Proof-of-Concept-Hack des digitalen Radiergummis

Mit diesem absoluten Unsinn X-pire!, dem digitalen Radiergummi „bekannt aus TV, Rundfunk, Printmedien und zahlreichen Webseiten“ habe ich mich damals überhaupt nicht beschäftigt. Zu offensichtlich war die Unwirksamkeit: Bild entschlüssen, speichern, und der Radiergummi ist erledigt.

Erst heute erfahre ich in einer Email, dass der einzige Sicherheitsmechanismus der Sicherheitsexperten aus Saarbrücken ist, dass sie irgendwann den Entschlüsselungs-Key von ihrem X-pire!-Server löschen, so dass Nutzer mit Ablauf dieses „Verfallsdatums“ diesen nicht mehr geliefert bekommen.

Der Lehrstuhl von Johannes Federrath in Regensburg hat sich jetzt mal den Nachmittag Zeit genommen, um das X-pire-Plugin um ein paar Zeilen zu erweitern: Der Schlüssel wird nicht nur vom X-Pire!-Server geholt, und das Bild entschlüsselt, sondern zusätzlich der Schlüssel und das Bild auf einen anderen Server geladen.

Das „Streusand“ getaufte Plugin ermöglicht dann also für unbegrenzte Zeit den Zugriff auf die mit dem Verfallsdatum ausgestatteten Bilder, indem es sowohl Schlüssel als auch Datei unbegrenzt vorhält. Aus den Bildern macht man dort dann auch noch direkt eine nette Bildergalerie. Streusand heißt das Plugin, dass sie nicht veröffentlichen wollen. Aber warum auch, es sind ja nur 3 Zeilen, um die das X-pire!-Plugin erweitert werden muss.

Dadurch wird nicht nur die Schutzfunktion von X-pire! ausgehebelt, sondern es werden zudem gerade die besonders schützenswerten Bilder in einer öffentlichen Bildergalerie unbegrenzt zugänglich gemacht

Den Regensburger Saarbrückener Vollprofis bleibt nun nur noch eine Möglichkeit, ihr X-Pire!-Projekt zu retten: Sie müssen die X-Pire!-Schlüssel mit digitalen Radiergummis versehen. :-)

An die Tasten, fertig los!

44 Ergänzungen

  1. Im letzten Absatz sollte es doch wohl lauten „Den Saarbrücker Vollprofis nun nur noch eine Möglichkeit, ihr X-Pire!-Projekt zu retten: …“

    Denn dort und nicht aus Regensburg kommt das X-Pire! Projekt schließlich her.

  2. Der größte Witz ist: Der Prof merkt ja selbst an, dass das Konzept lücken hat. Da wird dann eine Captcha eingebaut, die auch nichts besser macht, und das ganze als Produkt vermarktet.
    Und dann springen auch noch Politiker auf. *ohman

  3. Irgend welche Hacker mögen immer irgendwas hacken können, aber, ähm, die Zuverlässigkeit und Sicherheit von X-pire steht nicht in Frage.
    ;)

    *duck&wech*

    1. Da geht man einmal kurz zum Kühlschrank, schon kommt einem jemand mit seinem Post zuvor. Und jetzt sieht es so aus, als hätte ich mir den Witz ausgeguttenborgt.

  4. Endlich, auf diese Meldung warte ich schon seit der ersten Veröffentlichung von X-Pire.
    Aber ich kann verstehen das man sich ungern mit dem offensichtlichen beschäftigt :)

  5. Jaaa, mit Gewalt!

    Mit „krimineller Energie“, aber damit kann ja niemand rechnen. Vor allem nicht jemand, der so ein Produkt verkaufen will.
    Sollen die X-pire (bekannt aus Funk und Fernsehen) Server eigentlich als Domain x-pire.innenministerium.de bekommen oder dann doch bka.de o.ä. ?

  6. Ein hab ich noch:

    Die Politik hat schon die Lösung:

    Ein Gesetzt, dass das Speichern von x-pire Schlüsseln verbietet.

    Wie beim Kopierschutz auf CDs. Egal wie wirkungsos die sind, Gesetz ist Gesetz.

  7. Ich habe eine neue, bessere Idee. Alle XY Jahre wird das Internet einfach komplett gelöscht – also quasi formatiert und neu aufgesetzt. :-D

  8. Also x-pire war schon vom ersten Mal an als es vorgestellt wurde in der Fachwelt von bösen Blicken gesegnet.
    Ist eben einfach Unfug.

    Damit wurde nun bewiesen, dass es nicht nur Unfug, sondern auch noch ziemlich schlechter Unfug ist.

    Respekt /ironie an x-pire Coder und danke nach Regensburg.

    PS: Welche ethischen Gründe sprechen gegen eine Veröffentlichung der drei Zeilen?

  9. @Martin (8) (Btw. ich distanziere mich von 7 und 8, das bin nicht ich)
    Im Heiseforum hat heute auch schon wer geschrieben, als neues Jugendwort wird jetzt guttenbergen eingeführt. Z.B. wenn Heinz und Sigfried von der Lehrerin angesprochen werden das sie die gleiche Hausaufgabenlösung haben. Dann haben sie es von Olaf geguttenborgt.
    Ich musste da an die Ironie der Geschichte für Legastheniker wie mich, denken. Da hat der Gutenberg damals mit seinem Buchdruck sozusagen die Urkopie erfunden, es aber nicht geschafft seinen Namen dem Deutschen Wortschatz einzuverleiben. Aber 600 Jahre später kommt ein Namensverwandter daher und schafft es dann doch ihm noch ein Denkmal zu setzen.

  10. Wie war das? Hacker machen keinen groben Unfug, sondern feien Fug =)))

    Herrlich

    *sitzt breit grinsend vorm Monitor*

  11. Wenn solche Vollpfosten eine Professur bekommen, wundert es nicht, dass es für das richtige Benutzen von Copy&Pase schon einen Doktor gibt.

  12. Bin mal zufällig in den Kommentaren eines Artikels bei golem auf den Blog „Forschungsmafia“ gestoßen und wundere mich, dass dieser noch nicht mehr Aufmerksamkeit gefunden hat, wo in diesem doch bereits etliche Peinlichkeiten, Korruptionsskandale und andere Unverschämtheiten in (hauptsächlich) der IT-Hochschulwelt angesprochen wurden.

    So auch X-Pire sowie die Idee, einen Piratenserver aufzusetzen:

    http://www.danisch.de/blog/2011/01/05/idiotische-kryptographie-made-in-germany/

    Als Nachtrag kam noch dieser Artikel:
    http://www.forschungsmafia.de/blog/2011/02/19/noch-ein-lacher-zu-x-pire-und-professor-backes-gefallig/

    Kann den Blog sowie auch dessen angehängte PDF „Adele und die Fledermaus“ nur empfehlen!

  13. Dieses Posting wurde mit der digitalen Zaubertinte ©®appear(™) verfasst und erscheint vollständig erst am 01.05.2012 um 15:61 Uhr.

  14. Das tolle Firefox Plugin macht auch synchrones XHR, blockiert also den Browser während es die Daten vom Server holt. Experten.

  15. Als xPire noch eine Idee und kein Produkt war habe ich auch gesagt, was ich hier wiederholen möchte:
    Sinnvoller wäre es Metadaten zu spezifizieren/standardisieren, in denen steht, wann eine Datei verfällt. Das ist gute erprobte Technik und ist ebenso sicher wie der Verfall von Cookies oder die robot.txt. Eine Vereinbarung mit dem lesenden System, man bittet darum sich daran zu halten und siehe da: Die allermeisten halten sich auch dran. Browser verwerfen ihre alten Cookies und Suchmaschinen (oder andere Roboter) halten sich in aller Regel an diese Bitten.
    Mehr ist doch nicht zu tun bei Ressourcen aller Art. Man schreibt irgendwo in die Datei „bitte vergessen am $Datum“ und ich bin sicher nach eine Weile würde Apache das checken und nicht mehr ausliefern, würde Google die Dokumente aus seinem Cache werfen und würden Betriebssysteme ihre temporären Daten auch entsprechend löschen. Einfach aufgrund einer Bitte.
    Niemand müsste Capchas ausfüllen, niemand müsste PlugIns installieren, niemand müsste Geld dafür bezahlen und automatische Systeme würden nicht ausgesperrt.

    Ich frage mich warum man _das_ nicht in Angriff nimmt, wo es doch erprobte Praxis ist sich einfach an Bitten und Vereinbarungen zu halten.
    In dem Modell gilt natürlich das gleiche wie für xPire: Wer böses will kann auch böses tun. Aber das lässt sich eben nur verhindern, wenn man Daten nicht zur Verfügung stellt.


    Dieser Beitrag ist noch 28 Tage sichtbar (Stand: heute)

  16. Der Witz ist ja, dass verschlüsselte Bilder völlig unbrauchbar sind. Nicht weil nur wenige Leute den Schlüssel besitzen, oder weil nach X Tagen der Schlüssel verfällt. Sondern, eil Seiten wie Facebook mit den Bildern so nichts mehr anfangen können, keine Skalierung usw..

    Das Verschlüsselung hier nicht die Lösung ist sollte jedem klar sein.

  17. Daß kleinkarierte Kritiker hoffnungslos überfordert sind, die Genialität der Konzeption von X-pire! zu erkennen, verwundert nicht. Die Regensburger Gruppe war auch nicht die erste, die die Möglichkeit erkannt hat, das Plugin zu modifizieren. Es soll da schon Vorgänger aus der Schweiz gegeben haben, aber auch die haben das nicht als erste entdeckt, denn -Überraschung!- diese vermeintliche Schwachstelle ist entscheidend für das schlichtweg geniale Sicherheitskonzept von X-pire! Gerade weil sich dieser exploit so leicht ausnützen läßt, wird sich jeder Benutzer denken, ich bin schlau, ich ändere das Plugin und biete das irgendwo zum Download an, und setze einen Schummelserver auf, der all die vom geänderten Plugin eingesammelten Schlüssel abspeichert. Das würde dann am besten funktionieren, wenn es weltweit nur einen Schummelserver gäbe, degeneriert aber rasant mit steigender Anzahl der Schummelserver, die um die gekaperten Schlüssel konkurrieren. Und wenn jeder sein eigenes Schummelplugin und eigenen Schummelserver hat, dann tauscht er mit diesem auch nur die Schlüssel aus, die er sich sowieso höchstselbst besorgt hat. Und damit legen sich die Schummelserver eben aufgrund ihrer großen Anzahl faktisch selber lahm. Damit das so funktioniert, muß der Exploit natürlich dermaßen simpel sein, daß ihn auch ein Vollidiot implementieren kann. Und genau so wurde das bei X-pire! gemacht. Alles klar?

  18. @36 mayleen: Das wird in dem ersten Link von #24 (Lester) angedeutet. (Relativ weit unten im Text.) Wenn das stimmt, wäre das sehr traurig und ein Armutszeugnis für die deutsche Bildungslandschaft.

  19. @Count Krey

    Tja Berater, wahrscheinlich von einer Uni nahe Frankreich…

    Wir müssen uns (zumindest für eine gewisse Zeit) daran gewöhnen, dass Politiker
    1. nicht alles verstehen was sie so daher reden,
    2. nicht immer gut beraten sind,
    3. andere Ziele verfolgen als sie propagieren (was ab und an sogar Sinn machen kann, nicht in diesem Fall),
    4. oft nicht an Inhalten und Lösungen interessiert sind, sondern an „Leuchtturm“-Projekten, an der Präsentation von „Ergebnissen“, an Presse- und nicht an Büroarbeit usw.

    Verkauf ist ihr Geschäft und ihre Berater sind aus dem Marketing.
    Es zählt nicht mehr was gemacht wird, sondern das irgend etwas gemacht wird. Egal wie sinnlos/-voll, das verfolgt eh kaum ein Bürger.

  20. Jetzt mal ernsthaft: Die Idee von X-Pire ist doch cool: das ist im Prinzip DRM fürs Volk. Schlecht gemacht zugegeben, aber wenn entsprechend gute OpenSource Ansätze kommen, könnte ich mir vorstellen, dass das was werden kann.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.