Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Das Problem mit der Online-Registrierung

Schöne neue Software-Welt

Copyright (C) 04/1998 by Howard Fuhs


Alles wird bunter, alles wird einfacher. So auch die Registrierung von Software. Früher hat man mühsam einen Stift suchen müssen um damit anschließend die Registrierkarte auszufüllen, die dann wiederum mit einer Briefmarke versehen per Post an den Hersteller ging. Heute füllt man einfach nur ein Registrierformular am Computer aus, während die neue Software installiert wird und versendet dann die Registrierinformationen online über das Internet zum Hersteller. Alles ganz einfach, unkompliziert und schnell. Doch dann kam der böse Hacker und stahl mit eben dieser Funktion die T-Online Passwörter von einigen hundert T-Online-Nutzern. Mit einem Schlag war er berühmt.

Was war passiert?
Ein Schüler hat festgestellt, in welcher Datei bei der T-Online Zugangssoftware das Passwort abgespeichert ist und wie es verschlüsselt wird. Erleichternd kommt hinzu, dass die Verschlüsselung durch ihre Einfachheit keinen ernstzunehmenden Schutz bietet. Als nächstes programmierte der Schüler eine Zusatzsoftware, die jeder T-Online Nutzer gebrauchen könnte und versah die Software mit einer Funktion zur "Online-Registrierung" über T-Online. Er wollte nicht einmal Geld für seine Software, eine "Online-Registrierung" reichte ihm. Der Vertrieb der Software geschah über Datennetze wie eben T-Online oder auch das Internet. Damit war sichergestellt, dass die Software ein breites Publikum finden würde. Was zu diesem Zeitpunkt weder ein Anwender noch ein Datensicherheitsspezialist wissen konnte, war die Tatsache, dass die Software ein "Trojanisches Pferd" war, die nicht nur die Registrierungsdaten sondern auch die T-Online-Datei mit dem verschlüsselt abgespeicherten Zugangspasswort des Nutzers als "Online-Registrierung" an den Schüler schickte. Dieser hätte nun mit dem Usernamen und dem entschlüsselten Passwort auf anderer Leute Kosten T-Online nutzen können. Doch er zog es vor die Sicherheitslücke bekanntzugeben.

Wer nun aber glaubt, bei anderen Online-Diensten sei sein Passwort sicherer, der irrt. Nehmen wir als schlechtes Beispiel AOL. Wird die E-Mail-Funktion "Kurierdienst" zum automatischen Abholen von E-Mail konfiguriert, legt die AOL-Zugangssoftware das Passwort unverschlüsselt zusammen mit dem AOL-Usernamen des Nutzers in einer Datei ab. Das glauben Sie nicht? Dann schauen Sie mal mit einem ASCII-Editor in die Datei MAIN.IDX. Nur wenige Byte hinter Ihrem AOL-Usernamen werden Sie auch Ihr Passwort finden. Und wer glaubt, ich würde damit ein kleines Geheimnis verraten, der täuscht sich auch hier. Im Internet pfeifen es die Spatzen schon seit Monaten von den Dächern. Solche Tatsachen vor Augen wenden wir uns nun den allgemeinen Gefahren solcher Online-Verfahren zu.

Online-Registrierung - Nein Danke!
Für die Medien war der T-Online Hack ein gefundenes Fressen, obwohl es ähnliche Vorfälle schon früher gegeben hat. Zu erwähnen sei hier z.B. die Online-Registration früher Windows 95 Versionen. Diese verfügte zwar nicht direkt über ein eingebautes "Trojanisches Pferd", wurde aber eine unscheinbare Frage während der Online-Registration vom Anwender mit Ja beantwortet, suchte ein Modul der Online-Registrierung nach installierten Konkurrenzprodukten und übermittelte eine Liste der gefundenen Produkte an Microsoft. Alles schön Online. Auch diese Funktion sorgte 1995 für einiges Aufsehen in den Medien. Man mag deshalb den Wirbel um den T-Online Hack nicht ganz verstehen, kann ihn aber mit einem schlechten Kurzzeitgedächtnis der computernutzenden Welt durchaus begründen.

Im Zeitalter von unsicheren ActiveX- und Java-unterstützenden Betriebssystemen stellt eine Online-Registrierung von Software ein unkallkulierbares und damit untragbares Sicherheitsrisiko für jeden Anwender dar. Niemand ist in der Lage mit Sicherheit zu sagen, welche Informationen/Daten von einer Registrierungsfunktion online an wen und wohin versandt werden. Auch Firewalls können dieses Problem zur Zeit nicht lösen. Man muss das Problem sogar noch ausweiten. Nicht nur das als Online-Registrierung getarnte "Trojanische Pferd" stellt eine Gefahr dar, sondern auch viele andere Online-Funktionen können missbraucht werden. Nehmen wir nur den ActiveX-Angriff des Chaos Computer Club auf Homebanking-Softwarepakete. Dabei wurde durch eine ActiveX-Programmierung auf einer Web-Seite den Homebanking-Softwarepaketen eine Geldüberweisung "untergeschoben", von welcher der Anwender unter günstigen Umständen nichts merkte.

Schaut man nun in die nähere Zukunft, wird man mit Erstaunen feststellen, dass man aus den bisherigen Vorfällen (die Anzahl der hier geschilderten Fälle erhebt keinerlei Anspruch auf Vollständigkeit!) nichts gelernt hat. Mit der Auslieferung von Windows 98 wird der ActiveX-Funktionsumfang im Betriebssystem selbst dermaßen gesteigert, dass praktisch mittels ActiveX unter Windows 98 fast alles uneingeschränkt und vom Anwender nicht kontrollierbar gemacht werden kann. Anstatt Windows 98 sicherer zu machen, werden die alten bekannten Sicherheitslücken von Windows 95/Internet Explorer noch ausgeweitet und direkt in das Betriebssystem implementiert.

Fazit
Meiden Sie jegliche noch so gut gemeinten Online-Transaktionen von Programmen. Egal von welchem Hersteller. Egal woher Sie das Programm bekommen haben. Deshalb in Zukunft neue Software besser wieder mit einer altmodischen Postkarte beim Hersteller registrieren.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 04/1998 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher