comment 0

Die Apple Watch – Ein erster Kommentar

Kaum ein Produkt aus dem Hause Apple hat in jüngster Vergangenheit für so viel Gesprächsstoff gesucht wie die Apple Watch. Nicht ganz zu Unrecht hat Apple doch bereits mit dem iPod und dem iPhone ganze Gerätetypen zu einem gewissen Grad revolutioniert. Es wäre dem Konzern aus Cupertino durchaus zuzutrauen, dasselbe auch für Smartwatches zu schaffen – ein Segment das zwar bereits existiert, aber zumindest im Fall der meisten Android Devices immer noch ein Nischendasein fristet.

Während der offizielle Verkaufsstart der Apple Watch in der Schweiz von vielen herbeigesehnt wird, werde ich kaum zu jenen gehören, die mittelfristig zu den Besitzern der hippen Apple Smartwatch zählen. Der Fakt, dass ich als Android Nutzer nur begrenzt von den Funktionen profitieren würde ist da ein wichtiger Grund, aber auch ansonsten übt die Apple Watch wenig Anziehungskraft auf mich aus. Zu sehr mag ich den zeitlosen Charme von traditionellen, mechanischen Uhren – zum Beispiel der abgebildeten Omega Speedmaster, die auch nach 30 Jahren noch anstandslos ihren Dienst verrichtet.

Omega Speedmaster
Omega Speedmaster

Trotzdem können Experten wie auch Konsumenten kaum verneinen, dass Smartwatches über die vergangenen Monate hinweg eine gewisse Akzeptanz gewonnen haben, die mit der Einführung der Apple Watch sicherlich weiter wachsen wird. Die Nutzung als Second Display erscheint intuitiv. Der Nutzen für den Anwender hängt hier vermutlich vom allgemeinen Nutzungsverhalten ab: Wer ohnehin jedes Vibrieren seines Gerätes mit einem prüfenden Blick auf die auslösende Notifikation quittiert, der wird sich am sanften Pochen seiner Apple Watch sicherlich erfreuen.

Dreissig Prozent des Goldes pro Jahr

Klar ist auch: Apple zielt mit seinem neusten Produkt nur sekundär auf den Technologie-, sondern auf den Luxusmarkt. Die Präsentation und die Einführung der Apple Watch ist hier das Resultat einer Entwicklung, die man nach der Verpflichtung von Angela Ahrendts, ehemalige CEO der Luxusmarke Burberry, im Jahr 2013 schon absehen konnte. Das deutlichste Beispiel dafür zeigt sich darin, dass Apple nebst den sportlichen Varianten der Apple Watch mit Gummi- und Stahlbändern auch eine Edelvariante mit 18 Karat Goldgehäuse anbietet. Gerade in Märkten wie China sind diese Modelle gefragt und Apple rechnet mit rund einer Million verkauften Exemplare pro Monat für dieses exklusive Modell. Sollten diese Zahlen akkurat bleiben, so würde Apple rund 30 Prozent des jährlichen Goldertrags weltweit verarbeiten – und ein vielfaches dessen, was die traditionelle Uhrenindustrie jedes Jahr benötigt.

Die Verwendung von Edelmetallen in Uhren hat Tradition. Bei einer Uhr von Rolex oder Audemars Piquet gehört Gold zu den Standardmaterialien. Bei einer Smartwatch dagegen, ist das in dieser Grössenordnung eine neue Entwicklung, die durchaus Fragen aufwirft. Allem voran: Wie langlebig ist die Apple Watch? Während eine Rolex Daytona ihren Besitzer mühelos überleben kann, ist zu erwarten dass die erste Generation binnen drei Jahren ihren Lebenszyklus abschliessen wird, bevor technologisch interessantere Nachfolgervarianten das Zepter übernehmen. Inwiefern hier Konsumenten bereit sein werden, signifikante Beträge für ein in Edelmetall gehülltes Gadget auszugeben, das eine derart kurze Lebenszeit aufweist, ist zweifelhaft.

Tatsache ist: Funktional hat die Apple Watch durchaus Potential. Obschon sie momentan primär als klassisches Second Display am Handgelenk dient, kann schon abgeschätzt werden, dass hier für clevere Applikationsentwickler viel Spielraum geschaffen wird. Denkbar sind Echtzeitinformationen zur Umgebung, relevante Informationen basierend auf Sensorinformationen im Stile von Google Now und generell Anwendungsfälle, in denen die ständige spontane Verfügbarkeit des Displays relevant sind.

So prüfen einzelne Unternehmen bereits den Einsatz von Smartwatches im Stile eines Pager-Revivals. Auch als möglicher Authentisierungsfaktor wurden Smartwatches bereits wiederholt diskutiert. Gerade auch als Sicherheitssicht bietet die Apple Watch damit Potenzial – und birgt Risiken.

Bluetooth als Angriffsvektor?

So ist bislang wenig über allfällige technische Angriffe auf die Apple Watch bekannt. Tatsächlich ist aber denkbar, dass das Device mit seiner persistenten Bluetooth Verbindung zum Hauptgerät, traditionellerweise ein iPhone, als Einfallstor missbraucht werden könnte. Eine solide Authentisierung ist an der Uhr nur schwerlich machbar, zumal die Eingabeoptionen über die Krone und das kleine Display denkbar marginal ausfallen. Dass diese Thematik aber, gerade im Businessumfeld, für Diskussionen sorgen wird, ist unbestritten. So wurde bereits der etwas hanebüchene Begriff Wear your own device durch Fachmedien in die Runde geworfen.

Einen ersten Eindruck über die Sicherheitsbedenken, die mit Smartwatches aktuell werden, gibt ein Whitepaper aus dem Jahr 2015, das Boning-Lee-Valdez zur Pebble Smartwatch verfasst haben. In ihrer Analyse berücksichtigen die Autoren kommunikationsbasierte Angriff auf das Gerät und stellen auch die Frage, inwiefern mit WatchApps unter Umständen ein sicherheitsrelevantes Problem generiert werden könnte.

Auch wenn es der Apple Watch, Android Wear und andere kleinere Exponenten der Smartwatch Industrie heute noch etwas an Akzeptanz und Relevanz fehlt, so tun Unternehmen gut daran, sich mit der Problematik von funktional höheren Smartwatches und anderen Wearables vertraut zu machen und sich entsprechende Strategien zurechtzulegen. Denn während die derzeitige Generation nicht zu einer Revolution im Stile des Smartphones führen dürfte, so ist die nächste, mächtigere Iteration nur eine Frage der Zeit.

comment 0

Es dauerte vier Jahre, den Begriff “Penetration Testing” zu definieren.

Am 26. März 2015 erschien das Penetration Testing Guidance des PCI Security Standards Council in dem der Penetration Testing Execution Standard als offizielle Referenz zur Definition und Durchführung von Penetration Tests genannt wird. Ein kurzer Rückblick.

Es war ein Freitag im Januar 2011. Washington DC lag unter dickem Schnee begraben – vermutlich derselbe Schnee der zu zahlreichen Verzögerungen meiner Anreise und einem go-around beim Anflug auf Dulles führte. Winter ist nicht die beste Zeit um DC zu besuchen, wie ich feststellen musste. Die National Mall menschenleer, die Pfade vereist. Abraham Lincoln, respektive die Statue zu seinen Ehren, schien hier einige ruhige Tage zu geniessen.

Aber der Grund meiner Reise war nicht touristischer Natur, so oder so. Ich hatte den Weg nach Washington auf mich genommen, um gemeinsam mit einer handvoll Gleichgesinnter eine Initiative zu starten, mit dem Ziel die Infosec-Industrie zu verbessern.

Viele grundlegende Probleme der Informationssicherheit liegen der hohen Komplexität, technisch wie auch strukturell der Thematik zugrunde. Das Konzept des Penetration Testings ist ein gutes Beispiel dafür: Mangels einer formellen Definition bleibt die Interpretation dem Einzelnen überlassen, was meistens in einer losen Form der Fragestellung “Ist ein Eindringen in das Unternehmen möglich?” endet. Der Detailgrad mit dem diese Frage beantwortet wird, variiert entsprechend. Während in einem Fall eine seriöse Überprüfung, eine solide Analyse der möglichen Bedrohungen und eine Korrelation zu den Business Cases des Zielunternehmens angestellt werden könnte, könnte man sich auf der anderen Seite des Spektrums auf eine oberflächliche technische Analyse, oft auf Basis von automatisierte, signaturbasierten Softwareprodukten beschränken.

Während beide dieser Ansätze sicherlich ihre Daseinsberechtigung haben, so ist es problematisch sie beide mit der identischen Bezeichnung “Penetration Test” zu identifizieren. Für ein Unternehmen, dessen Kerngeschäft ausserhalb der IT liegt, grenzt es am Unmöglichen, ein Angebot im Hinblick auf seinen Preis und Umfang korrekt einzuschätzen. Nur allzuoft werden daher Tests durchgeführt, die individuellen der Bedrohungssituation eines Unternehmens nicht die gebührende Achtung entgegenbringen. Dementsprechend wird ein falsches Gefühl der Sicherheit geschaffen – passiert wegen fehlender Achtsamkeit ein wirklicher Einbruch, so steht sowohl das Unternehmen wie auch die Branche der Penetration Testing-Anbieter schlecht da.

Zurück nach Washington DC: In einem Meetingraum des Hiltons hatten sich insgesamt fast zwanzig Personen eingefunden. Jeder von uns mit ausgewiesener Erfahrung im Bereich Pentesting, jeder mit der selben Frustration über die obengenannte Problematik, wenn auch mit variierendem Ausprägungsgrad. Wenige Stunden später war der Penetration Testing Execution Standard in seiner Urform geboren: Auf einer Grösse, die ungefähr einem A4-entsprach, war in Form eines Mindmaps abgebildet, was ein Pentest in seinen Grundzügen umfassen sollte: Vom Pre-Engagement bis hin zum Post-Exploiting.

In den folgenden Wochen und Monaten – mittlerweile Jahren – wuchs aus diesem Mindmap eine deutliche grössere, detailreichere Version mit Dutzenden von Referenzen, Hintergrundartikeln und Howtos. Die Anzahl von Personen, die das Projekt unterstützten wuchs täglich. Einladungen von Konferenzen und Pocasts, die dem Projekt eine Plattform geben wollten, folgten. Nach der initialen Begeisterung wurde es ruhiger – aber im Hintergrund ging die Arbeit weiter. Langsam, aber stetig etablierte sich der PTES als Referenzmodell und tauchte immer öfters an unerwarteter Stelle auf, so zum Beispiel auch auf der Webseite eines neugegründeten Schweizer Mitbewerbers.

Am 26. März 2015 passierte dann, für mich unerwartet, war ich als einen wahren Meilenstein für dieses Projekt betrachte: Das PCI Security Standards Council veröffentlichte ein Dokument, als Teil des PCI-DSS an den auf Compliance-Ebene viele Unternehmen weltweit gebunden sind, das den Penetration Testing Execution Standard als Referenz für die Durchführung von Tests nennt.

Was auf einem einzelnen Blatt Papier begann ist nun eine akzeptierte Definition. Das ist eine Tatsache, auf die jeder Stolz sein sollte, der in irgendeiner Form am PTES mitgearbeitet hat, von meinen Mitgründern bis hin zu den zahlreichen Technical Writers, die die Texte überarbeitet haben.

Vier Jahre. Steter Tropfen höhlt eben doch den Stein.

comment 0

Ein Plädoyer für die Netzneutralität

The Internet is the most powerful and pervasive platform on the planet. It is simply too important to be left without rules and without a referee on the field. Think about it. The Internet has replaced the functions of the telephone and the post office. The Internet has redefined commerce, and as the outpouring from four million Americans has demonstrated, the Internet is the ultimate vehicle for free expression. The Internet is simply too important to allow broadband providers to be the ones making the rules. This proposal has been described by one opponent as, quote, a secret plan to regulate the Internet. Nonsense. This is no more a plan to regulate the Internet than the First Amendment is a plan to regulate free speech. They both stand for the same concepts: openness, expression, and an absence of gate keepers telling people what they can do, where they can go, and what they can think.

Tom Wheeler, FCC Vorsitzender

Der 26. Februar war ein wichtiger Tag für das amerikanische Internet: In einer bemerkenswerten Abstimmung entschied die FCC, dass der Zugang zum Internet äquivalent zu Telefonanschlüssen behandelt werden soll.

Konkret heisst das, dass Anbieter wie Verizon und Comcast, um prominente Beispiele zu nennen, keine sogenannten Fast Lanesaufbauen dürfen. Die Idee dahinter wäre folgende: Dienstleister A könnte bei den Netzbetreibern eine sogenannte Fast Lane einkaufen, während ein anderer Dienstleister B darauf verzichtet, entweder willentlich oder aufgrund mangelnder finanzieller Mittel. Versucht ein Benutzer nun auf beide Seiten der genannten Dienstleister zuzugreifen, so hätte er für seinen Zugriff auf Dienstleister A eine signifikant schnellere Verbindung als bei Dienstleister B – und das komplett unabhängig von seiner eigenen Internetverbindung.

Dass solche Deals lukrativ wären, steht ausser Frage. Es überrascht so auch nicht, dass Verizon es sich am Folgetag der Entscheidung nicht nehmen liess, in seinem Corporate Blog auf humorvolle, aber unprofessionelle Art in Morse-Code zum Thema zu äussern.

Unabhängig davon ist der Entscheid der FCC ein wichtiger Erfolg für das Konzept der Netzneutralität. Das zugrundeliegende Konzept sieht vor, dass Daten bei der Übertragung über das Internet als gleich betrachtet werden sollen, unabhängig ihres Ursprungs und ihres Ziels.

Viele Netzbetreiber stehen aufgrund der stetig wachsenden Datenmengen vor Herausforderungen, diese Daten mit hohem Durchsatz und angemessener Verbindungsqualität zu übertragen. So forderten britische Provider schon vor einiger Zeit eine Breitbandabgabe von der BBC, die mit ihrem Videoplayer iPlayer grosse Datenmengen verursacht. Auch sollen derartige Modelle es ermöglichen, zusätzliche Einnahmen für Investitionen in die bestehenden Netze zu erschliessen.

Auch wenn diese Gründe sicher nicht komplett falsch sind, muss man sich vor Augen führen dass diese Art von Regulation innovationshemmend wirken dürfte: Wie soll ein junges Video-on-Demand Streaming Startup gegen etablierte Branchenriesen wie Netflix oder Amazon bestehen ohne massive Ausgaben für eine Fast Lane aufzubringen?

Oder weiter gedacht: Was wenn ein Provider eine exklusive Vereinbarung mit einem Anbieter wie Apple eingeht und Dienste wie Netflix, Spotify und YouTube zu Gunsten von iTunes nicht mehr oder nur in unbrauchbarer, gedrosselter Form anbietet?

Man mag diese Argumentation zu diesem Zeitpunkt als argumentum ad baculum bezeichnen, aber derartige Vorgehensweisen sind keinesfalls ohne Präzedenz: Noch vor wenigen Jahren war es in Deutschland gang und gäbe bei mobilen Datenabonnementen mittels Vertragsbedingungen die Nutzung von Voice-over-IP und Instant Messaging Diensten zu verbieten, da diese die klassischen Ertragsquellen Telefonie und SMS direkt konkurrenzierten.

Auch aus Sicht der Sicherheit und des Datenschutzes wäre eine Wahrung der Netzneutralität zu bevorzugen: Wer Traffic priorisieren will, der muss ihn bis zu einem gewissen Masse auch analysieren. Gerade in der Post-Snowden Ära müsste man den Aufbau entsprechender Infrastrukturen eigentlich zumindest kritisch diskutieren.

Darum ist der Entscheid der FCC erfreulich, hatte man doch lang erwartet dass der Entscheid fundamental anders ausfallen würde.

Hierzulande ist die Diskussion zur Netzneutralität noch jung und muss noch geführt werden. Es bleibt dabei zu hoffen, dass der Entscheid, wie ihn die amerikanische Regulierungsbehörde nun gefällt hat, hier als Wegweiser dienen kann.

comment 0

So Long, and Thanks for All the Superfish

scip_logo
Dieser Beitrag ist im Original auf der Webseite der scip AG zu finden.

Lenovo Thinkpads werden mit einer Software namens Superfish ausgeliefert, die es Angreifern erlaubt, alle Kommunikation mit einfachsten Man-in-the-Middle-Attacken abzuhören. Eine kurze Geschichte.

Eines der robustesten Geräte, die ich jemals besessen habe, war das IBM Thinkpad T42. Über das Neptun-Projekteinigermassen erschwinglich, aber immer noch zu einem stolzen Preis bezogen, leistete das Notebook über Jahre hinweg gute Dienste. Bis es dann vor einigen Jahren – vermutlich als Nebeneffekt der Dauernutzung – in den wohlverdienten Ruhestand ging.

Wer heute ein neues Thinkpad kauft, der landet beim chinesischen Hersteller Lenovo. Der hat mit der Übernahme von IBMs Laptop-Sparte zwar grundsätzlich einen Erfolg verbucht. Die Reputation des chinesischen Konzerns bei IBM Veteranen litt aber weitgehend durch die fortwährende Abnahme der Materialqualität, die man so zu schätzen gelernt hatte. Trotzdem konnten sich die Geräte, vor allem im akademischen und professionellen Bereich, gut etablieren.

Unerwünschte Standardsoftware

Zeitsprung: Wer zwischen September 2014 und Januar 2015 einen Lenovo Rechner gekauft hat, sieht sich aber mit ganz anderen Problemen als der Absenz eines Magnesium-gefertigten Deckels konfrontiert. Neben dem mitgelieferten Betriebssystem und verschiedenen Utilities, über deren Nutzwert sich streiten lässt, lieferte Lenovo in diesem Zeitraum nahezu alle seine Geräte mit einer Adware-Applikation namens Superfish aus.

Sucht basierend auf Bildern und ist Malware

Superfish-CEO Adi Pinhas beschreibt den Zweck der Applikation auf seinem LinkedIn-Profil wie folgt:

Superfish is a pioneering visual search company. Through cutting-edge, patented technology we have developed a visual search engine that analyzes images algorithmically and transforms the way images are searched, seen, utilized and shared over the web. Quite Simply, we are opening up a new way to search.

Kurz zusammengefasst: Superfish analysiert die Bilder auf einer Webseite mittels verschiedenen Algorithmen und bindet dann relevante Suchergebnisse, in die Seite ein. Es dürfte niemanden überraschen, dass es sich bei den besagten Suchergebnissen ausschliesslich um Werbung handelt. Und das Konzept scheint aufzugehen, immerhin hat Pinhas seit dem Launch seiner Firma in 2006 über 20 Millionen US-Dollar von Investoren erringen können.

Markante Eingriffe in die Systemintegrität

Während die Technologie, die Superfish einsetzt, durchaus interessant ist, dürfte schon der Einsatz in der oben beschriebenen Form für die meisten Benutzer bestenfalls ein unerwünschtes Feature darstellen. Man mag auch diskutieren, ob die Installation von Adware auf, zum Vollpreis erworben, Endgeräten durch den Hersteller ethisch tragbar ist. Aber die Geschichte um Superfish ist noch nicht zu Ende und weitaus problematischer.

Die fortschreitende Adoptierung von SSL-verschlüsselten Verbindungen für alltägliche Anwendungen stellt für Superfish ein Problem dar. So hat Google vor einigen Jahren bereits den Wechsel auf SSL-by-default vollzogen. End-zu-End-verschlüsselte Verbindungen verhindern aber zumindest teilweise das Injizieren von Werbung in die ausgelieferte Webseite.

Ein Hindernis stellte das für Pinhas aber nicht dar. Seine Firma implementierte kurzerhand eine pragmatische Lösung für das Problem: Zusätzlich zur Adware installiert Superfish eine neue Root-CA auf dem Zielsystem und erlaubt somit grundsätzlich das Abfangen und Manipulieren sämtlichen Traffics zu sämtlichen Endpunkten.

In einem Interview wurde Pinhas zu den Unterschieden seiner Heimat Tel Aviv zum Silicon Valley, wo Superfish nun ansässig ist gefragt. Seine Antwort:

The way we work, for example, is very different. We work a lot faster. We have fewer meetings, less formality. We are not saying “Sorry;” we are saying straight to your face, “This is a stupid idea.”

Im Anbetracht dessen, dass Superfish eine Userzahl in den zweistelligen Millionen aufweist – ein substantieller Teil davon aus dem Lenovo-Deal – ist es bedauerlich dass niemand den Satz “This is a stupid idea.” in die Diskussion zur heimlichen Installation einer Root-CA ausgesprochen hat. Denn eine dumme Idee ist es in der Tat, wenn eine Institution die weder über die Reputation, die Vertrauenswürdigkeit, noch die Infrastruktur besitzt, verfügt eine solche zu betreiben, es trotzdem versucht. Der Eingriff in die Integrität des Systems ist signifikant und grenzt gefährlich nahe an die Kategorisierung von Superfish als Malware.

Nachdem Benutzer in den Foren von Lenovo über die potenzielle Problematik diskutierten, meldete sich Lenovo bald darauf zu Wort und versuchte abzuwiegeln: Es handle sich bei Superfish um ein Feature, die dem Nutzer helfen soll und abgesehen davon könne man die Terms of User (sic) ablehnen und auf die Nutzung von Superfish verzichten.

Unschön ist nur, dass die genannte Ablehnung der Bedingungen zwar dazu führt, dass Superfish nicht ausgeführt wird – auf die Installation der Root CA hat dies aber keinen Einfluss. Benutzer sind dem Risiko also so oder so ausgesetzt, auch wenn sie im richtigen Moment, konfrontiert mit einer massiven Textwand, den richtigen Knopf drücken.

PR-Desaster und greifbare Risiken

Nachdem Lenovo initial mit mehr oder minder deeskalierender Sprache darauf pochte, es gäbe keine Implikationen für die Sicherheit des Systems, meldete sich Peter Hortensius, seines Zeichens CTO von Lenovo, in einem Interview mit dem Wall Street Journals zu Wort. Man arbeite daran, Superfish zu entfernen aber es handle sich bei den Sicherheitsbedenken um eine rein theoretische Sache.

Wie frappant falsch diese Aussage ist benötigt eigentlich keiner Erklärung, aber “Robert Graham von Errata Security lieferte sie nichtsdestotrotz: In einem Blogpost zeigte er auf, wie sich das Zertifikat inklusive Passwort problemlos und mit kleinem Aufwand extrahieren lässt. Mit dem Zertifikat und dem dazugehörigen Passwort, das übrigenskomodia lautet, kann ein Angreifer ganz untheoretisch Man-in-the-Middle Attacken gegen sämtliche betroffenen Geräte realisieren.

Pikantes Detail: komodia ist nicht nur ganz generell ein schlechtes Passwort sondern weist auch auf die gleichnamige Firma Komodia hin, die entsprechende SSL Redirector Software anbietet, vermarktet mit dem Nutzen die eigenen Kinder zu überwachen. Die Seite des Herstellers ist zur Zeit der Verfassung dieses Artikels wegen hoher Medienaufmerksamkeit nicht verfügbar.

Man würde hoffen, dass die Tragödie nach diesem Proof-of-Concept ein Ende nehmen würde, doch die Realität sieht leider aus. Lenovo veröffentlichte zwar eine Anleitung zur Deinstallation der Software, beschränkte sich dabei aber auf unvollständige Anweisungen bei denen das Zertifikat in Firefox nach wie vor installiert blieb.

Nicht nur darum ist Superfish eine kleine Katastrophe: Während die schiere Inkompetenz im Hinblick auf die Kommunikation und die Behebung des Problems auf Seiten des Herstellers Anlass zu Bedenken geben sollte, handelt es sich bei den betroffenen Geräten um Millionen von Consumer Geräten, die klassischerweise nur selten gewissenhaft gewartet werden. Sogar wenn Lenovo einen automatisierten und funktionierenden Fix veröffentlicht, werden viele Benutzer lange verwundbar bleiben.

Was zu hoffen bleibt ist einmal mehr, dass Superfish ein Argument dafür wird, Neugeräte ohne Bloatware und Added Functionality-Software anzubieten und dass diese Option sich zunehmend als Kaufgrund für Endkunden etabliert. Wer einen Computer kauft, der soll erwarten dürfen, dass dieser nicht bereits von Tag 0 mit Malware verseucht ist – weder mit Superfish, noch sonstiger.