Donnerstag, 21. Mai 2015

Sicherheit - von paternalistischen Vollidioten konzipiert

In einem früheren Beitrag hatte ich schon beschrieben, wie IT-Sicherheit ganz bestimmt nicht aussehen sollte. Vor kurzem stieß ich auf ein weiteres Beispiel, das umso verstörender ist, weil sich hier ein Grundproblem der Free-Software-Szene zeigt: Die absolute Ignoranz der Tatsache gegenüber, dass es außer dem eigenen Ego noch irgendein menschengeschaffenes Objekt im Universum gibt.

Es entspricht ungefähr dem Horrorklischee, das man von Krankenschwestern hat: Morgens um 5 ins Zimmer stürmen, Licht mit Flakscheinwerferhelligkeit anschalten, Medikamente - gern auch welche gegen Schlafstörungen - verteilen, Blutdruck messen, Waschen und zehn Minuten später wieder rausstürmen. Fragt man, warum das unbedingt um 5 Uhr stattfinden muss und nicht um 7, zumal vor 10 sowieso nichts weiter passiert, bekommt man fast beleidigt die Antwort, das müsse so sein, "wir" wollen ja schön schnell wieder gesund werden. Das ist natürlich Quatsch. Tatsächlich ist es in ihrem Schichtplan sinnvoll, morgens um 5 mit Wecken und Waschen zu beginnen. Dass ihre Patienten möglicherweise andere Anforderungen haben könnten als der Schichtplan, ist ihnen vollkommen egal, schlimmer noch: Es kommt ihnen nicht einmal in den Sinn

Genau diese, nennen wir es optimischerweise Geisteshaltung legen viele Autoren freier Software an den Tag. Sie haben irgendwann einmal für ihre eigenen Bedürfnisse ein Programm geschrieben und beschlossen, es unter eine freie Lizenz zu stellen. Was ihnen offenbar nicht in den Sinn kam, war der Gedanke, dass es irgendwo im Universum ein empfindungsfähiges Wesen geben könnte, das dumm genug ist, dieses Geschmiere ebenfalls zu verwenden.

Genau das ist aber bei GnuPG passiert. Die Welt brauchte ordentliche Verschlüsselung, und GnuPG lieferte sie. Nun ist das Schreiben sicherer Software, insbesondere von Verschlüsselungssoftware keine Trivialität. Das merkt man spätestens nach Katastrophen wie bei Cryptocat, bei dem ein relativ banaler Programmierfehler über 19 Monate nicht behoben wurde. Heartbleed: drei Jahre. Shellshock: ein Vierteljahrhundert. Zugegeben, die Bash ist keine Verschlüsselungssoftware, aber das Stück Code, das eines der wichtigsten Serverbetriebssysteme seit Jahrzehnten als Standardarbeitsoberfläche verwendet. Die Botschaft ist aber klar: An kritischen Infrastrukturkomponenten bastelt man nicht einfach mal so herum. Mailverschlüsselungssoftware gibt es mehr als man an einem Nachmittag aufzählen kann, aber funktionierende, sichere und auch noch freie Mailverschlüsselungssoftware gibt es nur sehr wenige, und die wenigen Programme setzen großteils auch noch auf GPG auf.

Das ist in erster Linie sogar gut, weil man dann wenigstens einen Standard hat, die Szene nicht ihre Aktivitäten in dutzenden ähnlicher Projekte vergeudet und man sich im Wesentlichen um ein einziges Stück Code kümmern muss. Dumm ist nur, wenn sich dieses eine Stück Code in schlechten Händen befindet.

Dabei ist es nicht einmal die zentrale Verschlüsselungskomponente, die mir Sorge bereitet, sondern die Passworteingaberoutine. Über Jahrzehnte öffnete sich einfach ein Fenster, man klimperte sein Passwort rein, und alles war gut. Bis GnuPG2 kam. Da entschied der Autor, Passworteingabe sei Männersache, da müsse mal was Ordentliches her und schrieb - das genaue Gegenteil: Pinentry.

Pinentry ist ein mieses, kleines, dreckiges, unbenutzbares Stück in Code geronnenen Paternalismus'. Man könnte es mit Hilfe eines kleinen Häkchens in ein benutzbares Stück Software verwandeln, aber dazu weigert sich der Autor seit Jahren.

Was ist geschehen? Im Prinzip hatte der Autor sogar den richtigen Gedanken. Das Eintragen von Passwörtern mittels Copy und Paste ist eine heikle Angelegenheit, weil man darauf vertraut, dass niemand in die Zwischenablage schaut, während dort das Passwort liegt. Entsprechend unterbindet Pinentry Copy und Paste. Das kann ich verstehen. Was ich nicht verstehen kann, ist die Tatsache, dass Pinentry keine Möglichkeit hat, bei Bedarf die Zwischenablage wieder einzuschalten.

Dieses Verhalten ist, wie eingangs schon erwähnt, typisch für die Free-Software-Szene und in meinen Augen einer der Gründe, warum sie nicht schon längst der proprietären Software den Rang abgelaufen hat. Es ist nicht etwa so, dass die Autoren freier Software technisch inkompetent sind. Eher das Gegenteil ist der Fall. Dummerweise ist diese technische Begabung oft gepaart mit einer ans Pathologische grenzenden Unfähigkeit zu zwischenmenschlicher Kommunikation. Die Freie-Software-Autoren sind meist hochintelligente Leute, die sehr lange nachgedacht haben, bevor sie ihren Code schrieben. Was ihnen völlig abgeht, ist die Einsicht, dass man auf der gleichen Datenbasis mit ebenso sauberen Gedankengängen zu anderen Ergebnissen kommen kann. Heraus kommen dann Aktionen wie vor ein paar Jahren, als die FSFE anlässlich des Free Software Days diverse Behörden angeschrieben und zur Verwendung offener Dateiformate aufgefordert hatte. Wohlgemerkt: aufgefordert, nicht gebeten. Ich habe das entsprechende Schreiben gelesen und wusste sofort: So wird das nie was. Statt freundlich auf die Lage hinzuweisen, Optionen zu eröffnen und einzuladen, strotzte das Schreiben nur so von Vorwürfen und Paragraphen, gegen die man mit der Verwendung proprietärer Formate angeblich verstoße. Entsprechend sah auch die Reaktion der Angeschriebenen aus: Bis auf ein Ministerium reagierte niemand, und dieser eine schrieb in kaum verblümter Form: Leck mich, Bubi und komm wieder, wenn du Manieren gelernt hast.

Der Mensch von der FSFE, mit dem ich darüber sprach, war ganz von den Socken. Was sich das Ministerium denn anmaße, so mit ihm zu reden. "Ich weiß nicht, ob du deine eigenen Briefe liest, bevor du sie abschickst", entgegnete ich. "In dem Ton brauchst du nicht damit zu rechnen, dass dir irgendwer vernünftig antwortet." - "Aber ich habe doch nur geschrieben, was wahr ist."

Was wahr ist. Das mag sein, aber dass der Kerl vom Ministerium proprietäre Software möglicherweise nicht etwa einsetzt, um die Welt in den Faschismus zu treiben, dass er vielleicht Vorgaben hatte, oder dass er streng dem uralten Motto "nobody ever got fired for choosing IBM" folgend einfach einen Stapel MS-Office-DVDs bestellt hat, wohl wissend, dass er dann in seiner Abteilung das wenigste Gejammer zu erwarten hat, kam dem FSFE-Menschen nicht in den Sinn.

Ähnlich ist es mit Pinentry. Generell ist es bestimmt eine gute Idee, aus Sicherheitsgründen Copy und Paste von Passwörtern zu unterbinden, aber trotz jahrelanger Bitten einen Knopf "Ich weiß, was das bedeutet, aber jetzt lass mich trotzdem die Zwischenablage verwenden" nicht zu implementieren, ist einfach übergriffig. Wenn ich von der Community einen mittleren fünstelligen Dollarbetrag pro Jahr fordere, um mein Projekt fortführen zu können, ist es eben nicht mehr nur mein Projekt. Ich werde von dieser Community bezahlt, um ein Produkt zu schreiben, mit dem sie arbeiten kann, und wenn die Community einen "I-know-what-I-do"-Knopf haben will, dann habe ich den zu liefern, auch wenn es meinen persönlichen Sicherheitsabwägungen nicht entspricht. Das Geld zu kassieren, Leistung zu mit der Begründung  zu verweigern, man wisse besser, was für andere richtig ist, grenzt schon an Unverschämtheit.

"Ja, aber er hat doch recht. Die Zwischenablage ist hoch gefährlich, und wenn da eine Schadsoftware mitliest, dann, dann - werden wir bestimmt alle sterben, wenn nicht sogar noch mehr."

Ich schreibe es mal für Leute mit einem IQ unter 70: Welchen Teil des Satzes: "Mein System ist infiziert" habt ihr nicht verstanden? Wenn ihr befürchten müsst, dass Schadsoftware eure Zwischenablage ausliest, wird diese Schadsoftware potenziell auch eure Tastaturanschläge mitlesen und euren Bildschirminhalt abfotografieren können. Wenn ihr befürchten müsst, dass euer System verseucht ist, solltet ihr es nicht benutzen, egal wozu. Die Zwischenablage zur Verbotszone zu erklären und sich dann sicher zu fühlen, ist etwa so idiotisch, wie die Laptopkamera zuzukleben. Das mögen Maßnahmen sein, die Laien einen gewissen Schutz bieten, aber spätestens wenn ich mit Profis spreche, kann ich davon ausgehen, dass die im Zweifelsfall schon wissen, warum sie bestimmte Risiken eingehen wollen. Im Gegenteil: Wenn ein gestandener Admin in meinem Projekt auftaucht und ich auf seinem Rechner einen Kameraaufkleber sehe, bekommt er von mir keinen Netzwerkzugriff. Wenn jemand mit einem Tagessatz von 2000 € seinem eigenen Rechner nicht einmal so weit über den Weg traut, um auszuschließen, dass Schadcode seine Kamera unter Kontrolle hat, sollte er sich nicht anmaßen, die IT-Sicherheit meines Unternehmens verbessern zu wollen - ganz davon abgesehen, dass er damit gerade einmal die Kamera als Angriffsvektor auschließt, das Mikrofon aber offen lässt und erst recht nicht verhindert, dass ein Programm seine komplette Platte liest.

Was ist mit körperlich Behinderten, die Schwierigkeiten mit dem Eintippen langer Passwörter haben? Sollen die ihr Passwort für alle schön hörbar ins Mikrofon schreien? Was ist mit alten Menschen, die Schwierigkeiten damit haben, sich viele und komplizierte Passworte zu merken? Ist Computersicherheit das Privileg intelligenter Mittdreißiger mit intakten Händen? Haben Alte und Behinderte kein Recht auf sichere Kommunikation?

Wissen Sie, worauf das Sperren der Zwischenablage bei Pinentry hinaus läuft? Dass die Leute ihre privaten Schlüssel mit einbuchstabigen Passwörtern versehen, am besten alle gleich "a". Vielleicht kommt in der Folge der Pinterest-Autor dann auf die Idee, das Programm mit einem Passwort-Meter zu versehen, am besten mit einer ganz tollen Policy, die 20 Zeichen Mindestlänge, davon keins doppelt, mit mindestens drei, höchstens fünf Sonderzeichen aus einem Nicht-ASCII-Zeichensatz plus Wörterbuchfilter, der nach zehnminütiger Prüfung alle Passworte zurückweist, bei denen auch nur ein Teilstring in irgendeinem Wörterbuch zu finden ist. Damit wäre doch der feuchte Traum der Sicherheitsoberlehrer wahr geworden: Supersichere Software, die außer einem elitären Zirkel selbstbefriedigter Nerds kein Mensch nutzt.

Keine Kommentare: