Microsoft (Börse Frankfurt: MSF) hat Angaben, wonach seine Betriebssysteme Windows 95, 98, NT sowie die Betaversion von Windows 2000 eine Hintertür für den US-Geheimdienst National Security Agency (NSA) enthalten würden, zurückgewiesen. Diese Behauptung hatte am Freitag unter anderem der Chaos Computer Club (CCC) unter Berufung auf den Entwickler Andrew Fernandes aufgestellt.
Der Windows-NT-Security-Produktmanager Scott Culp nannte die Affäre einen „Sturm im Wasserglas“: Die vermeintliche Hintertür – ein Schlüssel mit der Bezeichnung „NSAKEY“ – diene lediglich dazu, die vom Wirtschaftsministerium geforderte digitale Signatur von Unternehmen zu überprüfen. „Sie ist da, weil wir damit die Export-Kontrollbestimmungen einhalten, die die NSA überwacht“, erklärte Culp.
Er räumte ein, Microsoft habe sich bei der Namensgebung ungeschickt verhalten: „Es ist ein wirklich blöder Name“, sagte Culp, „wir werden ihn anschließend wohl ändern“. Microsoft habe den Schlüssel, also den Zugang zu den Betriebssystemen, jedoch nicht an den Geheimdienst weitergegeben: „Das ist absolut gegen unsere Geschäftsbedingungen“, beteuerte Culp.
Microsoft hatte in seinem Dementi zudem erklärt, Fernandes Firma Cryptonym biete eine Software (www.cryptonym.com/…) zum Schließen der vermeintlichen Hintertür an und verdiene so ihr Geld. Die Software, derzeit nur für Windows NT und 2000 erhältlich, ist jedoch kostenlos zu haben.
Der renommierte Sicherheitsexperte Richard Smith, Chef von Phar Lap Software, bewertete die Sicherheitslücke allerdings als „eher klein“ und konstatierte: „Wie in den meisten Fällen ist dort, wo Rauch ist, auch Feuer. Aber in diesem Fall ist das Feuer nicht sehr heiß.“
Der CCC, beziehungsweise Fernandes, hatten erklärt, daß die von Microsoft für Programmierer zur Verfügung gestellte Anwendungsschnittstelle für Verschlüsselungsfunktionen, die sogenannte „Crypto API“, gegen das Einspielen und Verändern von Verschlüsselungsmodulen im Betriebssystem normalerweise geschützt sei. Externe Programmierer oder Unternehmen, die Verschlüsselungsfunktionen für die Microsoft-Betriebssysteme zur Verfügung stellen, müssen diese Module zunächst von Microsoft (Börse Frankfurt: MSF) signieren lassen, bevor sie in der Crypto API verfügbar sind.
Bei der Integration von externen Verschlüsselungsmodulen werden diese laut CCC von der Crypto API auf die entsprechende korrekte Signatur mit einem Microsoft-RSA-Key geprüft. Zum Zweck dieser Prüfung befindet sich der Microsoft RSA Public Key im entsprechenden Modul neben einem weiteren, bislang nicht identifizierten RSA Public Key. Durch die versehentliche Herausgabe einer noch mit Debug-Symbolen versehenen Version des Prüfmoduls (in Windows NT4, SP5) konnte jetzt der zweite RSA Key als offensichtlich dem Geheimdienst NSA zugehörig identifiziert werden. Er wird im Programm als „NSAKEY“ bezeichnet.
Deswegen sei eine sichere Verschlüsselung mit der Microsoft Crypto API nicht möglich, stell der CCC fest.
Kontakt: Microsoft, Tel.: 089/31760
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.