Micha Borrmann und Jürgen Schmidt weisen in ihrem Beitrag Microsofts Hintertür — Zweifelhafte Updates gefährden SSL-Verschlüsselung auf heise.de sehr gut verständlich auf eine der zahlreichen Sicherheitslücken von Microsofts Software hin. Lesen Sie den Beitrag unbedingt! Wenn sie danach jemals wieder den Internet Explorer benutzen, kann Ihnen wirklich niemand mehr helfen.
Nachdem in den letzten Tagen immer deutlicher wurde, dass die SSL-Zertifikatskette durch die NSA mit hoher Wahrscheinlichkeit hochgradig kompromittiert ist, golem.de berichtete über diesen weiteren Skandal im Beitrag US-Behörden fragen angeblich nach Master-Keys für SSL, weist der Beitrag auf heise.de ein noch wesentlich größeres Sicherheitsloch nach, wobei man aufgrund des Designs auch von einer potentiellen Backdoor sprechen kann.
Für unsere Leser, die nicht den ganzen Beitrag von Borrman und Schmidt lesen wollen (sollten Sie aber!), hier das Konzentrat:
Auf die Verschlüsselung von Windows kann man sich nicht wirklich verlassen. Denn über eine weitgehend unbekannte Funktion kann Microsoft – etwa im Auftrag der NSA – dem System jederzeit und unsichtbar für den Anwender neue Zertifikate unterschieben.
…
… kaum jemand weiß, dass das CryptoAPI von Windows einen Mechanismus enthält, der die Liste der Stammzertifikate dynamisch aktualisiert, wenn das gerade benötigte nicht auf dem System vorgefunden wird. Microsoft hat dieses „Automatic Root Certificates Update“ ohne großes Aufsehen bereits vor Jahren eingeführt und bei allen Windows-Versionen standardmäßig aktiviert.
…
Windows informiert den Benutzer über diesen Vorgang nicht. Der Import geschieht unsichtbar im Hintergrund durch einen Systemprozess für das ganze System. Selbst auf einem Windows Server 2008 kann also ein Nutzer ohne besondere Privilegien durch den Aufruf einer URL eine neue Root-CA im System verankern; er kann diese dann auch nicht mehr aus dem System entfernen.
…
Das Problem mit den dynamisch nachgeladenen CA-Zertifikaten ist, dass sich damit die TLS/SSL-Verschlüsselung einfach aushebeln lässt. Prinzipiell ist es damit möglich, bestimmten Personen oder Gruppen jederzeit zusätzliche Zertifikate unterzuschieben, die ein Aufbrechen der Verschlüsselung als Man-In-The-Middle erlauben. Mit einem heimlich nachinstallierten CA-Zertifikat könnte etwa die NSA den kompletten SSL-verschlüsselten Netzwerkverkehr einer Zielperson mitlesen. Selbstverständlich kann eine solche CA dann auch S/MIME-verschlüsselte Mails kompromittieren oder Trojaner so signieren, dass sie als legitime Treiber-Software durchgehen.
Es geht hier wohlgemerkt um CAs, die selektiv und quasi unsichtbar auf einzelnen PCs nachinstalliert werden, die bestimmte Zertifikate überprüfen. … Auf unsere Fragen, warum man zusätzlich einen dynamischen Nachlade-Mechanismus implementiert hat, antwortete Microsoft nicht.
Welche CAs auf diesem Weg nachinstallliert werden, weiß man nicht so genau. Es gibt zwar ein Wiki mit einer Liste der für Windows 8 zertifizierten CAs; ob diese wirklich vollständig ist, kann man jedoch bestenfalls hoffen. Derzeit enthält die in Deutschland ausgelieferte dynamische Liste authsrootstl.cab etwa 350 Zertifizierungsstellen. Doch selbst wenn diese mit der Liste im Microsoft-Wiki übereinstimmen sollte, weiß man nicht, ob sich diese Liste bei Bedarf ändert.
Schon jetzt werden die Zertifikatslisten über das Content Distribution Network von Akamai ausgeliefert, sodass es auch kein Problem wäre, etwa Anwendern in China oder Deutschland eine andere Liste zu präsentieren als US-Bürgern. Angesichts der im Rahmen von PRISM bereits dokumentierten Zusammenarbeit zwischen Microsoft und der NSA muss man annehmen, dass auch solche Hintertüren in Verschlüsselungsfunktionen für das Sammeln von Informationen genutzt werden.
…
Gegen nachhaltige Zweifel, ob die SSL-Verschlüsselung in Windows wirklich noch den erwarteten Schutz vor unerwünschten Lauschern bieten kann, hilft damit letztlich nur der Wechsel des Betriebssystems. Wer den scheut, kann zumindest auf Firefox umsteigen, der seine eigenen Krypto-Dienste mitbringt.
Wer mit diesem Wissen noch den Internet Explorer nutzt ist schlicht und einfach dumm. IT-Verantwortliche, die den Internet Explorer in der von ihnen verantworteten Infrastruktur zulassen, handeln zumindest grob fahrlässig, ggf. sogar vorsätzlich. Das Verbot des Internet Explorers ist vor diesem Hintergrund für jeden sicherheitsorientierten Anwender alternativlos.
Ich gehe aber noch einen Schritt weiter. Das Verbot von Microsoft-Betriebssystemen ist für sicherheitsorientierte Anwender ebenfalls alternativlos, denn eine Software, die solch fragwürdige Eingriffsmöglichkeiten (selbst wenn diese nur theoretisch bestünden) bietet, hat im Unternehmenseinsatz schlicht und einfach nichts zu suchen. Aber auch auf privaten Rechnern hat solche Software nichts zu suchen, denn auch die ggf. mögliche Datenschnüffelei auf privaten Rechnern durch NSA & Co ist komplett inakzeptabel.
Wir haben auf die gravierenden Risiken, die der Einsatz von Microsoft-Software mit sich bringt, vorgestern in unserem Beitrag Was ist denn in der Mobility überhaupt noch sicher? hingewiesen. Viele der dort getroffenen Aussagen und Hinweise gelten über die Mobility hinaus, natürlich auch unsere Warnungen vor Microsoft an dieser Stelle.
Was sollten Sie also aus dieser Tatsache, die leider vermutlich nur die Spitze des Eisbergs abbildet, lernen?
Nutzen Sie ab heute nie wieder den Internet Explorer! Und steigen Sie schnellstens sowohl auf Servern als auch auf Desktops und Notebooks auf Linux um — das ist schlicht und einfach alternativlos. Denn Sie verderben NSA & Co wahrscheinlich damit ganz gewaltig den Schnüffel-Spaß!
Also: Befreien Sie Ihre IT — um Ihr geistiges Eigentum und Ihre Persönlichkeitsrechte zu schützen! Bitte ab sofort!
Andere interessante Beiträge:
In dieser Woche haben wir für datomo Mobile Device Management gleich 3 neue Versionen veröffentlicht, die alle der weiteren Verbesserung von Rooting- und Jailbreak-Erkennung dienen, aus diesem Grund berichten wir diesmal zusammengefasst zu allen Versionen. Die Verbesserungen der einzelnen Versionen:…
datomo Mobile Device Management hebt sich mit vielen Features deutlich aus dem Markt hervor. datomo Mobile Device Management bietet u.a. auch eine eigene WebDAV Appliance, die mit datomo Secure View integriert ist. Damit lässt sich die Sicherheit der auf dem mobilen Endgerät genutzten und geöffnete…
datomo Mobile Device Management bietet eine leistungsfähige Zertifikatsverwaltung. Zertifikate dienen dem Infrastrukturschutz und werden zum Schutz persönlicher und unternehmensbezogener Daten erstellt. Generell müssen Zertifikate zum einen verwaltet und zum anderen auch aus dem System heraus erze…
Das Management von microSD-Karten ist ein vielfach vernachlässigter Aspekt von MDM-Systemen. Viele Anbieter können dies nicht oder nicht ausreichend. Es liegt auf der Hand, dass die sichere Verwaltung der in den mobilen Endgeräten eingesetzten microSD-Karten eine zentrale Aufgabe von einem MDM-Syste…
Wir haben die aktuelle Diskussion um den Datagate-Skandal zum Anlass genommen, unser bereits bestehendes Whitepaper mit dem Titel: ‘datomo MDM — Anders, mehr und besser – Gründe für eine deutsche Lösung’ zu überarbeiten. Wir freuen uns, Ihnen dieses nach der jüngsten Veröffentlichung des neuen White…
[…] zu hinterfragen. Wir haben auf diese Problematik zuletzt vor 6 Wochen im Beitrag SSL-Verschlüsselung mit Microsoft — Helfen Sie der NSA im Cyber-War? Die Lösung, wenn … hingewiesen, wobei die Spiegel-Informationen von heute eine neue […]
Hallo Herr Düll,
Ihr Vorschlag, im kompletten Unternehmen auf Microsoft Produkte zu verzichten, hört sich spannend an, ist meiner Meinung nach aber nicht umsetzbar. Zu groß ist die Verbreitung, zu effektiv kann man mit den Produkten arbeiten und diese verwalten.
Was uns bleibt ist der Versuch die schlimmsten Lücken zu „flicken” und die Interessierten zu informieren, wie Sie es mit Ihrem hervorragenden Blog tun.
Die Diskussion darf nicht abreißen. Ich befürchte aber, dass das Thema die meisten Anwender nicht interessiert, überfordert und mittlerweile nervt, wie die „Stop watching us” Teilnehmerzahlen zeigten.
Mit freundlichen Grüßen
Marc Hüfing
Hallo Herr Hüfing,
vielen Dank für Ihren Beitrag. Das kommt auf das Unternehmen an. Natürlich gibt es Speziallösungen, die nur auf MS-Betriebssystemen laufen. Ich schätze 80–90% der Unternehmen können aber hervorragend ohne Microsoft Produkte leben. Es gibt im Kern auf Dauer keine Alternative zur Verbannung von MS-Produkten.
Bei StopWatchingUs sehe ich gerade erst den Beginn und noch nicht das Ende. Aber Sie haben recht — die Lethargie des deutschen Michels hat schon mehrfach die Freiheit beendet — zuletzt 1933.