Krypto e.V.

Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT)  in Darmstadt haben eine Sicherheitslücke in der Passwort-Software Code-Memo gefunden. Die Software ist standardmäßig auf den meisten Sony-Ericsson-Handys installiert und ermöglicht es dem Nutzer, persönliche Daten wie Passwörter oder PINs verschlüsselt auf dem Mobiltelefon zu speichern. Die fehlerhafte Funktion wurde von Wissenschaftlern im Rahmen einer BlackBox-Analyse entdeckt. Fraunhofer zufolge können Angreifer trotz der eingesetzten Verschlüsselungstechnik mit einfachen Mitteln an alle mit Code-Memo gespeicherten Geheimnisse gelangen.

Code-Memo, das von den Wissenschaftlern als im Grunde “cleveres” Security-Tool beschrieben wird, führt Angreifer in die Irre, indem es bei der Eingabe eines falschen Masterpassworts keine Fehlermeldung anzeigt. Anstelle der gespeicherten Passwörter gibt Code-Memo eine Liste von selbst generierten Codes und Passwörter frei, die folglich nicht vom Inhaber des Telefons stammen. “Bei dieser eigentlich sinnvollen Irreführung macht das Programm allerdings einen schweren Fehler, denn es greift bei der Erstellung der gefälschten Codes auf Sonderzeichen zurück, die sich per Mobiltelefon gar nicht eingeben lassen”, erklärt Fraunhofer-Mitarbeiter Ruben Wolf. Dadurch wüssten Angreifer sofort, dass es sich bei der dargestellten Liste um eine Fälschung handeln müsse.

Um an die Geheimnisse zu gelangen, muss der Handy-Hacker also nur alle möglichen Masterpasswörter eingeben und kontrollieren, ob verbotene Sonderzeichen in den Passwörtern erscheinen. Mithilfe eines einfachen Computerprogramms lasse sich dieser Prozess jedoch automatisieren und das richtige Masterpasswort dank der in Code-Memo überschaubaren Passwortmenge von 10.000 verschiedenen Masterpasswortkombinationen in kurzer Zeit herausfinden, warnt Wolf. “Dazu sind nicht einmal spezielle Hackertools nötig. Wir haben den Angriff mit einer handelsüblichen Webcam und kostenloser Standardsoftware durchgeführt”, so Wolf, der die Sicherheitslücke Mitte September auf einer Expertenkonferenz in Singapur vorgestellt hat. Der Hersteller wurde bereits über die Schwachstelle informiert.

Genauere Informationen zur entdeckten Sicherheitslücke finden sich hier. (pte)

TecChannel, das deutsche Webzine für technikorientierte Computerprofis, hat bei der Staatsanwaltschaft Bonn Strafanzeige gegen das Bundesministerium für Sicherheit in der Informationstechnik (BSI) wegen der Verbreitung illegaler Hacker-Software gestellt. Das BSI bietet auf seiner Webseite unter anderem einen direkten Link zum Hersteller der Software “John the Ripper” an.

Auf dieser Website kann die Software dann uneingeschränkt heruntergeladen werden. Bei dem Programm “John the Ripper” handelt es sich um einen so genannten Passwort-Cracker, dessen einziger Einsatzzweck es ist, Passwörter auszuspähen. Außerdem trägt das BSI nach Ansicht der TecChannel-Redaktion auf seiner Internetseite mit dem Download-Angebot einer CD-ROM-Image-Datei, auf der sich das entsprechende Tool befindet, zur Verbreitung illegaler Hacker-Software bei. Damit verstößt das BSI nach Meinung der TecChannel-Redaktion gegen den in verschärfter Form seit 11. August dieses Jahres in Kraft getretenen so genannten “Hacker-Paragraphen” § 202c StGB.

Sanktioniert wird mit diesem Gesetz insbesondere das Herstellen, Überlassen, Verbreiten oder Verschaffen von “Hacker-Tools”, die bereits nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen. Neben den tatsächlichen Übeltätern, trifft die Neuregelung von § 202c nach Ansicht vieler IT- und Rechtsexperten vor allem die deutschen Sicherheitsexperten besonders hart. Denn sie nutzen die als “Hacker-Tools” eingestufte Software, um beispielsweise die eigene Unternehmens-IT auf Sicherheitslücken zu prüfen. Viele Sicherheitsexperten fühlen sich durch die neue Gesetzgebung kriminalisiert und fürchten strafrechtliche Konsequenzen, wenn sie ihrem Beruf nachgehen wie bisher.

“Wir haben uns deshalb zu diesem ungewöhnlichen Schritt entschlossen, um für TecChannel.de und alle anderen seriösen Internetseiten sowie Sicherheitsexperten und Programmierer eine bessere Rechtssicherheit zu erlangen”, erklärt Michael Eckert, Chefredakteur TecChannel. “Auch wir sind in unserer täglichen Arbeit von § 202c betroffen, berichten wir doch ausführlich über Sicherheitslücken und deren Beseitigung. Wir verweisen auf Tools, mit denen Anwender ihren Computer beziehungsweise die Unternehmens-IT checken und dann angemessen absichern können.”

Ausführliche Hintergrundinformationen zum Thema “Hacker-Paragraph” finden sich aktuell auf www.TecChannel.de. Dort können die Beiträge auch direkt als PDF downgeloadet werden. Außerdem steht eine Zusammenfassung zur Verfügung.

Der US-Kongress hat ein Gesetz verabschiedet, das die Befugnisse des US-Geheimdienstes National Security Agency (NSA) im Bereich der Überwachung von Telekommunikation deutlich erweitert. Konkret hat die NSA die Genehmigung erhalten, E-Mails und Telefonate von Ausländern ohne richterliche Anordnung abzuhören und auszuwerten. “Von dieser Regelung sind natürlich auch deutsche Privatpersonen und Unternehmen betroffen”, meint Martin Hager von Retarus.

Verabschiedet wurde das Gesetz mit der Absicht, den Kampf gegen den internationalen Terrorismus zu unterstützen. De facto werde damit aber auch die Wirtschaftsspionage erleichtert, warnt Retarus. “Jede E-Mail, die zwischen Deutschland und den USA verschickt wird, fällt unter dieses Gesetz. Noch gravierender ist es, wenn man seinen Provider in den Staaten hat. In dem Fall hat die NSA Zugriff auf den gesamten Mailverkehr von Privatpersonen und auch auf E-Mails von Unternehmen. Nicht einmal der interne Mailverkehr eine Firma ist davor geschützt. Unter dem Gesichtspunkt der Wirtschaftsspionage ist das sehr bedenklich”, moniert Hager.

“Um die Gefahr der Wirtschaftsspionage zu minimierten sollten Unternehmen einen Provider wählen, der sein Rechenzentrum in Deutschland oder einem Land mit strengen Datenschutzrichtlinien betreibt”, sagt Peter Kopfmann, Sprecher von Retarus. “Das deutsche Datenschutzgesetz ist das strengste der Welt. Provider, die ihre Datenzentren hier betreiben, müssen das Gesetz einhalten und sicherstellen, dass die Daten entsprechend geschützt sind”, so Kopfmann. Hackerangriffe gebe es natürlich auch bei Retarus. Die meisten Angriffe mit Spam-E-Mails kommen dabei laut Zahlen vom Jänner 2007 aus den USA, dahinter folgten Polen und China. “Mittlerweile hat China Polen wahrscheinlich schon überholt und ist jetzt auf Platz zwei”, meint Kopfmann.

Erst vor kurzem ist bekannt geworden, dass Behörden der Bundesrepublik wie auch eine unbekannte Anzahl an Unternehmen Opfer von chinesischen Spionageangriffen geworden sind. Laut aktuellen Medienberichten wurde nun auch das US-Verteidigungsministerium zum Ziel von chinesischen Hackern. Unter Berufung auf US-Regierungsstellen berichtete die Financial Times, dass das chinesische Militär in das Netzwerk des Pentagons eingedrungen sei und dabei Teile des Computersystems zum Absturz gebracht hätte. Ob Daten gestohlen wurden, sei allerdings momentan noch nicht geklärt.

In den USA sind geheimdienstliche Aktivitäten jedoch nicht unbedingt mit dem Hacken von Systemen verbunden. “Laut der Aussage eines AT&T-Technikers aus dem Jahr 2006 gibt es spezielle Räume innerhalb der Datenzentren der Telefon- und Internetanbieter, die nur NSA-Agenten betreten dürfen. Der Geheimdienst zapft sozusagen die großen Schaltzentralen aller Telekom-Unternehmen direkt an, um dort aus den Glasfaserleitungen Telefongespräche und Netz-Nachrichten abzusaugen. Weitestgehend unterbinden lässt sich das zusätzlich durch bestimmte Verschlüsselungsverfahren”, so Kopfmann.

Die Pläne von Bundesinnenminister Wolfgang Schäuble für die Onlinedurchsuchung privater Computer verstoßen nach Ansicht des früheren Innenminister Gerhart Rudolf Baum (FDP) gegen das Grundgesetz. Insbesondere gebe es keine “praktikablen Mechanismen für den Schutz des Kernbereichs der privaten Lebensgestaltung”, sagt Baum im Interview mit ZEIT online. “Es wird nach allem, was wir wissen, nicht zu vermeiden sein, in diesen Kernbereich einzudringen.”

Baum stellt auch die Darstellung von BKA-Chef Jörg Ziercke in Frage, man wolle aufgrund der hohen Kosten in nur wenigen Fällen die Computer Verdächtiger online durchsuchen: “Ein Fall genügt, um einen Verfassungsverstoß feststellen zu können. Und wer sagt uns denn, dass Onlinedurchsuchungen nicht eines Tages sehr viel billiger werden.
Meine Erfahrung ist, wenn etwas eingeführt wurde, gewinnt es eine Eigendynamik und wird sich ausweiten. Das haben wir bei der Telefonüberwachung erlebt.” Durch das Gesetz, sollte es in Kraft treten, würden nach Ansicht des FDP-Politikers die Unverletzbarkeit der Wohnung, das Recht auf informationelle Selbstbestimmung, die Berufsfreiheit etwa der Anwälte und auch die Pressefreiheit verletzt.

Baum, der von 1978 bis 1982 Bundesinnenminister war, hat Verfassungsbeschwerde gegen das nordrhein-westfälische Verfassungsschutzgesetz eingelegt, das Onlinedurchsuchungen erlaubt.
Er rechnet sich nach eigenen Angaben sehr gute Chancen aus, dass Karlsruhe dieses Gesetz kippt. Es sei “so schludrig gemacht, dass es aus meiner Sicht keinen Bestand haben kann. Bei dem, was Schäuble gemacht hat, steckt mehr Substanz drin. Aber die reicht meiner Ansicht nach nicht aus, um den Grundrechtsverstoß zu vermeiden.”