Avira!

Hey, ihr Kaufleute bei Avira!

Ich finde, ihr habt da eine tolle Idee gehabt. Euer Antivirus-Schlangenöl zum serverseitigen Durchscannen von E-Mail benötigt eine Lizenzdatei, und wenn die abgelaufen ist, wird einfach jede Mail in einen Spamordner verschoben, aus dem sie nur durch die Handarbeit eines Administrators wieder befreit werden kann.

Ihr hättet diese Idee ruhig mutig gegenüber euren Anwendern kommunizieren sollen. Zum Beispiel mit den Worten: „Oh, sie haben da so viele interessante Mails. Das wäre doch schade, wenn denen etwas zustoßen würde“…

Ach, das wäre schlecht für euer Image gewesen, wenn ihr wie ein Schutzgelderpresser klingt? Na, euer Image scheint euch aber ziemlich wumpe zu sein, weil ihr einfach keine neue Lizenzdatei für eure zahlenden Kunden ausgeliefert habt. Und ohne gültige Lizenzdatei… siehe oben!

Und nein, ihr handhabt das nicht so, dass erst die wichtige Funktion ausgeübt wird, und dann die Lizenzdatei überprüft wird. Oder so, dass ohne Lizenzdatei eine jeden Tag eine E-Mail mit einer deutlichen Warnung an den postmaster rausgeht und alle Mails ungeprüft durchgestellt werden, weil eurer Schrottprogramm einfach gar nichts tut. Oder sonst irgendwie sinnvoll. Sondern ihr behandelt das so, dass eure Lizenzprüfung oberste Priorität hat, und dass beim Fehlschlagen dieser Prüfung der größtmögliche Schaden für eure Anwender angerichtet wird. Das ist ziemlich großes Kino, wenn ihr dazu noch selbst die Kleinigkeit mit der Lizenz verkackt, findet ihr nicht auch?!

Und wisst ihr, was das Beste daran ist? Gegen die pösen „Raubkopierer“, die ihr mit eurer hirnamputierten Lizenz-Kacke doch „bekämpfen“ wollt, hilft euch das kein bisschen. Die haben sich nämlich eine gepatchte Version aus der Piratenbucht gezogen, die auch im Jahr 2020 noch läuft, wenn euch hoffentlich längst der Insolvenzverwalter geholt hat. Ganz ohne den kundenverachtenden Scheiß mit irgendwelchen „erforderlichen“ Lizenzdateien, den sich irgendwelche hirnverrotteten Kaufleute bei euch ausgedacht haben.

Die einzigen, denen ihr mit eurer fehlgeschlagenen Lizenzierungs-Kacke schadet, sind die Menschen, die euch auch noch Geld für eurer Antivirus-Schlangenöl gegeben haben.

Was meint ihr wohl? Wie wird sich das auf die zukünftige Bereitschaft auswirken, eure Produkte zu kaufen?

Ratet mal?

Ich sags euch jedenfalls nicht… und ihr solltet besser nicht eure Kaufleute, sondern eure Kunden danach fragen. Ach, die gehen euch am Arsch vorbei. Na, das merkt man aber auch. :mrgreen:

Datenschutz? So Nie!

Wer wissen möchte, warum man auch großen Firmen mit einer unbestrittenen Reputation nach Möglichkeit keine persönlichen Daten anvertrauen sollte: Bitte an den PSN-Hack bei Sony denken.

Viele Nutzer von PSN und Qriocity haben in den letzten Tagen eine Mail erhalten, aus der unter anderem Folgendes hervorgeht (Hervorhebungen im Zitat sind von mir):

Auch wenn wir derzeit noch bei der Untersuchung aller relevanten Details zu dem Vorfall sind, meinen wir, dass sich eine unbefugte Person Zugriff zu folgenden persönlichen Daten verschaffen konnte: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail Adresse, Geburtsdatum, PlayStation Network / Qriocity Passwort und Login sowie PSN Online ID. Es kann darüber hinaus möglich sein, dass auch Ihre Profilangaben widerrechtlich abgerufen wurden inklusive Ihrer Kaufhistorie und Ihrer Rechnungsanschrift (Stadt, Bundesland, Postleitzahl). Falls Sie einem zweiten Konto für einen Unterhaltsberechtigten zugestimmt haben, kann es sein, dass oben genannte Angaben Ihres Unterhaltsberechtigten ebenfalls angeeignet wurden. Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarteninformationen widerrechtlich zugegriffen wurden, können wir diese Möglichkeit nicht gänzlich außer Betracht lassen […]

[Danke S., für die Weiterleitung der Mail, die übrigens wie eine Spam ohne persönliche Anrede daherkommt, obwohl auf Seiten Sonys ein Name bekannt ist.]

Betroffen von diesem kriminellen Angriff sind rund einhundert Millionen Sony-Kunden.

SoNieErmöglicht wurde das massenhafte Abgreifen von Daten durch äußerste Nachlässigkeit mit der Internet-Sicherheit. Es wurde veraltete Serversoftware mit allgemein bekannten, von Angreifern ausbeutbaren Lücken verwendet und es gab keine üblichen Absicherungen gegen solche Angriffe. Diese Probleme waren auch auf Seiten Sonys bekannt. Die gleiche Firma, die ihre Kunden so gern mit DRM (am besten als digital restrictrion management) in ihren völlig entbehrlichen Produkten knechtet und dabei vor noch gar nicht so langer Zeit nicht einmal davor zurückschreckte, Audio-CDs auf den Markt zu werfen, die mit heimlich installierter, perfide programmierter und gefährlicher Schadsoftware das Auslesen der Musikstücke verhinderten, diese Firma hat selbst keinerlei Mühe darauf verwendet, die angesammelten Kundendaten in irgendeiner Weise abzusichern.

Oder kurz gesagt: Sony sind seine Kunden scheißegal.

Sicher, die sollen kaufen und bezahlen, die sollen sich darüber freuen, dass sie ihr Geld für enteignende und entrechtende DRM-Scheiße ausgeben; die sollen sich auch ja nicht an eine Zeit erinnern, in der Computerspiele auch ohne Internetzugang möglich waren — aber dass sich das mit einer so „großen“ Wertschätzung der Kunden verbände, so dass auch nur die üblichen Investitionen in die Sicherheit der Internetanwendungen gemacht würden, um die akkumulierten Kundendaten zu sichern, das wäre doch zu viel verlangt. Und dass man ein paar kompetente Administratoren damit beschäftigte, die mit dem Internet verbundenen Datenverarbeitungsanlagen — jeder Recher mit einer Internet-Verbindung ist ein Opferrechner, und wo sich die Beute so sehr lohnt, da kommen Täter irgendwann ganz sicher — überwachten und auf einen leidlich sicheren technischen Stand hielten… ach nein, die Leute müsste man ja bezahlen, das kostete ja Geld, und das kann man doch auch einsparen. Das ist ja auch besser für den Profit. Es ist ja auch nicht in erster Linie Sonys Problem, wenn Kreditkartendaten von Kriminellen benutzt werden und durch den Missbrauch der Identitäten der Kunden teilweise große Schäden entstehen, sondern es ist das Problem der Kunden und ihrer Banken. Genau so, wie das Mailpostfach voller Spam und krimineller Attacken nicht ein Problem Sonys, sondern ein Problem der Kunden ist.

Welche „Kaufempfehlung“ für Sony-Produkte aus diesem Vorgang hervorgeht, erklärt sich hoffentlich von selbst.

Welche viel allgemeinere Empfehlung für den Umgang mit persönlichen Daten aus diesem Vorgang hervorgeht, sollte aber genau so klar sein. Auch große wirtschaftliche Unternehmen sind nicht vertrauenswürdig. Ihr Agieren ist darauf gerichtet, Gewinn zu erwirtschaften, und dabei können berechtigte und vernünftige Ansprüche ihrer Kunden — in diesem Fall: der berechtigte und vernünftige Anspruch auf die Sicherheit persönlicher Daten — schon einmal auf der Strecke bleiben.

Hier nur ein kleines Zahlenspiel, um das Volumen der von Kriminellen bei Sony abgegriffenen Daten etwas fassbarer zu machen.

Es soll sich um ungefähr 100 Millionen Datensätze mit folgenden Merkmalen pro Datensatz handeln:

  • Name
  • Anschrift
  • Wohnort
  • PLZ
  • Staat
  • Geburtstag
  • Passwort
  • Login
  • eine ominöse ID
  • vielleicht noch Kreditkartendaten
  • vielleicht eine Rechnungsanschrift

Wenn man für diese Felder „mal eben schnell“ eine durchschnittliche Feldlänge schätzt, kommt man pro Datensatz auf folgende Datenmengen:

  • 16 Zeichen für Vor- und Nachnamen
  • 16 Zeichen für die Anschrift
  • 10 Zeichen für den Wohnort
  • 5 Zeichen für die Postleitzahl
  • 3 Zeichen ISO-Code für den Staat
  • 8 Zeichen für den Geburtstag
  • 64 Zeichen für das (hoffentlich gehashte) Passwort
  • 10 Zeichen für die Login-Kennung
  • 8 Zeichen für die ID

Das macht beim sicher eingeräumten Volumen der mitgenommenen Daten, wenn man einmal ein Byte pro Zeichen annimmt und eher technische Zusatzinformationen (Feldtrennung, Trennung zwischen den Datensätzen) ignoriert, 140 Bytes pro Datensatz. Bei 100 Millionen Datensätzen ergibt sich so, dass rund 13 Gigabyte Daten von Sonys Servern abgegriffen wurden. Wird die Rechnungsanschrift mitberücksichtigt, wurden rund 17 Gigabyte Daten abgegriffen, und nimmt man für die Kreditkartendaten einmal 20 Byte an, so handelt es sich, falls diese auch in die Hände der Verbrecher gelangt sind, was übrigens wahrscheinlich ist, um satte 20 Gigabyte Daten. Da in dieser Betrachtung technische Elemente in den abgegriffenen Datensätzen ignoriert wurden, ist das wirkliche Volumen um einen unbekannten Betrag höher.

Selbst über schnelle Internetanbindungen lässt sich eine derartige Datenmenge nicht „mal eben in ein paar Minuten“ übertragen, das Abgreifen der Daten muss also bei üblichen Downloadraten mehrere Stunden gedauert haben.

Und in dieser ganzen Zeit ist es bei Sony keinem technischen Administrator aufgefallen, dass plötzlich in der Größenordnung von mindestens 13 Gigabyte Daten aus den Kundendatenbanken möglicherweise in einer Transaktion an eine einzige IP-Adresse gesendet werden. Aber selbst, wenn das Abgreifen der Daten über ein Botnetz erfolgte, wäre ein solcher Vorgang auffällig.

Es gibt dafür nur eine Erklärung: So etwas wie ein Monitoring der betroffenen Server durch dafür bezahlte Administratoren hat nicht stattgefunden — denn bei einer derartigen Transaktion sollten schnell alle Alarmglocken klingeln. Das Geld, das für eine technische Überwachung und Betreuung der Sony-Rechenzentren ausgegeben werden müsste, wurde von Sony einfach eingespart, weil Sicherheit „zu viel Geld kostet“ — eventuelle Schäden haben ja andere. Eben die Kunden. Und die sind Sony ja scheißegal, solange sie sich am Geldbeutel melken lassen.

Dass ein derartiges Monitoring nicht stattgefunden hat, passt übrigens prächtig dazu, dass nicht einmal die verwendete Serversoftware auf einen aktuellen und gegen Angriffe sicheren Stand gebracht wurde — für die Durchführung solcher elementarer Tätigkeiten für die IT-Sicherheit hätte man ja bei Sony jemanden beschäftigen und bezahlen müssen. Wie schon gesagt, bei der gleichen Firma Sony, die ihre Kunden mit DRM an allen Ecken und Enden gängelt.

Alle Ächtung!