Böses Zeug, dieses Phorm. Nein, nicht das, das andere Phorm.
Phorm ist der Nachfolger (sofern man eine Firma die umbenannt wurde, weil sie so einen schlechten Ruf hatte, das praktisch alle Produkte auf der Spyware- und Adware-Liste aller gängigen Schadprogrammscanner standen, als Nachfolger bezeichnen will) von 121Media, spezialisiert auf targeted Advertising. Für die Freunde von Euphemismen, targeted Advertising ist im Grunde, man forscht die Privatspähre der Nutzer solange aus, bis man ihnen gezielt Werbung unterjubeln kann, die sie vermutlich auch interessiert.
Praktisch funktioniert Phorm in etwa so:
Der Client baut eine ganz normale Verbindung zu einem Webserver im Internet auf (1), die von einem speziellen Server, ich nenne ihn hier mal „Interceptor“ beim Provider abgefangen wird. Der Interceptor leitet die Anfrage an den Ad-Server von Phorm, der ebenfalls beim Provider steht mit dem Tracker-Cookie von Webwise weiter (2). Gleichzeitig holt der Interceptor die ursprünglich angefragte Webseite (3) und schickt sie ebenfalls an den Ad-Server (4). Der Ad-Server tauscht in der Webseite enthaltene Werbung gegen eigene Werbung aus, die mit Hilfe des Tracker-Cookies speziell auf die Vorlieben des Anwenders zugeschnitten sind (5). Der Interceptor schickt die Seite mit der modifizierten Werbung zurück an den Anwender (6).
Vermutlich ist der Prozess nicht ganz korrekt dargestellt, die Webseite „Lies, Damned Lies!“ hat eine detailliertere Grafik dazu.
Die FAQ von Phorm beschreibt das Verfahren so:
„Webwise technology places a cookie on your computer. Then, as a customer searches and browses online, that behaviour is checked against general advertising categories. When the customer’s interests match one of these advertiser categories, the customer sees a relevant ad in place of a generic, untargeted ad.“
Das konkrete technische Verfahren des Austausches spielt dabei eigentlich keine große Rolle. Die Auswirkungen des Tracker-Cookies auf die Privatsphäre will ich eigentlich auch nicht weiter analysieren. Wenn das bereits ein so dramatisches Problem wäre, dann müsste man eigentlich alle Social Network Seiten schließen und Google verbieten. Es geht mir in diesem Text zum zwei andere Punkte: das Verhalten des ISPs und die Folgen für die Werbewirtschaft.
Die Rolle des Internet Service Providers
In Großbritannien haben die wichtigen Provider (darunter BT, Virgin Media und Carphone Warehouse mit zusammen 70% Marktabdeckung) mit Phorm Verträge abgeschlossen, im Land der Überwachungskameras wird das Thema gerade heftig diskutiert. Ein Knackpunkt ist, ob das Verfahren für die Kunden mittels „Opt-In“, d.h. der Kunde muss explizit zustimmen, wenn er targeted Advertising möchte oder mittels „Opt-Out“, d.h. der Kunde muss targeted Advertising explizit abwählen, wenn er das nicht möchte, eingeführt wird.
Strittig ist beispielsweise auch, ob es sich bei diesem Vorgehen um unerlaubte Datenveränderung handeln könnte. Ich weiß nicht, ob der Austausch der Werbung von den AGBs der Provider gedeckt ist (oder gar nicht in den AGBs abgehandelt werden kann, weil es sich vielleicht um eine überraschende Klausel handelt).
Unabhängig davon würde es mir persönlich nicht besonders gefallen, wenn mein Provider in dieser Form Einfluss auf meinen Datenverkehr nimmt. Ok, bestimmte Maßnahmen wie Drosselung einzelner Datenverbindungen (sehr beliebt bei P2P-Traffic) lasse ich mir noch eingehen. Das ist keine tiefergehende Analyse meiner Surfgewohnheiten. Ganz anders sieht es aber mit der konkreten Veränderung von Webseiten aus. Das entspricht ganz klar meiner Definition eines Hostile Internet Providers. Tim Berners-Lee, der Erfinder des World Wide Web hat die Nutzer sogar explizit aufgerufen, den Provider zu wechseln wenn diese Phorm einführen.
Die Rolle der Adbroker, Werbekunden und Seitenbetreiber
Geschädigt werden also viele:
Die Adbroker (z.B. Google und Co.), weil deren Werbung nicht mehr angezeigt wird, den Werbekunden aus dem gleichen Grund und der Seitenbetreiber, weil dieser an der geschalteten Werbung nicht mehr verdient.
Ich weiß nicht, ob im Phorm-Verfahren die Originalwerbung vom Server noch abgerufen wird, bevor sie ausgetauscht wird. Wenn sie abgerufen und nach „Views“ abgerechnet wird, schadet das dem Werbekunden. Wenn nach „Click-Through“ abgerechnet wird oder wenn sie nicht abgerufen wird dem Betreiber der Webseite, der von der ausgetauschten Werbung natürlich keine Einnahmen hat.
Aus meiner Sicht handelt es sich folglich um ein reines Leecher-Verfahren. Phorm und die Provider bereichern sich auf Kosten der Anbieter von Inhalten. Die Content-Produzenten, d.h. die Autoren und Betreiber von Webseiten gehen plötzlich leer aus. In den USA hat ein Blogbetreiber sogar versucht, alle Nutzer von Firefox mit Adblock Plus von seiner Seite auszusperren. Aber das ganze durch die Provider ist das gleiche nur um den Faktor 10 schlimmer.
Zusammenfassung
Als Inhaltsanbieter müsste es meine erste Maßnahme sein, den Vertrag mit einem Phorm-nutzenden Provider sofort fristlos zu kündigen. Es kann doch nicht Aufgabe meines Providers sein, mein Geschäftsmodell aktiv zu schädigen. Als Nutzer wäre meine Maßnahme die gleiche. Ich finde, ich habe Anspruch auf die Webseite so, wie sie vom Inhaltsanbieter bereitgestellt wird (Werbung herausfiltern kann ich dann schon selber). Und von beiden Seiten wäre es angebracht, den Provider ein klein wenig zu verklagen, wegen unerlaubter Datenveränderung (aus Nutzersicht) oder wegen Urheberrechtsverletzung durch unerlaubte Modifikation der von meinem Server angebotenen Inhalte (als Anbieter).
Ich bin ja gespannt, ob Phorm auch in Deutschland Provider findet, die sich dem anschließen. Vodafone traue ich das zu.
Ist das nur normaler Spam mit einer Redirection, damit der unbedarfte Leser meint, es handelt sich um eine Google-Seite oder ist das schon Adwords Kilck-Betrug?
Die Seite will mir jedenfalls ganz normal Viagra, Cialis & Co. andrehen. Ich habe keinen Schadcode oder so finden können. Kennt sich zufällig jemand mit Google Adwords aus? Ist da irgendwo ein kleiner Nebenverdienst mit drin?
Das BKA (auf deren Webseite verlinke ich lieber nicht, die spionieren gerne mal illegal harmlosen Surfern nach) hat ein paar Zahlen für 2007 veröffentlicht:
4200 Phishing-Fälle, 700 mehr als 2006
Durchschnittliche Schadenshöhe zwischen 4000 und 4500 Euro, 2006 noch rund 2500 Euro
Der Gesamtschaden durch Phishing (abzüglich eventuell sichergestellter Gelder) dürfte damit bei etwa 18 Millionen Euro gelegen haben. Im Vergleich zur Schadenssumme von 9 Millionen Euro 2006 eine glatte Verdopplung.
Etwa 750.000 mit Schadprogrammen infizierte Rechner in Deutschland
Etwa 150.000 Rechner in Deutschland, die von Hackern ferngesteuert werden
und natürlich ist die Kinderpornographie laut BKA-Chef Ziercke auf dem Vormarsch. Da helfen große Zahlen wie die 240.000 Zugriffe auf 4.600 Dateien. Wenn man das allerdings runterrechnet kommt man auf einen Kreis von vielleicht 53 Nutzern. So kann man sich die Gefahr auch großrechnen, um Mikado und ähnliche Eingriffe in die Privatsphäre zu rechtfertigen.
Die Aufklärungsquote liegt bei Piraterie übrigens zwischen 96 und 98%, bei allen anderen Straftaten deutlich unter 50%. Die Täter sind übrigens zu 80% männlich und über 21.
Eigentlich ist das Thema Economics of Information Security, d.h. die betriebswirtschaftliche Betrachtung von IT- und Informationssicherheit kein neues Thema. Vom 25. bis 27. Juni findet in Hanover, NH (USA) der WEIS 2008 (der 7. Workshop on the Economics of Information Security) statt. Themen der letzten Jahre waren u.a.
Das ganze Thema ist jedoch irgendwie unbefriedigend gelaufen. Ich frage mich immer wieder, welchen Aufwand will/muss man eigentlich treiben um Systeme vernünftig abzusichern:
Firewall (ok, sehe ich ein)
Virenscanner (hmm, auf PCs bestimmt, aber auf Servern und für Mail?)
VPN (sehr praktisch aber oft genügt auch SSH)
Datenverschlüsselung (wichtig!)
Intrusion Detection/Prevention Systeme (teuer, teilweise recht nutzlos)
Und warum eigentlich? Weil alle diese Funktionen vom Betriebssystem entweder nicht mitgebracht werden (Datenverschlüsselung und VPN wandert gerade hinein) oder damit Schwachstellen des Betriebssystems behoben werden. Von den Kosten für Patchmanagement gar nicht zu reden.
ein EU-weites Gesetz zur Veröffentlichung von Sicherheitsvorfällen
Regelungen, dass neu angeschlossene Geräte per Default abgesichert sein müssen
Hersteller sollen für ungepatchte Software verantwortlich gemacht werden
Insgesamt ein eindrucksvoller Forderungskatalog. Ich war beim Lesen wirklich überrascht und beeindruckt.
Der letzte Punkt ist natürlich ein ganz heißes Eisen. Zur Zeit stehlen sich die Anbieter von Software aus der Verantwortung, weil sie jede Haftung für Fehler in den Lizenzbedingungen ausschließen können. Microsoft hat beispielsweise noch nie für einen Software-Fehler haften müssen, egal wie hoch der Schaden war. Autohersteller zum Beispiel können von so einer Welt nur träumen. Selbst wenn die Haftung auf den Anschaffungspreis begrenzt wäre, eine sinnvolle Lösung, um z.B. freie und Open Source Software nicht zu sehr einzuschränken, wäre das Interesse des Herstellers, mehr in die Sicherheit seiner Produkte und etwas weniger in die reinen Funktionen zu investieren auf einen Schlag gewaltig.
Und das ist natürlich nicht national durchsetzbar, mit der inkompetenten Politikerkaste in Deutschland schon gar nicht. Eine Europäische Union, die gegen Microsoft ein Bußgeld von 497 Millionen Euro in der ersten und 899 Millionen Euro in der zweiten Runde verhängen konnte, ist jedoch ein ganz anderer Gesprächspartner.
Mitautor war übrigens Rainer Böhme von der TU Dresden, das ist jemand, den man in den nächsten Jahren im Auge behalten sollte.
Die erste Runde im Kampf gegen den § 202c StGB ist offensichtlich vorbei, allerdings ist für keine Seite ein Punktsieg, geschweige denn ein K.O. ersichtlich. Da es inzwischen in der Presse recht ruhig geworden ist, möchte ich hier kurz zusammenfassen wie der Stand zur Zeit ist.
Unverbindliche Meinung des Bundesjustizministeriums
Das Bundesjustizministerium, insbesondere Frau Zypries bestätigt jedem, der es gar nicht wissen will, dass Security-Programme natürlich weiterhin legal sind und eingesetzt werden dürfen. Ich habe hier einerseits das Schreiben des Bundesministeriums der Justiz an EC-Council vertreten durch Herrn Kistemaker zur Legalität des Certified Ethical Hacker Seminars, das SSR-I für EC-Council in Europa anbietet (PDF-Schreiben, 50 KB). Außerdem bestätigt Frau Zypries persönlich dem Dachverband der IT-Revisoren in Deutschland ISACA (PDF-Schreiben, 1,5 MB), dass bei der Nutzung von Hacking-Tools zur Sicherheitsüberprüfung kein Problem vorliegt. Das klingt ja alles ganz gut, berücksichtigt aber zwei mögliche Probleme nicht.
1. Wollen wir dem BMJ wirklich vertrauen?
Hat das Bundesjustizministerium und im besonderen Frau „ich habe keine Ahnung“ Zypries überhaupt Ahnung wovon sie reden? Ich möchte hier nur mal das Beispiel der Widerrufsbelehrung bei Online-Verkäufen nennen. Da gibt es sogar eine offizielle amtliche, vom Bundesjustizministerium herausgegebene angeblich rechtssichere Widerrufsbelehrung. Aber nur angeblich rechtssicher. Das Landgericht Halle (Az. 1 S 28/05) hat geurteilt, die amtliche Widerrufsbelehrung genügt nicht den gesetzlichen Vorgaben. Oder anders ausgedrückt, das BMJ ist nicht einmal in der Lage, die eigenen Gesetze richtig zu verstehen und anzuwenden. In die Abmahnfalle ist insbesondere die Staatsanwaltschaft Magdeburg getappt. Selbst die beamteten Juristen verstehen die Gesetze nicht mehr. Und da sollen wir der unverbindlichen Aussage von Frau Zypries vertrauen? Persönliche Amtshaftung für Falschaussagen wäre hier sinnvoll und notwendig. Ein zweites Beispiel ist die Anwendung des Bundesdatenschutzgesetzes im Bundesjustizministerium. Auch hier hat das BMJ den Inhalt des selbst geschriebenen Gesetzes nicht verstanden und konnte (oder wollte) es nicht richtig anwenden. Erst nach Androhung von Haft und Ordnungsgeld sah sich das BMJ veranlasst, Gesetze einzuhalten. Wundert sich hier eigentlich noch irgendjemand über Steuerhinterzieher?
2. Ungelöste Rechtsfragen
Der § 202c StGB sieht insbesondere auch Strafen für denjenigen vor, der anderen die Tools zur Verfügung stellt (wörtlich: „einem anderen überlässt“). Ich kann leider die Gesinnung der Schulungsteilnehmer meiner Hacking-Seminare nicht überprüfen. Was ist, wenn ein Teilnehmer bereit ist, ein paar Tausend Euro zu investieren um später damit illegale Handlungen durchzuführen? Sozusagen den Kurs im Wissen bucht, die dadurch erlernten Techniken und die erhaltenen Programme zu illegalen Zwecken einsetzen zu wollen. Klar, jeder Teilnehmer muss unterschreiben, dass er das nicht tut aber who cares. Leider treffen die Schreiben des BMJ hierzu keine Aussage, die Rechtsunsicherheit bleibt.
Tecchannel Anzeige gegen das BSI
Die Zeitschrift Tecchannel hatte im September Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnik wegen Verbreitung von Hackingtools (Verstoß gegen § 202c StGB) gestellt, insbesondere wird (immer noch) das Programm „John the Ripper“ auf der Webseite des BSI zum Download angeboten. Die Staatsanwaltschaft Bonn will die Anzeige gegen das BSI jedoch nicht weiter verfolgen. Die Begründung erscheint etwas hanebüchen, die Staatsanwaltschaft schreibt, dass das Setzen eines Links nicht strafbar sei. Offensichtlich verkennen die Beamten, dass das BSI nicht nur einen Link setzt sondern direkt die Software auf der eigenen Webseite vorhält und zum Download anbietet. Alternativ könnte man den Bonner Beamten auch unterstellen, dass sie sich nicht trauen, sich mit dem mächtigen BSI anzulegen. Tecchannel hat daher Beschwerde beim Leitenden Oberstaatsanwalt am Landgericht Bonn eingelegt. Bisher gab es keine weiteren Neuigkeiten.
Selbstanzeige von Michael Kubert
Der Informatiker Michael Kubert hat sich selbst wegen Verstoß gegen § 202c angezeigt, da er auf seiner Homepage „Hackertools“ veröffentlicht und verbreitet. Die Anzeige wurde von der Staatsanwaltschaft Mannheim mit Bescheid vom 13. Februar 2008 eingestellt. Als Begründung wurde angegeben, das Programm sei „lediglich zum Zwecke der Tests durch Administratoren geeignet […]“. Auch hier lässt die Begründung nach Ansicht von Michael Kubert zu wünschen übrig. Insbesondere bedauert Kubert, „dass die Einstellung mehr mit den Erkenntnissen der Kripo begründet wurde als mit dem § 202c StGB“.
Verfassungsbeschwerde der VisuKom
Die VisuKom GmbH hat Verfassungsbeschwerde (Aktenzeichen BVR 2233/07) gegen den § 202c eingelegt (PDF der Pressemitteilung). Ob sich die Firma davon wirklich was verspricht oder es sich dabei hauptsächlich um eine Marketingaktion handelt ist mir nicht ganz klar. Pressewirksam war die Aktion auf jeden Fall. Ob was sinnvolles herauskommt wage ich zu bezweifeln. In der Liste der geplanten Urteile für 2008 des BVG ist das Aktenzeichen jedenfalls nicht enthalten. Hier passiert offensichtlich in absehbarer Zeit auch nichts.
EICAR Gutachten zum § 202c
Die EICAR European Expert Group for IT-Security, die u.a. den EICAR-Testvirus entwickelte, hat auf ihrer Webseite ein Gutachten zu den Konsequenzen des § 202c (PDF, 226 KB) für Sicherheits- und Penetrationstestunternehmen veröffentlicht. Eine Rechtssicherheit kann ein solches Gutachten natürlich auch nicht herstellen, es liefert jedoch ein paar Anhaltspunkte, wie man aus der möglichen Strafbarkeit herauskommt:
Sorgfalt: „Im Umgang mit Hackertools und Malware, die zu Testzwecken beschafft oder erstellt wird, ist besondere Sorgfalt geboten. Solche Software sollte an niemanden weitergegeben werden, bei dem nicht sicher ist, dass er die Software zu gutartigen Testzwecken einsetzen will.“
Dokumentation: „Wenn ein Hackertool oder Malware beschafft – gleichgültig, ob kostenlos oder kommerziell – oder erstellt wird, sollte nachvollziehbar protokolliert werden, für welche Test- und Sicherheitszwecke das Programm beschafft wird und welche Verwendung des Programms vorgesehen ist. Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben.“
Einwilligung: „Liegt von dem jeweils Berechtigten, auf dessen Computersysteme oder Daten zu Testzwecken Angriffe verübt werden sollen, eine Einwilligung in die Maßnahmen vor, so entfällt die Strafbarkeit der vorbereiteten Tat und mithin auch die Strafbarkeit der Vorbereitung. Die Einwilligung sollte möglichst schriftlich erfolgen und hinreichend konkret die Maßnahmen nennen, in die eingewilligt wird.“
Bei einer Beachtung dieser Punkte scheint eine konkrete Strafbarkeit weitestgehend ausgeschlossen.
KES-Artikel von Thomas Feil
[wird nachgetragen, ich habe die KES gerade nicht zur Hand]
Zusammenfassung
Offensichtlich handeln die Staatsanwaltschaften in Deutschland mit mehr Augenmaß und Sachverstand als das Bundesjustizministerium beim Schreiben der Gesetze. Im Moment sieht es jedenfalls nicht so aus, als würde die befürchtete massive Überkriminalisierung der Administratoren und IT-Sicherheitsdienstleister stattfinden. Das kann sich jedoch schnell ändern, beispielsweise falls massive Hackerangriffe auf kritische Infrastrukturen stattfinden sollten. Die benötigte Rechtssicherheit ist leider weiterhin nicht in Sicht.
Falls ich wichtige Informationen zum § 202c übersehen haben sollte, bitte ich um kurze Mitteilung in den Kommentaren, ich werden die Infos dann nachtragen.
So, etwa 24 Stunden Ausfall war das insgesamt. Jetzt braucht es noch ein wenig, bis sich die DNS-Daten im Internet aktualisiert haben, ich konnte die neue IP-Adresse erst mittags eintragen und die alte Lebenszeit lag ebenfalls bei 24 Stunden. Naja … wird schon.
Der Server hier bekommt eine neue IP-Adresse und ist voraussichtlich ein paar Stunden nicht erreichbar. Sobald ich dazukomme, richte ich ihn wieder her. So wichtig ist das Blog jedoch nicht, es hat daher nicht die höchste Priorität. 😉
Wir haben ab sofort eine offene Stelle. Gesucht wird ein/e Junior Tainer/in für Firewall-Schulungen, insbesondere Check Point. TCP/IP-Grundlagen sowie sicheres Auftreten und freies Sprechen vor Publikum wird vorausgesetzt, den Rest bringen wir bei.
Außerdem gibt es ab Herbst zwei Ausbildungsstellen zur/zum Fachinformatiker/in.
Die Süddeutsche Zeitung hat gerade ein Internet-Quiz, mit lustigen Fragen und einfachen Antworten. Dadurch wird zwar keine Personal Firewall installiert und der Rechner auch nicht auto-magisch gepatcht aber man fühlt sich doch gleich viel besser. Und die Antworten sind wirklich so einfach, da muss man einfach alles richtig haben.
Was sind Trojaner?
Was sind Script Kiddies?
Hacker greifen missliebige Gegner gerne mal mit DoS-Attacken an. Was steckt dahinter?
Klauen Cyberkriminelle über gefälschte WWW-Adressen Kontodaten, nennt man das?
Was ist eine Salami-Attacke?
Welche einprägsame E-Mail-Betreffzeile hatte der Computerwurm, der 2000 weltweit Schäden in Milliardenhöhe anrichtete?
Die drei beliebtesten Passwörter der Deutschen sind?
Was ist ein Betatest?
Woran erkennt man eine nach dem Sicherheitsstandard SSL („Secure Socket Layer“) verschlüsselte Website?
Was Spam-Mails sind, wissen inzwischen alle. Aber was sind Junk-Mails?
Ok, wenn es keine drei Antworten zur Auswahl gäbe, müsste man gelegentlich ein wenig darüber nachdenken. Aber so … eigentlich sollte man eher sowas fragen:
Wie sieht ein sicheres Passwort aus?
Wie stellt man als Anwender sicher, dass man immer die neusten Patches und Updates auf seinen Rechner bekommt?
Wie installiert und konfiguriert man einen Virenscanner um sich vor Schadprogrammen zu schützen?
Wie richtet man seine Personal Firewall so ein, dass Angriffe aus dem Internet zuverlässig abgewehrt werde?
Wie identifiziert und entfernt man Adware und Spionagesoftware vom Rechner?
Wie installiert man Firefox und wichtige Add-ons wie NoScript und Adblock Plus?
Wie konfiguriert man den Webbrowser so, dass man gefahrlos im Internet surfen kann?
Woran erkennt man Phishing-Webseiten im Internet?
Wie schützt man sich vor Spam und anderen unerwünschten Mails?
Wie schützt man seine persönlichen Daten und seine Privatsphäre bei der Nutzung des Internets?
Das würde dann auch die Überschrift rechtfertigen. Aber so viel wie man für das Quiz klicken muss, da geht es nur noch darum, die Klickzahlen hochzutreiben und nicht darum, wertvolle Informationen zu liefern. Eigentlich traurig bei einem Qualitätsmedium wie die Süddeutsche Zeitung.