Das Problem mit der Online-Registrierung
Schöne neue Software-Welt
Copyright (C) 04/1998 by Howard Fuhs
Alles wird bunter, alles wird einfacher. So auch die Registrierung von Software. Früher hat man mühsam einen Stift suchen müssen um damit anschließend die Registrierkarte auszufüllen, die dann wiederum mit einer Briefmarke versehen per Post an den Hersteller ging. Heute füllt man einfach nur ein Registrierformular am Computer aus, während die neue Software installiert wird und versendet dann die Registrierinformationen online über das Internet zum Hersteller. Alles ganz einfach, unkompliziert und schnell. Doch dann kam der böse Hacker und stahl mit eben dieser Funktion die T-Online Passwörter von einigen hundert T-Online-Nutzern. Mit einem Schlag war er berühmt.
Was war passiert?
Ein Schüler hat festgestellt, in welcher Datei bei der T-Online Zugangssoftware das Passwort abgespeichert ist und wie es verschlüsselt wird. Erleichternd kommt hinzu, dass die Verschlüsselung durch ihre Einfachheit keinen ernstzunehmenden Schutz bietet. Als nächstes programmierte der Schüler eine Zusatzsoftware, die jeder T-Online Nutzer gebrauchen könnte und versah die Software mit einer Funktion zur "Online-Registrierung" über T-Online. Er wollte nicht einmal Geld für seine Software, eine "Online-Registrierung" reichte ihm. Der Vertrieb der Software geschah über Datennetze wie eben T-Online oder auch das Internet. Damit war sichergestellt, dass die Software ein breites Publikum finden würde. Was zu diesem Zeitpunkt weder ein Anwender noch ein Datensicherheitsspezialist wissen konnte, war die Tatsache, dass die Software ein "Trojanisches Pferd" war, die nicht nur die Registrierungsdaten sondern auch die T-Online-Datei mit dem verschlüsselt abgespeicherten Zugangspasswort des Nutzers als "Online-Registrierung" an den Schüler schickte. Dieser hätte nun mit dem Usernamen und dem entschlüsselten Passwort auf anderer Leute Kosten T-Online nutzen können. Doch er zog es vor die Sicherheitslücke bekanntzugeben.
Wer nun aber glaubt, bei anderen Online-Diensten sei sein Passwort sicherer, der irrt. Nehmen wir als schlechtes Beispiel AOL. Wird die E-Mail-Funktion "Kurierdienst" zum automatischen Abholen von E-Mail konfiguriert, legt die AOL-Zugangssoftware das Passwort unverschlüsselt zusammen mit dem AOL-Usernamen des Nutzers in einer Datei ab. Das glauben Sie nicht? Dann schauen Sie mal mit einem ASCII-Editor in die Datei MAIN.IDX. Nur wenige Byte hinter Ihrem AOL-Usernamen werden Sie auch Ihr Passwort finden. Und wer glaubt, ich würde damit ein kleines Geheimnis verraten, der täuscht sich auch hier. Im Internet pfeifen es die Spatzen schon seit Monaten von den Dächern. Solche Tatsachen vor Augen wenden wir uns nun den allgemeinen Gefahren solcher Online-Verfahren zu.
Online-Registrierung - Nein Danke!
Für die Medien war der T-Online Hack ein gefundenes Fressen, obwohl es ähnliche Vorfälle schon früher gegeben hat. Zu erwähnen sei hier z.B. die Online-Registration früher Windows 95 Versionen. Diese verfügte zwar nicht direkt über ein eingebautes "Trojanisches Pferd", wurde aber eine unscheinbare Frage während der Online-Registration vom Anwender mit Ja beantwortet, suchte ein Modul der Online-Registrierung nach installierten Konkurrenzprodukten und übermittelte eine Liste der gefundenen Produkte an Microsoft. Alles schön Online. Auch diese Funktion sorgte 1995 für einiges Aufsehen in den Medien. Man mag deshalb den Wirbel um den T-Online Hack nicht ganz verstehen, kann ihn aber mit einem schlechten Kurzzeitgedächtnis der computernutzenden Welt durchaus begründen.
Im Zeitalter von unsicheren ActiveX- und Java-unterstützenden Betriebssystemen stellt eine Online-Registrierung von Software ein unkallkulierbares und damit untragbares Sicherheitsrisiko für jeden Anwender dar. Niemand ist in der Lage mit Sicherheit zu sagen, welche Informationen/Daten von einer Registrierungsfunktion online an wen und wohin versandt werden. Auch Firewalls können dieses Problem zur Zeit nicht lösen. Man muss das Problem sogar noch ausweiten. Nicht nur das als Online-Registrierung getarnte "Trojanische Pferd" stellt eine Gefahr dar, sondern auch viele andere Online-Funktionen können missbraucht werden. Nehmen wir nur den ActiveX-Angriff des Chaos Computer Club auf Homebanking-Softwarepakete. Dabei wurde durch eine ActiveX-Programmierung auf einer Web-Seite den Homebanking-Softwarepaketen eine Geldüberweisung "untergeschoben", von welcher der Anwender unter günstigen Umständen nichts merkte.
Schaut man nun in die nähere Zukunft, wird man mit Erstaunen feststellen, dass man aus den bisherigen Vorfällen (die Anzahl der hier geschilderten Fälle erhebt keinerlei Anspruch auf Vollständigkeit!) nichts gelernt hat. Mit der Auslieferung von Windows 98 wird der ActiveX-Funktionsumfang im Betriebssystem selbst dermaßen gesteigert, dass praktisch mittels ActiveX unter Windows 98 fast alles uneingeschränkt und vom Anwender nicht kontrollierbar gemacht werden kann. Anstatt Windows 98 sicherer zu machen, werden die alten bekannten Sicherheitslücken von Windows 95/Internet Explorer noch ausgeweitet und direkt in das Betriebssystem implementiert.
Fazit
Meiden Sie jegliche noch so gut gemeinten Online-Transaktionen von Programmen. Egal von welchem Hersteller. Egal woher Sie das Programm bekommen haben. Deshalb in Zukunft neue Software besser wieder mit einer altmodischen Postkarte beim Hersteller registrieren.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 04/1998 by Howard Fuhs