![[Chaos CD]](/file/6530/Chaos_CD_Blue__[1999].iso/images/chaoscd.jpg) |
| ![[Gescannte Version]](/file/6530/Chaos_CD_Blue__[1999].iso/images/scan.jpg) |
![[ -- ]](/file/6530/Chaos_CD_Blue__[1999].iso/images/prev.jpg) |
![[ ++ ]](/file/6530/Chaos_CD_Blue__[1999].iso/images/next.jpg) |
![[Suchen]](/file/6530/Chaos_CD_Blue__[1999].iso/images/search.jpg) |
|
| |
|
|
|
ActiveX: Unsicherheit einer Software-PhilosophieEher am Rande des 13. Chaos Communication Congress im Dezember 1996 wurde die Idee entwickelt, die Unsicherheit von ActiveX durch Fernsteuerung einer Homebanking-Software zu demonstrieren.Der letztlich entstandene Fernsehbeitrag des MDR bei "PlusMinus" benannte das Problem jedoch eher nicht: anstelle von ActiveX wurde nur die mißbrauchte Homebanking-Software Intuit Quicken gezeigt und benannt. Für den Fernsehbeitrag war ein "Control" für ActiveX geschrieben, welches die Homebanking-Software quasi fernsteuerte. Während der Benutzer glaubte, eine bunte Web-Seite anzugucken, wurden seiner Transaktionsliste (Sammelüberweisung) ein Überweisungsauftrag hinzugefügt. Auch wenn es wichtig war, eine sensible Applikation zur Demonstration des ActiveX Problems (volle Fernsteuerbarkeit des Computers) auszuwählen und insbesondere die kundenunfreundliche Haftungs- und Beweislage deutlich machen, so war es dann für die Journalisten doch schwierig, zwischen Ursache und Wirkung zu unterscheiden. Dies nutzte natürlich noch am ehesten Microsoft, die zumindest in Amerika dann auch mit entsprechenden Meldungen den Nebel noch verstärkten um vom eigentlichen Problem, nämlich ActiveX, abzulenken. Daher waren wir nach Kräften bemüht, Mißverständnissen und Desinformation entgegenzuwirken. Die Meldungen, die wir hier aus Platzgründen nicht abdrücken können sind im Web (http://www.ccc.de/radioactivex.html bzw. http://www.iks-jena.de/mitarb/lutz/security/activex.html) vollständig mit einer Chronologie der Ereignisse dokumentiert. Auch finden sich dort die Source-Codes und andere Beispiele. Apropos Mißverständnisse: es möge bitte nicht der Eindruck aufkommen, wir würden jetzt Java oder Homebanking ohne ActiveX auf der Maschine als "sicher" bezeichnen. Wir müssen hier zwischen "Bug" (Java-Implementationen, Interpreter etc) und "Bug by design" (ActiveX) unterscheiden. Java wird - zumindest vom theoretischen Konzept her - in einer Sicherheitsumgebung ("Sandbox") ausgeführt, die nur eingeschränkten Zugriff auf das System erlaubt. Auch wenn diese mittlerweile aufgeweicht wird und spätestens über Plug-Ins etc. durchlöchert werden kann so gibt es zumindest eine Art von Sicherheitskonzept und -bewußtsein. ActiveX ist unmittelbarer Maschinencode, der alles mit der Maschine anstellen kann, was der (eingeloggte) Benutzer auch kann. Bei nicht-NT Maschinen ist das schonmal pauschal *alles* und bei NT-Maschinen hängt es nur unter anderen von den Rechten des eingeloggten Benutzers ab. Die "Authentifikationsstruktur" von ActiveX kann die technische Unsicherheit nicht ausgleichen - sie fügt den "controls" (was auch immer sie tun) nur ein Zertifikat (Absenderkennung/Echtheit) an. Auch hierzu mehr im Netz. Zur allgemeinen Erheiterung dokumentieren wir hier die Antwort von Fred Cohen auf eine Erklärung des Microsoft-Vizepräsidenten zur Sache. Cohen gilt immerhin als der Autor des ersten Computervirus - und das war Anfang der achtziger Jahren. Andy Müller-Maguhn, andy@ccc.de |
[Datenschleuder]
[58]
ActiveX: Unsicherheit einer Software-Philosophie