Windows ist nicht sicher: Microsofts Hintertür zur SSL-Verschlüsselung
Microsoft hat laut Ermittlungen des Heise-Verlags eine Hintertür in Windows, die unter anderem das Abhören von SSL-Verbindungen erlaubt. Im Rahmen des Prism- und Tempora-Skandals bekommt diese Sicherheitslücke eine ganz neue Bedeutung.
Die Haustüre abzuschließen, um Verbrechern den Zugang zu erschweren, bringt herzlich wenig, wenn die Terrassentür offen steht. Diese schlaue Erkenntnis dürfen sich nun Nutzer von Windows zu Gemüte führen, denn der Redmonder Software-Konzern hat in seinen Betriebssystemen ein kleines Schlupfloch gelassen, mit dem sich sogar SSL-verschlüsselte Webverbindungen belauschen lassen. Die Hintertür erlaubt es nämlich, dass unbemerkt neue Stammzertifikate installiert werden können - so der Bericht der Zeitschrift c't.
Wie herausgefunden wurde, kann Microsoft via Automatic Root Certificates Update unbemerkt Stammzertifikate einschleusen, ohne das der Nutzer darauf Einfluss hätte. Betroffen sind alle halbwegs aktuellen Windowsversionen. In der Regel funktioniert das Thema Stammzertifikate gut, da sie nicht von jedem ausgestellt werden dürfen. Im Fall Microsoft ist der Betriebssystemanbieter aber auch gleichzeitig ein Anbieter für solche Zertifizierungen. Microsoft selbst könnte man jetzt noch relativ wenig Interesse am Belauschen der SSL-Verbindungen von Windows-Nutzern nachsagen, aber im Rahmen des Prism-Skandals wird die Entdeckung wieder interessant. Über die Automatic Root Certificates Update könnte Microsoft nämlich dafür sorgen, dass Sicherheitsbehörden Zugang zu Rechnern bekommen. Der Aufwand sei überschaubar und der Nutzer bekommt nichts mit. Zwar verspricht Microsoft, dass alle Zertifikatsanträge einen Bewerbungsprozess durchlaufen, in dem sie genau auf Herz und Nieren geprüft werden, aber bei Anfragen seitens US-Behörden dürfte eine Zusammenarbeit wohl nicht abgelehnt werden. Schließlich hat man sich bekanntermaßen zur Kooperation mit Agenturen wie der NSA vertraglich verpflichtet.
SSL-Verbindungen galten bisher als relativ sichere Autobahn durchs das Web. Sie werden bei Shops, Onlinebanking und E-Mail-Anbietern verwendet. Dass Behörden wie die NSA gerne Generalschlüssel hätten, ist spätestens seit vergangener Woche bekannt. Angesichts des Schlupflochs in Microsofts Betriebssystem braucht es die aber nicht zwingend. Per "Man in the middle"-Attacke kann man die Verbindungen abhören und noch mehr: "S/MIME-verschlüsselte Mails kompromittieren oder Trojaner so signieren, dass sie als legitime Treiber-Software durchgehen", berichtet c't.
Wer sich mit Windows gut auskennt, kann die Automatic Root Certificates Updates per Gruppenrichtline abstellen. Das kann aber zu Problemen führen, weil das Surfen unter Umständen behindert wird. So melden Browser unter Windows 8 häufiger, dass das Webseitenzertifikat nicht in Ordnung ist. Microsoft wollte keine Stellung zur Entdeckung beziehen. Mein verweist allenfalls auf die bereits im Fall Snowndon gemachte Aussage, dass die Redmonder nur im Rahmen der rechtlichen Möglichkeiten Kundendaten herausgeben. Die sind in den USA aber sehr weit gefasst.
Gute Nachrichten gibt es für Nutzer des Firefox: Durch die Verwendung eigener Krypto-Dienste (im Gegensatz zu IE, Chrome und Safari) sind Nutzer dieses Browsers gesichert gegen die Hintertür.
Quelle: Heise
Und was Open-Source mit den von Mozilla evaluierten und gepflegten Zertifikatlisten zutun hat, musst du mir nochmal erklären.
Dann hast du eben keinen gesehen, ändert nichts daran, dass es genügend bewiesen ist.
Dass Mozilla so ziemlich alle Einnahmen von Google bezieht, ist Fakt. Dass es defacto eine Google-Tochter ist, hast du mir jetzt angedichtet.
Und nein, FF muss man nicht updaten, um aktualisierte Listen zu bekommen. FF updated im Hintergrund einfach ungefragt selbst. Man bekommt erst mit, dass man bereits eine neue Version hat, wenn man FF das nächste Mal startet. Selbst, wenn man den Hintergrunddienst zum automatischen Update bei der Installation deaktiviert, bleibt Autoupdate aktiviert.
Und was Open-Source mit den von Mozilla evaluierten und gepflegten Zertifikatlisten zutun hat, musst du mir nochmal erklären.
Am Ende kann gesagt werden: bei Windows und allen Programmen, die die Funktion nutzen, muss es über die Registry deaktiviert werden, bei Firefox in den Einstellungen. Dass beides potentielle Hintertüren sind, ist aber nach wie vor wahr.
Aber die Behauptung, dass die Mozilla Foundation von Google finanziert wird und es damit defacto eine Google-Tochter ist, ist nun wirklich lächerlich. Hätte man soviel Einfluss, so hätte man sich das Geld für Chrome sparen können. Dass die meisten Gelder von Google kommen stimmt natürlich, aber dafür ist Google auch immer die Standard-Suchmaschine.
Und wir wissen ja auch alle, dass Mozilla massiv von Google finanziert wird. Wer also den Ton angibt, kann man sich ja denken. Schlussendlich steht auch Mozilla nicht über dem Gesetz und wird im Falle eines Falles genauso wie MS handeln müssen, wenn die NSA anklopft.
MfG
Da steht es doch, wenn ein Unternehmen auf Non-Profit aus ist und das auch macht, dann sind sie nicht Geldgierig das leuchtet doch ein oder nicht?