Leserbriefe an die c’t

Die Leserbriefe in der c’t sind meistens wenig interessant, diesmal finden sich aber gleich vier recht interessante Einsendungen.

Zwei davon regen sich angeregt darüber auf, dass in Ausgabe 23/05 die “Microsoft Sicherheits-CD 2” beigelegt war, die Redakteuere diese aber noch im gleichen Heft als Augenwischerei entlarvt haben und deswegen als zweite CD eine neue Version von Knoppicillin samt weiteren Tools beilag – unter anderem das Projekt Bart-PE samt Anleitung, wie man sich selbst eine weitaus besser funktionierende Rettungs-CD baut. Sogar Virenscanner von Sophos und Kaspersky lagen bei, inklusive kostenloser Updates. Das Editorial formuliert die Entscheidung ungefähr so: “Microsoft will, dass ihr diese CD für toll haltet, sie liegt einigen anderen Zeitschriften ebenfalls bei (dort aber ohne jedes Wort über die schlechte Qualität), und damit ihr vergleichen könnt, was machbar ist, wenn man nur will, legen wir das Original und unsere eigene Lösung bei”.

Die Redaktion geht hier wohl “fälschlicherweise” davon aus, dass der Leser mündig sein möchte. Zumindest sehen das Igor L. Pezzin aus der Schweiz und Egmont Perthel aus Wien scheinbar so. Herr Pezzin unterstellt der Redaktion, ein Produkt zu verbreiten, hinter welchem man selbst nicht stehe, aber wohl so sehr auf Zuwendungen von Microsoft angewiesen zu sein, dass man sich finanziell hat “nötigen” lassen. Daraus ergäbe sich für ihn der Verdacht, dass große Teile des Heftinhaltes von den Geldgebern vorgegeben seien, und er kaufe nun kein Heft mehr.

Andere Zeitschriften haben die CD samt Werbebotschaft unverändert weitergegeben, und wenn die finanzielle Zuwendung von Microsoft überhaupt größer war als die durch die beigelegte CD verursachten Kosten (ist ja nicht bekannt), so hat heise damit clevererweise ein neues Knoppicillin samt kostenloser Virenscanner-Updates finanziert. Herr Perthel aus Österreich hat immerhin ein Argument parat, welchem ich folgen kann: Ökologisch sinnvoll waren die zusätzlichen CDs nicht.

Dirk Rogalla aus “Wohnort unbekannt” zieht die Redakteure für die Beschreibung, Nennung und Verbreitung des Security-Tools “Cain&Abel” zur Verantwortung. Wer es nicht kennt:

“Cain & Abel is a password recovery tool for Microsoft Operating Systems. It allows easy recovery of various kind of passwords by sniffing the network, cracking encrypted passwords using Dictionary, Brute-Force and Cryptanalysis attacks, recording VoIP conversations, decoding scrambled passwords, revealing password boxes, uncovering cached passwords and analyzing routing protocols.”

Seiner Ansicht nach entsteht aus der Verbreitung von einfach bedienbaren, aber hoch effektiven “Security-Mini-Nukes” kein sinnvoller Nutzen, sondern:

(..) die “Schlichteren und ‘Verspielteren’ unter den c’t Käufern werden ab Montag auf der Arbeit und im privaten Umfeld so ziemlich alles und jeden angreifen”.

Hier wurde wohl ein zentraler Punkt nicht verstanden:

“The program does not exploit any software vulnerabilities or bugs that could not be fixed with little effort. It covers some security aspects/weakness present in protocol’s standards, authentication methods and caching mechanisms; its main purpose is the simplified recovery of passwords and credentials from various sources, however it also ships some ‘non standard’ utilities for Microsoft Windows users.”

Security-by-Obscurity, welche hier propagiert wird, ist das Problem und nicht die Lösung. Unsere Welt wird nicht sicherer, wenn wir dem Laien allen den Zugang zu “Insider”-Wissen verwehren und hoffen, dass die Wenigen unter uns, welche das notwendige Wissen haben, schon nichts allzu Schlimmes damit machen werden. Sie dürfen nicht ohne Führerschein auf die Straße, aber sie dürfen sich ungestraft einen WLAN-Router für Null Euro bei AOL holen, WPA nicht aktivieren, das Passwort für den E-Mail-Zugang auf “geheim” setzen, auf dem Windows-PC als Administrator arbeiten und sich wundern, wenn jemand unter ihrer Kennung bei eBay Ware kauft. Wenn ein kleiner Angriff im Büro oder im Bekanntenkreis den einen oder anderen wachrüttelt, ist wahrscheinlich mehr geschafft als durch alle Verbieterei.

Im Zusammenhang mit der Entschlüsselung der Punktmarkierungen auf Farblaser-Ausdrucken tätigt Holger Zenz folgende Aussage:

“Ich halte nicht den Geheimcode selbst, sondern ihre Berichterstattung und die Datenschützer für fragwürdig. Sie haben somit einen ‘Sicherheitsmechanismus’ aufgedeckt, der nur den Kriminellen nützt. Man muss schon sein sehr paranoider Verschwörungstheoretiker sein, wenn man etwas harmloses wie eine Seriennummer als bedenklich einstuft. Wer außer Xerox oder und der Kripo kann denn etwas damit anfangen?”

Vielleicht ist man kein paranoider Verschwörungstheoretiker, sondern möchte einfach gern wissen, warum Xerox und die Kripo Daten in Ausdrucken verstecken und keinem etwas davon erzählen. Unsere Geldscheine sind auch gegen Fälschung gesichert, aber die Sicherheitsmerkmale kennt jedes Kind. Stellen Sie sich einmal vor, Sie kaufen einen Xerox-Drucker, registrieren das Gerät mit Seriennummer (zwecks Garantie), fünf Jahre später kommt ein Diktator an die Macht und Sie drucken auf ihrem Drucker Flugblätter mit unangenehmen Wahrheiten. Dann können Sie möglicherweise kurz darauf am eigenen Leib erfahren, wer außer Xerox und der Kripo etwas mit der Seriennummer anfangen kann. Dass “Mit dieser Technik bereits kriminelle Machenschaften aufgedeckt” wurden mag sein, man muss aber nicht gleich ein ganzes Volk überwachen und kriminialisieren, oder?