Bericht der taz Redaktion über einen dort erlebten Keylogger-Angriff

‚Es ist wohl reiner Zufall, dass der Keylogger am Ende entdeckt wird. Mindestens ein Jahr lang ist er zuvor im Einsatz‘

In diesem Artikel arbeitet die taz den Anfang letzten Jahres erfolgten Fund eines Keyloggers in der Redaktion umfangreich auf. Das ist aus mehreren Gründen sehr interessant, da es sich nicht nur um eine nochmalige Aufarbeitung des Ablaufs der Ereignisse und der internen Diskussionen, die sich darum entwickelten, handelt:

Was ist ein Keylogger?

Es geht zuerst um die Frage was eigentlich ein Keylogger ist (also ein Keylogger Gerät und nicht eine Software) und wie man sich dagegen schützt. Leider ist das aber ein Angriff, der zum einen von jedem ‚Idioten‘ ausgeführt werden kann, da er keinerlei IT Knowhow erfordert. Zum anderen ist er schwer zu entdecken, da man sich schon einen betroffenen PC vor Ort sehr genau ansehen muss, damit einem so etwas auffällt. Auch hier ist der Fund nur zufällig erfolgt.

pc_von_hinten

Und schließlich ist es schwierig so einen Angriff in Zukunft zu verhindern. Der in dem Text mehrfach auftauchende Rat doch die USB Buchsen zu versiegeln oder abzuschalten geht meiner Meinung dabei in die falsche Richtung: Das Keylogger Gerät wird ja zwischen Tastatur und PC gehängt, und für die Tastatur muss ja nun irgendeine Buchse freibleiben.

Wie kann man seine Nutzer schützen?

Als IT Abteilung kann man eigentlich nur diese Dinge tun:

  • Möglichst viele Dienste auf eine 2-Faktor-Anmeldung umstellen. So kann ein gestohlener Zugang nicht genutzt werden
  • Ein Notlösung ist das Angebot das Passwort per Mausklick (virtuelle Tastatur) eingeben zu lassen. Allerdings werden die meisten Nutzer das hassen
  • Stärkeres Monitoring von Loginvorgängen und Benutzeraktivitäten durchführen um so auf ungewöhnliche Vorgänge aufmerksam zu werden. Das ist ein gutes Mittel, wie die in der taz nachträglich durchgeführten Auswertungen zeigen, aber auch komplex und häufig sicher schwer mit dem Personalrecht zu vereinbaren
  • Bevorzugte Verwendung von Geräten ohne externe Tastatur (Laptop). Das schützt zumindest vor ganz einfachen Angriffen
  • Die Rechte der Nutzer auf den Geräten wenn möglich einschränken, damit nach dem Angriff per Keylogger Hardware nicht anschließend auch noch Schadsoftware installiert wird
  • Regelmäßige Sichtkontrolle aller Geräte (wozu natürlich niemand Zeit hat, aber vielleicht reicht schon die Drohung um einige Angreifer abzuschrecken)

Der Zwang sehr komplexe Passworte und damit einen Passwortmanager zu nutzen kann hingegen kontraproduktiv sein, da das Passwort des Passwortmanagers ggf. auch vom Keylogger mitgeschnitten wird und so alle Passworte verloren sind.

Man sieht: Ein extrem simples Mittel (50€ Gerät) kann einen enormen Aufwand verursachen.

Wie kann man sich selbst schützen

Als Nutzer von IT Systemen kann man ggf. weitere Dinge tun, um sich zumindest teilweise zu schützen:

  • Den Rechner am Arbeitsplatz als faktisch ‚fremden‘ Rechner behandeln, ähnlich wie man es in einem Internetcafe tun sollte. Und z. B. keine privaten Dinge auf dem Rechner tun, damit ein Angriff ggf. ’nur‘ die Firmenkonten betrifft. Ein Angreifer, der wie hier offenbar im wesentlichen private Gründe hat, wird dann vielleicht schnell das Interesse verlieren
  • Ggf. selbst Sichtkontrollen durchführen, dazu z. B. die Anschlüsse von Tastatur und Maus auf die Vorderseite des Gerätes legen
  • Falls es die eigene IT Abteilung nicht schafft eine 2-Faktor-Anmeldung für wichtige Accounts einzuführen kann man sich ggf. so behelfen, dass man einen YubiKey oder ähnliches verwendet, auf dem man den größeren Teil eines sehr komplexen Passworts speichert, welches man dann unter Umgehung der normalen Tastatur in den Rechner schickt. Ggf. gibt man die letzten X Zeichen des Passworts selbst über die normale Tastatur ein, damit ein Finder / Dieb des Keys nicht gleich den vollen Zugriff hat

Grundsätzlich gilt: Wer einmal einen solchen Angriff erlebt hat, der wird schwerlich Grenzen für die eigene Paranoia finden und seinem Rechner nie mehr so vertrauen, wie er es vielleicht zuvor getan hat.

Wie arbeitet man so einen Fund auf?

Interessant ist dann auch die Beschreibung wie mit dem Fund des Keyloggers umgegangen wurde: Angefangen von der erfolgreichen Fallenstellung bis hin zum Sichern, Interpretieren und Aufbereiten der digitalen Beweise. Das man hier erfinderisch und technisch fit sein muss ist dabei der eine Teil, der andere ist es als IT Abteilung eine möglichst nicht anzweifelbare Kette von Indizien zu produzieren, die dann sowohl bei der internen Aufarbeitung wie auch bei der externen Bearbeitung etwa durch die Strafverfolgungsbehörden nicht gleich in sich zusammenfällt und sowohl einen selbst wie auch die größten Zweifler überzeugt. Auch das scheint hier gut gelungen zu sein.

Was wenn es ein Innentäter ist?

Und schließlich gibt es noch die menschliche Komponente, wenn wie hier ein (größtenteils) geschätzter Kollege sich plötzlich als jemand entpuppt, der einen offenbar in großem Stil hintergangen und aus weiterhin unklaren Motiven großflächig ausspioniert hat. Und der dabei so gar nicht dem üblichen Cliche des ‚Hackers‘ entspricht.

Es spricht finde ich dabei für die Offenheit der taz, dass man sich der Hypothese stellt, dass der Täter vielleicht irgendeinem Übel innerhalb der Redaktion auf der Spur war. Aber letztlich bleibt aus meiner Sicht nur die Tatsache, dass hier jemand gegen jede übliche Norm des zwischenmenschlichen Umgangs verstoßen hat, und dabei offenbar letztlich im wesentlichen die Motive eines Stalkers hatte.

Kleines Pwn2Own Fazit – Lehren für Sicherheit im Webbrowser

In dieser Woche hat sich der jährliche Pwn2Own Wettbewerb ereignet, bei dem es schon seit einigen Jahren darum geht aktuelle Browser und Betriebssysteme (und dieses Jahr erstmalig auch VMs) zu hacken.

Einige Änderungen hat es in den letzten Jahren gegeben: Bekam der erfolgreiche Hacker zunächst nur das gehackte (‚pwn‘) Gerät geschenkt (‚own‘), so sind die insgesamt ausgeschütteten Preisgelder inzwischen in den 6-stelligen Bereich gegangen.

Sie vollziehen damit den Trend nach, den man allgemein beobachten kann: Sicherheitslücken sind ein wertvolles Gut geworden, welches sich bei staatlichen Abnehmern bzw. den sie versorgenden Spezialisten wie VUPEN oder HackingTeam für gutes Geld verkaufen lässt. Google, Mircosoft etc. haben daher auch die Prämien ihrer Bug Bounty Programme immer weiter angezogen.

Eine andere Änderung betrifft den Ausrichter, der nun zu Trend Micro gehört. Da die angetretenen Hacker ebenfalls zu großen Teilen zu auf IT Sicherheit spezialisierten Unternehmen gehören ist der Wettbewerb wohl noch stärker zu so etwas wie einem kleinen Familientreffen der Sicherheitsindustrie geworden.

Aber nun zu den Ergebnissen:

Chrome zeigt sich als ’sicherster‘ Browser

Von den Browsern, die die Ausrichter als Ziele genannt haben, sind alle gefallen, auch Chrome. Warum kann man Chrome trotzdem als den sichersten Browser bezeichnen? Weil eine Kombination von 4 Fehlern notwendig war, um ihn zu Fall zu bringen, davon 2 in Flash und einer im Windows Kernel. Der verbleibende Chrome Fehler war Google schon zuvor von anderer Stelle gemeldet worden, daher bekamen die Hacker nur einen Teil der Punkte für diesen Erfolg. Insgesamt zeigt dies wohl die große Robustheit, die Chromes Sandbox erreicht hat.

bugs
Ein Bug bleibt selten allein

Warum setze ist das ’sicherster‘ oben dann trotzdem in Anführungszeichen? Weil Sicherheit kein Zustand ist, sondern ein Prozess, der sich immer weiterentwickelt und morgen schon wieder anders aussehen kann. Da allerdings Google das Thema Sicherheit in Chrome in den letzten Jahren immer aggressiv verfolgt hat, kann man erst einmal davon ausgehen, dass man mit Chrome auf der sicheren Seite ist und bleibt.

Auch Microsofts Edge Browser schlägt sich offenbar viel, viel besser, als es früher dem IE gelang. Anscheinend bringt der Abschied von der alten Codebasis in dieser Hinsicht einiges.

‚Mozilla’s Firefox browser was intentionally dropped from the competition due to its complete lack of a sandbox, a critical security feature which raises the bar for exploitation.‘

Traurig ist hingegen der Stand von Firefox: Zwar ist der freie Webbrowser nach StatCounter immer noch knapp der weltweit zweithäufigst verwendete Browser, aber in Kreisen ernstzunehmender Hacker wird seine Überwindung anscheinend als so lächerlich einfach angesehen, dass man damit keine Anerkennung ernten kann. Man kann wohl eigentlich niemandem mehr raten Firefox zu nutzen, jedenfalls nicht, wenn man auf Sicherheit achtet.

Flash: Gefährlich und zunehmend unnötig

Ein alter Bekannter in Bezug auf Sicherheitsprobleme im Webbrowser ist natürlich das Flash Plugin, welches ja schon beim Chrome Hack eine Rolle spielte und in dem noch weiteren Lücken demonstriert wurden.

Ich habe meinen Chrome Browser schon vor einiger Zeit bei der Pluginausführung auf ‚Click to play‚ umgestellt, so dass Plugins erst gestartet werden, wenn ich es explizit will. Damit ist man auf diesem Wege deutlich weniger verwundbar.

Nach meiner Erfahrung nimmt die Zahl der Flash Einbindungen im Web – zumindest in dem Teil, in dem ich mich bewege – rasch ab. Es ist glaube ich schon Wochen her, dass ich einmal einen Inhalt unbedingt sehen wollte, der nur über Flash erhaltbar war.

Neues Angriffsziel: Die Betriebssystemkerne

Ein interessanter – und besorgniserregender – Trend bei diesem Pwn2Own Wettbewerb war die Konzentration der Hacker auf Fehler in den Betriebssystemen, an Stelle von Fehlern in den Browsern. Dies mag der Tatsache geschuldet sein, dass die Browser in Sicherheitshinsicht stark aufgerüstet haben und die Hacker nun zuerst an anderen Stellen suchen, wo sie einfacher Erfolg haben. Eine Folge davon war dann, dass die erfolgreichen Exploits gleich Systemrechte erlangen konnten, also quasi allmächtig sind im kompromittierten System.

Das kann man als Argument nehmen, dass der grundlegende Ansatz von Googles ChromeOS zumindest nicht falsch ist, nämlich das ein Betriebssystem eher weniger können sollte und dafür besser gehärtet werden kann.

Wer sich die beiden Tage des Wettbewerbs in Filmform ansehen möchte, der findet das hier:

http://ingoogle.com/pwn2own-2016-windows-os-x-chrome-edge-safari-all-hacked/

Vortrag über 2-Faktor-Authentifizierung auf der DFN Betriebstagung

Wer sich für das Thema ‚2-Faktor-Authentifizierung (2FA)‘ interessiert: Ich habe auf der letzten DFN Betriebstagung einen Vortrag dazu gemacht, wie wir im Projekt BIS diese Funktion implementiert haben. Die Folien kann man jetzt auf der Tagungsseite herunterladen.

Findet sich im ‚AAI‘ Bereich und stellt daher auch Verknüpfungen zu Themen wie Identity Provider (IdP) bzw. Shibboleth her. Alternativ kann man die Folien hier im Google Drive aufrufen.

Google Authenticator App

Stichpunkte zum Vortrag

  1. Angriffe mit Identitätsdiebstählen sind heute unvermeidlich
  2. Herkömmliche Login-Formulare bieten keinen Schutz etwa gegen Attacken mit Keyloggern
  3. Einführung eines zusätzlichen Loginfaktors notwendig
  4. Entscheidung für das Time-based One-time Password (TOTP) Verfahren nach RFC 6238
  5. Implementierung von drei unterschiedlichen 2FA Verfahren
  6. Ein Identity Provider ist die ideale Stelle um diesen Aufwand zu treiben
  7. Wenigstens neu aufgesetzte Dienste sollten direkt mit einem Identity Provider geschützt werden

 

Datendiebstahl an der Uni Graz

An einer österreichischen Universität ist es zwischen Weihnachten und Neujahr zu einem Datendiebstahl gekommen. Man vermutet einen Innentäter, da der Täter bei der Veröffentlichung der Daten offenbar auch gegen einzelne Uni Mitarbeiter gepöbelt hat.

Die Erklärung eines Uni Mitarbeiters in dem verlinkten Radio Interview, wie die Daten gestohlen wurden und welche, ist ziemlich merkwürdig: Der Angreifer soll demnach ein ‚altes‘ Passwort verwendet und daher nur ‚alte‘ Daten erwischt haben.

Mir war bisher nicht klar, dass der Passwortstatus (‚alt‘ versus ‚aktuell‘) so einen Einfluss auf den damit möglichen Systemzugriff haben kann: Alte Passworte sollte ja eigentlich gar keinen Zugriff mehr ermöglichen. Oder gab es da ein schlecht gesichertes Backupsystem, welches eine alte Kopie von echten Daten irgendwo im Netz anbot?

In Zukunft massiver, finanzieller Schaden möglich?

Interessant ist auch der Verweis auf die kommende Datenschutzverordnung:

‚Wäre der Vorfall nach Inkrafttreten der neuen EU-Datenschutzverordnung im Frühjahr 2018 erfolgt, hätten der Uni Graz schwerwiegende Konsequenzen gedroht‘

Die meisten denken hier vermutlich an große US Konzerne, die man damit bei Datenlecks zur Kasse bitten könnte. Aber macht es Sinn von öffentlichen Einrichtungen wie hier (Steuer)Geld wieder einzusammeln? Oder rechtfertigt dieses Gesetz nun prophylaktische Investitionen der öffentlichen Hand in irgendwelche externen IT Auditierungen, zusätzliche Sicherheitsbeauftragte oder Versicherungen, die in solchen Fällen einspringen?

Leseempfehlung: ‚SPAM NATION‘ von Brian Krebs

Vor wenigen Tagen musste ich jemandem, der nicht viel jünger ist als ich, erklären was eigentlich Spam(mail) ist. Vielleicht ist das meine und Google’s Schuld: Ich hatte die Person schon vor langer Zeit mit einem GMail Account ausgestattet und Google’s Filter haben offenbar in all der Zeit den Posteingang frei von Spam gehalten.

Ist es wirklich schon so weit gekommen? Das nur noch wir ‚Älteren‘ uns an die Zeit erinnern, in der Spam eine echte Plage war und man beim morgendlichen Öffnen des Postfaches 90% gleich löschen konnte, weil es SPAM war? Oder ist mit dem Siegeszug der Messenger auf den Smartphones die E-Mail einfach unwichtiger geworden?

spam_nation_krebs

Egal. Meine letzte Weihnachtslektüre war für mich trotzdem sehr spannend, auch wenn die Ereignisse, die dort behandelt werden, nun schon einige Jahr her sind: Brian Krebs beschreibt hier mit sehr tiefgehenden Kenntnissen die Geschichte der Pharmawars, einer Auseinandersetzung zwischen zwei großen russischen Internetanbietern von (legalen und illegalen) Medikamenten, die insbesondere mit massiven Spamwellen beworben wurden.

Krebs beleuchtet dabei alle Teile des Spam/Pharma-Geschäfts. Das sind neben den Plattformbetreibern, den Spammern mit ihren riesigen Botnetzen und diversen anderen Akteuren dieser kriminellen Verbünde:

  • Die Käufer: Warum kaufen Leute eigentlich Medikamente bei Quellen, deren Zuverlässigkeit sie nicht kontrollieren können und wie zufrieden sind sie mit dem Service? Spoiler: Das Servicelevel dieser Dienste war offenbar ausgesprochen gut. Und die Leute, die auf die Links in Spam klicken, haben teilweise gute Gründe dazu, und sind nicht einfach ‚dumme Nutzer‘, zu denen sie die Nerds gerne erklären.
  • Die geschädigten Pharmakonzerne: Jeder kennt vermutlich Spam für Viagra / Cialis etc. Was machen eigentlich die betroffenen Konzerne, denen dadurch doch Gewinne entgehen müssten? Spoiler: Offenbar erstaunlich wenig. Denn was wäre, wenn sich herausstellt, dass die Plagiate der illegalen Shops viel billiger sind, aber chemisch nicht von den teuren Originalprodukten unterschieden werden können?
  • Die ‚Antis‘: Welche Kräfte gibt es, die sich – oft eher inoffiziell und im Schatten – der Spamflut entgegen stellen und in welchen Fällen wurden sie von den Spammern bezwungen. Spoiler: Microsoft hat in dieser Geschichte viel bewegt mit seiner hartnäckigen Verfolgung von Raubkopien, jedenfalls mehr, als die Pharmakonzerne.
  • Das russische ‚Rechtssystem‘: Interessant ist bei der detailgenauen Portraitierung der russischen Spammer und Plattformbetreiber das Umfeld, in dem sie sich bewegen (müssen). Ist das für Einflussnahmen anfällige russischen System zunächst eine Hilfe beim Aufbau der kriminellen Aktivitäten, werden diese ‚kleinen‘ Diebe später auch mal von den viel größeren Dieben im russischen Staat ausgenommen.

Brian Krebs hat dabei offenbar ungeheure Mühen bei der Auswertung von geleakten Chatlogs der Konfliktparteien aufgewendet und einen teilweise sehr persönlichen (zu persönlichen?) Kontakt zu einigen der Schlüsselfiguren aufgebaut. Auch ist er ob seiner Herkunft als Journalist – im Gegensatz zu vielen IT Leuten, die in diesen Bereich Texte produzieren – in der Lage echte Spannungsbögen zu produzieren und den roten Faden in diesem komplexen Thema nicht zu verlieren.

Und auch, wenn das Spamproblem heute reduziert scheint: Die gleichen Leute, die Botnetze für das Spamming aufgebaut haben, sind immer noch da und suchen neue Tätigkeitsfelder um die mit Pharmaverkäufen heute nicht mehr erzielbaren Einnahmen zu kompensieren.

Von mir daher 5 Sterne!

Großangelegte Geldautomatenmanipulation: Auf Spurensuche in Mexiko

Diese kleine Artikelreihe von Brian Krebs (von Krebs on Security) ist schon ein paar Monate alt, aber mir erst jetzt untergekommen. Und sehr spannend (wer sich die Spannung erhalten will sollte erst die Artikel lesen und dann hier weitermachen):

geldautomat

Es geht zunächst um unauthorisierte Modifikationen von Geldautomaten für Skimming, also das Abgreifen von Kartendaten um damit später Geld von fremden Konten holen zu können. Dieses Skimming ist dabei so ausgefeilt, dass es sich äußerlich nicht im geringsten erkennen lässt und die Skimmer die gesammelten Daten im Vorbeigehen per Bluetooth abholen können, wann immer ihnen danach ist.

Brian Krebs macht dann eine Reise noch Mexiko und entdeckt gleich in seinem Hotel einen Automaten, der das verdächtige Bluetooth Signal aussendet. Und in den kommenden Tagen noch jede Menge weiterer solcher Geräte in den touristischen Hotspots.

Dieser Teil ist schon interessant, da er auch versucht andere Menschen von der Nutzung der kompromittierten Geräte abzuhalten (nicht wirklich erfolgreich) und das Hotelpersonal auf das Problem aufmerksam zu machen. Und erlebt, wie schwierig es sein kann ein offensichtlich gewordenes Problem dann auch abzustellen.

Die ganz große ‚Verschwörung‘

Im Nachgang seiner Mexikoreise entwickelt er allerdings noch eine größere Theorie und zwar eine, wonach die große Zahl von kompromittierten Geräten vielleicht nur eine Art Ablenkung von oder Ergänzung zum eigentlichen, großen Angriff ist:

Und zwar ist ihm ein Geldautomatenbetreiber aufgefallen, dessen Geräte aus verschiedenen Gründen merkwürdig sind (zu viele um rentabel zu sein; zu hohen Gebühren; häufige Transaktionsabbrüche; keine Informationen über den Betreiber erhältlich). Was wäre, wenn hier ein Unternehmen gegründet wurde mit dem Ziel Geldautomaten aufzustellen, deren Hauptzweck es ist Kartendaten auszuspähen?

Leider gibt es bis heute noch keine Fortsetzung dieser Reihe, die das Rätsel lösen würde.

Aber die Frage ist schon, ob man eigentlich noch – wenigstens im Ausland – Bargeld von Automaten mit einer Karte abholen sollte, die Zugriff auf das komplette eigene Konto hat. Oder ob man sich eher ein Nebenkonto mit wenig Geld und ohne Kreditrahmen zulegt, welches man ggf. im Urlaub über den PC mit Geld füllt, und von dem man dann per Karte Geld abhebt.

Die Stagefright Bugs: Das Beste, was der Android Sicherheit passieren konnte

Vor wenigen Tagen wurde ‘Stagefright 2.0’ bekannt, also die nächste Iteration der gefährlichen Fehler in Stagefright, der zentralen Mediaplayer Komponente des Android Betriebssystems. Warum soll das gut sein für die Sicherheit des weltweit meistgenutzten Betriebssystems?

Eine kurze Geschichte der Stagefright Bugs

Wir erinnern uns kurz: In den Wochen vor der Blackhat Konferenz Ende Juli begannen Gerüchte über einen schweren Fehler in Android zu kursieren. Der besondere mediale Reiz dieses Bugs war die Möglichkeit ihn über eine zugeschickte MMS auslösen zu können. Kombiniert mit dem damaligen Verhalten der Standard MMS Apps solche Inhalte ohne Zutun des Benutzers auszuführen hatte man ein mögliches Horrorszenario und Schlagzeilen wie ‘Eine Milliarde Android Geräte per MMS hackbar!’ waren die unvermeidliche Folge. Und der Name ‘Stagefright’ der betroffene Komponente lieferte auch gleich einen eingängigen Namen für das Problem.

Android Security

Unter dem hohen öffentlichen Druck zeigte sich—wieder einmal—das größte Problem des gigantisch gewordenen Android Ökosystems: Nur ein Teil der mehr als eine Milliarde aktiver Android Geräte bekommt Updates. In diesem Fall standen selbst die Besitzer der direkt von Google mit Updates versorgten Nexus Geräte genauso dumm da, denn obwohl Google den Fehler seit Monaten kannte war noch kein Patch offiziell verfügbar.

Wie konnte es so weit kommen?

Wie konnte ausgerechnet Google in diese Misere geraten? Hat Google mit dem Chrome Browser die automatischen, ohne Benutzerintervention stattfindenden Updates doch erst zum heutigen Standard gemacht und auch in fast allen späteren Produkten durchgesetzt: ChromeBooks, Android Wear Uhren, Chromecasts, OnHub Router, Android TVs, sie alle bekommen ihre Updates unmodifiziert direkt von Google und sind trotz Nutzerzahlen, die ebenfalls im Millionenbereich liegen, immer auf dem aktuellsten Stand. Selbst auf Android Geräten hat Google mit den Play Services einen Systemteil, der regelmäßig Updates erhält, sich selbst ohne Benutzerinteraktion aktuell hält und heute ein wesentliches Element von Googles Android Sicherheitsmanagement ist.

Das Problem beim Android Betriebssystem ist durch das komplizierte Verhältnis zwischen Google, dem Herrscher über die Android Weiterentwicklung, seinen Partnern wie Samsung, die die eigentlichen Geräte bauen und Android dafür modifizieren, und den Telekomanbietern, die noch einmal eigene Anpassungen von den Geräteherstellern verlangen, entstanden. Vermutlich hatte Google bisher die — berechtigte — Sorge, dass Veröffentlichungen von Fehlerkorrekturen im Android Open Source Projekt (AOSP) schnell von Angreifern untersucht und zum Bau von Angriffscode genutzt werden. Schneller, als die Gerätehersteller in der Lage oder Willens sind ihren Kunden Updates zu liefern.

In der Konsequenz konnten nicht einmal die Nexus Geräte Updates erhalten, da auch hier ein Reverse Engineering möglich wäre. Und so ist die Situation entstanden, die am Ende die ganze Android Welt ohne ein einziges Gerät mit einer wirklich nach aktuellem Wissenstand fehlerfreien Version dastehen lies.

Der Befreiungsschlag

Der durch die ersten Stagefright Fehler aufgebaute Druck hat Google schließlich dazu gebracht seine Strategie komplett zu ändern: Der auf der Blackhat Konferenz vortragende Google Sicherheitsmann Adrian Ludwig kündigte in seinem lesenswerten Vortrag an, dass es ab sofort monatliche Sicherheitsupdates für die Nexus Geräte geben werde, gefolgt von einer raschen Veröffentlichung der Fehlerkorrekturen im AOSP.

Ob Google dabei nun vom Druck getrieben wurde, oder ob man den Druck nutzte um auch bei Android eine Entwicklungsgeschwindigkeit zu erreichen, wie man sie in allen anderen Google Produkten kennt, wird man von außen vermutlich nie abschließend beurteilen können. In jedem Fall gibt Google den Druck damit an seine Partner weiter: Der Angriffsdruck auf alle Android Geräte, die keine aktuellen Patches erhalten, wird durch diese neue Linie mit Sicherheit steigen.

Mindestes den großen Herstellern, die auf Markenbildung, nachhaltige Kundenbeziehungen und den Einsatz ihrer Produkte in Unternehmen und Behörden setzen, kann so ein permanenter Kritikpunkt nicht gefallen.

Den Druck noch weiter erhöhen

Interessanterweise hat Google den Druck in den letzten Wochen noch einmal erhöht. Google selbst hatte mit seinem Project Zero angefangen andere Softwarehersteller mit einer 90 Tage Frist bis zur Veröffentlichung von Fehlern unter Druck zu setzen. Und musste sich prompt in Bezug auf Stagefright den Vorwurf gefallen lassen, bei seinen eigenen Produkten offensichtlich mit zweierlei Maß zu messen.

Nach der Strategieänderung hat das Project Zero nun auch Android Lücken öffentlich aufs Korn genommen und in einem Blogpost demonstriert, wie die zunächst dank Schutzmechanismen wie ASLR eher theoretisch erscheinende Ausnutzbarkeit eines bestimmten Stagefright Fehlers in einer Weise aufgerüstet werden kann, die sie in unmittelbare Nähe eines verlässlichen Exploits bringt.

Die Updates von Google kommen

Inzwischen ist das dritte Sicherheitsupdate an die Nexus Geräte ausgerollt werden, kurz bevor Android 6.0 ausgeliefert wird. Google hat hier also sein Versprechen gehalten. Wenn man sich die Liste der behobenen Fehler samt ihrer Kritikalität ansieht und weis, dass sie bald allgemein bekannt sein werden, kann man sich schon die Frage stellen ob man — trotz der zusätzlichen Schutzmaßnahmen, die Google im Play Store und den Play Services implementiert — jemandem ernsthaft dazu raten kann sich ein Nicht-Nexus-Gerät zuzulegen.

Den ersten Gewinn für die Android Sicherheit aus dem Stagefright Desaster haben wir damit: Es gibt nun mit den Nexus Geräten — die bald zwei schöne Hardwareupdates erhalten — eine Android Linie, bei der man von Google garantiert häufige Updates für alle bekanntgewordenen Sicherheitsprobleme bekommt.

Aber auch Custom ROM Anbieter wie Cyanogen haben nun die Chance über die schnelle Integration der AOSP Korrekturen ihre eigenen Versionen von Android aktuell zu halten. Damit haben wir den zweiten Gewinn: Wer kein Nexus Gerät hat oder haben will, aber ein Gerät, für das ein Custom ROM verfügbar ist, kann nun ebenfalls auf ein schnelles Schließen von Sicherheitslücken hoffen.

Wann kommen die Updates von den Geräteherstellern?

Trotzdem hatte die Masse der Android Nutzer bisher noch keinen unmittelbaren Vorteil von diesen Entwicklungen, auch wenn einige Gerätehersteller nach den ersten Stagefright Lücken schon Updates ausgerollt hatten. Hier kann man aber hoffen, dass das nun durch die Nexus Updates monatlich aufflackernde Sicherheitsthema dafür sorgt, dass der Druck auf die Hersteller und Telekomunternehmen nicht nachlässt. Am Ende kann hier eigentlich nur die Einsicht stehen, dass die Möglichkeit schnell und häufig Updates an die Geräte der Kunden zu geben ein eigenes Qualitätsmerkmal ist, mit dem sich werben lässt.

Wenn dieser Status — wenigstens für die Flaggschiffgeräte der großen Hersteller — erreicht worden ist, dann haben wir den dritten und entscheidenden Gewinn aus den Stagefright Lücken gezogen. Ein Gewinn, der sich im verwickelten Android Ökosystem offenbar erst mit dem enormen Druck, den die Stagefright Probleme ausgelöst haben, realisieren liess.

Und falls dies auch dazu führt, dass die im Zeitalter des Material Design oft klobig und unelegant wirkenden ‘Verbesserungen’ der Gerätehersteller am Android System zurückgefahren werden, so kann man dies nur begrüßen.

Notizen zur Google I/O 2015

Gestern begann die Entwicklerkonferenz von Google und wie in jedem Jahr ist die Keynote der Auftakt und in gewisser Weise auch der Höhepunkt der Veranstaltung, jedenfalls von außen gesehen. Hier präsentiert eines der wichtigsten Technologieunternehmen der Welt seinen Stand, seine Produkte und seine Visionen für die nahe und ferne Zukunft. Das sind meine Notizen, ohne Anspruch jedes Detail abzudecken:

Google I/O 2015

Google als KI Unternehmen

Am Anfang der Keynote sprach Sundar Pichai eine kurze Zeit von den Fortschritten beim maschinellen Lernen, die Google im vergangenen Jahr gemacht hat. Ein Schlüsselkonzept sind dabei tiefgestaffelte, neuronale Netze, bei denen die verschiedenen Ebenen unterschiedliche Aspekte der gestellten Aufgabe lernen. Auch wenn das Thema nur vergleichsweise kurz und zeitlich deutlich getrennt von der heute am besten sichtbaren Anwendung (Google Photos) präsentiert wurde: Das ist das Thema, welches heute — oder immer schon — im Kern von Google steckt und mit dem offenbar schnelle und überraschende Fortschritte möglich sind. Beispiel die Spracheingabe bei der Google Suche, deren Fehlerrate innerhalb des letzten Jahres auf diese Weise deutlich verringert werden konnte.

Android M

Das Rechtemodell geht mehr in Richtung iOS: Rechte werden in größeren Gruppen gebündelt; Rechte werden (zumindest teilweise) erst bei der ersten Verwendung abgefragt; Können später wieder entzogen werden und lassen sich sowohl per App wie auch per Recht betrachten und bearbeiten. Sicher die größte Änderung am Rechtemodell, die es in Android jemals gab. Die Entwickler wurde damit geködert, dass Nutzer Apps dann schneller installieren (da keine vorherige Rechteabfrage mehr erfolgt) und auch bei Updates, in denen mehr Rechte verlangt werden, nicht mehr zögern.

Viel Herumreiten darauf, dass man sich in M auf Qualitätsverbesserung konzentriert habe. Vermutlich ein Eingeständnis, dass Lillipop ziemlicher Müll war, was die Softwarequalität angeht.

Google Now wird immer schlauer (und übergreifender)

Google baut seine bisher ziemlich einzigartige Now Funktion noch stärker aus und zwar nicht nur in der schon bekannten Weise, in der einem Informationen proaktiv angeboten werden. Mit Now on Tap kann man die Funktion in Android M dazu veranlassen, die von der gerade offenen App gezeigten Inhalte zu interpretieren und einem geeignete Funktionen und Informationen anzubieten. Hier legt Google also ein eigenes Layer über potentiell alle Apps. Ob die App Anbieter etwas dazu tun müssen ist nicht ganz klar geworden (vermutlich nicht), dagegen wehren können sich aber bestimmt nicht. Wenn das so funktioniert, wie sich Google das vorstellt, bekommt die Google Suche über Now wieder eine ganz neue Funktion und Wichtigkeit und kann das händische Hin- und Herspringen zwischen Apps weitgehend beenden.

Chrome custom tabs

Google arbeitet weiter an der möglichst nahtlosen Verschmelzung von Apps und Webinhalten. Ein neuer Weg sind die custom tabs, die Apps in Chrome öffnen können. Dabei wird ein Webinhalt zwar außerhalb der aufrufenden App in Chrome geöffnet, aber die App ist in der Lage einen Teil ihres Brandings und auch ihrer Funktionen an Chrome zu übermitteln. Damit entsteht für Entwickler ein dritter Weg neben der einfachen Verlinkung und dem Aufbau eines eigenen, internen Browsers über eine Webview. Frage ist für mich aber, in wie weit das andere Browser wie Firefox ausschließt?

Android Pay

Das Google Wallet wird zu Android Pay und wird sich dann auch in den eigenen Apps verwenden lassen. Zusammen mit der neuen Fingerabdrucksensor API, die Android M bringt, macht dies den Eindruck, dass Google hier stark Apple Pay nacheifert. Aber hier in Europa wird davon wohl auf absehbare Zeit nicht viel ankommen.

Brillo und Weave: Googles Lösung für das Internet der Dinge

IoT ist gerade wieder aktuell und tatsächlich kommen ja auch jede Menge Produkte auf den Markt, die irgendwie ‘intelligent’ sind, die sich aber in jedem Fall vernetzen wollen. Und deren komplexe Funktionen von außen gesteuert werden wollen.

Google bietet mit Brillo nun ein abgespecktes Betriebssystem, welches von Android abgeleitet ist und daher bestimmte Funktionen wie Netzwerkstacks erben kann. Interessanter ist aber vielleicht aus Nutzersicht Weave, welches ein Protokoll ist, über das sich IoT Devices und die sie steuernden Geräte wie Smartphones austauschen können. So soll man offenbar mit einer einzigen Weave App auf seinem Smartphone alle entsprechenden Geräte steuern können, die dort ihre Fähigkeiten darstellen.

Wird Google hier etwas schaffen, was quasi schon jeder große Softwarehersteller in den letzten Jahren irgendwie mal versucht hat, aber bisher noch nie so richtig geklappt hat?

Google Photos

Für mich der interessanteste Punkt dieser Keynote: Die Kernideen, die ich an einem Fotodienst in der Cloud am meisten benötige, werden umgesetzt. Google bietet sich als verlässlicher Speicherdienst für ‘lebenslange’ Fotoarchivierungen an. Nun weis niemand, ob es Google in 20 oder 30 Jahren noch gibt und wenn ja, welche Ziele das Unternehmen dann verfolgt. Trotzdem ist das die Zusage, die man von seinem Cloud Anbieter hören will und sie muss sich glaubwürdig anhören. Ich fand sie glaubwürdig, vor allem, da sie von einer weitgehenden Aufhebung der bisherigen Beschränkungen / Grenzen beim gratis zur Verfügung gestellten Speichervolumen begleitet wurde.

Natürlich will man die Bilder immer auf allen Geräten verfügbar haben. Hier gibt es sowohl in der neuen App wie auch in der Webdarstellung einige coole Interfaceideen und neue Gesten, die einem den Umgang mit seinen Bildmassen deutlich zu vereinfachen scheinen. Und schließlich die Suche und Gruppierung: Hier treten die Verbesserungen in der Bilderkennung durch das maschinelle Lernen klar zutage, Google kann inzwischen ein weites Feld von Begriffen / Dingen in Bildern erkennen und kategorisieren.

Das klappt nicht zu 100%, aber das ist auch nicht entscheidend: Zum einen wird sich dies weiter verbessern, zum anderen reicht es mir wenn die Suche nach ‘Pferd’ mir Bilder von Pferden zeigt, ein paar falsch klassifizierte Hundebilder sind da egal. Auf diese Weise kann man in den Datenhalden, die man in den vergangenen Jahren angehäuft hat, endlich wieder schnell die Bilder finden, die man gerade sucht, und das ohne aufwändige Verschlagwortung oder manuelle Einsortierung in irgendwelche Ordner.

Die neue App kam unmittelbar nach der Keynote an, so dass man gleich damit herumspielen konnte.

Cardboard und Jump

Die Papp-3D-Brille von der letzten Google I/O nahm einen überraschend großen Teil der I/O in Anspruch: Google nimmt die Sache, die zuerst wie ein Gimmick erschien, offenbar weiterhin sehr ernst. So gibt es nun eine Neuauflage, die auch große Smartphones aufnehmen kann und mit dem iPhone zusammenarbeitet, und ein merkwürdiges, ergänzendes Produkt: Jump.

Jump ist ein Weg um mit Hilfe von Google 360 Grad Videos erstellen, verarbeiten und veröffentlichen zu können und damit ein Lieferant für Inhalte, die Cardboard oder andere VR Lösungen erst interessant machen. Jump hat drei Bestandteile: Das erste ist im Grunde nur ein Bauplan, den Google zur Verfügung stellt, und der beschreibt wie man 16 Kameras anzuordnen hat, damit deren gleichzeitige Aufnahmen ein 360 Grad Bild ergeben und die spätere Verarbeitung möglich wird. GoPro wird schon ein fertiges Gerät anbieten, aber offenbar könnte sich im Prinzip jeder so etwas zusammenbauen. Google wird z. B. Steuerungsdateien für 3D Drucker veröffentlichen, die den Halter für die Kameras erzeugen.

Danach kommt die Verarbeitung: Aus den 16 Kamerafeeds muss eine 360 Grad Aufnahme samt Tiefeninformation und allen möglichen Blickpunkten synthetisiert werden. Hier bringt Google seine riesigen Rechenzentren ein, die diese Arbeit übernehmen sollen, und die Algorithmen, die all die komplizierten Transformationen durchführen. Schließlich muss das Endprodukt irgendwo abrufbar werden. Dazu dient natürlich YouTube und die entsprechenden Apps, die man dann in Cardboard nutzen kann.

In der Keynote wurde als denkbares Einsatzszenario der Schulbereich genannt, so könnte eine Klasse auf diese Weise tatsächlich zwischen den Gletschern in Grönland umherwandern, an statt sich nur eine flache Projektion anzusehen (aber wer bezahlt die teuren Smartphones?).

Zahlen, Zahlen, Zahlen

Viele Produkte wurde nur gestreift, dafür dann aber mit Zahlen um sich geworfen: 17 Millionen Chromecasts verkauft, für die 1,5 Milliarden Mal der Cast Button angeworfen wurde; eine Milliarde täglicher Android Nutzer; 1 Million Cardboards; so und so viele Android Wear Watches und Watchfaces; so und so viele Autohersteller, die bei Android Auto mitmachen; 50 Milliarden App Downloads im vergangenen Jahr (aber keine Zahl zu den generierten Umsätzen im Play Store).

Die nächste Milliarde Internetbenutzer

Ein wiederkehrendes Thema war die Frage, wie die Reichweite des Internets erhöht wird. Sei es durch Loom, die Ballone, die nicht verkabelten Regionen ein Funknetz bringen sollen; seien es günstige Android Smartphones, die für viele Menschen der erste (und vielleicht einzige) Computer sein werden, mit dem sie ins Netz gehen.

Hardware

Abgesehen von der neuen Cardboard Version und dem skurilen Kameraarray gab es da nichts. Weder ein Chromecast II noch neue Chromebooks und erst recht keine Nexus Geräte.

Programmierung

Konkrete Themen für die anwesenden EntwicklerInnen wurden hier nur gestreift, die Vertiefung kommt dann später in den Sessions. Da gab es Dinge wie die nächste Version von Android Studio, die nun auch sehr umfangreiche Unterstützung für C/C++ Entwicklung mitbringt; Polymer 1.0 ist da; Android M natürlich.

Fazit

Keine ganz so atemlose, überladene Veranstaltungen wie in früheren Jahren, aber trotzdem schön und anregend.

Wiederholt Google mit Chrome die Geschichte von Microsoft und dem Internet Explorer?

“Cynics surely look at this [the web version of Inbox is Chrome-only] as the second coming of Microsoft’s IE-only web technologies from the late ’90s, but my guess is that support for additional browsers iscoming .. and they shipped Chrome-first only because it was the fastest way they could ship.” — John Gruber | Montag, 3. XI 2014

Eine alte Darstellung des Pflügens (Quelle: Internet Archive): So wie der Bauer das Land bestellt, bereitet Google mit Chrome den Acker für zukünftige Webtechnologien.
Eine alte Darstellung des Pflügens (Quelle: Internet Archive): So wie der Bauer das Land bestellt, bereitet Google mit Chrome den Acker für zukünftige Webtechnologien.

Ist das eine merkwürdige Frage? Dieser Vergleich von Googles bisher unendlichem Fortschrittsdrang bei der Weiterentwicklung der Webtechnologien in seinem Chrome Browser, und der bleischweren Zeit eines Internet Explorers 6, der Microsoft nach dem Sieg über Netscape und dem Erringen der uneingeschränkten Hegemonie über das Web dazu diente, dieses technologisch quasi einzufrieren? Ich glaube schon. Aber warum eigentlich?

John Gruber kommt auf dieses Thema am Rande einer interessanten Betrachtung zu Google’s neuem ‘Material Design’, der Gestaltungssprache, die sich gerade über alle Google Dienste, Betriebssysteme und Apps ausbreitet. Er kann dabei nicht umhin auf zwei Punkte hinzuweisen:

Google, das Unternehmen, welches am längsten für den Triumph des Websals übergreifender Entwicklungsplattform über die nativen Apps gekämpft hat, setzt zum einen inzwischen intensiver als je zuvor auf solche Apps, jedenfalls für Android und iOS. Zum anderen zeigt er am Beispiel der brandneuen INBOX auf, dass die hier verfügbare Webversion zur Zeit einzig und allein unter Chrome funktioniert.

Ist das nicht genauso schlimm wie die proprietären Funktionen, die Microsoft damals in seinen Internet Explorer einbaute, und die anderen Browserherstellern das Leben schwer machten?

Es gibt dabei einen entscheidenden Unterschied: Google unterstützt andere Browser (in einigen Fällen) nicht, weil diese noch nicht die Funktionen bieten, die Chrome bereits enthält. Mit Chrome hat sich Google ein Mittel geschaffen das Web insgesamt im 6-Wochen-Takt voran zu bringen und hat hier als einzigen ‘Konkurrenten’, der dieses hohe Tempo mitmacht, die Mozilla Foundation. Alle anderen relevanten Hersteller — also Apple und Microsoft — nehmen ggf. die von den beiden Vorreitern entwickelten, getesteten, und schon im Einsatz befindlichen Standards dann später auf, wenn sie in ihren viel langsameren Releasezyklen mal wieder eine neue Version von Safari oder dem Internet Explorer veröffentlichen.

Im Gegensatz zur Versteinerung des Zeitalters der Microsoft Hegemonie befinden wir uns nun also in einem rasanten Zeitalter der unterschiedlichen Entwicklungsgeschwindigkeiten, bei dem es immer Beispiele wie INBOX geben wird, die so nahe an der ‘bleeding edge’ der Webtechnologie sind, dass sie schon aus Prinzip nicht von allen Browsern unterstützt werden können.

Es gibt daher keinen Grund eine erneute Versteinerung des Webs zu befürchten, solange Google von Mozilla, Microsoft und Apple ein Mindestmaß an Konkurrenz erfährt.

Heiligenhafen nach ‘Daisy’

In unserem diesjährigen Winterurlaub in Heiligenhafen erreichen uns viel mehr Anrufe von Freunden und Verwandten als in früheren Jahren. Alle sind in Sorge. Anlass sind offenbar die recht drastischen Schilderungen der Lage nach dem Durchzug von Sturmtief ‘Daisy’ in Fehmarn und nahen Städten, die unter Stromausfällen und starken Schneeverwehungen leiden oder litten. In Heiligenhafen war es aber nach unserem Eindruck nicht wirklich dramatisch, und damit man uns glaubt hier eine kleine Bilderstrecke von gestern und heute.

Schnee, aber nicht in Massen

Am Samstag, dem 09.01.2010, ist in Heiligenhafen fast kein Schnee gefallen, am Sonntag überhaupt keiner. Erst am heutigen Montag fällt eine nennenswerte Menge (insbesondere jetzt, während dieser Text geschrieben wird).

Das trotzdem an einigen Stellen durchaus gewaltige Schneewehen oder geräumte –haufen entstanden sind, liegt aber daran, dass der scharfe Wind allen in den Vortagen gefallenen Schnee wieder aufgenommen, weiter transportiert und an einigen wenigen Stellen konzentriert hat. So sieht man in der Landschaft hohe Schneewehen (man beachte im folgenden Bild den Kopf des Hundes) neben komplett blanken Äckern:

Die flachen Äcker sahen daher bei richtig gewähltem Blickwinkel heute Nachmittag so aus, als ob in den letzten Tagen und Wochen fast kein Schnee gefallen sei:

Wenn man hingegen an andere Stellen geht, so finden sich richtige Schneewehen:

Für dieses Bild stand der Fotograph aufrecht und war nicht etwa auf Knien, Zorro ist also ungefähr auf Kopfhöhe, während er den Gipfel dieser massiven Schneewehe schon überwunden hat.

Starker Wind und Hochwasser

Wirklich extrem waren für uns Binnenländer hingegen die Windverhältnisse am Samstag und Sonntag. Für die Küstenbewohner ist so ein brausender Sturm vermutlich gewohnt, für uns war er das wesentliche Erlebnis am Wochenende. Wann haben wir bei uns schon mal einen Wind, der einen vor sich herschiebt bzw. das Vorwärtskommen auf gerade Strecke ähnlich anstrengend werden lässt wie einen Aufstieg auf unseren heimischen Teutoburger Wald?

Ein Wind der so hart ist, dass er schon seit Tagen liegenden Schnee wieder aufnehmen und viele Kilometer mit sich führen kann und dann auch noch zwei volle Tage lang anhält? Vermutlich nur einmal in 10 Jahren.

Eine Folge dieses Windes war denn auch ein hoher Wasserstand, der im Yachthafen die Stege zum größten Teil im Wasser versinken lies:

Sonst sind diese Stege wenigstens einen halben Meter über dem Meeresspiegel. Am Strand spuckte die aufgewühlte Ostsee jede Menge Treibgut aus:

Im Hintergrund kann man die Windräder auf Fehmarn sehen. Ob diese im Sturm wegen zu viel Wind oder weil die Stromleitungen unterbrochen waren abgeschaltet werden mussten haben wir leider nicht beobachtet.

Für die Tierwelt ist das Wetter kein Problem

Die Wetterunbilden scheinen aber eher uns Menschen zu berühren, die Natur in Form ihrer Tiere und Pflanzen ist offenbar nicht weiter beeindruckt. So sind die Enten, Möwen, Gänse, Kormorane, Wasserhühner, Saatkrähen und so weiter wie immer am Hafen, am Gras- und am Steinwarder zu beobachten:

An den von Eisschollen durchsetzen Meeresrändern gründeln die Stockenten und die Möwen scheinen mit dem Wind, und sei er noch so stark, geradezu zu spielen.

Auf den kahlen, dem Wind schutzlos ausgesetzen Äckern am Steilufer sind überall Hasen zu sehen, die in kleinen Gruppen ohne Deckung zu suchen dem Sturm und dem Schnee trotzen:

Offensichtlich macht den ‘Seehasen’ dieses Wetter nicht das Geringste aus. Auch die Gürtelgalloways hinter dem Ferienzentrum stehen zwar dicht zusammengedrängt um die Futterstellen, wirken aber unter ihren unglaublich dicken Pelz völlig ungerührt und beschäftigen sich wie immer im wesentlichen mit Wiederkäuen:

So lange es friert und damit ‘trocken’ bleibt, haben sie keine Probleme. Nur das Hochwasser macht ihnen vielleicht ‘Sorgen’: Es hat noch heute große Teile ihrer Salzwiesen überschwemmt, so dass die Rinder auf ihrem Futterhügel bleiben.

Für uns Urlauber ein Erlebnis

Für uns Urlauber ist dieses aufregende Wetter schön, auch wenn es den Einheimischen wohl eher lästig fällt. Auch beim Fotografieren bietet es Motivmöglichkeiten, die von der See ganz ungewohnt und neu sind. Mit einem solchen, eher abstrakten und leicht verfremdeten Motiv endet der kurze Wetterbericht aus Heiligenhafen nach ‘Daisy’: