Mitternachtshacking

Die kalifornische Ministerin Debra Bowen hat die angekündigte Sicherheitsprüfung der amerikanischen Wahlmaschinen abgeschlossen. Ebenfalls wenig überraschend ist, dass keine einzige der bisher zertifizierten Wahlmaschinen grundlegende Sicherheitsanforderungen erfüllt. Soweit nichts neues.

Überraschend ist die Konsequenz mit der Frau Bowen dabei agiert. Sämtlichen(!) vier Anbietern von Wahlmaschinen wurde die Zulassung entzogen, trotz vermutlich heftigster Lobbyarbeit der Hersteller. Betroffen sind Diebold Election Systems, Hart InterCivic, Sequoia Voting Systems und Election Systems and Software. Dem letztgenannten Anbieter wurde die Zulassung für das Wahlsystem InkaVote Plus komplett entzogen, da er sich laut Rücknahmebescheid (PDF, 300 KB) geweigert hatte, sein System inklusive Source Code zur Überprüfung einem Sicherheitsteam der University of California zur Verfügung zu stellen.

Die anderen Systeme scheinen jedoch auch nicht viel besser zu sein. Die Source Code Analyse (PDF, 560 KB) der Wahlmaschine von Diebold kam zu folgenden Ergebnissen:

• Vulnerability to malicious software
• Susceptible to viruses
• Failure to protect ballot secrecy
• Vulnerability to malicious insiders

Die detaillierte Liste der „Issues“ enthält 45 Einzelsicherheitsprobleme!

Zusammenfassend lässt sich sagen, dass diese Wahlmaschinen durch Viren und Trojaner manipulierbar sind, das Wahlgeheimnis nicht ausreichend schützen und von Mitgliedern der Wahlaufsicht trivial manipuliert werden können. Erschreckend aber nicht erstaunlich. In diesem Zusammenhang noch ein paar Verweise:

• Diebold stellt ja nicht nur Wahlmaschinen sondern auch Geldautomaten her, und die waren 2003 schon anfällig für Viren und Würmer. Da scheint sich nichts verbessert zu haben.
• In den Niederlanden hat der Quasi-Monopol-Hersteller von Wahlmaschinensoftware Groenendaal versucht, die Behörden zu erpressen damit seine Software auf Nedap-Wahlmaschinen eingesetzt werden darf. Die gleichen Geräte kommen auch in Nordrhein-Westfalen zum Einsatz.
• Der deutsche Importeur der Nedap-Wahlmaschinen war über die Sicherheitsprobleme vermutlich frühzeitig informiert, gab sich jedenfalls wenig überrascht, nur erstaunt darüber, dass die Veröffentlichung so lange gedauert hat.

Und mal wieder voll an der Realität vorbei ist die Prüfung der Geräte durch die Physikalisch-Technische Bundesanstalt. Die Prüfung der Manipulationsfreiheit kann wie folgt durchgeführt werden: „Am Wahlgerät werden nach entsprechender Betätigung die gespeicherten Daten der Hardware- und der Software-Version sowie zwei Checksummen des enthaltenen Programmspeichers zum Vergleich mit den Angaben auf dem Typenschild und der Baugleichheitserklärung des Herstellers angezeigt und ausdruckt.“ Diese Ausgabe kann natürlich trivial gefälscht werden, wenn die Software erst einmal manipuliert wurde. Die PTB hat das nur leider nicht realisiert, der Prüfbericht ist faktisch ein Witz. Die PTB sollte besser bei ihrer Atomzeit bleiben, das wenigstens kriegen sie gerade noch so hin.

Ein interessanter Artikel auf TecChannel: Viren unter Linux.

Fazit:

• Zweifelsohne ist die Viren-Gefahr auch für Linux vorhanden.
• Die Linux-Distributoren wären gut damit beraten, die Virengefahr ernst zu nehmen.
• Linux ist genauso anfällig wie andere Systeme.

Der Witz dabei? Der Artikel ist von 2001.

Virenscanner an sich sind ja schon ein Problem. Zum einen werden eine Menge Viren gar nicht erkannt, zum anderen sind Virenscanner selbst ein potentielles Sicherheitsproblem und dann gibt es da ja noch das fiese Problem mit den False Positive. Ein False Positive ist ein erkannter Virus, der eigentlich gar keiner ist. Besonders spannend ist das, wenn der Virenscanner die erkannten Viren automatisch löscht und wichtige Systemprogramme betroffen sind.

Die Oberspezialisten arbeiten wohl bei McAfee, die gerne auch mal Excel als Schadprogramm erkennen. Ich hätte erwartet, dass selbst die primitivste Form der Qualitätskontrolle nämlich der Einsatz der eigenen Produkte auf den eigenen Rechner so einen Fehler erkennt. Aber entweder verwendet McAfee kein Microsoft Office (eher unwahrscheinlich) oder setzt einen anderen Virenscanner ein (hmm?). Die komplette Liste der falsch erkannten Programme ist übrigens eindrucksvoll.

Virus Bulletin hat jetzt das Verhalten von Virenscannern auf Microsoft Vista 64-Bit untersucht, mit interessanten Ergebnissen. Durch False Positive sind u.a. Trend Micro, Ikarus und Fortinet aufgefallen. Die Problematik wird aber auch auf das durch PatchGuard abgesicherte Betriebssystem zurückgeführt, das es den Herstellern von Sicherheitsprogrammen die Arbeit deutlich erschwert.

Vermutlich wird es doch Zeit für Whitelisting.

Das von der TU Darmstadt, Universität Siegen und der Deutschen Bank entwickelte Cryptool gibt es in einer neuen Version. Der Download der freien und kostenlosen Software ist über die Webseite www.cryptool.de möglich. Für jeden, der ein wenig mehr verstehen möchte, wie Verschlüsselungssoftware funktioniert ein interessantes Programm.

Joanna Rutkowska hat den Source Code ihrer Blue Pill veröffentlicht. Das ist eine Software mit der sich ein laufendes Betriebssystem in eine virtuelle Umgebung verschieben lässt. Das Schadprogramm fungiert dann praktisch als Hypervisor und und kann aus dem eigentlichen System heraus kaum noch erkannt werden. Der Name leitet sich von der Blauen Pille ab, die Neo in Matrix angeboten bekommt.

Welchen Nutzen oder Schaden das haben wird ist noch nicht klar. Zum einen behauptet Matasano, dass es nicht möglich ist eine unidentifizierbare Blue Pill zu schreiben. Zum zweiten hilft das vielleicht, dass Virenscanner-Hersteller ihre Produkte mittelfristig mit Gegenmaßnahmen aufrüsten. Die Herausforderung von Matasano ist jedenfalls erst einmal im Sande verlaufen, die finanziellen Forderungen von Joanna stehen dem entgegen.

Ist mir ja gerade erst richtig aufgefallen:

28. Juli – 02. August: Black Hat USA 2007 in Las Vegas

03. August – 05. August: DefCon 15 in Las Vegas

08. August – 12. August: Chaos Communication Camp in Berlin/Finowfurt

Kann man nicht meckern 🙂