Heute gibt es mal wieder eine bunte Mischung an Themen. Den Anfang macht eine Meldung auf Slashdot: "Undocumented Bypass in PGP Whole Disk Encryption". Das Umgehen der Laufwerksverschlüsselung ("Whole Disk Encryption") klingt erst einmal schlimm. Wenn man die Sache aber näher betrachtet, relativiert sich das Ganze. Slashdot verweist auf einen Securology-Blogeintrag: "PGP Whole Disk Encryption - Barely Acknowledged Intentional Bypass". Demnach ist es kein Fehler, sondern ein nicht öffentlich bzw. unzureichend dokumentiertes Feature. Anders als früher bei Atari, als eindeutige Fehler mit "It's not a bug, it's a feature" zu gewolltem Verhalten umgedeutet wurden, ist es diesmal wirklich ein gewolltes Verhalten: Ein authentifizierter Benutzer kann die Bypass-Funktion für den nächsten Bootvorgang aktivieren, danach wird sie automatisch wieder deaktiviert. Dazu wird ein statisches Passwort verwendet, mit dem die Bootsoftware das System ohne Passworteingabe durch den Benutzer startet. Der Zweck der Funktion: Nur so ist in manchen Fällen eine Fernwartung möglich. Es wäre ziemlich unpraktisch, wenn im Zuge einer Fernwartung neue Software aufgespielt wird, für den danach erforderlichen Neustart aber jemand zum Gerät gehen und die Passphrase eingeben muss. Also: Gewolltes Feature und kein schön geredeter Bug. Der Bug lag in der mangelhaften öffentlichen Dokumentation des Features, und das wurde inzwischen nachgeholt.

Was bleibt, ist also kein Fehler - aber ein potenziell gefährliches Feature: Ein Trojaner könnte das Feature aktivieren, das Notebook danach gezielt gestohlen werden. Oder ein Notebook mit geplant aktivierten Feature, z.B. für den aktuellen Microsoft-Patchday, wird gestohlen. Das ist zwar äußerst unwahrscheinlich, aber möglich. Außerdem kann das Feature nicht gezielt deaktiviert werden, bei jedem Bootvorgang wird anscheinend nach einer aktivierten Umgehungsfunktion gesucht. Das ist erstmal kein Problem, da sie ja nur mit Kenntnis der korrekten Passphrase aktiviert werden kann, und wer die kennt, kann sowieso auf die Festplatte zugreifen. Es ist aber eine unnötige Funktion, und sie kann eine Schwachstelle enthalten, die dann das Umgehen der Verschlüsselung erlaubt. Unnötige Funktionen haben in Sicherheitssoftware generell nichts zu suchen. Nicht ohne Grund werden beim Härten eines Systems nicht benötigte Dienste und Programme entfernt.

Um die durch ein Feature entstehende Gefährdung abzuschätzen, muss das Feature bekannt sein. Da ist es nun, damit sollte die Sache erledigt sein. Es bleibt die Frage, warum dieses, von einigen Kunden ja gewünschte, Feature so unzureichend dokumentiert wurde. Wohlgemerkt: Es wurde dokumentiert, aber anscheinend nicht ausreichend veröffentlicht. Dabei sollte dieses Feature doch für einige Kunden ein Grund sein, sich für gerade dieses Produkt zu entscheiden. Die nächste Frage ist die, ob es weitere schlecht dokumentierte Features gibt und wenn ja, welche dies sind.

Verschlüsselung ist nur ein Zeitschloss!
Bei dieser Gelegenheit möchte ich noch auf einen weiteren Securology-Blog-Eintrag hinweisen, "Stolen Laptops", und insbesondere einem Satz darin:
"Please keep in mind that encrypted data is just data protected under time-lock; either the time required to crack the encryption key starting today on current hardware, or the time it takes to wait until current computing hardware can trivially crack the encryption key."
Diese einfache Wahrheit sollte vielleicht öfter gesagt werden. Wobei ich noch einen weiteren Zeitraum hinzufügen möchte: Die Zeit, die es dauert, bis eine Schwachstelle im verwendeten Verschlüsselungsalgorithmus und/oder -programm gefunden und die Entschlüsselung dadurch trivial wird. Bei einigen Hashfunktionen war die deutlich kürzer als die Zeit für einen Brute-Force-Angriff oder das Warten auf ausreichende Rechenleistung.

Neu im Web 2.0: Selbst gelieferte Fahndungsfotos
Am 19. September wurden einem kanadischen Unternehmen vier Notebooks und zwei iMacs gestohlen. Die Diebe wurden dabei zwar gefilmt, die Qualität der Bilder reichte für eine Identifizierung aber nicht aus. Damit wäre die Geschichte eigentlich schon zu Ende: Keine Hinweise, also kaum eine Chance, die Diebe zu finden. Am 24. September fand ein Mitarbeiter des Unternehmens aber ein Bild eines der Diebe bzw. des Käufers eines gestohlenen iMacs auf dem Flickr-Account des Unternehmens. Ein Plug-in hatte die mit der integrierten Webcam gemachten Aufnahmen automatisch auf den Flickr-Account hochgeladen. Nachdem sich der Link zum Bild schnell in Foren und Blogs verbreitete, wurde es dem so zu unerwarteter Popularität Gekommenen unheimlich und er brachte den iMac zur Polizei. Ein schöner Erfolg, als Geschäftsmodell aber wohl ungeeignet: In Zukunft werden Computerdiebe wohl eingebaute Webcams abdecken oder eine Maske tragen, wenn sie die Geräte einschalten.

Patchday in Sicht
Dienstag ist wieder Microsofts Patchday. Diesmal kommt Arbeit auf uns zu: Angekündigt wurden 7 Security Bulletins. 4 kritische Bulletins betreffen Schwachstellen, die die Ausführung beliebigen Codes aus der Ferne erlauben. Die restlichen 3 Bulletins erlauben Denial-of-Service- und Spoofing-Angriffe sowie lokale Privilegien-Eskalation und werden als 'Important' eingestuft. Na, dann mal los...

Carsten Eilers