[Chaos CD]
[Datenschleuder] [47]    Die Geschichte mit der 'Yellow-Point" CD-ROM
[Gescannte Version] [ -- ] [ ++ ] [Suchen]  

 

Die Geschichte mit der 'Yellow-Point" CD-ROM

kurze Übersicht über die Ereignisse

Bereits seit der DAFTA (Datenschutzfachtagung) im November 1993 waren die grundlegenden Informationen über die Unsicherheit des z.B. von der Yellow-Point verwendeten Software-Verschlüsselungs-Verfahrens bekannt (siehe Diagramm). Zur CeBit begab es sich dann, daß die CD-ROM zunächst zusammen mit der Zeitschrift "PC-Direkt" herauskam, um dann schliesslich auf der CeBit verschenkt zu werden. Die prinzipielle Unsicherheit des Systems in Verbindung mit den zusätzlich hier vorhandenen ProgrammierBugs (Fehlern) ermöglichte es, die auf der CD-ROM verschlüsselte Software in weniger Zeit zu entschlüsseln, als für den Transport zu unseren Mitgliedern nach Bulgarien notwendig war.

Am Samstag morgen wurde zunächst versucht, einen Verantwortlichen bei Yellow-Point zu erreichen, Dies scheiterte schon im Ansatz: am Telefon konnte oder wollte man noch nicht einmal den Namen des Geschäftsführers oder eines Verantwortlichen nennen. Die CD-ROMs wurden immer noch verschenkt, so dass sich einige anwesende Chaoten entschlossen, eine Meldung auf die Netze und an eine Nachrichtenagentur zu schicken. Samstag nachmittag ging die Geschichte dann als dpa-Meldung über die Ticker und es entstanden Radio- und Zeitungsbeiträge. Ein bereits vorher entstandener Fernsehbeitrag wurde von der ARD - obwohl gekauft - nicht gesendet; man befürchtete rechtliche Konsequenzen, das sei ja "mehr oder weniger ein Aufruf zum Raubkopieren"

Ob es an unserer Meldung oder der Verkürzung von DPA lag: die Darstellung des eigentlichen Problems misslang etwas. In erster Linie kam die Meldung "CCC knackt CD-ROM" und nicht "CCC weist auf Probleme beim Softwareverkauf hin". Liegt natürlich auch daran, daß sich letzteres schlechter verkauft. Es ist längst bekannt, dass auf ein Stück legal erworbene Software viele tausend Stück Kopien kommen. Aber anstatt, wie beim Shareware-Konzept, hier mit alternativen Lösungsmöglichkeiten den Ausweg aus der Misere zu suchen, setzen die konventionellen Softwareproduzenten auf Einschüchterung (siehe auch 0130-4011, dazu demnächst mehr) und "easy to buy" - Konzepte a la YellowPoint.

Das Problem bleibt: private Kunden sind weder dazu bereit noch in der Lage, Software zum Preis von Produktionsmitteln zu kaufen - lernorientierte jugendliche Computerbenutzer schon gar nicht. Hier nützen Demo-Versionen mit beschränktem Funktionsumfang (wie bei einem bekannten Textbearbeitungsprogramm, in dessen Demoversion die Speicherfunktion gesperrt ist, die in der Vollversion aber leider auch nicht richtig funktioniert) am wenigsten. Demoversionen mit Zeitbeschränkung erlauben zwar eine bessere Einschätzung, ob die Software denn die ist, die man braucht, senken die Preise aber auch nicht auf ein verträgliches Niveau.

Die Geschichte mit der "geknackten Yellow-Point-CD-ROM" hat die Softwaredistributoren und Produzenten sicherlich verschreckt. Ein Informationsfluss zwischen CCC und Yellow-Point lief zunächst über Journalisten. Als es hiess, die Firma Yellow-Point werde von jemandem, der sich als CCCler auswies, erpresst, der damit drohte, die Codes freizugeben, wenn nicht ein bestimmter Betrag gezahlt werde, änderte sich dies, Der zunächst kooperative Pressesprecher verwies auf den Geschäftsführer von Yellow-Point bzw. auf den verantwortlichen Projektleiter. Diesem wurde erläutert, dass der CCC kein Interesse und nicht die Absicht habe, das Unternehmen zu erpressen oder überhaupt die "Codes" herauszugeben. Dem CCC ging es um die Unsicherheit des Systems (Sicherheit ist eine Illusion) und um die Diskussion des ganz alltäglichen Wahnsinns, Softwarevermarktung genannt. Letztlich muss es zu einer Lösung kommen, die auch für minder finanziell ausgestattete Computerbenutzer befriedigend ist.

In Köln fand ein Treffen zwischen Mitgliedern des CCC, dem verantwortlichen Projektleiter und dem Programmierer der Fa. Yellow-Point statt, bei dem in einem konstruktiven Dialog die Geschichte, ihre Folgen, Hintergründe und Lösungsansätze diskutiert wurden, Yellow-Point, so der Leiter des Projektes, Herr Schneider, habe keinen wirklichen Schaden von der Geschichte erlitten, Der Kontakt zu den Softwareproduzenten sei eng genug, die CDROM verkaufe sich besser als vor den Pressemeldungen und überhaupt habe man damit gerechnet, dass das Verfahren knackbar sei, Ausserdem seien die von der CD-ROM kopierten Programme ja Raubkopien wie andere auch.

Die Frage, ob man denn das Wissen um den 1 Byte DES-Code und den 6-Iterationen-DES nicht unter den Tisch fallen lassen könne, konnten wir leider nicht bejahen (Freedom of Information contra security by obscurity).

Dies, oder irgend etwas anderes, haben uns die Herren vermutlich übel genommen. Nach dem eigentlich konstruktiven Kölner Gespräch waren wir zunächst erstaunt, von einem recherchierendem Journalisten zu hören, Yellow-Point habe einen bekannten, in München ansässigen Anwalt beauftragt, gegen den CCC, den Schreiber diesen Artikels (der auch auf dem Kölner Treff war) sowie gegen Josef Bugovics, der bereits auf der Dafta '93 über die Unsicherheit dieses Distributionskonzeptes berichtet hatte, vorzugehen.

Besagter Anwalt war nur, bedingt für eine Stellungnahme zu gewinnen, verwies jedoch auf die gemeinsame Streitkultur, war er doch nicht zuletzt regelmäßiger Besucher des Chaos Communication Congress - der Bösewicht sei Josef Bugovics. Herr Schneider, der Verantwortliche bei Yellow-Point, war ab diesem Zeitpunkt telefonisch leider nicht mehr zu erreichen. Die Sekretärin der Fa. Yellow-Point verwies auf Besprechungen, wann immer man auch anrief. Zwischenzeitlich lies Herr Schneider ausrichten, dies sei nicht als Abbruch der diplomatischen Beziehungen zu werten. Er sei auch nach wie vor an den vorgeschlagenen Shareware-Konzepten interessiert.

Ein Vertreter einer Firma, die international Büromaschinen vertreibt und in Anzeigenkampagnen gerne die Behauptung aufstellt, die besten Hacker säßen... bei ihnen, fragte dann noch an, ob denn der CCC eine Untersuchung des von ihnen verwendeten (Verschlüsselungs-)Verfahrens durchführen könne. Allerdings erreichte dieser Mensch den CCC'ler zwischen Strassenbahn und Haustür, so dass um schriftliche Anfrage per Fax gebeten wurde, Das kam dann allerdings nicht, dafür einige Wochen später ein Anruf von selbiger Firma mit selbigem Anliegen, allerdings etwas gewähltere Sprache, vermutlich eine Etage höher ansässig als der vorherige Anrufer. Dafür, daß der CCC sich nicht als Dienstleistungsunternehmen zur Verfügung stelle, habe man ja Verständnis, ob denn nicht gegen eine Spende eine Untersuchung mit exklusiver Ergebniskanalisierung... doch auch dieser Herr genierte sich offenbar zu sehr, als das er diese Anfrage faxen konnte. Frei nach dem Motto: die besten Hacker sitzen zwar nicht bei uns, aber neulich haben wir sie mal angerufen.

Quintessenz: für die Untersuchung irgendeines Produktes steht der CCC als Dienstleistungsunternehmen sicherlich nicht zur Verfügung. Solch ein Projekt ist nur vorstellbar, wenn die gewonnenen Erkenntnisse dann auch veröffentlicht werden können, um der allgemeinen Evolution zu dienen, statt sich für ein Unternehmen exclusiv zu prostituieren.

Die Mißstände beim Verkauf von Software - ganz allgemein, werden aber sicherlich nicht durch sicherere Verschlüsselungs-Konzepte behoben, Irgendwann werden das auch die Produzenten begreifen, genauso, dass man Geld nicht essen kann. Hoffentlich, bevor der letzte Baum...

Andy

 

  [Chaos CD]
[Datenschleuder] [47]    Die Geschichte mit der 'Yellow-Point" CD-ROM
[Gescannte Version] [ -- ] [ ++ ] [Suchen]