Qbi's Weblog

Totgesagte leben länger. Es scheint so, als ob ACTA wieder auf dem Weg zurück ins Leben ist. Netzpolitik berichtet, dass es Vorschläge der MdEPs gibt, die eine Zusammenarbeit von Internetprovidern und Musikt-/Filmindustrie bei der Bekämpfung von Urheberrechtsverletzungen zum Inhalt haben. Damit sind wir wieder bei dem Thema Internetsperren und tiefgreifenden Kontrollen der übertragenen Inhalte. Wie schon damals, ist das auch heute inakzeptabel. Nehmt daher bitte Kontakt zu den Parlamentariern auf und überzeugt sie, die Finger davon zu lassen. Marion Goller hat in den Kommentaren zum obigen Netzpolitik-Artikel einen Musterbrief verfasst, den ich auch hier mit hinterlege:

Dear [name der/des Abgeordneten],

With great concern have I read the new draft report on the EU Action Plan for Enforcement of IP Rights (2014/2151(INI)) from Feb 2nd of this year.

According to the report, enforcement of copyright is so vitally important, that “all actors in the supply chain” should be involved in it. Meaning, access providers and service providers of all kinds should help the copyright industry in maintaining ever stricter control about there “intellectual property”. Such control requires knowledge. Hence, the plans would force both access providers and service providers to monitor user behaviour. Such an intrusion into user privacy is not acceptable.

Three years ago, the EU parliament has voted against such regulation when it refused to pass ACTA. Now the same plans are back. They are both unnecessary and harmful.

“Piracy” is already on the decline. The success of platforms such as such as iTunes, Amazon Music, Spotify and Netflix shows that it has always been a lack of legal offers that drove people to “piracy”, not their unwillingness to pay for art.

Even if “piracy” can never be completely stifled, it is worth noting that the EU is a net importer of those types of media that are typically “pirated”, namely music and video files. The people who claim that piracy harms the EU economy therefore should get their facts straight. If anything, the EU economy benefits from piracy, because every cent that is not spent on songs sold by the US music industry or on Hollywood movies can be spent here at home.

(Joe Karaganis, vice president of the American Assembly at Columbia University, noted this a few months ago: http://piracy.americanassembly.org/a-note-on-teras-the-economic-contribution-of-the-creative-industries-to-eu-gdp-and-employment/ )

The real proponents of these plans are an oligopoly of US based media corporations. Three Major Labels now control 70% of the global music market while Hollywood serves up to 60% of the movie market. “Think small first” indeed…

Most likely, the new provisions would do nothing but stifle competition. The regulations would make it more cumbersome and expensive for new access providers, service providers and other kinds of start-ups to get their businesses off the ground. Meanwhile, in the creative sector, the plans would strengthen the oligopoly already in place, favouring Hollywood and the Major Labels even more. Small and medium sized businesses of all sectors, which the plan claims to protect, would in fact be harmed.

The European creative industry may suffer from many things. Lack of copyright enforcement is not one of them.

Sincerely,

[Name] (concernded EU citizen)

Die aktuellen Nachrichten über Wanzen in Festplatten oder geknackte SIM-Karten hören sich auf der einen Seite sehr bedrohlich an, auf der anderen Seite werden viele dies abtun, als Verschwörungstheorie oder »Betrifft-mich-nicht«. Doch dann war von Barbies zu lesen, die alles mithören und ins Internet übertragen und Samsung warnt, vor seinen Fernsehgeräten nichts Privates zu erzählen. Im letzteren Fall werden die Daten im Klartext übertragen und damit kann jeder mithören, was vor dem gerät erzählt wird. Der große Lauschangriff mal ganz anders.

Lenovo reiht sich nun ebenfalls in die Liste der Hersteller ein, die offensichtlich wenig auf die Privatsphäre der Käufer geben. Verschiedene Medien (The Next Web, Forbes, Heise, ZEIT Online, Golem u.a.) meldeten, dass Lenovo auf Laptops die Software SuperFish Visual Discovery vorinstalliert. Dies ist Adware, d. h. sie blendet Werbung auf Webseiten ein. Dies wird dadurch bewerkstelligt, indem ein Schnippsel JavaScript geladen wird und die unerwünschten Inhalte überträgt. Doch damit gaben sich die Hersteller der Software nicht zufrieden. In die vorab installierten und damit vertrauenswürdigen Zertifikate wurde auch ein Zertifikat eingefügt. Immer wenn nun eine verschlüsselte, sichere Webseite besucht wird, kommt das Zertifikat nicht von der ursprünglichen Webseite, sondern von der SuperFish-Software. Damit kann die Software den verschlüsselten Datenverkehr mitlesen und diese Daten auch manipulieren. Dieser so genannte Man-in-the-Middle-Angriff ist eine klassische Angriffstechnologie und dient in der Regel nicht guten Zwecken.

Die EFF beobachtet seit längerem den Status von Zertifikaten mit dem SSL Observatory und meldete, dass sie in dem Datensatz 44.000 dieser SuperFish-Mitm-Zertifikate fanden. Das Bild links zeigt ein wenig Quellcode. Demnach versucht die Software ihr Zertifikat in verschiedene Browser zu importieren. Das erklärt auch, warum u.a. auch Firefox betroffen ist. Denn im Gegensatz zu Google Chrome nutzt dieser nicht die Zertifikatsverwaltung von Windows.

Robert Graham hat neben anderen Forschern das Zertifikat aus der Software extrahiert und in kurzer Zeit das Passwort ermittelt (Das Passwort »komodia« liefert dann auch den Hinweis auf den Komodia SSL Digestor). Wie er schreibt, benötigte er keine Spezialkenntnisse. Ein geschickter Angreifer kann dies ebenfalls tun. Damit lässt sich dann auch für Dritte sämtliche verschlüsselte Kommunikation brechen. Aber der Superfish Software scheint auch der Status fremder Zertifikate egal zu sein. In einer Diskussion auf Hacker News berichtete jemand, dass die Software beliebige (auch ungültige) fremde Zertifikate akzeptiert. Ähnliches geht auch mit fakehost.lenovo.com oder CanIBesuperFished.com. Insgesamt reißt die Software damit ein riesengroßes Loch in die Sicherheit der Rechner. Mich erinnerte das spontan an den Fall von Sony, die auch Malware auf die Rechner installieren.

Was lässt sich nun gegen die Infektion tun? Die Software selbst ist in der Liste der installierten Programme von Windows zu finden und kann dort einfach deinstalliert werden. Allerdings bleiben eine Reihe von Einträgen in der Registry und das Zertifikat noch erhalten. Hier ist dann Handarbeit angesagt. Dazu müsst ihr den certmgr von Windows öffnen und das Zertifikat entfernen. Bei der EFF gibt es eine Schritt-für-Schritt-Anleitung, wie das zu tun ist.

Lenovo hat mittlerweile reagiert und einerseits ein schönes Statement bei Twitter abgegeben:

We’re sorry. We messed up. We’re owning it. And we’re making sure it never happens again. Fully uninstall Superfish: http://t.co/mSSUwp5EQE

— Lenovo United States (@lenovoUS) 20. Februar 2015

Daneben gibt es eine Veröffentlichung, die den Vorfall klar als Vulnerability mit hohem Impact benennt. Die Veröffentlichung hat auch eine Liste der Produkte, die betroffen sind.