Keepass-Update-Check: Werbung vor Sicherheit?
Nicht nur Update-Tools der PC-Hersteller können offensichtlich leicht gehackt werden, auch als sicher geltende Produkte wie Passwort-Manager haben offenbar leicht zugängliche Schwachstellen. Im Fall von Keepass, dem Open Source Passwort-Managers für Windows, OS X und Linux betrifft es zwar nicht das Produkt selbst aber dessen Update-Check. Dieser basiert auf einer unverschlüsselten HTTP-Verbindung und kann, siehe Video unten, ohne allzu viel Aufwand in wenigen Minuten durch eine Man-in-the-Middle (MitM)-Attacke gehackt werden. Der Grund ist die fehlende Verschlüsselung der Webseite und damit des Update-Checks. Das wäre an sich noch keine Newsmeldung wert, wenn der Entwickler die Schwachstelle rasch behoben hätte, allerdings schlägt die erste Reaktion des Entwicklers auf den Hack nun Wellen über das Hackerforum hinaus:
"Die Sicherheitslücke würde nicht behoben weil die indirekten Kosten des Wechsels zu HTTPS (wie Verlust von Werbeeinnahmen) zu hoch wären."
Die Reaktion der Forums-Gemeinde war vorhersehbar. Der Verlust an Glaubwürdigkeit würde weit schwerer wiegen als die geringeren Werbeeinnahmen, die übrigens tatsächlich messbar sind und bereits vielfach kritisiert wurden. Zwar bessert sich die Situation zunehmend, da auch die Werbeindustrie ein Interesse daran hat, dass ihre Netzwerke nicht gehackt und für Angriffe missbraucht werden können, bis dato muss eine durchgehend verschlüsselte Webseite, die sich ausschließlich aus Werbeeinnahmen finanziert, aber immer noch mit finanziellen Einbußen rechnen. Da der Autor des kostenlos erhältlichen Passwort-Managers dankenswerterweise auf Werbung in seinem Produkt selbst verzichtet und auch bei der Installation bislang keine Adware mitliefert, ist die Antwort also verständlich, wenngleich ungeschickt, er hätte wissen müssen, dass die Reaktion der Community entsprechend negativ ausfallen dürfte.
Weil der Passwort-Manager selbst bislang als sicher gilt und nicht gehackt wurde, empfinden wir Aufrufe zu einem Wechsel als übertrieben. Dennoch sollten Benutzer des Tools reagieren und nach dem Download einer neuen Version, egal woher sie stammt, die digitale Signatur des Installers prüfen: Ein Rechtsklick auf das Setup-Programm in Windows und das Aufrufen der Eigenschaften sollte im Tab "Digitale Signaturen" eine entsprechende Signatur des Autors anzeigen. Der Entwickler von Keepass hat inzwischen angedeutet, dass er durchaus bereit wäre, die Webseite zu verschlüsseln sobald das für ihn möglich ist. Vielleicht würde eine Spende für die regelmäßige Benutzung des Passwort-Managers den Vorgang beschleunigen?
Quelle(n)
https://news.ycombinator.com/item?id=11817590
via: http://www.engadget.com/2016/06/04/keepass-wont-fix-security-hole-due-to-ads/