Erstellt am: 23. 11. 2014 - 19:22 Uhr
Freie Programme gegen "Staatstrojaner"
Die Ankündigung von WhatsApp, ihr populäres, aber bis dato kaum gesichertes Chatprogramm künftig zu verschlüsseln, markiert den ersten Höhepunkt eines Trends, der seit Monaten sichtbar ist. Sichere Protokolle und Methoden, die aus der Hackersphäre stammen und nur von einer Minderheit benutzt wurden, ziehen in weit verbreitete Anwendungen ein. Im Falle von WhatsApp wurde das Protokoll von TextSecure übernommen, das Chats so verschlüsselt, dass auch der Betreiber selbst nicht mitlesen kann.
Zu einer großen Anzahl neuer, einfach zu bedienender Chat-Verschlüsselungsprogramme wie TextSecure oder Cryptocat kommen nun auch spezialisierte und komplexere Anwendungen. Am Donnerstag wurde mit "Detekt" der erste, auf sogenannte "Staatstrojaner" spezialisierte Virenscanner veröffentlicht. Derartige Schadsoftware wird von Firmen vor allem aus der EU den USA für Geheimdienste und Polizeibehörden produziert und auch an Diktaturen geliefert, die damit Oppositionelle ausspionieren. Zur Früherkennung von Angriffen auf Netzwerke generell wird mit der freien "Suricata"-Suite auch ein mächtiges Abwehrinstrument für fortgeschrittene Anwender benutzbar, das sich mit teuren kommerziellen Produkten für Unternehmensnetze messen kann.
Immer mehr einfach zu bedienende, neue und freie Kryptoprogramme kommen als bloße Plug-ins für gängige Webbrowser daher. Prototypisch für diese Entwicklung steht Cryptocat, das auch als iPhone-App und bald auch für Android erhältlich ist.
Die Gemeinsamkeiten
Diese drei, von ihren Funktionen völlig unterschiedlichen Tools weisen jedoch eine ganze Reihe von Gemeinsamkeiten auf. Zum einen liegt bei allen der Quellcode offen, denn nur dann lässt sich von unabhängiger Seite überprüfen, ob der Code auch wirklich keine Hintertüren enthält. Zweitens stammen all diese Programme von Entwicklergemeinschaften, die ihre Arbeit über Stiftungen und Spenden finanzieren.
TextSecure wurde von einer Gruppe von Open-Source-Programmierern rund um den bekannten Hacker Moxie Marlinspike entwickelt. TextSecure bietet sicher verschlüsselten Chat sowohl für Androids und iPhones und ist aber mit mehreren, anderen Chatprogrammen - etwa Pidgin (Windows, Linux) oder Adium (Mac) - kompatibel, die ebenfalls das "Off the Record"-Protokoll beherrschen. Daneben haben Marlinspike und Co auch die Redphone-App für verschlüsselte Telefonate entwickelt. RedPhone nützt das von Kryptopionier Phil Zimmermann entwickelte ZRTP-Protokoll zur Sprachverschlüsselung. Wie TextSecure hat auch Redphone in allen Sicherheitstests bis dato hervorragend abgeschnitten.
EFF
Macht durch Offenheit
Die neuen Services, für die auch die Anbieter keine Nachschlüssel haben, veranlasste die Behörden bereits zur Beschwörung "dunkler, dunkler Zeiten". Anlass für diese Unkenrufe war, dass die neuen iPhones mit Passwortschutz ausgeliefert werden
Die eigentliche Macht dieser Programme liegt in der Offenheit ihres Quellcodes begründet. Da die berühmte "Kette der Sicherheit" insgesamt nur so stark ist, wie ihr schwächstes Glied, lässt sie sich nur dann auch lückenlos überprüfen. Am sichersten ist ѕie natürlich, wenn darunter ein Betriebssystem werkt, dessen Quellcode ebenfalls offenliegt, doch auch unter Windows oder Mac ist der Sicherheitsgewinn für die Benutzer beträchtlich.
Wer diese TextSecure-Server auch betreibt, hat weder eine Möglichkeit, die Konversationen mitzuschneiden, noch kann er Schlüssel an Behörden herausgeben, weil die Schlüssel nicht auf dem Server, sondern auf den Clients der Benutzer gespeichert sind. Dasselbe gilt bald auch für die weltweit auf 600 Millionen geschätzten Nutzer von WhatsApp.
Wachsame Erdmännchen
Während TextSecure gerade in kommerzielle Anwendungen für Endbenutzer wie WhatsApp integriert werden, wird die quelloffene "Suricata"-Suite schon seit geraumer Zeit in Firmen eingesetzt. Anders als TextSecure ist Suricata kein Tool für Endanwender, vielmehr wurde es für Administratoren entwickelt, die damit Angriffe auf ihr Netz frühzeitig erkennen können. Die Entwicklung von Suricata wurde bereits vor sieben Jahren begonnen, ein eigenes graphisches Benutzerinterface hatte dabei keine besondere Priorität. Offenbar war das Projekt von den Sponsoren (siehe unten) zur Integration in eigene Benutzeroberflächen vorgesehen.
Sara&Joachim&Mebe / CC BY-SA 2.0
"Natürlich gibt es da einiges zu konfigurieren, so müssen etwa die Parameter des jeweiligen Netzes - Gateways, Routeradressen usw. - eingegeben werden, damit sich Suricata orientieren kann", sagte Victor Julien, der Entwicklungschef von Suricata zu ORF.at. "Wir arbeiten im Moment vor allem daran, die Konfigurierbarkeit zu vereinfachen und Prozesse, bei denen dies auch möglich ist, zu automatisieren." Ziel sei es dabei, sagte Julien, dass Suricata auch von weniger geübten Administratoren oder auch fortgeschrittenen Usern eingesetzt werden könne. Die Software läuft auf allen drei großen Betriebssystemen, für den Betrieb genügt ein einfacher PC.
Die Entwickler von Suricata hielten auf der DeepSec Konferenz, die am Freitag in Wien zu Ende ging, Suricata-Workshops für Nutzer aus Industrie und Behörden ab. Dieselbe Suricata-Suite ist allerdings als Tool für die Kommandozeile in allen Linuxdistributionen schon enthalten.
Mächtiges Verteidigungsinstrument
Damit steht auch kleineren Firmen wie finanzschwachen Organisationen ein mächtiges Instrument zu Überwachung ihrer eigenen Netze auf Angriffe von außen zur Verfügung. Anders als bei Virenscannern werden hier nicht bloß Dateien auf die jeweils charakteristischen Zeichenfolgen bekannter Schadsoftware durchsucht. Vielmehr werden die Vorgänge im gesamten Datenverkehr beobachtet und nach Mustern gesucht, die auf einen Angriff von außen hinweisen.
CC Suricata
Im Grunde macht Suricata ganz genau dasselbe, wie alle kommerziellen - und entsprechend teuren - "Intrusion Detection Suites" für Netzwerke von Großkonzernen. In den Netzen von Geheimdiensten und Militärs gehören solche Softwaretools seit jeher zum Sicherheitsstandard und genau von dort kommt Suricata eigentlich her, von der "dunklen Seite der Macht".
Heimatschutz und Sternenkrieger
Die Stiftung, die diese Suite zur Identifikation und Abwehr von Angriffen finanziert, gehört zum "Homeland Open Security Program" des US-Ministeriums für Heimatschutz und dem "Space and Naval Warfare Systems Command" (SPAWAR) der US Navy. Das erscheint paradox, hat aber dennoch einen völlig rationalen Hintergrund.
Dass nur quelloffene Sicherheitssysteme vertrauenswürdig, weil auch überprüfbar sind, gilt im Militärbereich schon weitaus länger als in der Sphäre zivіler Kommunikation. Zudem sind Open-Source-Systeme viel schneller zu entwickeln, wenn nämlich andere Interessenten für dieselbe Art von Software dazustoßen. Obendrein hängt der Sicherheitsgrad noch völlig davon ab, wieviele Coder mit entsprechender Erfahrung den Quellcode laufend überprüfen. Gerade im Sicherheitsbereich geht der Trend fast unaufhaltsam in Richtung Open Source, der NSA-Spionageskandal hat hier natürlich einen entscheidenden Schub geliefert.
CC
Staatstrojaner und ihre Lieferanten
Die Veröffentlichung von "Detekt" ist natürlich auch als politischer Akt zu sehen. Das Programm ist dazu angetan, die Kosten für die Entwicklung bestimmter Spionage-Suites in die Höhe zu treiben
Mit Amnesty International, Privacy International, der Digitalen Gesellschaft und der Electronic Frontier Foundation stehen hinter dem Staatstrojaner-Scanner "Detekt" ebenfalls gemeinnützige Organisationen. Die erste Version von "Detekt" ist ein vergleichsweise einfaches, aber hochspezialisiertes Tool, das eine selektive Zielgruppe bedient. Es richtet sich an Menschen, die wichtige Gründe haben, derartige staatliche Angriffe auf ihre Kommunikation zu befürchten.
Detekt soll in erster Linie Dissidenten und Journalisten schützen, die von Geheimdiensten und politischer Polizei in nichtdemokratischen Staaten angegriffen werden. Die bekanntesten dieser Spionagesuites sind die Produkte der deutsch-britischen Gamma International namens "FinFisher", sowie jene der italienischen Hacking Team RCS, die ebenfalls Behörden rund um die Welt mit Schadsoftware beliefert.
Aktivisten, Journalisten
Seit März läuft in Großbritannien ein von Privacy International und anderen unterstützter Prozess gegen Gamma International und Hacking Team RSC. Die Anzeige selbst stammt von einem britischen Staatsbürger, der aus Bahrain stammt.
Die Spionagesuites dieser beiden Firmen waren während des Arabischen Frühlings wiederholt aufgefallen, weil ѕie von den regierenden Diktatoren gegen Oppositionelle eingesetzt wurden. Der Zeitpunkt der Veröffentlichung von "Detekt" direkt vor den ersten Wahlen in Bahrain nach dem Volksaufstand von 2011 am Samstag war nicht zufällig. Eines der ersten nachgewiesenen Opfer von FinFisher war eine Aktivistin aus der Demokratiebewegung in Bahrain, auf deren Rechner Spuren der deutsch-britischen Spionagesoftware FinFisher gefunden wurden.
Die Zielgruppe von Detekt ist allerdings nicht auf autoritär regierte Staaten wie Bahrain beschränkt. Am Freitag hatte AP gemeldet, die britische Journalistengewerkschaft habe Klage gegen die Londoner Metropolitan Police und das britische Innenministerium eingereicht. Anfragen von Journalisten nach dem Gesetz zur Informationsfreiheit hatten ergeben, dass eine ganze Reihe britischer Journalisten systematisch und jahrelang in ihrem persönlichen Umfeld bespitzelt wurde.
SPAWAR, TOR
Warum fördern das Außenministerium der USA, die See- und Sternenkrieger der US Navy, zu der auch die NSA gehört und weniger auffällige Stiftungen aus den USA Projekte wie etwa TOR? Zum einen, weil Bürger und Armeen der Weltmacht USA auch rund um die Welt sichere Kommunikation benötigen. Zum anderen muss man als Supermacht führend dabei sein, weil sich dieser ebenso globale wie mächtige Trend zur quelloffenen sicheren Verschlüsselung ohnehin nicht stoppen lässt.