Dienstag, 16. Januar 2018

beA/beN - der nächste Anschlag: Notarkammer nötigt zu Java-Malware und dubiose Software mit vollen Rechten

Die BNotK wollte ihre hübsche Signatur-Karten wohl ganz besonders sicher machen: diese müssen vor Benutzung mit einem (per normaler Post verschicktem!) Aktivierungs-Code freigeschaltet werden. Soweit so gut - wenn wir mal vom unsicheren Postweg absehen.

Aber die Sache hat einen gewaltigen Haken: die Notare und Anwälte benötigen dazu eine spezielle closed-source (=Geheimcode) Java-Software, die über ein Browser-Plugin läuft und zugleich volle Rechte verlangt:

1. Die Software verlangt ein Java-Plugin im Browser. Genau das ist aber schon seit Jahrzehnten als extrem unsicher bekannt - es handelt sich um Malware. Hier kam es schon zu zahlreichen fatalen Lücken, wo eine x-beliebige Website mal nebenbei den ganzen Rechner übernehmen konnte. Kein auch nur annähernd fähige Administrator wird heute noch Java-Plugins installieren - das wäre grobe Fahrlässigkeit, ein schwerwiegender Kunstfehler, der zumindest eine fristlose Kündigung rechtfertigt.

2. Zudem verlangt diese Software volle Rechte auf dem PC. Sie kann also alles tun, sich einnisten, sensible Daten ausleiten, strafbare Inhalte plantieren, etc. Der Anwender ist dem voll ausgeliefert - ihm bleibt nur die Möglicheit, an die Gutmütigkeit und sorgfältige Arbeit des Herstellers zu glauben. Auch Schlangenöl wie zB. Virenscanner kann hier nicht helfen.

3. Hergestellt und betrieben wird die Software von einem unter IT-Experten berüchtigem Schlangenöl-Hersteller, dessen Qualifikation eher im Vertrieb konzentriert ist, und der offenbar Sicherheit mit maximaler Intransparenz (zB. geheimer Quellcode) verwechselt. Der Kunde/Nutzer muß GLAUBEN, prüfen darf er nicht.

4. Die Software wurde signiert mit einem Zertifikat eines berüchtigten US-Billiganbieters und altbekanntem CIA-Partner, der aufgrund nachweislich fehlender Vetrauenswürdigkeit schon aus einigen Browsern entfernt wurde.

5. Desweiteren hat man sich einige Mühe gegeben, den Aufbau der Software extra zu verschleiern (wohl in der naiven Hoffnung, wir könnten sie nicht trotzdem zerlegen). Offenbar hat man hier einiges zu verbergen. Schutz irgendwelcher besonders genialer Ideen kann es aber kaum sein - so schwer ist die Aufgabenstellung schließlich nicht.

7. Die Anleitung der BNotK (PDF) wurde so absichtlich generiert, daß sich der Link nicht direkt anclicken oder kopieren läßt. Da der Schlangenöl-Hersteller (ebenso wie die BNotK) nichtmal durchgängige TLS-Verschlüsselung verwendet, besteht die ernste Gefahr, daß der Nutzer falsch abtippt und versehentlich das Programm komplett unverschlüsselt abruft!


Ergo: wenn schon bei der Freischaltung der Signaturkarte die Sicherheit deart miserabel ist, dürfen wir gespannt sein, welche Katastrophen beim beN in nächster Zeit noch auftauchen. Bekanntlich ist ja schon das beA ein Totalschaden.

Es ist nun an den Juristen, den Verdacht auf schwere Nötigung und Computersabotage zu untersuchen.




4 Kommentare:

  1. Dieser Kommentar wurde vom Autor entfernt.

    AntwortenLöschen
  2. Dieser Kommentar wurde vom Autor entfernt.

    AntwortenLöschen
  3. Dieser Kommentar wurde vom Autor entfernt.

    AntwortenLöschen
  4. Genau wie beim beA. Nur hier wurde nicht seccommerce verwendet, sondern ein(veraltetes Java - Warnung bei Firefox) der procilon IT Logistics GmbH, welches dann proNEXT 1.2.1 startet mit dem dann ein Program Secure Frame 1.2.0 startet. Änderung Transport-PIN (fünfstellig) in sechsstellige eigene PIN war beim beA genauso. So ist nach wie vor der Zugriff auf "Mein Konto" zur Bestellung von beA-Karten und qeS möglich (https://secure.bnotk.de) und https://bea.bnotk.de/bestellung/index.html#/products

    AntwortenLöschen