eine zen­tra­le Auf­ga­be von einem MDM-Syste…
datomo MDM: Anders, mehr und bes­ser – Was spricht für eine deut­sche Lösung? Unser neu­es White­pa­per
Wir haben die aktu­el­le Dis­kus­si­on um den Data­ga­te-Skan­dal zum Anlass genom­men, unser bereits bestehen­des White­pa­per mit dem Titel: ‘datomo MDM — Anders, mehr und bes­ser – Grün­de für eine deut­sche Lösung’ zu über­ar­bei­ten. Wir freu­en uns, Ihnen die­ses nach der jüngs­ten Ver­öf­fent­li­chung des neu­en White…

3 Kommentare

Schreibe einen Kommentar»
  1. […] zu hin­ter­fra­gen. Wir haben auf die­se Pro­ble­ma­tik zuletzt vor 6 Wochen im Bei­trag SSL-​Ver­schlüs­se­lung mit Micro­soft — Hel­fen Sie der NSA im Cyber-​War? Die Lösung, wenn … hin­ge­wie­sen, wobei die Spie­gel-​In­for­ma­tio­nen von heu­te eine neue […]

  2. Hal­lo Herr Düll,

    Ihr Vor­schlag, im kom­plet­ten Unter­neh­men auf Micro­soft Pro­duk­te zu ver­zich­ten, hört sich span­nend an, ist mei­ner Mei­nung nach aber nicht umsetz­bar. Zu groß ist die Ver­brei­tung, zu effek­tiv kann man mit den Pro­duk­ten arbei­ten und die­se verwalten.

    Was uns bleibt ist der Ver­such die schlimms­ten Lücken zu „fli­cken” und die Inter­es­sier­ten zu infor­mie­ren, wie Sie es mit Ihrem her­vor­ra­gen­den Blog tun. 

    Die Dis­kus­si­on darf nicht abrei­ßen. Ich befürch­te aber, dass das The­ma die meis­ten Anwen­der nicht inter­es­siert, über­for­dert und mitt­ler­wei­le nervt, wie die „Stop watching us” Teil­neh­mer­zah­len zeigten.

    Mit freund­li­chen Grüßen
    Marc Hüfing

    1. Hal­lo Herr Hüfing,

      vie­len Dank für Ihren Bei­trag. Das kommt auf das Unter­neh­men an. Natür­lich gibt es Spe­zi­al­lö­sun­gen, die nur auf MS-Betriebs­sys­te­men lau­fen. Ich schät­ze 80–90% der Unter­neh­men kön­nen aber her­vor­ra­gend ohne Micro­soft Pro­duk­te leben. Es gibt im Kern auf Dau­er kei­ne Alter­na­ti­ve zur Ver­ban­nung von MS-Produkten.

      Bei Stop­Watchin­gUs sehe ich gera­de erst den Beginn und noch nicht das Ende. Aber Sie haben recht — die Lethar­gie des deut­schen Michels hat schon mehr­fach die Frei­heit been­det — zuletzt 1933.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.