home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chaos Computer Club 1997 February
/
cccd_beta_feb_97.iso
/
chaos
/
ds47
/
ds47_05.txt
< prev
next >
Wrap
Text File
|
1997-02-28
|
7KB
|
223 lines
C EBIT ~94:
SEITE4 Die Geschichte mit der
"YeIlow-Point" CD-ROM-
kurze Übersicht über die Ereignisse
Bereits seit der DAFTA (Datenschutz-
fachtagung) im November 1993 waren
die grundlegenden Informationen über
die Unsicherheit des z.B. von der
Yellow-Point verwendeten Software-
Verschl üsselungs- Verfahrens bekannt
(siehe Diagramm). Zur CeBit begab es
sich dann, daß die CD-ROM zunächst
zusammen mit der Zeitschrift "PC-Di-
rekt" herauskam, um dann schliesslich
auf der CeBit verschenkt zu werden
Die prinzipielle Unsicherheit des Sy-
stems in Verbindung mit den zusätz-
lich hier vorhandenen Programmier-
Bugs (Fehlern) ermöglichte es, die auf
der CD-ROM verschlüsselte Software
in weniger Zeit zu entschlüsseln, als
für den Transport zu unseren Mitglie-
dern nach Bulgarien notwendig war.
Am Samstag morgen wurde zu-
nächst versucht, einen Verantwortli-
chen bei Yellow-Point zu erreichen.
Dies scheiterte schon im Ansatz: am
Telefon konnte oder wollte man noch
nicht einmal den Namen des Geschäfts-
führers oder eines Verantwortlichen
nennen. Die CD-ROMs wurden immer
noch verschenkt, so dass sich einige
anwesende Chaoten entschlossen, eine
Meldung auf die Netze und an eine
Nachrichtenagentur zu schicken. Sams-
tag nachmittag ging die Geschichte
dann als dpa-Meldung über die Ticker
und es entstanden Radio- und Zei-
tungsbeiträge. Ein bereits vorher- ent-
standener Fernsehbeitr ag w urde von
der ARD ~ obwohl gekauft - nicht ge-
sendet; man befürchtete rechtliche
Konsequenzen, das sei ja "mehr oder
weniger ein Aufruf zum Rauhkopie-
ren',
Ob es an unserer Meldung oder der
Verkürzung von DPA lag: die Darstel-
lung des eigentlichen Problems miss-
lang etwas. In erster Linie kam die
Meldung "CCC knackt CD-ROM" und
AUSGABE 47
nicht "CCC weist auf Probleme beim
Softwareverkauf hin". Liegt natürlich
auch daran, daß sich letzteres schlech-
ter verkauft. Es ist längst bekannt,
dass auf ein Stück legal erworbene
Software viele tausend Strick Kopien
kommen. Aber anstatt, wie beim
Shareware-Konzept, hier mit alternati-
ven Lösungsmöglichkeiten den Ausweg
aus der Misere zu suchen, setzen die
konventinne llen Soltwareproduzenten
auf Einschüchterung (siehe auch
0130-4011, dazu demnächst mehr) und
"easy to buy', - Konzepte a la Yellow-
Point.
Das Problem bleibt private Kunden
sind weder dazu bereit noch in der La-
ge, Software zum Preis von Produkti-
onsmitteln zu kaufen - lernorientierte
jugendliche Computerbenutzer schon
gar nicht. Hier nützen Demo-Versio-
nen mit beschränktem Funktionsum-
fang (wie bei einem bekannten Textbe-
arbeitungsprogramm, in dessen Demo-
version die Speicherfunktion gesperrt
ist, die in der Vollversion aber leider
auch nicht richtig funktioniert) am we-
nigsten. Demoversionen mit Zeitl~e-
schränkung erlauben zwar eine besse-
re Einsch ätzung, ob die Software denn
die ist, die man braucht, senken die
Preise aber auch nicht auf ein verträg-
liches Niveau.
Die Geschichte mit der 'Geknackten
Yellow-Point-CD-ROM" hat die Soft-
waredistributoren und Produzenten si-
cherlich verschreckt. Ein Informations-
fluss zwischen CCC und Yellow-Point
lief zunächst über Journalisten. Als es
hiess, die Firma Yellow-Point werde
von jemandem, der sich als CCC ler
auswies, erpresst, der damit drohte, die
Codes freizugeben, wenn nicht ein be-
stimn~ter Betrag gezahlt werde, än-
derte sich dies. Der zunächst koopera-
.
~tC ~aten~c~leuber - DAS WISSENSCHAFTLICHE FACHBLATT FÜR DATENREISENDE ~
AUSGABE 47
SEITE 5
tive Pressesprecher verwies auf den
Geschäftsführer von Yellow-Point bzw.
auf den verantwortlichen Projektleiter.
Diesem wurde erläutert, dass der CCC
kein Interesse und nicht die Absicht
habe, das Unternehmen zu erpressen
oder überhaupt die "Codes" herauszu-
geben. Dem CCC ging es um die Unsi-
cherheit des Systems (Sicherheit ist ei-
ne Illusion) und um die Diskussion des
ganz alltäglichen Wahnsinns, Software-
vermarktung genannt. Letztlich muss
es zu einer Lösung kommen, die auch
für minder finanziell ausgestattete
Computerbenutzer befriedigend ist.
In Köln fand ein Treffen zwischen
Mitgliedern des CCC, dem verantwort-
lichen Projektleiter und dem Program-
mierer der Fa. Yellow-Point statt, bei
dem in einem konstruktiven Dialog die
Geschichte, ihre Folgen, Hintergründe
und Lösungsansätze diskutiert wur-
den Yellow-Point, so der Leiter des
Projektes, Herr Schneider, habe keinen
wirklichen Schaden von der Geschichte
erlitten. Der Kontakt zu den Software-
produzenten sei eng genug, die CD~
ROM verkaufe sich besser als vor den
Pressemeldungen und überhaupt habe
man damit gerechnet, dass das Verfah-
ren knackher sei. Ausserdem seien die
von der CD-ROM kopierten Program-
me ja Raubkopien wie andere auch.
Die Frage, ob man denn das Wissen
um den 1 Byte DES-Code und den
6-lterationen-DES nicht unter den
Tisch fallen lassen könne, konnten wir
leider nicht bejahen (Freedom of Infor-
mation contra security by obscurity).
Dies, oder irgend etwas anderes, ha-
ben uns die Herren vermutlich übel
genommen. Nach dem eigentlich kon-
struktiven Kölner Gespräch waren wir
zunächst erstaunt, von einem recher-
chierendem Tourrealisten zu hören,
Yellow-Point habe einen bekannten, in
M ünchen ansässigen Anwalt beuuf-
tragt, gegen den CCC, den Schreiber
diesen Artikels (der auch auf dem Köl-
ner Treff war) sowie gegen .losef BU-
govics, der bereits auf der Oafta'93
über die Unsicherheit dieses Distributi-
onskonzeptes berichtet hatte, vorzuge-
hen.
Besagter Anwalt war nur bedingt
für eine Stellungnahme zu gewinnen,
verwies jedoch auf die gemeinsame
Streitkultur, war er doch nicht zuletzt
regelmäßiger Besucher des Chaos
Communication Congress - der Böse-
wicht sei Josef Bugovics. Herr Schnei-
der, der Verantwortliche bei Yellow-
Point, war ab diesem Zeitpunkt telefo-
nisch leider nicht mehr zu erreichen.
Die Sekretärin der Fa. Yellow-Point
verwies auf Besprechungen, wann im-
mer man auch anrief. Zwischenzeitlich
lies Herr Schneider ausrichten, dies sei
nicht als Abbruch der diplomatischen
Beziehungen zu werten. Er sei auch
nach wie vor an den vorgeschlagenen
S ha rewa re- Konzepten inte ressiert.
Ein Vertreter einer Firma, die inter-
national Büromaschinen vertreibt und
in Anzeigenkampagnen gerne die Be-
hauptung aufstellt, die besten Hacker
säßen... bei ihnen, fragte dann noch an,
ob denn der CCC eine Untersuchung
des von ihnen verwendeten (VerschlLis-
selungs-)Verfahrens durchführen kön-
ne. Allerdings erreichte dieser Mensch
den CCC~ler zwischen Strassenbahn
und Haustür, so dass um schril'tliche
Anfrage per Fax gebeten wurde. Das
kam dann allerdings nicht, dafür einige
Wochen später ein Anruf von selbiger
Firma mit selbigem Anliegen, aller-
dings etwas gewähltere Sprache, ver-
mutlich eine Etage höher ansässig als
der vorherige Anrufer. Dafür, daß der
CCC sich nicht als l~ienstleistungsun-
ternehmen zur Verfügung stelle, habe
man ja Verständnis, ob denn nicht ge-
gen eine Spende eine Untersuchung
mit exklusiver Ergebniskanalisierung...
doch auch dieser Herr genierte sich of-
fenbar zu sehr, als das er diese Anfra-
ge faxen konnte. Frei nach dem Motto:
die besten Hacker sitzen zwar nicht
bei uns, aber neulich haben wir sie mal
1Die 1öntenjc~el~Der - DAS WISSENSCHAFTEICHE FACHBLATT FÜR DATENREISENDE ~