Warum wir immer noch so viel Spam haben…
…und warum das BSI nicht in die Pötte kommt. Ein Kommentar zum 8th German Anti Spam Summit in Wiesbaden.
Die zweitägige Veranstaltung des ECO war sehr gut und gab einen sehr guten Überblück über den Stand der Spam- und Bot-Bekämpfung in Deutschland, Europa und einigen außereuropäischen Ländern, von denen Vertreter da waren um ihre Arbeit vorzustellen. War sehr interessant.
Nur: Der Stand der Technik im Jahre ca. 15 nach Spam und im Jahre >22 nach Buffer Overflow ist nicht gut.
Und damit meine ich nicht, daß die einzelnen Leute ihre Sache nicht gut machen. Damit meine ich, daß die ganze Sache unter einem systematischen Fehler leidet: Alles beruht darauf, Spam und Bots zu erkennen und damit nur die Symptome zu bekämpfen, hinter den Sicherheitslöchern und den Tätern feucht herwischen. Es wird an keiner Stelle die Ursache von Spam und Bots bekämpft – Verbesserung der Software oder der Protokolle steht nicht auf der Tagesordnung.
So hat sich da ein Biotop gebildet. Auf der einen Seite verdienen sich Firmen wie Microsoft und Adobe dumm und dusselig mit ihrer Software, obwohl sie vor strukturellen Schwachstellen nur so strotzt, und auf der anderen Seite hat sich ein Business der Spam- und Botbekämpfung gebildet, das davon lebt, daß es Spam und Bots gibt. Das sie nicht als zu lösendes Problem, sondern als Business Case begreift und damit die Kuh melken und nicht schlachten will.
Ein anderes Problem ist, daß man selbst staatliche Institutionen wie das BSI oder die ENISA auf dieser Denkweise mitreiten. Man könnte auch sagen „keinen Arsch in der Hose haben”. Das BSI betreibt gerade intensiv Bewusstseinsbildung in der Bevölkerung. Wie geht man mit der Unsicherheit im Internet um, wie erkennt man dies, und was macht man gegen jenes. Entseuchungs-CDs pappten letzte Woche auf der Computerbild, und auch Wissenschaftler stimmten in den Chorus ein, wie man am Browser erkennen kann, ob die Seite gerade echt ist oder ob beispielsweise die URL-Zeile echt ist (es wurde ein Beispiel gezeigt, wo jemand per JavaScript die URL-Zeile weggeblendet und durch eine eigene Graphik ersetzt hat, wodurch ein anderer URL vorgegaukelt wird, als man aufruft. Nicht einfach zu erkennen, aber das Nachahmen der sicherheitsrelevanten Benutzerschnittstelle ist ein uralter Trick – umso erschreckender, daß er heute noch funktioniert.) Nicht, daß ich das jetzt schlecht fände. Ich finde es schon ganz gut, daß die das machen. Aber es reicht eben bei weitem nicht und ist nur Symptombekämpfung. Die Ursachen bleiben unangetastet.
Warum aber stellt man nicht mal ordentliche Anforderungen auf, wie ein Browser gestrickt, wie eine HTTPS-Seite aufgebaut und wie Zertifikate vergeben sein müßten, um solche Angriffe zu vermeiden? Das kommt mir vor, als würde man die Bevölkerung schulen, wie man mit Autos ohne Bremsen und ohne Beleuchtung fährt, anstatt einen TÜV einzuführen. Die Maßnahmen des BSI greifen viel zu kurz. Ich habe den Eindruck, daß sie (auch) dazu dienen, daß sich das BSI in der Öffentlichkeit als aktiv darstellt und sich seine Daseinsberechtigung beschafft. Verblüffung beim BSI, als ich das anspreche.
Wenn man etwas gegen die Probleme unternehmen wollte, könnte man das meines Erachtens auf europäischer Ebene tun. Deutschland ist zu klein (und hat viel zu wenig Fachkompetenz) um sich auf dem Markt durchsetzen zu können, aber auf europäischer Ebene wäre das möglich. Allerdings habe ich mit jemand darüber gesprochen, wonach es schon mal Versuche gab, auf europäischer Ebene etwas auf die Beine zu bringen. Ist an Desinteresse, Ignoranz, Zerstrittenheit und Geschäftsinteressen gescheitert. Wir sind auf europäischer Ebene nicht in der Lage, uns auf ordentliche Standards zu einigen. Deshalb konsumieren wir kritiklos, was uns USA und Asien an Technik und Schrott vorsetzen.
Ich komme aber (wieder einmal) zu der Auffassung, daß das BSI daneben liegt.
Ärgerlich fand ich dann auch den Vortrag eines Professors der Universität Potsdam über die Spam-Erkennung. Gut, sein Thema war, daß das ganze in die Spiel-Theorie fällt, was ich ja schon länger sage. Security gehört zur Spiel- und Entscheidungstheorie. Aber der bringt es fertig und kommt 15 Jahre nach Aufkommen von Spam mit dem x-ten Spam-Erkennungsalgorithmus daher. Nash-Filter sollen es jetzt bringen. Und dann die absurde Begründung: Jeder Erkennungsalgorithmus würde heute den Effekt zeigen, daß er am Tag der Messung funktioniert, ein paar Tage später aber nicht mehr. Weil die bösen Spammer sich anpassen und den Algorithmus gezielt aushebeln, also ihre Spielstrategie änderten und an die Regeln anpassen.
Ob da nicht ein Denkfehler drin steckt, will ich wissen. Wenn ein Filter nach ein paar Tagen nicht funktioniert, dann liegt das ja vielleicht gar nicht am Spammer, sondern daran daß der Filter bzw. dessen Modell nichts taugt. Könnte ja sein, daß der Wechsel nicht auf schlauer Adaption beruht sondern darauf, daß der Bot-Netz-Dompteur einen Auftrag eines anderen Werbers ausführt und deshalb die Mails ganz anders aussehen. Ob damit nicht der ganze Vortrag auf einer falschen Annahme beruht. Er meint, ja, da könnte ich Recht haben.
Der zweite Denkfehler ist, daß es dann, wenn der Empfänger die Mail hat, und sie untersuchen kann, es in der Regel schon zu spät ist, weil man die Mail dann schon hat. (Zugegeben, man kann nach der Übersendung der E-Mail per SMTP nach der Übertragung immer noch per Fehlermeldung die Annahme ablehnen, aber erfahrungsgemäß braucht das zuviel Zeit und Rechenleistung, zumal das Ding ja auch vom Benutzer trainiert werden muß.) Damit verhindert das Ding Spam überhaupt nicht, sondern ist nur ein Orakel zu der Frage, ob man eine Mail lesen soll oder nicht.
In einer Nebenbemerkung verrät er dann, was das eigentliche Problem der Sache ist (und warum man von den Universitäten keine Lösungen erwarten kann): Es geht nicht um die Eindämmung von Spam. Es geht darum, auf Konferenzen und in Journals Papers zu veröffentlichen. Und wegen der abstrusen Sitten in der Wissenschaft ist es dazu eben nützlicher, die n+1te Formel zu publizieren, die dann nie wieder jemand braucht, als das Problem systematisch anzugehen. Es geht nicht darum, Spam zu verstopfen, sondern daraus beliebig viele Formeln für Papers zu erzeugen. Welche Rolle spielt es schon, ob sein Vortrag auf falschen Annahmen beruht? Er hat einen weiteren Eintrag in seiner Veröffentlichungsliste, nicht der, der den Fehler findet. Publizieren als Selbstzweck. Der Wissenschaftsbetrieb führt sich gerade mal wieder ad absurdum.
Das ist bei der AV-Industrie auch nicht anders.
Liegt aber auch daran, dass die Loesung nicht ganz so leicht bzw nicht praktikabel ist.
SSL: Jede CA hat eine Policy und die Browser pruefen diese genau und reagieren wenn sie nicht eingehalten wird. Dennoch ist die ganze X509-Geschichte komplett absurd. Das ist aber auch nicht der primaere Grund fuer phishing, SSL-Zertifikate faelschen hat doch gar keiner noetig. Und wenn man die Leute bei Banktransaktionen zu mTAN oder so zwingt, dann werden halt ihre privaten Daten gestohlen oder ihre WoW Inhalte verkauft oder man klaut das Handy gleich mit. Meine wichtigsten Daten habe ich auf einem eigenen Server. SSL supported solche problematischen selfsigned certs ja auch nicht ohne Grund.
Spam ist ein Problem der Provider, ich jedenfalls bekomme keine nennenswerte Menge davon. Heute morgen hat der Filter einen call for paper durchgelassen den ich gleich entsorgt habe, vor 5min hat dann ein Kollege das gleiche Ding nochmal zur Kenntnisnahme rumgeschickt.
Da man grundsaetzlich ja Post von unbekannten haben will, laeuft es letztlich also vielleicht doch nur darauf hinaus, was der Empfaenger lesen moechte. Um den Rest kuemmern sich die Provider. Auch jetzt schon..