32C3: Sicherheitsexperte verreißt "Botnetz" Windows 10

2. Jänner 2016, 12:22
353 Postings

Deutscher Kryptologe mit Rundumschlag zu Microsofts neuestem Betriebssystem

Alles andere als ein gutes Zeugnis erhielt Windows 10 vom Verschlüsselungsexperten Rüdiger Weis. Auf dem 32. Chaos Communication Congress (32C3) nahm der Berliner Professor Microsofts neuestes Betriebssystem in die Mangel und ging sogar so weit es als Botnet zu bezeichnen. Weis stößt sich hauptsächlich an den Updates, die man verzögern, nicht jedoch verhindern könnte. Dadurch würde laut Weis der Fall eintreten, dass "fremde Leute ohne Genehmigung auf meinem System Code ausführen können" was per se die Definition eines Botnetzes ausmache.

"Außer dem Erstgeborenen alle Rechte an MS"

Die Lizenzbestimmungen sind für den Kryptologen ebenso ein Dorn im Auge: Microsoft habe "außer dem Erstgeborenen so ziemlich alle Rechte gefordert, die man auf einem Computer vergeben kann". Weiters wettert Weis, dass man dem Anwender die Kontrolle über die eigene Hard- und Software weitgehend entzogen habe. In Puncto Updates gab der Leiter des Cryptolabs zudem an, dass es "immer kritisch sei, wenn Leute zu ihrem Glück gezwungen werden sollen". Man könne mit dem Kunden so einfach nicht umgehen, kritisierte Weis Microsoft stark.

"Microsoft kann Sicherheit nicht"

Insgesamt würden wir mit Windows 10 "unsere ganze Sicherheit an Microsoft" übergeben, was laut dem Verschlüsselungsexperten ein großer Fehler sei, da sich immer wieder herausgestellt habe, dass der IT-Konzern Sicherheit "nicht könne". Microsoft würde sich weiterhin mit "Krypto-Zombies wie veralteten Algorithmen wie SHA-1 herumplagen", gab Weis weiters in seinem Vortrag an.

Der Vortrag von Rüdiger Weis.

Gescheiterte Qualitätskontrolle

Als Beispiel für gescheiterte Qualitätskontrolle bei Microsoft führte der Experte ein Update für Windows 7 an, das kryptische URLs wie jdGhefx.Ghdfef.xgGa.gov für weitere Informationen mit sich brachte. Selbst bei Wiedergabe mit einem Latex-Textverarbeitungsprogramm soll der Forscher eine Warnung erhalten haben. "Da hat kein menschliches Wesen reingeguckt, nicht mal ein elektronisches", ärgert sich der Experte.

"Elektronische Fußfessel"

Weiters kritisierte Weis, dass Microsoft signierte Bootloader verlange, was "das ganze Entwicklungssystem für freie Software bedrohe". Jede Änderung muss dadurch vom Konzern genehmigt werden, was der Sicherheitsexperte als "elektronische Fußfessel" bezeichnet.

"Traumchip für die NSA"

Zudem sei das "Trusted Platform"-Modul (TPM) ein "Traumchip für die NSA" – dadurch sei ein "Generalschlüssel für alle Systeme in einem Land" möglich. Der Vortragende forderte deshalb eine "internationale Kontrolle des TPM-Herstellungsprozesses", eine Offenlegung des Zertifizierungs-Boot-Codes und eine kartellrechtliche Untersuchung, da die PC-Hardware hauptsächlich auf Windows angepasst werde.

Lob für deutsche Cloud

Zuletzt gab es neben viel Kritik auch ein wenig Lob. Microsofts Schritt künftig eine "deutsche Cloud" anzubieten, würde Weis begrüßen. Dies bringe mehr Rechtssicherheit mit sich und sollte für den Privatanwender vermehrt angeboten werden. (red, 02.01.2016)

  • Kein gutes Zeugnis erhielt Windows 10 vom Krypto-Experten Rüdiger Weis beim 32. Chaos Communication Congress.
    foto: shannon stapleton / reuters

    Kein gutes Zeugnis erhielt Windows 10 vom Krypto-Experten Rüdiger Weis beim 32. Chaos Communication Congress.

Share if you care.