============= ENGLISH PRESS RELEASE ============

Chaos Computer Club 28.01.1997

Glasfiber all the way into your wallet

Tonight the ARD-Magazin [a german TV-News-Show] will have a report on a weakness in the "Microsoft Internet Explorer", which is based on the multimedia technology "Active-X" that is promoted by Microsoft with their internet browser.

In concrete, this browser with "Active-X" allows a remote controlling of the own computer w/o revealing this to the user. Active-X means that the unaware user downloads programs which can then be activated on his computer.

Hackers out of the realm of the Chaos Computer Club demonstrate in an example in the TV-show a "account-robbery". This becomes possible by the combination of MS Internet Explorer, Active-X and homebanking software [such as Quicken]. While the user believes to just view a harmless WEB-page, a instruction-set is added to his homebanking software. When next connected to his bank, the user is prompted for an accession-code, without it being revealed, what that transaction is going to be used for.

Already several weeks ago, during the Chaos Communication Congress, the possible dangers of Active-X were discussed. Whithin several days after the release of Active-X by Microsoft WEB-pages were online that caused a remote-induced system-crash when Active-X was activated on the network-users computer. The by Microsoft so called "security-measures" are, as shown in such examples, easily worked around.

With the current stand, it can only be recommended to abstain from using MS-Internet-Explorer with Active-X. The user [that is the claim of CCC] must at least be prompted for agreement, before other sites may gain remote-control over his computer. Manipulation of files, like they were demonstrated in the case of Active-X, must not be possible.

=================== GERMAN PRESS RELEASE ================

Chaos Computer Club 28.01.1997

Glasfaser bis in die Brieftasche

Heute abend wird im ARD-Magazin PlusMinus in einem Beitrag über eine Schwachstelle im "Microsoft Internet Explorer" berichtet, die auf der von Microsoft mit diesem Internet-Betrachter verbreiteten Multimedia-Technologie Active-X beruht.

Konkret erlaubt das Internet-Zugangswerkzeug "Microsoft-Explorer" mit Active-X eine Fernsteuerbarkeit des eigenen Computers, ohne daß dies vom Benutzer nachvollzogen werden kann. Active-X bedeutet, daß der nichtsahnende Netzbenutzer Programme auf seinen Rechner herunterlädt, die dann dort ausgeführt werden.

Hacker aus dem Umfeld des Chaos Computer Club demonstrieren an einem Beispiel im Fernsehbeitrag einen "Kontoklau". Dieser ist durch das Zusammenspiel von Microsoft Explorer, Active-X und Homebanking-Software möglich. Während der Benutzer glaubt, sich eine (harmlose) Web-Seite anzugucken, wird ein Geldtransaktionssatz der Datei seiner Homebanking-Software hinzugefügt. Beim nächsten Abgleich mit der Bank wird der Benutzer zwar nach einer Anzahl von TAN's (Transaktionsnummern) gefragt aber nicht angezeigt, wofür diese benutzt werden.

Im Rahmen des Chaos Communication Congress wurden bereits vor mehreren Wochen die Gefahren von Active-X diskutiert. Bereits wenige Tage nach der Freigabe von Active-X durch Microsoft waren im Internet Seiten verfügbar, die einen ferngesteuerten Systemabsturz erzeugten, wenn Active-X auf dem Rechner des Netzbenutzers aktiviert ist. Die von Microsoft als "Sicherheitsmaßnahmen" bezeichneten Funktionen lassen sich, wie schon die ersten deratigen Beispiele zeigten, sehr einfach umgehen.

Beim jetzigen Stand der Dinge kann von der Nutzung des Microsoft-Explorers mit Active-X nur abgeraten werden. Der Benutzer muß mindestens nach seinem Einverständnis gefragt werden, bevor andere Stellen die Kontrolle über seinen Computer übernehmen. Dateimanipulationen wie mit Active-X dürfen nicht möglich sein.