Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Active-X-Benutzern droht bei Ciba Geigy die Kündigung


14.03.1997 - 

Microsofts Authenticode gaukelt Usern Sicherheit vor

Die erneute Debatte über die Sicherheitsrisiken des Internet entzündete sich an dem Bericht des Fernsehmagazins "Plusminus": Dort hatten Hacker gezeigt, wie sie mit Hilfe der Home-Banking-Software "Quicken" von Intuit eine Überweisung von einem fremden Rechner aus tätigen konnten. Eine Neuigkeit, die sich wie ein Lauffeuer über das globale Netz verbreitete und in Meldungen wie "Hack für Quicken" gipfelte.

Allerdings war keine Sicherheitslücke in der Finanzsoftware Quicken die Ursache des Übels, sondern ein unbemerkt auf den Rechner des Anwenders geladenes Active X Control. Dieses simuliert, wie der Entwickler des Controls, Lutz Donnerhacke, Mitglied des Hamburger Chaos Computer Clubs (CCC), erklärt, eine Tastatureingabe, mit der Quicken aufgerufen, eine nicht paßwortgeschütze Quicken-Datei geladen und eine Überweisung ausgefüllt sowie gespeichert wurde.

Die so eingeschmuggelte Überweisung, die sowohl im Quicken-Register als auch in der Überweisungsliste sichtbar ist, wird erst beim nächsten Aufruf des Programms an die Bank übertragen, da nach wie vor die PIN und TANs (Persönliche Identifikations- und Transaktionsnummern) zum Zugang auf das Konto erforderlich sind. Ein Fehler, den ein aufmerksamer Anwender bemerken sollte, denn in die Summe der zu überweisenden Beträge wie auch in die Gesamtzahl der zu tätigenden Überweisungen fließt die eingeschmuggelte Geldanweisung mit ein.

Aufgrund der vereinfachenden Darstellungen im Internet fühlte sich Intuit genötigt, in die Offensive zu gehen. So könne sich der Anwender schützen, indem er seine Quicken-Daten grundsätzlich mit einem Paßwort geschützt verschlüsselt abspeichert. Zudem empfiehlt der Hersteller, die von der Bank erhaltene Liste der Transaktionsnummern, auch wenn es mehr Arbeit bedeutet, nicht auf der Festplatte zu speichern, sondern bei jedem Vorgang einzeln einzugeben.

Des weiteren weist das in die Defensive gedrängte Unternehmen darauf hin, daß die geschilderte Gefahr ein grundsätzliches Internet-Problem ist. Eine Sicht, die Ralph Machholz, Product Marketing Manager der Internet und Developer Customer Unit bei Microsoft, bestätigt. Letztlich könne ein Active X Control wie jedes andere Programm, das im nativen Code auf einer Plattform wie Windows 95 laufe, Schaden anrichten: "Es gibt immer destruktive Codes und bösartige Chaoten, die solche Fallstricke fabrizieren."

Aus dem Schneider sind diesbezüglich Benutzer von Windows NT oder Unix. Sie können ihren Browser unter einer eigenen ID laufen lassen, so daß er keine Zugriffe auf die Festplatte hat.

Damit ist etwaigen zerstörerischen Active X Controls der Zugang verbaut. Das entsprechende Tool heißt sowohl unter Unix wie auch unter NT "Switch User" (SU) und ist im Falle von Windows NT im Resource Kit enthalten. Mit diesem Werkzeug läßt sich dann der entsprechenden Applikation ein anderer Account als der Workstation zuordnen, dem man möglichst wenig Rechte einräumt. Eine Vorgehensweise, die sich laut Machholz auch für unbekannte Shareware empfiehlt, da anhand der Sicherheits-Log-Dateien überprüft werden kann, auf welche Daten eine unbekannte, möglicherweise fragwürdige Applikation zugreifen will.

Authenticode bescheinigt Herkunft

Das ist eine Schutzmöglichkeit, auf die Windows-95-Anwender verzichten müssen. Um sie nicht ganz im Regen stehen zu lassen, hat Microsoft das "Authenticode"-Verfahren eingeführt. Dieses soll sicherstellen, daß der Anwender zumindest die Herkunft der Active X Controls kennt. Beim ersten Aufruf eines Controls, das im Gegensatz zum Java-Applet dauerhaft auf der Festplatte gespeichert würde, erscheint in Microsofts Internet Explorer ein Hinweis auf das zu ladende Control mit der Frage, ob der User es wirklich installieren will. Gleichzeitig wird ein Zertifikat mit einem Hinweis auf den Hersteller des Controls angezeigt (siehe Grafik). Dies geschieht allerdings nur, wenn der Browser auf der standardmäßig eingestellten höchsten Sicherheitsstufe belassen wird. Nicht zertifizierte Controls führt der Explorer dann nicht aus.

Allerdings kann der Browser auch auf zwei niedrigere Stufen eingestellt werden, wobei in der untersten Stufe alle Controls ohne Rückfrage zur Ausführung kommen. Besonders perfide Zeitgenossen träumen bereits von einem Doppelangriff in Form eines trojanischen Pferdes: Ein erstes zertifiziertes Control setzt den Sicherheitslevel des Browsers herunter, damit ein zweites, wirklich destruktives Control ungehindert starten kann.

Deshalb empfiehlt Manager Machholz, regelmäßig die Einstellungen des Explorers zu überprüfen. Im genannten Intuit-Beispiel hatte der Chaos Computer Club die niedrigste Sicherheitsstufe verwendet, um das eigene Active X Control unbemerkt auf dem Zielrechner zu installieren.

Die Zertifikate selbst, dies betont mittlerweile auch Microsoft, gewährleisten allerdings nicht, daß die entsprechende Software keinen Schaden auf dem Rechner anrichten kann. Sie bestätigen lediglich, daß der Entwickler des entsprechenden Controls gegenüber der Zertifizierungsinstitu- tion, gegenwärtig ist dies Versign in den USA, seine Identität nachgewiesen hat. Firmen müssen hierzu eine beglaubigte Kopie des Handelsregistereintrags einschicken, während Privatpersonen für die Registrierung eine Meldebescheinigung vorzulegen haben.

Aufgrund dieses Verfahrens sei der Windows-95-User vor heimtückischen Controls geschützt, meint Microsoft-Manager Machholz, "denn ein Täter hinterläßt mit dem Zertifikat quasi einen digitalen Fingerabdruck, so daß der Anwender im Falle einer Überweisungsmanipulation rechtliche Schritte einleiten kann". Eine Sichtweise, der der CCC allerdings heftigst widerspricht. Nach seiner Meinung hat der Anwender lediglich die Gewähr, "möglicherweise amtlich bestätigte Computerviren auf seinen Rechner zu laden". Zumal der Anwender im Unglücksfall, wie bei dem Control, das die Festplatte formatiert, nicht einmal mehr die Herkunft des Controls anhand des Zertifikats beweisen könnte.

Microsoft gelobt Besserung

Letztlich sieht man auch bei Microsoft diese Schwierigkeiten. Nach der herben Kritik an den Sicherheit vortäuschenden Zertifizierungsformulierungen gelobt das Unternehmen, mehr Aufklärung zu betreiben. "Ich habe einen Flyer über den "Internet-Explorer" für die CeBIT gestoppt", läßt Microsoft-Manager Machholz dem Versprechen Taten folgen. In der überarbeiteten Version will das Softwarehaus die Anwender eindeutig darauf hinweisen, daß die Zertifizierung lediglich als Identitätsbescheinigung diene. "Wenn wir durch den Hack des CCC hier eine erhöhte Sensibilisierung für die Sicherheit im Internet erreicht haben, dann ziehen wir alle aus dem Schaden noch einen Nutzen", übt sich Machholz in Zweckoptimismus.

Einen Nutzen aus dem Active-X-Debakel hat möglicherweise bereits der CCC gezogen. CCC-Mitglied Donnerhacke arbeitet nämlich im Rahmen des Individual Network an der "Individual Network Certification Authority" mit, die mit einem eigenen Verfahren den Anwendern mehr Sicherheit im Netz gewährleisten will. Weitere Informationen hierzu sind im Internet unter der Adresse "http://WWW.IN-CA.Individual.Net" zu finden.

Trotz des ungewollten Rummels um die Active-X-Technologie hält die Gates-Company weiter an diesem Verfahren fest, denn es sei derzeit die einzige Methode, beim Distributed Computing produktive Applikationen für das Internet zu erstellen. Mit einem Seitenhieb auf Sun heißt es in Unterschleißheim, "ein Java-Applet kann nichts, folglich auch nichts Böses".

Eine Aussage, die auf den ersten Blick bisher durchaus richtig war. Bei dem der "Java Virtual Machine" zugrundeliegenden Sandbox-Verfahren läuft ein Applet gewissermaßen in einer geschlossen Kiste und hat damit keinerlei Zugriffe auf den Rechner des Benutzers. Allerdings hatte diese Sicherheit ihren Preis: Applet-Benutzer konnten weder drucken noch Daten auf ihrer Festplatte speichern.

Java setzt auf Sandbox-Verfahren

Um dennoch produktiv zu arbeiten, muß also die Sandbox geöffnet werden. "Womit Java genauso problematisch ist wie Active X", meint denn auch CCC-Pressesprecher Andy Müller-Maghun. Allerdings gebe es einen fundamentalen Unterschied: Bei Active X sei die Plattform von vornherein offen, während bei Java das System geschlossen sei. Später wird dieses dann beispielsweise mit dem Java SDK 1.1 explizit pro Applet für eine Aufgabe geöffnet. Zusätzlich lassen sich dabei jedem Applet, sofern es mit dem SDK 1.1 programmiert ist, gezielt Rechte zuweisen. Darüber hinaus arbeitet Sun auch an einer Zertifizierung ähnlich dem Authenticode-Verfahren ein, die die Herkunft eines Applets belegen soll. "Letztlich", so Andy Müller-Maghun, "habe ich zu dieser Vorgehensweise dann doch mehr Vertrauen."

Zu einer anderen Einschätzung kommt der Branchendienst Unigram X. Er beurteilt das Konzept des JDK 1.1 als "Alles oder Nichts"-Ansatz, bei dem ein Applet durchaus vollen Zugriff auf den Rechner hätte. Des weiteren fordern die Autoren des Newsletter Sun auf, in Sachen Intranet-Verwaltung nachzubessern, denn bis dato könne ein Administrator mit Java kein Sicherheitskonzept verwirklichen.

Ungeachtet aller Diskussionen um die Bedeutung von Zertifikaten hat der Chemieriese Ciba Geigy sein Urteil über die Active X Controls bereits gefällt: Anwendern, die entsprechende Controls laden, droht die fristlose Kündigung. Fragt sich nur, ob der einfache PC-Surfer sich seines Unrechts bewußt ist, wenn er bei der als so simpel beschriebenen Web-Technologie auf die falsche Maustaste klickt und damit seine Kündigung unterschreibt.