CCC warnt: Offene Hintertür in Windows NT

Der Chaos Computer Club aus Hamburg warnt Anwender von Windows NT: Eine detaillierte Untersuchung des Betriebssystem durch einen amerikanischen Sicherheitssoftware-Entwickler habe eine „massive“ Hintertür in den Betriebssystemen Windows 95, 98, NT sowie der Betaversion von Windows 2000 aufgedeckt.

Die Tür sei auf Initiative des US-Geheimdienstes NSA (National Security Agency; www.nsa.gov) eingebaut worden, so CCC-Sprecher Andy Müller-Maguhn. Die Entdeckung (www.cryptonym.com/…) durch Andrew Fernandes werfe einen dunklen Schatten auf die Sicherheit der Microsoft-Betriebssysteme.

Laut Aussagen des CCC versucht die NSA eine „weltweite Kommunikationskontrolle“ durch den Einbau von Hintertüren in die marktdominierenden amerikanischen Softwareprodukte zu erreichen.

Die von Microsoft für Programmierer zur Verfügung gestellte Anwendungsschnittstelle für Verschlüsselungsfunktionen, die sog. „Crypto API“ ist gegen das Einspielen und Verändern von Verschlüsselungsmodulen im Betriebssystem normalerweise geschützt. Externe Programmierer oder Unternehmen, die Verschlüsselungsfunktionen für die Microsoft-Betriebssysteme zur Verfügung stellen, müssen diese Module zunächst von Microsoft (Börse Frankfurt: MSF) signieren lassen, bevor sie in der Crypto API verfügbar sind.

Bei der Integration von externen Verschlüsselungsmodulen werden laut CCC diese von der Crypto API auf die entsprechende korrekte Signatur mit einem Microsoft-RSA Key geprüft. Zum Zwecke dieser Prüfung befindet sich der Microsoft RSA Public Key im entsprechenden Modul neben einem weiteren, bislang nicht identifizierten RSA Public Key. Durch die versehentliche Herausgabe einer noch mit Debug-Symbolen versehenen Version des Prüfmoduls (in Windows NT4, SP5) konnte jetzt der zweite RSA Key als offensichtlich dem Geheimdienst NSA zugehörig identifiziert werden. Er wird im Programm als „NSAKEY“ bezeichnet.

Deswegen sei eine sichere Verschlüsselung mit der Microsoft Crypto API nicht möglich, so der CCC. Durch ein Signierung von der NSA produzierter unsicherer Verschlüsselungsfunktionen sei es möglich, eigentlich sichere Verschlüsselungsmodule zu überspielen.

„Der wirtschaftliche und gesellschaftliche Schaden durch derartige Hintertüren in amerikanischen Softwareprodukten ist kaum abschätzbar. Es kann einfach nicht angehen, daß die deutsche Bundesregierung auf der einen Seite autonome Verschlüsselung fördert, auf der anderen Seite sich selbst auf derartig unsichere Betriebssysteme verläßt“ kommertierte CCC-Sprecher Müller-Maguhn den Vorfall. „Selbst in sensiblen Bereichen des Bundestages und der Regierung wird Windows eingesetzt“.

Der Chaos Computer Club fordert, eine Deklarationspflicht für Hintertüren bei Software einzuführen. Dies gelte insbesondere für Software aus Ländern, in denen die Hersteller per Gesetz zum Einbau entsprechender Hintertüren oder Sicherheitseinschränkungen verpflichtet werden können. „Die Benutzer sollten nicht länger mit scheinbaren Sicherheitsfunktionen getäuscht werden“, sagte CCC-Sprecher Frank Rieger.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

1 Tag ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

2 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

2 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

2 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

4 Tagen ago