Channel Security

Jede Menge Dejà-vus bestimmen die Themen dieses Standpunkt Sicherheit: Microsoft und fremde Technik, Microsoft und alte Schwachstellen, umfallende Politiker und Datenlecks.

Microsoft und fremde Technik

Dass Sidekick-Nutzer, die Kunden von T-Mobile USA sind, ihre gespeicherten Daten verloren haben, fand ich erst nicht besonders berichtenswert, darum habe ich es nur im Standpunkt Sicherheit der vorigen Woche am Rande erwähnt. Die Telekom verliert Daten, die von einem Microsoft-Tochterunternehmen mit dem passenden Namen 'Danger' verwaltet wurden - schön und gut, damit kann man ein paar Scherze machen, aber wirklich wichtig ist das zumindest für uns in Deutschland nicht. Oder hat noch irgend jemand Telekom-Aktien? Also kein Grund zur Aufregung. Kurz darauf wurde berichtet, dass betroffene Kunden einen Gutschein in Höhe von 100 US-Dollar bekommen sollen und Microsoft und T-Mobile sich streiten, wer denn Schuld an dem Desaster ist. Und jetzt sind die Daten plötzlich wieder da (Pressemitteilung dazu). Schön für die Kunden, die ihre Daten wieder haben, schön für T-Mobile, die einen Menge Geld sparen, und schön für Microsoft, damit kann man einen Teil der schlechten Presse aus der vorigen Woche wieder gut machen. Ähhhh... da war doch noch was? Ach ja: Die Schuldfrage. Die werden wohl am Ende einige Anwälte und Gerichte in den USA klären, da Microsoft und T-Mobile USA verklagt wurden. Auf jedem Fall waren keine Microsoft-Systeme schuld, da die Danger-Plattform auf 'non-Microsoft technologies' arbeitet, vermutlich auf 'Sun Solaris/Linux/Oracle-based [...] servers'. Microsoft, Solaris-Server, Ausfall... da war doch mal was? Irgend was heißes, und mit Mail hatte das zu tun... heiße Mail... Hotmail - genau: Microsoft wollte nach dem Kauf von Hotmail die Server von Solaris auf Windows NT umstellen und scheiterte.

Schuldfrage vermutlich geklärt

Diesmal war aber die Software unschuldig. Microsoft dagegen wohl nicht. Laut Berichten von Fefe und Daniel Eran Dilger war die Ursache des Datenverlusts ein Ausfalls des SAN, verbunden mit Organisationsversagen seitens Microsofts: Für das SAN sollte ein Firmwareupgrade installiert werden, und man hatte nur Platz für ein Backup. Um ein neues anzulegen, musste man das alte löschen. Und während man das neue Backup anlegte, entschied jemand, dass das ja völlig überflüssig sei, und lies den Vorgang abbrechen. Nachdem es dann zum Ausfall des SAN kam, der getreu nach Murphy natürlich besonders schlimm ausfiel, hatte man kein Backup zur Hand. Dass die Daten zumindest teilweise gerettet werden konnten, liegt wohl am Vorhandensein eines weiteren, älteren Backups auf Bändern, die aber erst zurück gespielt werden müssen - nachdem das SAN ersetzt wurde. Wobei ein älteres Backup für ein Mobilgerät vermutlich etliche wichtige Daten nicht enthalten wird, denn ein Vorteil eines Mobilgeräts ist ja, dass man es immer bei sich hat und laufend neue Daten eingeben und abgleichen kann. Ach ja: Kein vorhandenes Backup - das war das nächste Dejà-vu. Ob der verantwortliche Microsoft-Mitarbeiter früher mal bei der Bundeswehr gearbeitet hat? Die Geschichte kommt mir jedenfalls sehr bekannt vor.

Microsoft und alte Schwachstellen

Am Patchday hat Microsoft die Anfang September entdeckte Schwachstelle in SMBv2 behoben. Dass die Windows 7 nicht betrifft, sondern nur den Release Candidate, war ja schon etwas merkwürdig. Ein Eintrag im Security Development Lifecycle Blog verrät, was los ist: Die Schwachstelle war Microsoft schon länger bekannt, sie wurde 'very late in the Windows 7 development process' durch Fuzzing entdeckt entdeckt und in der endgültigen Version von Windows 7 behoben. Warum, zum Kuckuck, hat man die Schwachstelle dann nicht in Vista und Server 2008 behoben? Haben die gedacht, die findet schon keiner? Weil sie nur durch Fuzzing und dann auch nur recht schwer zu finden ist? Das war dann wohl ein klarer Fall von "Schuss in den Ofen", denn Laurent Gaffié hatte keine Probleme, die Schwachstelle durch Fuzzing zu finden. Dejà-vu Nummer 3: Eine Microsoft seit längerem bekannte Schwachstelle, die erst behoben wird, nachdem ein 0-Day-Exploit veröffentlicht wurde. Das hatten wir doch erst vor kurzem: Im Fall der Schwachstellen in der Active Template Library (ATL), die außer der Reihe behoben wurden, und der Schwachstellen in den Microsoft Office Web Components - siehe Standpunkt Sicherheit vom 17. August. Anscheinend patcht Microsoft öfter mal lieber später als früher.

Umfallende Politiker

Die FDP wollte bei den Bürgerrechten einiges erreichen - und hat fast nichts erreicht: Die Vorratsdatenspeicherung wird "eingeschränkt" - Irrtum, wird sie nicht, es wird weiter Munter gespeichert, mit allen bekannten Missbrauchsmöglichkeiten. Lediglich die Nutzung der gesammelten Daten wird auf die Verfolgung schwerster Straftaten beschränkt. Bagatelldelikte hatte schon das Bundesverfassungsgericht gestrichen, was den Spuk hoffentlich bald ganz beendet. Die FDP war dazu ja nicht in der Lage. Die Onlinedurchsuchung muss von der Bundesanwaltschaft beim Bundesgerichtshof und nicht vom BKA beim Amtsgericht beantragt werden. Schön, und was ändert das? Ob das nun die eine oder die andere Stelle macht - am Endeffekt ändert das wenig. Aber das BKA hat ja sowieso noch nichts online durchsucht. Was ist los? Erst musste man den Bundestrojaner so schnell wie möglich haben, und jetzt setzt man ihn nicht ein? Kein Bedarf, oder auch ein Schuss in den Ofen?

Und dann der größte Hammer: Die Internet-Zensur. Die wird nicht etwa eingestampft, nein, die wird mit einem Erlass für ein Jahr auf Eis gelegt. So lange untersucht man, ob Löschen nicht vielleicht doch möglich ist. Noch mal ganz langsam zum Nachdenken: Die FDP wollte das Gesetz verhindern, jetzt kommt es doch. Ein noch nicht in Kraft getretenes Gesetz soll gleich nach seinem Inkrafttreten mittels Erlass ausgesetzt werden. Gegen das Gesetz läuft bereits eine Klage vor dem Bundesverfassungsgericht, weitere sind geplant. Herr Schäuble hat zugegeben, dass das Gesetz handwerklich schlecht gemacht ist und Wahlkampfzwecken diente. Und jetzt soll unser Bundespräsident es unterschreiben, damit es in Kraft treten und dann mittels Erlass außer Kraft gesetzt werden kann? Kommt das nur mir so vor, oder klingt das wie ein Stück aus dem Tollhaus? Warum hat man das Gesetz nicht einfach gestoppt? Wenn nach einem Jahr raus kommt, dass man es doch bräuchte, könnte man ein handwerklich einwandfreies machen. Wer jetzt sagt, stoppen ginge nicht - ein Anruf beim Bundespräsidenten sollte reichen. Wenn der das Gesetz nicht unterzeichnet, tritt es nicht in Kraft. Das ist zwar wahrscheinlich nicht der offizielle Weg, aber durchaus möglich. Aber vielleicht hat unser Bundespräsident ja auch keine Lust, dermaßen an der Nase herumgeführt zu werden, und weigert sich von sich aus, den Blödsinn zu unterzeichnen. Ach, und noch was: Was wird denn mit der bereits aufgebauten Zensur-Infrastruktur? Wie wird verhindert, dass demnächst irgend ein Richter auf die Idee kommt, die ISPs könnten damit ja z.B. Tauschbörsen-Zugriffe unterbinden, da die Technik nun schon mal da ist?

Ob man bei der FDP Bauchschmerzen hat, ist nicht bekannt. Besser wäre es. Zumindest sollte man so tun. Denn wenn man bei den Steuersenkungen mit einem Abbruch der Koalitionsverhandlungen droht, hätte man es bei den Bürgerrechten erst recht machen müssen. Oder ist die FDP doch nicht die Partei der Bürgerrechte, sondern die, die es nicht besser verdient hat?

Und sonst?

Ein Big Brother Award für Wolfgang Schäuble, für sein Lebenswerk, nachdem er 2007 leer ausging, und massenhafte Datenverluste: Bei der Telekom, SchülerVZ und AWD (gleich doppelt). Auch das kam mir sehr bekannt vor.

Wobei im Fall von SchülerVZ ein "Selbst schuld" nicht fehlen darf: Wer seine Daten im Netz (oder von mir aus auch in "seinem" Social Network) verbreitet, muss damit rechnen, dass sie auch in Hände gelangen, in denen er sie nicht sehen möchte. Dass so ein "Massenhack" nicht passieren sollte, steht außer Frage, aber die Daten jedes einzelnen Betroffenen hätte auch z.B. ein "Freund" weitergeben können. Auch wenn das Geschrei jetzt groß ist: Bei den Daten ist nichts dabei, was die Betreffenden nicht selbst veröffentlicht haben. Problematisch ist allein die Dimension - was man mit so einer nach Alter, Geschlecht, Wohnort, ... durchsuchbaren Datenbank anstellen kann, ist immens. Und dazu handelt es sich um die Daten von Kindern und Jugendlichen, was das ganze noch verschärft. Und dabei muss man gar nicht mal an Kindesmissbrauch denken, die Daten lassen sich bestimmt auch gut verwenden, um irgend etwas zu verkaufen. Wie wäre es mit einer zielgerichteten Kampagne für Klingeltöne? Ach so, die haben die sowieso schon alle? Na, da wird sich schon was anderes finden. Sind eigentlich auch die Freunde in den Profilen gespeichert? Wie wäre es mit optimal zeitlich angepasster Werbung für Geburtstagsgeschenke? Oder man schickt einfach ein paar Rechnungen hin, vielleicht zahlen die Eltern ja, ohne die Rechtmäßigkeit zu prüfen?

Was die verwendeten Crawler (hier ein Link zu einem davon) betrifft: Die haben vermutlich (nichts genaues weiß man nicht, SchülerVZ schweigt sich in der Hinsicht bisher aus) genau das gemacht, was ein Benutzer auch machen kann - alle ihm zugänglichen Profilseiten durchsuchen. Der Google-Robot macht im Grunde genau das gleiche im Web: Alle ihm zugänglichen Websites abgrasen. Der einzige Unterschied: Bei SchülerVZ muss man angemeldet sein, um auf die Profile zuzugreifen. Und ab und zu vielleicht mal ein CPATCHA lösen, was auch weiter kein Problem ist. Da sollte man vielleicht mal drüber nachdenken. Und wer weiß schon, wer sich bei einem Social Network als wer/was anmeldet? Und jetzt bitte keine Argumente wie "Die AGB verbieten..." - die verbieten vieles, verhindern aber gar nichts.