LNP289 Untersuchung von Sicherheitsriesen

Cybervoting — Cyberhackback — Cyberwarnungen — Cybersicherheitsgesetz — Brexit — Feedback

Huch, gleich noch eine Sendung in dieser Woche? So ist, denn es lag noch so viel Cyber rum, dass wir es unbedingt noch für Euch auffegen mussten, um es einer ordentlichen Entsorgung zuzuführen. Wir reden über Cyberexperimente in Tübingen, Cyberattacken in Russland, Cyberkonfusion beim BSI und im Bundestag. Dazu noch ein wenig Eigenwerbung von Tim, der einen neuen Podcast gestartet hat, wo sich die aktuelle Folge um den Brexit dreht.

Dauer: 1:28:32

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon

Cybervoting in Tübingen

Cyber-Schlag gegen russische Trolle

Cyberwarnung des BSI: vor-infizierte Android-Phones

Cyberwarnung des BSI: Windows 10 check

Cybersicherheitsgesetz

Hörer:innentreffen BCN und Brexit-Sendung

Feedback

31 Gedanken zu „LNP289 Untersuchung von Sicherheitsriesen

  1. Bei Position 34m 02s meint Linus, ihm sei nicht ganz klar, wie das TLS-Zertfikat revoked werden konnte.

    Es geht wohl um “usareally.com”, soweit ich das den Presseberichten entnehmen kann. Dank Certificate Transparency kann man sehr leicht nachvollziehen, wann Zertifikate für diese Domain bzw. ihre Subdomains ausgestellt wurden, wie lange diese Zertifikate ursprünglich gültig sein sollten, und welche CA sie ausgestellt hat:

    https://crt.sh/?q=%25.usareally.com

    Anmerkung: Für bereits abgelaufene Zertifikate kann man leider keine Revocation mehr nachprüfen, weder per OCSP noch per CRL (außer jemand hat irgendwo ein Archiv mit historischen CRLs).

    In der Liste fällt zunächst auf, dass es da offenbar auch einen git-Server und einen Continuous-Integration-Server gibt. Wenn man versucht, diese Domains zu besuchen, fällt auf, dass die entsprechenden Zertifikate noch immer (bzw. schon wieder) revoked sind. Außerdem fällt auf, dass der Großteil der Zertifikate von Let’s Encrypt ausgestellt wurden – da kann man Zertifikate automatisiert sperren lassen, wenn man den Besitz des Private Keys zum Zertifikats oder die Kontrolle über eine Domain, für die das Zertifikat ausgestellt wurde, nachweisen kann (über den Umweg eines entsprechendes ACME-Accounts).

    In diesem konkreten Fall ist aber noch ganz was anderes passiert: Let’s Encrypt unterliegt US-amerikanischem Recht, und da gibt es vom Department of Treasury die sogenannte “Specially Designated Nationals And Blocked Persons List” (kurz “SDN list”), auf der Leute und Organisationen stehen, denen zumindest in den USA niemand zusammenarbeiten darf:
    https://www.treasury.gov/resource-center/sanctions/SDN-List/Pages/default.aspx

    Auf dieser Liste steht auch “USA Really”, und genau aus diesen Grund hat Let’s Encrypt wohl auch deren Zertifikate gesperrt:

    https://community.letsencrypt.org/t/according-to-mcclatchydc-com-lets-encrypt-revoqued-and-banned-usareally-com/81517/9

    Vermutlich ist der Druck groß genug, dass auch ausländische CAs in westlichen Ländern sich nicht trauen, die SDN-Liste zu ignorieren. Die USA haben ja kürzlich schon bei der Finanzmanagerin von Huawei gezeigt, wie weit sie zu gehen bereit sind, um in diesem Feld ihre Interessen durchzusetzen. Entsprechend ist das Zertifikat, das usareally.com im Moment benutzt, auch von “WoTrus CA Limited” ausgestellt – das ist das CA-Zertifkat von WoSign, also jener chinesischen CA, die vor 1-2 Jahren zusammen mit Startcom/StartSSL aus allen relevanten Browsern rausgeflogen ist. Deren Besitzer “Richard Wang” wird in der CA-Branche zumindest in westlichen Ländern wohl zu seinen Lebzeiten eh keinen Fuß mehr auf den Boden kriegen, entsprechend wenig dürfte der zu verlieren haben.

    Detail am Rande: Es gibt ja auch einige Länder, die von den USA mit Sanktionen belegt sind – hier scheint Let’s Encrypt interessanterweise nicht die komplette TLD der jeweiligen Länder zu blockieren, sondern nur Domains von Regierungsorganisationen dieser Länder.

    https://community.letsencrypt.org/t/certificates-for-us-sanctioned-countries/1223

  2. Noch ne Anmerkung zu den gesperrten TLS-Zertifikaten: AFAIK prüft nur Firefox, ob ein Zertifkat von der CA zurückgezogen wurde oder nicht (und selbst das kann man in MITM-Szenarien trivial umgehen indem man einfach den OCSP-Traffic wegfiltert, weil Firefox standardmäßig nicht erzwingt, dass auch eine gültige OCSP-“Freigabe” da sein muss.

    Es gibt für dieses Problem mittlerweile eine technische Lösung namens “Must-Staple”, bei dem im Zertifikat steht, dass der Browser das Zertifikat ablehnen soll, wenn er nicht zusätzlich zum Zertifikat auch eine aktuelle, von der CA signierten OCSP-“Freigabe” (im Sinne von “die CA bestätigt, dass mit dem Zertifikat noch alles ok ist und es noch nicht zurückgezogen wurde”) gezeigt kriegt. Let’s Encrypt unterstützt das zwar prinzipiell (zumindest wenn man dehydrated benutzt – keine Ahnung wie es mit certbot aussieht), allerdings wird dieses bislang leider kaum in der Praxis eingesetzt, weil es vorraussetzt, dass der Webserver OCSP-Stapling kann, und der OCSP-Stapling-Code sowohl von Apache als auch von nginx ziemlich bröselig und fragil ist. Vor 2 Jahren ist bei Let’s Encrypt auch mal der OCSP-Responder für nen halben Tag ausgefallen – während dieser Zeit haben Must-Staple-Zertifikate dann in Browsern mit Support für Must-Staple einfach nicht mehr funktioniert.

    https://community.letsencrypt.org/t/may-19-2017-ocsp-and-issuance-outage-postmortem/34922

    Ein weiteres Problem ist, dass Must-Staple AFAIK nur von Firefox implementiert und standardmäßig angewendet wird. Chrome hat schon vor Jahren den kompletten Support für jegliche Varianten von OCSP rausgeschmissen, und die Entwickler haben scheinbar auch nicht vor, daran nochmal irgendwas zu ändern.

  3. Zum Thema vorinstallierte Schadsoftware:
    Es gibt ja nicht wenig Menschen die ein vorinstalliertes Windows durchaus als Schadsoftware klassifizieren würden.

    Je nach Ansicht ist das also nicht besonders selten ;)

  4. Wenn die Bundesnetzagentur für computerisierte puppen zuständig ist, sind sie dann nicht auch zuständig für computerisierte „telefone“? Haben die sich für nicht zuständig erklärt oder hat denen einfach noch niemand bescheid gesagt?

    • Es ist so schade, dass beide die Chance nicht genutzt haben auf die tolle Domain einzugehen. Denn man kann sich da schon fragen, wieso es das BSI für Bürger ist, aber die Gesetze einfach nur im Internet sind. Sind die nicht auch für Bürger? Ich fordere daher die Domain gesetze-im-internet-fuer-buerger.de (Aber bitte dann auch so aussprechen, wie es scheinbar bei fluege.de nun der Fall ist. also u und e getrennt, nicht als ü!)

  5. Tübingen-App:

    Ich frage mich hier, wie so häufig bei irgendwelchen Apps, wieso es ausgerechnet eine App sein muss? Hätte es eine Webseite nicht auch getan?
    Wie oft gibt es da etwas abzustimmen? Ist es wirklich so zeitkritisch, dass man das unterwegs machen muss?
    Wäre die “Hürde” einer Webseite nicht ein guter Filter, damit Leute ihre Antwort wenigstens ein bisschen durchdenken?

    Sowas riecht immer ganz stark danach, dass hier alles “modern” sein muss.

  6. Ihr wolltet die App verlinken, mit der man bei Windows 10 versuchen kann, die Telemetrie einzuschränken. Habt ich das noch nicht gemacht oder hab ich den Link überlesen?

  7. Zum Thema Cybervoting: kritisch sehe ich das nur, wenn man Geheimhaltung der Stimmen haben will.

    Vorschlag: wenn Gemeinderat oder 10% der Cybervoter es wünschen, erfolgt die Abstimmung geheim und damit nur auf Papier. Vielleicht gibt es auch einen Kriterienkatalog für sensible Fragen.

    Default für die Abstimmung von Sachfragen ist die öffentliche Stimmabgabe, die online erfolgen kann. Die Öffentlichkeit ist dann der Preis für die Bequemlichkeit, macht aber Securityfragen lösbar.

    Ich verstehe die Argumentation von Linus, dass das Standards/Gewohnheiten in die „verkehrte“ Richtung verschiebt. Aber auf ewig ist es schwer vermittelbar, warum vieles einfach online geht, aber direkte Demokratie so schwerfällig offline bleiben muss.

  8. Wenn Ihr die Tübinger Umfrageplattform kritisch findet, wie findet Ihr dann die Online-Petitionsplatform des deutschen Bundestags? Dort sind die Möglichkeiten zur Entscheidung zwar user generated, aber dafür hat es jetzt schon einen gewissen rechtlichen Hebel. Solche offiziellen Online-Abstimmungen sind außerdem nichts allzu neues. Mir ist nicht klar geworden, warum es genau dieses Projekt ist, das ein Problem darstellt, von der mangelnden Representativität Mal abgesehen. Aber es ist ja eben auch nicht bindend. Beim “Wuppertaler Bürgerbudget” gibt es sogar schon seit einiger Zeit bindende Online-Abstimmungen.

      • Die Tübinger sind doch ebenso wenig bindend, oder hab ich das falsch verstanden? Selbstverständlich könnte da eine Gewöhnung an die Bequemlichkeit geschehen. Für diese Bequemlichkeit ist aber wohl eher Telekommunikation verantwortlich, ähnliches Problem, wie bei der Briefwahl. Mit diesem Tübinger Projekt wird Partizipation deutlich niederschwelliger gemacht. Vorher fand so etwas eher in unbenutzten Kellerklos mit der Aufschrift “Vorsichtig, bissiger Leopard” statt. Und der Status Quo ist doch eher, dass kaum Bürgerfeedback stattfindet, höchstens über Bande durch private Unternehmen wie Forsa. Ich erwarte eher, dass die BürgerInnen sich an Partizipation gewöhnen und sich mehr einbringen. Das wäre wohl ein großer Gewinn. Dagegen steht eine hypothetische Andersnutzung der Software, die womöglich Demokratiedefizit verursachen könnte.

  9. Mal wieder zur EU: https://act.wemove.eu/campaigns/1153

    “The fight for a strong protection for whistleblowers in the EU has been going on for many years. Trade unions and civil society have worked together with the European Parliament, demanding that the European Commission should act. After long and persistent lobbying and campaigning we finally got the European Commission to propose a directive on whistleblower protection in April 2018. …” Und nun dreht sich das ganze gerade in die Richtung das man es verbieten will Infos zu veröffentlichen, wenn man nicht zuerst intern aktiv wurde.

  10. Ich verstehe eure Ablehnung für Cybervoting wegen der Gefahr, der Manipulation und mangelnden Transparenz, dass alles mit rechten Dingen zugeht. Dass der Code opensource sein und man sich nicht einem Unternehmen ausliefern sollte: d’accord!
    Aber ich verstehe gar nicht euer Argument, dass das Smartphone als Wahlmaschine das Ergebnis schon in eine bestimmte jüngere Richtung beeinflussen würde, weil es Ältere so schlecht nutzen können, denn gerade für Ältere ist der Gang zum Wahllokal besonders beschwerlich. Auch das Argument, dass nicht alle ausreichend beteiligt seien, zieht gegenüber einer Zettelabstimmung gar nicht, denn auch bei dieser oder gar der Bundestagswahl kann nur der mitentscheiden, der teilnimmt, so dass es auch eine nichtrepräsentative Verschiebung zur Meinung der politisch Interessierten gibt. Demokratische Wahlen sind nicht repräsentativ, wählen darf jeder Bürger – nichtwählen aber auch.

    • „Aber ich verstehe gar nicht euer Argument, dass das Smartphone als Wahlmaschine das Ergebnis schon in eine bestimmte jüngere Richtung beeinflussen würd“

      Das war auch nicht mein Argument. Mein Argument war gegen die „Korrektur“ und Anpassung des Wahlergebnisses um Bevölkerungsgruppen, die nicht angestimmt haben. Das zu tun ist einfach nicht zulässig und darüber hinaus eine Verletzung des Wahlgeheimnisses.

      Das Alter war dabei nur ein Beispiel. Nehmen wir ein anderes, ebenfalls als Beispiel: Gehen wir davon aus unter den älteren Menschen war die Wahlbeteiligung nur 30%, dafür das Wahlergebnis aber 60% in eine Richtung.
      Würdest du es dann für zulässig halten, von den Fehlenden 70 % der Stimmen darauf zu schließen dass sie ebenfalls zu 60% in diese Richtung tendiert hätten?
      Dies mit der Grundgesamtheit aller Abstimmenden zu tun ist in Ordnung, nicht aber mit ausgewählten Teilgruppen zu unterschiedlichen Bedingungen.

      • Nein, Deine Argumentation fand ich da auch viel schlüssiger, als die von Tim, dem man die “wehret den Anfängen Sorge” doch sichtlich anmerkte und dem selbst eine quelloffene, öffentlich gehostete Umfrageplattform schon größtes Unbehagen zu machen schien.
        Das Abschätzen der Nichtabstimmermeinung ist unzulässig. Wer sich nicht beteiligt, bestimmt auch nicht mit. Alles andere wäre schon so ein bisschen “minority report”.

  11. Linus on fire. :-) (ich höre gerade das Thema BSI)
    Generell möchte ich einmal sagen, dass ich das Logbuch Netzpolitik sehr gerne und sehr regelmäßig höre und ihr zum Teil hochkomplexe Themen nahezu immer super erklärt und es dazu noch unterhaltsam ist (s.o.). (Aber das wisst ihr vermutlich selbst.)

  12. Cybervoting : Mal abgesehen von der einfachen Nachprüfung. Wie schätzt ihr das Verfahren in Estland ein? Augenscheinlich wird dort doch das ein oder andere richtig gemacht (quelloffen, E-Perso, Wahlbeobachter, cybervoting ist optional,..). Wenn die Demokratie von einer höheren Wahlbeteiligung mehr profitiert, als sie durch das Risiko einer Fälschung gefährdet wird, warum nicht!

  13. Thema Cybervoting: Ich könnte mir gut vorstellen, dass viele Enkel dann mal im Namen von Oma und Opa für ihre Meinung (z. B. die E-Sport-Mannschaft) abstimmen, wenn sie die Großeltern besuchen.

    Einerseits sehe ich das kritisch, andererseits bekommen dann mehr Omas und Opas Besuch von ihren Enkeln. Also sollte man nicht mehrere Abstimmungen zusammenfassen, sondern diese über das Jahr verteilen, sodass alle 1-2 Monate eine Abstimmung stattfindet. Das führt zu einem guten Mehrgenerationenverständnis.

  14. Wenn man an die Verschwörungstheorie glaubt, dass Donald Trump in Koordination mit Russland zum Nachteil der USA handelt, dann würde die USCYBERCOM-Aktion dazu passen. Die Internet Research Agency ist ein Ziel mit geringem Wert, der Zeitpunkt des Angriffs beeinträchtigte mögliche Aktivitäten im Wahlkampf kaum, trotzdem hat man vielleicht sogar wertvolle Sicherheitslücken für die Aktion verbrannt und die Russen können aus der Analyse einiges über das Vorgehen des CYBERCOM lernen, insbesondere wenn sie vorgewarnt waren, schließlich kann Trump sich das als weiteren Beweis gutschreiben, dass er “tougher” gegen die Russen vorgeht als Obama.

    Ihr hattet angedeutet, dass Russland Trump bei den mid term elections helfen wollte. Ich glaube, das ist zu einfach gedacht. Sicherlich ist Trump als Präsident für Russland relativ nützlich, das heißt aber nicht das Gleiche gilt für die Republikanische Partei. Man hat ja gesehen, obwohl Trump republikanische Mehrheiten in den beiden Kammern des Kongress hatte, konnte er beim dringlichsten russischen Interesse, der Aufhebung der Sanktionen, praktisch nichts erreichen. Im Gegenteil sein Verhalten hat die Situation sogar noch ein wenig schlimmer gemacht. Es gibt in der Republikanischen Partei einfach nicht ausreichend pro-russisches Potential. Es ist für mich also nicht ausgemacht, dass sie eine Präferenz für den Ausgang der mid term elections hatten.

    Verstehe ich das richtig, wenn ich jemanden mit fester IP-Adresse einem silent DDOS aussetzen möchte, kann ich seine IP-Adresse als Adresse des C&C-Server in eine Malware kodieren und diese verbreiten? Ein guter Teil seines traffics würde dann weitgehend unsichtbar einfach im Netz verschwinden?

    • „… schließlich kann Trump sich das als weiteren Beweis gutschreiben, dass er “tougher” gegen die Russen vorgeht als Obama.“ – Das ungefähr war mein Gedanke in der Sendung, als ihr immer wieder betont habt, wie albern und sinnlos und schwachsinnig diese Aktion sei und dass das ja mal überhaupt nichts gebracht habe. Für mich klingt das nach einem 1A Medienstunt. Das Ziel war möglicherweise nicht dieses Unternehmen, sondern die Bevölkerung der USA und der Welt. Und die Aussage war vielleicht: Die Russen hacken unsere Wahl? Pah! Hacken können wir schon lange. Jetzt hacken wir zurück. In Soviet Russia election is hacking YOU! Einfach, um vor der Welt mal wieder klarzumachen, wer die Guten sind und wo der Hammer hängt. Ging ja wohl auch auf, wenn, wie ihr sagt, die Medienberichterstattung eher nicht so kritisch gegenüber der Aktionsform eingestellt war.

  15. Zum Thema Cybervoting, Cyberbefragung:
    Wenn ich mich richtig erinnere, wurde die EU-Umfrage zur Zeitumstellung auch als nicht-bindend angekündigt, aber nun scheinen sich die Politiker dem Votum verpflichtet.

    Ich hab das bei der Zeitumstellung bisher nicht so kritisch gesehen, aber nach euren Bedenken bin ich nur auch eher besorgt, was das Missbrauchspotential betrifft und auch in Hinblick auf die Gewöhnung an digitale Stimmabgabe.

    Und ich vermute (weiß das jemand genau?) dass die Stimmabgabe nicht-öffentlich war, bzw. die Personalien nicht einzeln geprüft wurden, also auch manipuliert hätten werden können. Vielleicht nicht bei diesem eher unkritischen Thema, aber als “Einstiegsdroge” ins Cybervoting ist das Thema daher perfekt geeignet.

  16. Hallo,

    zum Thema Telemetrie und Windows 10 habe ich ein paar Anmerkungen:
    1.) Um die Telemetrie von Windows 10 lahmzulegen, muss tatsächlich nur der Dienst “DiagTrack” deaktiviert werden. (Quelle: c’t 1, 2019, Sl172 ff.)
    2.) Wenn man schon Windows nehmen muss, dann am besten Windows 10. Alle anderen Versionen werden relativ zeitnah nicht mehr supportet. (Quelle: c’t 2, 2019, S.28 ff.)
    3.) Die Bundesverwaltung setzt Windows ein, weil viele Fachverfahren für Windows programmiert wurden. (Quelle: https://www.focus.de/digital/experten/open-source-behoerden-bietet-sich-jetzt-die-chance-fuer-den-umstieg_id_9009127.html. Der Autor des Artikels ist kein Fokus-Journalist, sondern ein OpenSource-Fachmann.)
    4.) Außerdem wird in der Bundesverwaltung MS Office als unverzichtbar wahrgenommen. (Quelle: wie bei 3.).
    Darüber kann man sicher streiten. Ich nutze MS Office und LibreOffice und würde mich persönlich der Einschätzung der Bundesveraltung anschließen.)
    5.) Die Admins der Bundesverwaltung wollen – vermutlich – wie andere Admins auch ihre Clients über Active Directory und Richtlinien verwalten. Das ist nämlich eine große Erleichterung, wenn man viele Clients zu versorgen hat, und nur mit Windows Clients möglich.

    Damit kommen wir zu dem aus meiner Sicht viel größeren Problem: Windows Server.
    Den braucht man für Active Directory/Richtlinien. Samba hat hier Großes geleistet, kann einen Windows Server aber m.W. bis heute nicht vollständig ersetzen.
    Windows Server telefoniert nämlich auch viel nach Hause.

    Bei Windows Servern empfiehlt Microsoft ausdrücklich, die Telemetrie nicht zu deaktivieren “because valuable functionality may be impacted”.
    (Quelle: https://gallery.technet.microsoft.com/Windows-Server-and-System-d8d98dc6)
    Als Server-Betreiber wird man sich also dreimal überlegen, ob man die Telemetrie abschaltet. Schließlich ist man auf Support von Microsoft angewiesen.

    Beste Grüße

    Peter

    • Dann wird es Zeit das Programme wie Samba von einer staatlichen Förderung profitieren. Einfach auflisten was man will, und eine Ausschreibung machen.

      Könnte auch ein Posten im Bundeshaushalt sein, der es Ländern, Gemeinden, Bundesverwaltungen, anderen Organisationen ermöglicht Wünsche zu äußern, die dann bewertet und eventuell erfüllt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.