entwickler.de

Die Kommentare zur Telekom-Schnüffelei und Reaktionen darauf, die praktische Anwendung von ARP-Poisoning und natürlich der kommende Patchday von Microsoft sind Themen des heutigen Standpunkt Sicherheit.

Teleschnüff?

Ich habe lange überlegt, ob ich zur Telekom-Schnüffelaktion etwas schreiben soll oder nicht. Inzwischen ist es nicht nur die Telekom, nein, auch die Bahn und die Lufthansa haben mal ein bisschen rumgeschnüffelt. Wundert sich eigentlich wirklich jemand ernsthaft darüber, dass ein Unternehmen die eigenen Daten für eigene Zwecke nutzt? Bekanntlich macht Gelegenheit Diebe, und bei angehäuften Daten macht Gelegenheit halt auch Schnüffler. Wenn jemand der Meinung ist, sich verteidigen zu müssen, wird er natürlich alle Mittel nutzen, die ihm zur Verfügung stehen. In diesem Fall halt auch die eigenen Datenbanken.

Blinder Aktionismus

Interessant finde ich, was für tolle Ideen nach dem Bekanntwerden der Schnüffelei auftauchen:

• Die Vorratsdatenspeicherung soll zentral erfolgen.
  Da scheint jemand nicht mitbekommen zu haben, dass die Telekom schon letztes Jahr geschnüffelt hat und die Vorratsdatenspeicherung erst seit diesem Jahr gilt. Naja, bei den ganzen Überwachungsphantasien und -plänen unserer Innenpolitiker kann man schon mal den Überblick verlieren, was denn nun erlaubt wurde, schon praktiziert wird oder bereits wieder vom Verfassungsgericht kassiert wurde.
  Vor einem Mißbrauch der Daten schützt eine zentrale Speicherung aber sowieso nicht: Wenn jemand schnüffeln will, leitet er die Daten dann eben nicht nur an die zentrale Datenbank weiter, sondern legt auch eine lokale Kopie an, bevor er die Daten löscht.
• Selbstverpflichtungserklärung der Telekommunikationsunternehmen
  Eine wirklich geniale Idee: Die verpflichten sich, sich an die Gesetze zu halten. Grandios. Und wer sich nicht daran beteiligt, darf weiter gegen Gesetze verstoßen? Seit wann muss man sich überhaupt dazu verpflichten, Gesetze einzuhalten? War das nicht eigentlich eine Selbstverständlichkeit? Aber wie wäre es mit einer Selbstverpflichtungserklärung von Herrn Dr. Schäuble, mal ein Jahr lang keine neuen Überwachungsphantasien und substanzlosen Terrorwarnungen zu verbreiten? Das wäre doch mal ein eine gute Idee und ein Fortschritt in Sachen Datenschutz!
• Verstöße gegen Datenschutzbestimmungen sollen als unlauterer Wettbewerb behandelt werden.
  Eine meiner Lieblingsideen. Das sollte man unbedingt auf alle Gesetze ausdehnen! Demnächst dann also vor Gericht: "Herr Richter, das war kein Mord an meinem Konkurrenten, das war nur unlauterer Wettbewerb!" ?
  Außerdem: Unlauterer Wettbewerb durch die Telekom? Hat die irgendeinen Wettbewerbsvorteil durch die Schnüffelei? Der laufen die Kunden davon, das ist wohl kaum als Vorteil zu betrachten, oder?

Technische Lösung fürs soziale Problem

Das Problem ließe sich teilweise technisch lösen, indem die anfallenden Daten verschlüsselt werden. Wobei es dabei wieder das im ersten Punkt angesprochene Problem der lokalen Kopien gibt: Wer gegen ein Gesetz verstoßen will, wird sich die benötigten Daten einfach vor der Verschlüsselung besorgen. Für einen Innentäter, und um die geht es hier ja, wird das kein besonders großes Problem sein. Ansonsten kann eine Verschlüsselung, bei der der verwendete Schlüssel im Rahmen eines Secret Sharing auf mehrere mehr oder weniger vertrauenswürdige Instanzen aufgeteilt wird, unbefugte Zugriffe auf die Daten verhindern. Als mögliche Inhaber der Teilschlüssel bieten sich z.B. ein Vertreter des jeweiligen Kommunikationsunternehmens, des örtlich zuständigen Gerichts und der zuständigen Datenschutzbehörde (die dann nicht das Innenministerium o.Ä. sein darf) an. Nur wenn alle Schlüsselinhaber gemeinsam agieren, können die Daten entschlüsselt werden.

Einfache Lösung unerwünscht

Noch einfacher wäre es natürlich, nur die zur Abrechnung unbedingt notwendigen Daten überhaupt zu erfassen und alle anderen sofort zu löschen. Aber unsere Innenpolitiker suchen ja bekanntlich den Super-DAT. Naja, lassen wir das. Fast, denn einen Punkt gibt es, der passt so gut, der muss jetzt einfach kommen: Das Ergebnis einer Forsa-Umfrage, nach der die Vorratsdatenspeicherung sensible Gespräche, z.B. Anrufe bei Beratungsstellen, verhindert. Wer also meint, er brauche die Vorratsdatenspeicherung zur Bekämpfung von was auch immer, muss sich jetzt vorwerfen lassen, dass dadurch auch die Nutzung teilweise lebenswichtiger Hilfsangebote behindert wird. Ob das einige Leute zum Umdenken bringt?

ARP-Poisoning, praktisch

Die Homepage des Exploit-Frameworks Metasploit ist das Opfer eines ARP-Poisoning-Angriffs geworden. Im ARP-Cache des Servers für www.metasploit.com wurde die IP-Adresse des Routers so manipuliert, dass sich der Angreifer als Man-in-the-Middle in die Kommunikation einschalten konnte. Parallel lief ein DoS-Angriff (SYN-Flooding, siehe About Security #58) gegen die meisten öffentlichen Angebote des Servers. Als Gegenmaßnahme hat H D Moore, der Betreiber von Metasploit, die ARP-Adresse des richtigen Routers statisch eingetragen. Ob es sich um einen gezielten Angriff gegen Metasploit handelte oder ob der Server zufällig mit betroffen war (das Netzwerk enthält ca. 250 Server), ist nicht bekannt.

Bisher wurde ARP-Poisoning hauptsächlich zum Ausspähen von Daten eingesetzt, die Veränderung von Daten ist relativ neu. Das Chinese Internet Security Response Team (CISRT) wurde im Oktober 2007 das erste prominente Opfer entsprechender Angriffe, damals wurde Schadcode in die Seiten integriert.

Zur Absicherung der eigenen Server gehört also auch der Schutz vor ARP-Poisoning-Angriffen: Statische Einträge lassen sich nicht vergiften, erfordern allerdings mehr oder weniger viel Verwaltungsaufwand.

Microsofts Patchday, Juni-Ausgabe

Am Dienstag ist es wieder soweit: Microsoft hat Patchday, das eine oder andere Microsoft-Produkt danach ein paar Schwachstellen weniger. Diesmal wurden sieben Bulletins angekündigt. Drei kritische Bulletins betreffen die Ausführung beliebigen Codes aus der Ferne in Bluetooth, Internet Explorer und DirectX. Ein wichtiges Bulletin betrifft eine Privilegieneskalation in WINS, zwei weitere DoS-Schwachstellen in Active Directory und PGM. Den Abschluss macht das "moderate" Bulletin mit den hübschen Namen "Kill Bit Bulletin", das die Ausführung beliebigen Codes unter Windows betrifft. Bei dem Namen liegt es nahe, das einige ActiveX-Controls ein gesetztes Kill-Bit spendiert bekommen. Mögliche Kandidaten gab es in letzter Zeit ja reichlich, und das ganz ohne "Month of ActiveX-Bugs". Ich bin gespannt, wer/was da aus dem Verkehr gezogen wird.

Carsten Eilers