Ich bin kein Freund von Apple und seinen Produkten, das kann man in meinem Blog an verschiedenen Stellen lesen. Die Gründe sind unterschiedlicher Natur, beispielsweise mag ich keine Produkte, deren Hersteller meint, sie verdongeln zu müssen und mich somit in meiner Entscheidungsfreiheit einzuschränken. Ich mag ebenso wenig für Standard-Hardware ein vielfaches dessen zu bezahlen, was sie anderswo kostet, nur weil sie etwas ausgefallener designed ist (und hier oft nicht mal mein Geschmack getroffen wird) und gerade „Hip“ ist. Und am allerwenigsten mag ich Apples Art, mit einer Vielzahl von Trivialpatenten dafür zu sorgen, dass Kunden nur noch bei Apple kaufen können.

Zugegeben, der letzte Nebensatz beschreibt einen Zustand, der noch nicht ganz erreicht ist, aber der Weg geht in diese Richtung. Es werden gezielt vom Standard abweichende Komponenten geschaffen, damit diese patentierbar sind und somit keine Lösung eines Drittherstellers vom Kunden eingesetzt werden kann. Ich denke hierbei nur mal an die Chips im Kopfhörerkabel, die Apple gern etablieren möchte, selbstverständlich patentiert.

Apple patentiert schon seit vielen Jahren alle möglichen Ansätze und Gedankengänge. Oftmals, ohne für eine Idee schon eine Lösung präsentieren zu können, sehr oft auch vollkommen triviale Dinge, die man in vielen Fälle schon anderswo gesehen hat oder die bei genauer Betrachtung nicht einmal ansatzweise eine gewisse Schöpfungshöhe erreichen. Oft genug hab ich von neuen Patenten Apples gelesen und mir dabei gedacht: „Toll. Und was ist daran jetzt neu oder so besonders?“

Den Grund, weshalb jeder Gedanke, der einem Mitarbeiter mal eben auf dem Klo durch den Kopf geschossen ist, gleich patentiert werden muss (weil es in den USA nun leider möglich ist), präsentiert Apple aktuell mal wieder: Apple verklagt HTC wegen der Verletzung von 20 Patenten. Darunter sind so tolle Patente wie „Unlocking A Device By Performing Gestures On An Unlock Image“, ganz frisch Anfang Februar dieses Jahres erteilt. Gestensteuerung an sich war leider nichts neues aber allein die „Idee“, diese zum Entsperren des Geräts zu verwenden, ist offenbar patentwürdig.

Engadget hat eine Liste aller Patente veröffentlich, gegen die HTC (mit den Android-Geräten) verstoßen haben soll. Kurz zusammengefasst betrifft das die folgenden Patente:

• Patent #7,362,331: Time-Based, Non-Constant Translation Of User Interface Objects Between States
• Patent #7,479,949: Touch Screen Device, Method, And Graphical User Interface For Determining Commands By Applying Heuristics
• Patent #7,657,849: Unlocking A Device By Performing Gestures On An Unlock Image
• Patent #7,469,381: List Scrolling And Document Translation, Scaling, And Rotation On A Touch-Screen Display
• Patent #5,920,726: System And Method For Managing Power Conditions Within A Digital Camera Device
• Patent #7,633,076: Automated Response To And Sensing Of User Activity In Portable Devices
• Patent #5,848,105: GMSK Signal Processors For Improved Communications Capacity And Quality
• Patent #7,383,453: Conserving Power By Reducing Voltage Supplied To An Instruction-Processing Portion Of A Processor
• Patent #5,455,599: Object-Oriented Graphic System
• Patent #6,424,354: Object-Oriented Event Notification System With Listener Registration Of Both Interests And Methods
• Patent #5,481,721: Method for providing automatic and dynamic translation of object oriented programming language-based message passing into operation system message passing using proxy objects
• Patents #5,519,867 and #6,275,983: Object Oriented Multitasking System and Object-Oriented Operating System
• Patent #5,566,337: Method and apparatus for distributing events in an operating system
• Patent #5,929,852: Encapsulated network entity reference of a network component system
• Patent 5,946,647: System and method for performing an action on a structure in computer-generated data
• Patent #5,969,705: Message protocol for controlling a user interface from an inactive application program
• Patent #6,343,263: Real-time signal processing system for serially transmitted data
• Patent #5,915,131: Method and apparatus for handling I/O requests utilizing separate programming interfaces to access separate I/O service
• Patent #RE39,486: Extensible, replaceable network component system

Beim Überfliegen dieser Patent-Beschreibungen eben dachte ich immer wieder „Ja und?“ oder „Was ist daran neu?“. Manches ist auch einfach nahe liegend und viele von uns kämen nicht mal ansatzweise auf den Gedanken, dass so etwas patentierbar wäre. Ist es aber und genau diese Keule nutzt Apple nur zu gern.

Ich kann sicherlich nachvollziehen, dass ein Unternehmen seine Innovationen schützen will, kosten die doch einerseits Geld und sollen andererseits Geld einbringen. Was mich stört sind Patente, die einerseits darauf ausgerichtet sind, jegliche Innovationen außerhalb dieses Unternehmens im Keim zu ersticken oder die exakt so verwendet werden. Viele neue Ideen bauen prinzipiell auf alten Ideen auf. Die Erfindung der Eisenbahn setzte die Erfindung von Schiene, Rad und Dampfmaschine voraus, der Verbrennungsmotor konnte nur erfunden werden, weil zuvor jemand Benzin hergestellt hatte und das iPhone war nur möglich, weil jemand zuvor Handy und Touchscreen und Betriebssysteme und integrierte Schaltungen und Akkus usw. erfunden hat. Genau das vergisst Apple scheinbar nur zu gern.

Dass Apple bei seinen Entwicklungen selbst nicht mal im Ansatz andere Wege geht wie die Unternehmen, die Apple verklagt, wurde ebenfalls schon recht oft thematisiert. Dass Apple eben nicht das Prinzip der graphischen Benutzeroberfläche erfunden hat, ist nur eine Episode, die gern in Erinnerung gerufen wird. Ganz anders gewichtet werden könnten aktuell Dinge wie beispielsweise ein Patent von Palm (#7,007,239), welches exakt die Oberfläche beschreibt, die Apple im iPhone zur Darstellung der Kontakte und Rufnummereingabe nutzt (siehe Abbildung). Und es gibt noch eine Menge mehr Patente, die Apple mit seinen „Ideen“ verletzt, da diese Ideen oder deren Grundlagen eben schon jemand vor Apple hatte. Dinge, die für Apple wohl ebenfalls trivial erscheinen.

Mir ist klar, dass Apple mit dieser Vorgehensweise nicht allein auf weiter Flur ist. Das ist in diversen Unternehmen Gang und Gäbe und mich stören solche Gebaren. Es stößt mir extrem unangenehm auf, wenn auf diese Weise Wettbewerb verhindert werden soll und es geht mir ziemlich gegen den Strich, wenn ich mich als Kunde an einen Hersteller binden soll, nur weil dieser irgendwelche Patente hält. Und nach meinen Beobachtungen geht Apples Politik exakt in diese Richtung: Jeden Scheiß patentieren, der hierzulande nicht mal als Geschmacksmuster durch ginge, nur um den Wettbewerb fern zu halten und zu verhindern, dass Kunden auf preiswertere, möglicherweise gar bessere Produkte des Wettbewerbs ausweichen. Der oben bereits genannte Chip im Kopfhörerkabel zielt exakt in diese Richtung: Der Kunde soll keine Kopfhörer eines Drittherstellers verwenden können. Es sei denn, Apple darf auch daran verdienen. Und ja, genau das tun auch andere Hersteller, das ist mir durchaus bewusst (Stichwort Tintenpatronen für Drucker).

Das Schallen der Ohrfeige konnte man heute von Karlsruhe aus bis zu mir ins Büro hören: Das Bundesverfassungsgericht kippte heute in seiner Urteilsverkündung die Vorratsdatenspeicherung, zumindest vorerst. Gleichzeitig ordneten die Karlsruher Richter an, alle bislang im Rahmen der Vorratsdatenspeicherung gespeicherten Daten unverzüglich zu löschen. Glaubt man der Vielzahl von Tweets, dann haben diverse Admins bei den Providern unmittelbar nachdem sie im Stream das Urteil vernommen haben, direkt mit der Löschung begonnen.

Auf Youtube gibt es übrigens bereits ein Video der Urteilsverkündung:

Die Stimmen zum Urteil sind allerdings nicht ganz so freudig, wie man zunächst vielleicht vermuten würde. Die Richter haben sich nicht vollends gegen die Vorratsdatenspeicherung gestellt, sondern lediglich die derzeitige Praxis abgewatscht. Diese ist nach dem Urteil nun hinfällig, gleichzeitig gaben die Richter allerdings einen Rahmen vor, in dem sich zukünftige Gesetze zu bewegen haben. Alles andere hätte eine eindeutige Stellungnahme Richtung Europäische Union voraus gesetzt, da die Gesetze der europäischen Richtlinie folgten (diese dabei allerdings auch ausweiteten).

Verständlich, dass nun aktuell nur von einem Etappensieg gesprochen werden kann. Ein guter, aber noch lange kein ausreichender Sieg für uns Gegner der Vorratsdatenspeicherung. Es muss also weiterhin gegen eine derart umfassende verdachtsunabhängige Speicherung unserer Daten aus dem alltäglichen Handeln mobilisiert werden und der Druck auf die Regierung weiterhin aufrecht erhalten werden. Das heutige Urteil ist sicherlich Motivation und Ansporn.

Nachtrag: Bei Netzpolitik gibt es eine umfangreiche Sammlung von Stimmen zum Urteil des Bundesverfassungsgerichts. Lesenswert. Und hier ist die Pressemitteilung des Bundesverfassungsgerichts.

• Vintage Stamp Social Media Icon Pack | Tutorial9
  Inside this Icon Pack are 23 Free Vintage Stamp Icons, created exclusively for the viewers of Tutorial9 by Dawghouse Design Studio.
  (tags: Icon vintage social twitter rss feed)

Letztes Wochenende wurde die erste erfolgreiche Man-in-the-middle attack auf Blizzards Authenticator bekannt. Ein WoW-Spieler meldete im Forum einen Account-Hack, der trotz Verwendung des Authenticators erfolgte.

Den Authenticator führte Blizzard vor geraumer Zeit ein, um das weit verbreitete Ausspähen von Accountdaten der World of Warcraft-Spieler zu erschweren und so für mehr Sicherheit zu sorgen. Beim Authenticator handelt es sich um ein bedrucktes DIGIPASS GO 6 von Vasco, einem belgischen Hersteller. Er generiert abhängig von der aktuellen Zeit One-time Passwörter, also Passwörter, die exakt 1 Mal innerhalb eines bestimmten Zeitfensters gültig sind. Das eigentliche Zeitfenster, innerhalb dessen das OTP gültig ist,  ist ungefähr 30 Sekunden groß. Um dieses Zeitfenster herum existiert ein weiteres, etwas größeres Zeitfenster, in dem das OTP nicht mehr gültig ist, aber dennoch akzeptiert wird. Letzteres Zeitfenster hat den Zweck, auch Token, deren interne Uhr nicht ganz genau läuft, verwenden zu können. Auftretende Abweichungen der internen Uhr werden so vom Server erkannt und kompensiert.

Die Gültigkeit eines OTP verfällt automatisch, sobald der generierte Code einmal verwendet wurde. Dies erschwert das Ausspähen von Daten enorm, kann es aber nie ganz verhindern. Üblicherweise werden Accountdaten durch Keylogger ausgespäht, die sich auf dem Rechner des Opfers befinden. Bei der Verwendung statischer Kennwörter gestaltet sich das recht einfach: Die Daten werden ausgespäht, an den Angreifer gesendet und dieser hat nun alle Zeit der Welt, die Accountdaten zu benutzen.

Durch die Verwendung von OTPs wird dieser Vorgang für einen Angreifer erheblich aufwändiger. Zum Einen muss hierbei eine Reaktion durch den Angreifer nahezu in Echtzeit erfolgen, da, wie oben beschrieben, die Gültigkeitsdauer eines OTPs nur wenige Minuten beträgt. Zudem muss der Angreifer verhindern, dass das OTP zum Server gesendet werden kann, da anderenfalls das OTP ungültig würde.

Diese Methoden sind nicht neu, die Gefahr eines solchen Angriffs ist seit langem bekannt und keinesfalls auf Token des Herstellers Vasco beschränkt, alle Token basieren letztlich auf dem gleichen Grundprinzip. Hier irgendeine Verantwortlichkeit beim Hersteller zu suchen wäre also keinesfalls gerechtfertigt. Letztlich bleibt bei jeder Sicherheitsvorkehrung immer ein gewisses Restrisiko erhalten.

Neu ist hingegen, dass ein solcher Angriff erstmalig von einem WoW-Spieler beobachtet werden konnte (musste). Der Spieler versuchte, sich mit seinen Accountdaten und dem OTP im Spiel anzumelden. Unmittelbar nachdem er das OTP eingegeben hatte, crashte der WoW-Client. Und genau in diesem Moment reagierte der Angreifer und loggte sich mit den gerade eben ausgespähten Daten ein. Das deutet darauf hin, dass der eingesetzte Keylogger in Echtzeit kommuniziert. Zudem scheint er die weitere Anmeldung des Spielers zu verhindern, denn Zarakiteque schreibt in seinem Beitrag, dass er sich nach diesem Crash nicht mehr einloggen konnte. Dies gelang ihm erst dann wieder, nachdem er den vermutlichen Schädling auf seinem System identifiziert und unschädlich gemacht hatte. In seinem Fall handelte es sich um eine Datei namens emcor.dll, die sich in seinem Appdata/Temp-Verzeichnis befand.

Blizzard hat inzwischen bestätigt, dass es sich hierbei um eine Man-in-the-middle attack handeln muss und untersucht den Fall, weitere Informationen wird es sicherlich in naher Zukunft geben. Interessant finde ich, dass es sich hierbei offenbar um einen recht neuen Schädling handelt, Virenscanner entdeckten ihn noch nicht und via Google konnte der Spieler nur wenige Tage alte Informationen im Web finden (aktuell führen nahezu alle Suchergebnisse bei einer Suche nach emcor.dll zu Beschreibungen dieses Vorfalls).

Der Fall führt wieder deutlich vor Augen, dass jegliche Sicherheitsvorkehrungen auch umgangen werden können. Es wird sicherlich nie eine Lösung geben, die das Ausspähen von Logindaten (und die anschließende Nutzung) vollkommen verhindern kann. Jede Lösung wird letztlich nur den Aufwand erhöhen, der von einem Angreifer betrieben werden muss. Wenn der Aufwand irgendwann den Nutzen übersteigt, wird ein Angriff möglicherweise uninteressant.

Auch wenn ich es weiter oben bereits schrieb, möchte ich abschließend trotzdem noch einmal darauf hinweisen, dass für derartige Angriffe nicht allein die Produkte des Herstellers Vasco anfällig sind. Die Angriffe sind auch bei Token von RSA oder anderen Herstellern möglich. Vasco steht allein deshalb nun im Rampenlicht, weil dessen Produkte von Blizzard eingesetzt werden. Die Funktionsweise derartiger Token ist immer identisch, demzufolge funktioniert exakt diese hier eingesetzte Methode auch in der Praxis mit jedem beliebigen OTP-Generator sämtlicher Hersteller. Vasco ist hier also kein Vorwurf zu machen.

Dumm wäre es jetzt, OTPs generell abzulehnen, wie es in manchen Foren bereits geschieht. Auch wenn ein Angriff möglich bleibt: Er ist wesentlich schwieriger und mit höherem Aufwand durchführbar, als wenn allein Benutzername und Kennwort genutzt würden. Die Verwendung von OTPs erhöht in jedem Fall die Sicherheit, auch wenn sie Angriffe nicht vollends ausschließen kann. Hier ist (wieder einmal) der Anwender gefragt, der genügend Aufmerksamkeit und zusätzliche Absicherungen aufbringen muss, um das Einnisten eines Schädlings zu vermeiden. Sich allein auf die Verwendung einer bestimmten Maßnahme zu verlassen, reicht eben nicht.

Im übrigen setzen auch Paypal und eBay die Token von Vasco ein, diverse Banken nutzen sie ebenfalls und an vielen Stellen werden Lösungen von RSA eingesetzt. Ich bin gespannt, wann hier die ersten vergleichbaren Vorfälle bekannt werden.