(Diesen Blogpost habe ich 2017 für den CERT.at Blog geschrieben. Das hier ist quasi eine Sicherheitskopie.)
Das Thema “LE going dark in the age of encrytion” kocht mal wieder hoch, und noch schnell vor den Neuwahlen wurden entsprechende Gesetzesentwürfe eingebracht. Ich will hier aus technischer Sicht ein paar Argumente in die Diskussion einwerfen, beschränke mich hier aber rein auf den Aspekt Ãœberwachung trotz Verschlüsselung. Die anderen Punkte (Registrierung und Zugriff auf Kameras, Zugriff auf Daten der ISPs, …) sind zwar auch interessant, treffen aber nicht so sehr in das Kerngeschäft von CERTs, ich werde sie daher nicht mit dem CERT.at Hut kommentieren.
Links:
- Strafprozessrechtsänderungsgesetz 2017
- Sicherheitspolizeigesetz, Bundesstraßen-Mautgesetz 2002, Straßenverkehrsordnung 1960 und das Telekommunikationsgesetz 2003
Wir leben in einer vernetzten Welt, ein lokaler Blickwinkel reicht nicht.
Echte End-to-End Verschlüsselungen in internetbasierten Kommunikationsplattformen (Messenger, VoIP, …) verhindern, dass deren Betreiber Auskunft über Kommunikationsinhalte ihrer Nutzer geben können. Gut gemachte Verschlüsselung für Harddisks und Handys heißt das gleiche: der Hersteller kann die Devices seiner Kunden nicht einfach entsperren.
Natürlich wäre es für das FBI und andere Polizeibehörden im Westen sehr hilfreich, wenn dem nicht so wäre, und sie immer auf die Mithilfe von Apple, Microsoft, Google, Facebook & co bauen könnten, um an die Daten und die Kommunikation von Verdächtigen heranzukommen. Das hat nur zwei ernsthaft böse Konsequenzen:
- Die gleichen Möglichkeiten gelten dann auch für die Polizei von fast allen Staaten dieser Welt. Man mag dem Rechtsschutz in Österreich noch vertrauen, aber es gibt genug Staaten (und weit weg von unserer Insel der Seligen müssen wir da gar nicht), in denen solche Werkzeuge in den Händen des Staates für Repression, Wirtschaftsspionage und Korruption verwendet werden.
- Es ist für die betroffenen Anbieter ein massiver Imageschaden, wenn sie hier mitspielen. Das kann sich vielleicht gerade noch ein Monopolist erlauben, Firmen die im freien, global Markt operieren, können das nur ablehnen.
In anderen Worten: wir können nicht verhindern, dass das gleiche Werkzeug, mit dem eine österreichische Firma mit ihren Außenstellen und Mitarbeitern im Ausland geschützt kommunizierten kann, auch von einem Übeltäter bei uns benutzt wird, um der Strafverfolgung vermeintlich zu entkommen.
Das Rad der Zeit kann man nicht zurückdrehen
Das Internet basiert auf der Idee, dass das Transportnetz nichts von den Applikationen wissen muss, sondern sich rein auf den Datentransport beschränkten kann. Damit wurde eine Innovationskraft freigesetzt, die andere Ansätze (erinnert sich noch jemand an die ISDN Vision aus den 80ern?) komplett überrollt hat.
Ganz ähnliches ist bei PCs und Handys passiert: Erst mit der Möglichkeit, fast beliebige Programme auf diesen Computern laufen zu lassen, wurden sie erst wirklich interessant und so wurden sie zu Plattformen für vielfältigste Anwendungen und Nutzungen.
Wir leben in einer Welt, in der “breit verfügbare, generische Kommunikationsmittel” und “billige, mächtige, frei programmierbare Computer” eine Tatsache sind. Und auch wenn diese Idee im Zeitalter von App Stores (Apple, Windows 10 S), Staatlichen Firewalls (China) oder VPN-Verboten (aktuell Russland) etwas unter Druck kommt, glaube ich nicht, dass das Rad der Zeit hier komplett zurückgedreht werden kann.
Über das Internet kann man beliebige Kommunikation tunneln, das Netz selber kann hier nicht regulierend eingreifen. Und welche Programme auf unseren Endgeräten laufen, können wir in weitem Rahmen selbst bestimmen. Software zur Kommunikation von staatlicher Seite zu verbieten, hat sich in westlichen Demokratien bis jetzt als undurchsetzbar herausgestellt.
Auch das Wissen um Kryptografie (Verschlüsselung) ist inzwischen so breit gestreut und die Algorithmen sind überall über einfache APIs ansprechbar, dass auch die Verfügbarkeit von Kyptografie nicht mehr umkehrbar ist.
Kryptografie schwächen heißt Sicherheit schwächen
Bei der Einführung von Transportverschlüsselung (SSL/TLS) hat die US Regierung eine Zeit lange versucht, nur den Export von abgeschwächten Versionen zu erlauben. Das hat sich als Bumerang erwiesen, wie die Forscher schreiben, die die “DROWN” Lücke gefunden haben:
For the third time in a year, a major Internet security vulnerability has resulted from the way cryptography was weakened by U.S. government policies that restricted exporting strong cryptography until the late 1990s. Although these restrictions, evidently designed to make it easier for NSA to decrypt the communication of people abroad, were relaxed nearly 20 years ago, the weakened cryptography remains in the protocol specifications and continues to be supported by many servers today, adding complexity—and the potential for catastrophic failure—to some of the Internet’s most important security features.
The U.S. government deliberately weakened three kinds of cryptographic primitives: RSA encryption, Diffie-Hellman key exchange, and symmetric ciphers. FREAK exploited export-grade RSA, and Logjam exploited export-grade Diffie-Hellman. Now, DROWN exploits export-grade symmetric ciphers, demonstrating that all three kinds of deliberately weakened crypto have come to put the security of the Internet at risk decades later.
Today, some policy makers are calling for new restrictions on the design of cryptography in order to prevent law enforcement from “going dark.†While we believe that advocates of such backdoors are acting out of a good faith desire to protect their countries, history’s technical lesson is clear: weakening cryptography carries enormous risk to all of our security.
Die Suche nach “NOBUS” (Nobody but us) Schwachstellen/Hintertüren in Verschlüsselungsverfahren hat sich in weitem Bereich als Suche nach dem heiligen Gral herausgestellt. Das klingt gut, mag auch eine Zeit funktionieren, aber dann explodiert das mit hohem Schaden. Ein plakatives Beispiel dafür sind die “TSA” Schlösser für Koffer, für die es bekannte Zweitschlüssel gibt. Es hat nicht lange gedauert, bis diese als 3D-Druckvorlagen im Netz auftauchten.
Daher: wenn man sichere Verschlüsselung haben will, auf die man sich verlassen können muss, dann kann man im Design der Software und der Algorithmen nicht schon absichtlich Hintertüren einbauen.
Kryptografie ist kein Safe
Manchmal wird die Verschlüsselung von Daten mit dem Versperren von Akten in Safes verglichen. Es gibt hier aber einen wichtigen Unterschied:
Für die Sicherheit von Safes wird bewertet, wie lange ein Angreifer unter gewissen Randbedingungen (Werkzeug, Lärmentwicklung, …) braucht, um den Tresor aufzubrechen. Dass der Safe geknackt werden kann, steht außer Zweifel, es geht immer nur um “wie lange mit welchen Mitteln”.
Bei Kryptografie ist es nur theoretisch gleich: mit genug Einsatz von roher Rechenleistung lassen sich die gängigen Verfahren knacken, nur ist bei aktuellen Algorithmen das “genug” schlicht außerhalb des derzeit technisch Machbaren. (OTPs und Quantencomputer lasse ich hier außen vor.)
In der klassische IT ist Security ist noch schwieriger zu erreichen als in der Kryptografie, aber auch ein gesperrtes iPhone lässt sich nicht einfach nur mit roher Gewalt öffnen.
Was heißt das für die Polizei und Gerichte?
Das Gewaltmonopol ist hier kein Joker, der immer sticht. Der Staat kann hier seinen Willen nicht immer hart durchsetzen. Ein österreichisches Bundesgesetz zieht gegen die Gesetze der Mathematik den Kürzeren.
Fähigkeiten von Malware / Kontrolle der Verwendung
Wenn wir vor Ort bei einer Vorfallsbehandlung helfen, kommt sehr oft die Frage, was denn die gefunden Schadsoftware alles hätte machen können. Mit viel Glück kann man manchmal beantworten, was gemacht wurde, aber die Frage der Möglichkeiten endet meistens mit “Sie konnte auch Programme nachladen und ausführen”. Aus der Sicht des Angreifers ist das auch sehr verständlich: das hält den Code klein und den Handlungsspielraum groß. So können gezielt Werkzeuge und Funktionalitäten nachgeladen werden.
Aus rein technischer Sicht besteht kaum ein Unterschied zwischen dem Vorgehen einer Tätergruppe, die spionieren will und der Polizei, die mittels einer eingebrachten Software eine (vielleicht bald) legitimierte Kommunikationsüberwachung eines Verdächtigen durchführt.
Auch hier muss das Tool fast zwangsläufig generisch sein, es muss es dem Polizisten ermöglichen, auf den vorgefundenen Messenger zu reagieren und entsprechende Module nachzuladen. Ich halte daher Aussagen der Form “Die Software kann exakt nur das, was rechtlich erlaubt ist” für technisch nicht haltbar.
Damit haben wir aber ein Audit-Problem. Wie stellen wir sicher, dass das wirklich alles gesetzeskonform abläuft und nicht ein übermotivierter Beamte alle seine technischen Möglichkeiten im Sinne seines Ermittlungsauftrages ausreizt? Hier braucht es dann deutlich mehr als nur einen Juristen als Rechtsschutzbeauftragte, es braucht eine entsprechende Protokollierung und technisch geschulte Kontrolleure.
Das sehe ich im aktuellen Entwurf nicht.
Mobiltelefone sind wie Wohnungen
Mit gutem Grund legt der Gesetzgeber einen anderen Maßstab bei der Durchsuchung einer Wohnung im Vergleich zu der eines Autos an. Die Verletzung der Privatsphäre der eigenen vier Wände ist so signifikant, dass es eine wirklich starke Argumentation seitens des Staates geben muss, um das zu erlauben.
Es gibt global gesehen die ersten Richtersprüche die festhalten, dass die Daten, die heute in Smartphones gespeichert sind, so intimer Natur sein können (Kommunikationsarchiv, Bilder, Videos, Adressbücher, Terminkalender, Social Media, …) dass für eine polizeiliche Durchsuchung die gleichen Maßstäbe anzulegen sind, wie für Wohnungen.
Der aktuelle Vorschlag nimmt das auf, indem er nur auf Kommunikationsüberwachung, nicht aber auf Durchsuchung abzielt. Ich halte das für in der Praxis nicht so schön trennbar, wie sich das die Juristen vorstellen.
Implantieren der Ãœberwachungssoftware
Die Gretchenfrage ist aber, wie denn die Software der Ãœberwacher auf den PC oder das Handy des zu Ãœberwachenden kommt.
Das war früher mit Windows 95 & co noch relativ einfach: wenn man das Gerät in die Hand bekommt, kann man leicht Software installieren. Ein aktuelles Windows braucht hingegen eigentlich immer ein Passwort und ist darüber hinaus noch mit Secure Boot und BitLocker gegen Manipulationen geschützt. Bei Handys schaut es ähnlich aus, aktuelle Modelle lassen sich auch nicht so einfach mit nur einem USB-Kabel manipulieren. Dort kommt noch dazu, dass man schwerer unbeobachtet an das Gerät kommt.
Und das ist gut so. Der Schutz von sensiblen persönlichen oder Firmendaten, die auf mobilen Computern (Laptops, Smartphones, …) gespeichert sind, ist bei jeder Risikobetrachtung (und sei es nach ISO 27k) ein wichtiges Thema. Ein verlorenes Handy oder ein gestohlener Laptop darf für Firmen nicht den Verlust der darauf gespeicherten Daten bedeuten. Diese Absicherung wird den Firmen vom Staat über mehrere Gesetze auch unter Androhung von Strafen vorgeschrieben, das reicht vom DSG bis hin zum kommenden NIS-Gesetz.
Ähnliches gilt auch für die Einbringung von Ãœberwachungssoftware aus der Ferne. Das ist – aus rein technischer Sicht – einfach nur ein weiterer Advanced Persistent Threat (APT). Ob eine kriminelle Bande eine Bank infiltrieren will, um Geld zu bekommen, ob ein fremder Staat in Firmen eindringt um Wirtschaftsspionage durchzuführen, oder ob irgendein Geheimdienst die IT Systeme eines Ministeriums knacken will, um politische Spionage zu betreiben, alles das passiert mit genau denselben Methoden, die auch unsere Polizei anwenden müsste, um in System der vermuteten Kriminellen die Software für die Ãœberwachung einzubringen.
Hier liegt die Krux der Sache: im Normalfall will der Staat, dass sich Bürger und Firmen erfolgreich gegen solche Angriffe absichern, aber wenn der Angriff von der Polizei kommt, soll er a) erlaubt sein und b) funktionieren. Ja, ersteres kann man mit einem Beschluss im Parlament durchsetzen, zweiteres nicht. Da sind wir wieder beim gleichen Thema wie oben bei der Kryptografie:
Sicherheitssysteme bewusst so zu schwächen, dass nur “die Guten” die Lücken nutzen können, funktioniert nicht.
Schizophrenie bezüglich Sicherheit vs. Überwachungsmöglichkeiten
Wir haben also sowohl bei der Kryptografie als auch bei der Sicherheit von IT Systemen zwei sich widersprechende Ziele:
- Die Systeme sollen so sicher sein, dass Bürger, Firmen und auch Behörden sicher Daten verarbeiten und vertraulich kommunizieren können. Dazu muss die Integrität der verwendeten Systeme nach bestem Stand der Technik geschützt werden und die verwendeten Algorithmen dürfen keine bekannten Schwächen aufweisen. Werden Schwachstellen gefunden, müssen diese sofort an den Hersteller gemeldet werden, damit sie behoben werden können.
- Der Staat will zur Verhinderung und zur Aufklärung von Verbrechen einen Einblick in die Kommunikation und die Daten von Verdächtigen bekommen können. In anderen Staaten kommt hier auch noch der Wunsch dazu, Schwachstellen für Geheimdienstaktivitäten und einen potentiellen “Cyberkrieg” zu horten.
Beide Ziele voll zu erfüllen geht schlicht nicht.
Jeder Staat muss für sich entscheiden, welches Ziel Priorität hat.
Davon unbenommen kann der Staat aber auch noch entscheiden, in welchem Rahmen die Polizei Fehler von Verdächtigen in deren Verwendung von IT Systemen (und deren Schwächen) ausnutzen darf.
Ob Österreich jetzt auch bei den üblichen Verdächtigen die Überwachungssoftware einkauft (dass diese im BM.I entwickelt wird, halte ich nicht für realistisch), wird den Markt von 0-days und diesen Lösungen nicht messbar beeinflussen. Wie seriös solche Firmen agieren, konnte man schön an dem HackingTeam Datenleak erkennen. Und natürlich wird auch hier den potentiellen Kunden manchmal mehr versprochen, als man halten kann.
Wenn aber die Grundsatzentscheidung zu den Prioritäten auf staatlicher Seite nicht klar getroffen wird, dann bringt man die Verwaltung und die Exekutive in eine Zwickmühle: sollen sie auf IT-Sicherheit oder auf Überwachungsmöglichkeiten hinarbeiten?
Die Hersteller scheinen ihre Wahl getroffen zu haben: für sie ist Überwachungssoftware Malware und wird bei Erkennung entfernt.