(Diesen Blogpost habe ich 2017 f\u00fcr den CERT.at Blog geschrieben. Das hier ist quasi eine Sicherheitskopie.)<\/p>\n\n\n\n
Das Thema “LE going dark in the age of encrytion<\/a>” kocht mal wieder hoch, und noch schnell vor den Neuwahlen wurden entsprechende Gesetzesentw\u00fcrfe eingebracht. Ich will hier aus technischer Sicht ein paar Argumente in die Diskussion einwerfen, beschr\u00e4nke mich hier aber rein auf den Aspekt \u00dcberwachung trotz Verschl\u00fcsselung. Die anderen Punkte (Registrierung und Zugriff auf Kameras, Zugriff auf Daten der ISPs, …) sind zwar auch interessant, treffen aber nicht so sehr in das Kerngesch\u00e4ft von CERTs, ich werde sie daher nicht mit dem CERT.at Hut kommentieren.<\/p>\n\n\n\n\n\n\n\n Links:<\/p>\n\n\n\n Wir leben in einer vernetzten Welt, ein lokaler Blickwinkel reicht nicht.<\/strong><\/p>\n\n\n\n Echte End-to-End Verschl\u00fcsselungen in internetbasierten Kommunikationsplattformen (Messenger, VoIP, …) verhindern, dass deren Betreiber Auskunft \u00fcber Kommunikationsinhalte ihrer Nutzer geben k\u00f6nnen. Gut gemachte Verschl\u00fcsselung f\u00fcr Harddisks und Handys hei\u00dft das gleiche: der Hersteller kann die Devices seiner Kunden nicht einfach entsperren.<\/p>\n\n\n\n Nat\u00fcrlich w\u00e4re es f\u00fcr das FBI und andere Polizeibeh\u00f6rden im Westen sehr hilfreich, wenn dem nicht so w\u00e4re, und sie immer auf die Mithilfe von Apple, Microsoft, Google, Facebook & co bauen k\u00f6nnten, um an die Daten und die Kommunikation von Verd\u00e4chtigen heranzukommen. Das hat nur zwei ernsthaft b\u00f6se Konsequenzen:<\/p>\n\n\n\n In anderen Worten: wir k\u00f6nnen nicht verhindern, dass das gleiche Werkzeug, mit dem eine \u00f6sterreichische Firma mit ihren Au\u00dfenstellen und Mitarbeitern im Ausland gesch\u00fctzt kommunizierten kann, auch von einem \u00dcbelt\u00e4ter bei uns benutzt wird, um der Strafverfolgung vermeintlich zu entkommen.<\/p>\n\n\n\n Das Rad der Zeit kann man nicht zur\u00fcckdrehen<\/strong><\/p>\n\n\n\n Das Internet basiert auf der Idee, dass das Transportnetz nichts von den Applikationen wissen muss, sondern sich rein auf den Datentransport beschr\u00e4nkten kann. Damit wurde eine Innovationskraft freigesetzt, die andere Ans\u00e4tze (erinnert sich noch jemand an die ISDN Vision aus den 80ern?) komplett \u00fcberrollt hat.<\/p>\n\n\n\n Ganz \u00e4hnliches ist bei PCs und Handys passiert: Erst mit der M\u00f6glichkeit, fast beliebige Programme auf diesen Computern laufen zu lassen, wurden sie erst wirklich interessant und so wurden sie zu Plattformen f\u00fcr vielf\u00e4ltigste Anwendungen und Nutzungen.<\/p>\n\n\n\n Wir leben in einer Welt, in der “breit verf\u00fcgbare, generische Kommunikationsmittel” und “billige, m\u00e4chtige, frei programmierbare Computer” eine Tatsache sind. Und auch wenn diese Idee im Zeitalter von App Stores (Apple, Windows 10 S<\/a>), Staatlichen Firewalls (China<\/a>) oder VPN-Verboten (aktuell Russland<\/a>) etwas unter Druck kommt, glaube ich nicht, dass das Rad der Zeit hier komplett zur\u00fcckgedreht werden kann.<\/p>\n\n\n\n \u00dcber das Internet kann man beliebige Kommunikation tunneln, das Netz selber kann hier nicht regulierend eingreifen. Und welche Programme auf unseren Endger\u00e4ten laufen, k\u00f6nnen wir in weitem Rahmen selbst bestimmen. Software zur Kommunikation von staatlicher Seite zu verbieten, hat sich in westlichen Demokratien bis jetzt als undurchsetzbar herausgestellt.<\/p>\n\n\n\n Auch das Wissen um Kryptografie (Verschl\u00fcsselung) ist inzwischen so breit gestreut und die Algorithmen sind \u00fcberall \u00fcber einfache APIs ansprechbar, dass auch die Verf\u00fcgbarkeit von Kyptografie nicht mehr umkehrbar ist.<\/p>\n\n\n\n Kryptografie schw\u00e4chen hei\u00dft Sicherheit schw\u00e4chen<\/strong><\/p>\n\n\n\n Bei der Einf\u00fchrung von Transportverschl\u00fcsselung (SSL\/TLS) hat die US Regierung eine Zeit lange versucht, nur den Export von abgeschw\u00e4chten Versionen zu erlauben. Das hat sich als Bumerang erwiesen, wie die Forscher schreiben<\/a>, die die “DROWN” L\u00fccke gefunden haben:<\/p>\n\n\n\n For the third time in a year, a major Internet security vulnerability has resulted from the way cryptography<\/a> was weakened<\/a> by U.S. government policies that restricted exporting strong cryptography until the late 1990s. Although these restrictions, evidently designed to make it easier for NSA to decrypt the communication of people abroad, were relaxed nearly 20 years ago, the weakened cryptography remains in the protocol specifications and continues to be supported by many servers today, adding complexity &emdash; and the potential for catastrophic failure &emdash; to some of the Internet’s most important security features.<\/p>\n\n\n\n The U.S. government deliberately weakened three kinds of cryptographic primitives: RSA encryption, Diffie-Hellman key exchange, and symmetric ciphers. FREAK<\/a> exploited export-grade RSA, and Logjam<\/a> exploited export-grade Diffie-Hellman. Now, DROWN exploits export-grade symmetric ciphers, demonstrating that all three kinds of deliberately weakened crypto have come to put the security of the Internet at risk decades later.<\/p>\n\n\n\n Today, some policy makers are calling for new restrictions on the design of cryptography<\/a> in order to prevent law enforcement from “going dark.” While we believe that advocates of such backdoors are acting out of a good faith desire to protect their countries, history’s technical lesson is clear: weakening cryptography carries enormous risk to all of our security.<\/p>\n<\/blockquote>\n\n\n\n Die Suche nach “NOBUS<\/a>” (Nobody but us) Schwachstellen\/Hintert\u00fcren in Verschl\u00fcsselungsverfahren hat sich in weitem Bereich als Suche nach dem heiligen Gral herausgestellt. Das klingt gut, mag auch eine Zeit funktionieren, aber dann explodiert das mit hohem Schaden<\/a>. Ein plakatives Beispiel daf\u00fcr sind die “TSA” Schl\u00f6sser f\u00fcr Koffer, f\u00fcr die es bekannte Zweitschl\u00fcssel gibt. Es hat nicht lange gedauert, bis diese als 3D-Druckvorlagen<\/a> im Netz auftauchten.<\/p>\n\n\n\n Daher: wenn man sichere Verschl\u00fcsselung haben will, auf die man sich verlassen k\u00f6nnen muss, dann kann man im Design der Software und der Algorithmen nicht schon absichtlich Hintert\u00fcren einbauen.<\/p>\n\n\n\n Kryptografie ist kein Safe<\/strong><\/p>\n\n\n\n Manchmal wird die Verschl\u00fcsselung von Daten mit dem Versperren von Akten in Safes verglichen. Es gibt hier aber einen wichtigen Unterschied:<\/p>\n\n\n\n F\u00fcr die Sicherheit von Safes wird bewertet, wie lange ein Angreifer unter gewissen Randbedingungen (Werkzeug, L\u00e4rmentwicklung, …) braucht, um den Tresor aufzubrechen. Dass der Safe geknackt werden kann, steht au\u00dfer Zweifel, es geht immer nur um “wie lange mit welchen Mitteln”.<\/p>\n\n\n\n Bei Kryptografie ist es nur theoretisch gleich: mit genug Einsatz von roher Rechenleistung lassen sich die g\u00e4ngigen Verfahren knacken, nur ist bei aktuellen Algorithmen das “genug” schlicht au\u00dferhalb des derzeit technisch Machbaren. (OTPs<\/a> und Quantencomputer lasse ich hier au\u00dfen vor.)<\/p>\n\n\n\n In der klassische IT ist Security ist noch schwieriger zu erreichen als in der Kryptografie, aber auch ein gesperrtes iPhone l\u00e4sst sich nicht einfach nur mit roher Gewalt \u00f6ffnen.<\/p>\n\n\n\n Was hei\u00dft das f\u00fcr die Polizei und Gerichte?<\/p>\n\n\n\n Das Gewaltmonopol ist hier kein Joker, der immer sticht. Der Staat kann hier seinen Willen nicht immer hart durchsetzen. Ein \u00f6sterreichisches Bundesgesetz zieht gegen die Gesetze der Mathematik den K\u00fcrzeren.<\/em><\/p>\n\n\n\n F\u00e4higkeiten von Malware \/ Kontrolle der Verwendung<\/strong><\/p>\n\n\n\n Wenn wir vor Ort bei einer Vorfallsbehandlung helfen, kommt sehr oft die Frage, was denn die gefunden Schadsoftware alles h\u00e4tte machen k\u00f6nnen. Mit viel Gl\u00fcck kann man manchmal beantworten, was gemacht wurde, aber die Frage der M\u00f6glichkeiten endet meistens mit “Sie konnte auch Programme nachladen und ausf\u00fchren”. Aus der Sicht des Angreifers ist das auch sehr verst\u00e4ndlich: das h\u00e4lt den Code klein und den Handlungsspielraum gro\u00df. So k\u00f6nnen gezielt Werkzeuge und Funktionalit\u00e4ten nachgeladen werden.<\/p>\n\n\n\n Aus rein technischer Sicht besteht kaum ein Unterschied zwischen dem Vorgehen einer T\u00e4tergruppe, die spionieren will und der Polizei, die mittels einer eingebrachten Software eine (vielleicht bald) legitimierte Kommunikations\u00fcberwachung eines Verd\u00e4chtigen durchf\u00fchrt.<\/p>\n\n\n\n Auch hier muss das Tool fast zwangsl\u00e4ufig generisch sein, es muss es dem Polizisten erm\u00f6glichen, auf den vorgefundenen Messenger zu reagieren und entsprechende Module nachzuladen. Ich halte daher Aussagen der Form “Die Software kann exakt nur das, was rechtlich erlaubt ist” f\u00fcr technisch nicht haltbar.<\/em><\/p>\n\n\n\n Damit haben wir aber ein Audit-Problem. Wie stellen wir sicher, dass das wirklich alles gesetzeskonform abl\u00e4uft und nicht ein \u00fcbermotivierter Beamte alle seine technischen M\u00f6glichkeiten im Sinne seines Ermittlungsauftrages ausreizt? Hier braucht es dann deutlich mehr als nur einen Juristen als Rechtsschutzbeauftragte, es braucht eine entsprechende Protokollierung und technisch geschulte Kontrolleure.<\/p>\n\n\n\n Das sehe ich im aktuellen Entwurf nicht.<\/p>\n\n\n\n Mobiltelefone sind wie Wohnungen<\/strong><\/p>\n\n\n\n Mit gutem Grund legt der Gesetzgeber einen anderen Ma\u00dfstab bei der Durchsuchung einer Wohnung im Vergleich zu der eines Autos an. Die Verletzung der Privatsph\u00e4re der eigenen vier W\u00e4nde ist so signifikant, dass es eine wirklich starke Argumentation seitens des Staates geben muss, um das zu erlauben.<\/p>\n\n\n\n Es gibt global gesehen die ersten Richterspr\u00fcche<\/a> die festhalten, dass die Daten, die heute in Smartphones gespeichert sind, so intimer Natur sein k\u00f6nnen (Kommunikationsarchiv, Bilder, Videos, Adressb\u00fccher, Terminkalender, Social Media, …) dass f\u00fcr eine polizeiliche Durchsuchung die gleichen Ma\u00dfst\u00e4be anzulegen sind, wie f\u00fcr Wohnungen.<\/p>\n\n\n\n Der aktuelle Vorschlag nimmt das auf, indem er nur auf Kommunikations\u00fcberwachung, nicht aber auf Durchsuchung abzielt. Ich halte das f\u00fcr in der Praxis nicht so sch\u00f6n trennbar, wie sich das die Juristen vorstellen.<\/p>\n\n\n\n Implantieren der \u00dcberwachungssoftware<\/strong><\/p>\n\n\n\n Die Gretchenfrage ist aber, wie denn die Software der \u00dcberwacher auf den PC oder das Handy des zu \u00dcberwachenden kommt.<\/p>\n\n\n\n Das war fr\u00fcher mit Windows 95 & co noch relativ einfach: wenn man das Ger\u00e4t in die Hand bekommt, kann man leicht Software installieren. Ein aktuelles Windows braucht hingegen eigentlich immer ein Passwort und ist dar\u00fcber hinaus noch mit Secure Boot und BitLocker gegen Manipulationen gesch\u00fctzt. Bei Handys schaut es \u00e4hnlich aus, aktuelle Modelle lassen sich auch nicht so einfach mit nur einem USB-Kabel manipulieren. Dort kommt noch dazu, dass man schwerer unbeobachtet an das Ger\u00e4t kommt.<\/p>\n\n\n\n Und das ist gut so. Der Schutz von sensiblen pers\u00f6nlichen oder Firmendaten, die auf mobilen Computern (Laptops, Smartphones, …) gespeichert sind, ist bei jeder Risikobetrachtung (und sei es nach ISO 27k) ein wichtiges Thema. Ein verlorenes Handy oder ein gestohlener Laptop darf f\u00fcr Firmen nicht den Verlust der darauf gespeicherten Daten bedeuten. Diese Absicherung wird den Firmen vom Staat \u00fcber mehrere Gesetze auch unter Androhung von Strafen vorgeschrieben, das reicht vom DSG bis hin zum kommenden NIS-Gesetz.<\/p>\n\n\n\n \u00c4hnliches gilt auch f\u00fcr die Einbringung von \u00dcberwachungssoftware aus der Ferne. Das ist – aus rein technischer Sicht – einfach nur ein weiterer Advanced Persistent Threat (APT). Ob eine kriminelle Bande eine Bank infiltrieren will, um Geld zu bekommen, ob ein fremder Staat in Firmen eindringt um Wirtschaftsspionage durchzuf\u00fchren, oder ob irgendein Geheimdienst die IT Systeme eines Ministeriums knacken will, um politische Spionage zu betreiben, alles das passiert mit genau denselben Methoden, die auch unsere Polizei anwenden m\u00fcsste, um in System der vermuteten Kriminellen die Software f\u00fcr die \u00dcberwachung einzubringen.<\/em><\/p>\n\n\n\n Hier liegt die Krux der Sache: im Normalfall will der Staat, dass sich B\u00fcrger und Firmen erfolgreich gegen solche Angriffe absichern, aber wenn der Angriff von der Polizei kommt, soll er a) erlaubt sein und b) funktionieren. Ja, ersteres kann man mit einem Beschluss im Parlament durchsetzen, zweiteres nicht. Da sind wir wieder beim gleichen Thema wie oben bei der Kryptografie:<\/p>\n\n\n\n Sicherheitssysteme bewusst so zu schw\u00e4chen, dass nur “die Guten” die L\u00fccken nutzen k\u00f6nnen, funktioniert nicht.<\/em><\/p>\n\n\n\n Schizophrenie bez\u00fcglich Sicherheit vs. \u00dcberwachungsm\u00f6glichkeiten<\/strong><\/p>\n\n\n\n Wir haben also sowohl bei der Kryptografie als auch bei der Sicherheit von IT Systemen zwei sich widersprechende Ziele:<\/p>\n\n\n\n Beide Ziele voll zu erf\u00fcllen geht schlicht nicht.<\/p>\n\n\n\n Jeder Staat muss f\u00fcr sich entscheiden, welches Ziel Priorit\u00e4t hat.<\/p>\n\n\n\n Davon unbenommen kann der Staat aber auch noch entscheiden, in welchem Rahmen die Polizei Fehler von Verd\u00e4chtigen in deren Verwendung von IT Systemen (und deren Schw\u00e4chen) ausnutzen darf.<\/p>\n\n\n\n Ob \u00d6sterreich jetzt auch bei den \u00fcblichen Verd\u00e4chtigen die \u00dcberwachungssoftware einkauft (dass diese im BM.I entwickelt wird, halte ich nicht f\u00fcr realistisch), wird den Markt von 0-days<\/a> und diesen L\u00f6sungen nicht messbar beeinflussen. Wie seri\u00f6s solche Firmen agieren, konnte man sch\u00f6n an dem HackingTeam Datenleak<\/a> erkennen. Und nat\u00fcrlich wird auch hier den potentiellen Kunden manchmal mehr versprochen, als man halten kann.<\/p>\n\n\n\n Wenn aber die Grundsatzentscheidung zu den Priorit\u00e4ten auf staatlicher Seite nicht klar getroffen wird, dann bringt man die Verwaltung und die Exekutive in eine Zwickm\u00fchle: sollen sie auf IT-Sicherheit oder auf \u00dcberwachungsm\u00f6glichkeiten hinarbeiten?<\/p>\n\n\n\n\n
\n
\n
\n