Meine Frau ist ein großer Fan der Akte X TV-Show, mein Interesse an der Serie ist, herauszufinden, wie schwer es ist, zu trennen, was Fakt und was Meinung (oder nur bloße Spekulation) über das Paranormale ist. Das gleiche kann man sagen, wenn versucht wird, über etwas zu sprechen, was ich die Active X Dateien nenne und dem Verständnis, was mit den Sachen passiert, die man vom Netz lädt.
Diese Woche sah ich die Schlagzeilen über betrügerische Applikationen auf einer Pornoseite. In Wirklichkeit war dies ein geplantes Programm, das eine Verbindung zum Internet aufbaut, in dem zuerst ein Anruf nach Moldavien geschaltet wird. Zusätzlich zu den Bildern der Unbekleideten bekommt man eine sehr teure internationale Telefonrechnung. Und bevor ich überhaupt dazu komme, meine eigenen Telefonrechnungen zu prüfen, kommt die Schlagzeile über eine andere betrügerische Applikation auf, die das elektronische Wertpapiermerkmal von Quicken benutzt, um Ihr Konto zu belasten und das Konto des deutschen Chaos Computer Club zu erhöhen. Die Chaos Leute benutzen Active X, um ihre manipulierten Anwendungen auszuliefern.
Das Netz entwickelt sich zu einem unangenehmen Ort. Aber das wissen Sie ja bereits. Was können Sie also tun, wenn Sie etwas downloaden wollen? Wem können Sie vertrauen?
Um auf den Grund dessen zu kommen, erlauben Sie mir, in den J-Modus zu wechseln und die primären Ursprünge für Ihre Lesefreude auszugraben. Ich verstehe, daß die meisten nicht diese Schwierigkeiten auf sich nehmen wollen, um die Wahrheit herauszufinden - oder wenigstens die Fakten - das ist der Grund, warum wir Journalisten vertrauen. Oder wir vielleicht niemand trauen, in diesem speziellen Fall.
Zuerst hörte ich von einem Freund von diesen betrügerischen Active-X-Applikationen, der mir eine dieser unterschiedlichen Newsgroup-Postsendungen über den Chaos-Hack sendete. Besser gesagt, bevor ich die akzeptierte, habe ich meine Kontaktpersonen bei Microsoft und Intuit angerufen und versucht, die Anschuldigungen zu ergründen und herauszufinden, was wirklich passierte. Noch ehe es mir bewußt war, interviewte ich andere, versuchte zu verifizieren, was sie sagten, mit dem was auf dem Netz deklariert wurde. Inzwischen stellte Microsoft diese Woche einige Seiten in das Netz, um die Situation zu wenden und Wege zu fördern, um die Sicherheit von Applikation zu verbessern.
An anderer Stelle auf der Microsoft Web-Seite findet man Informationen und Propaganda darüber, wie Active X und der Internet Explorer sicherer gegenüber diesen trügerischen Applikationen gemacht werden kann. Erinnern wir uns an den letzten Sommer, ein Unternehmensprogrammierer namens Fred McLain entwickelt absichtlich eine betrügerische Active X Applikation, die er Exploder nannte. Dieses Programm würde Ihren Computer ausschalten, wenn sie es herunterladen. Sie können es hier direkt bei Fred ausprobieren.
Wir haben also einen Fall. Wenn Sie Mulder und Scully anschauen, würden Sie versuchen, die Wahrheit hinter allen diesen Ereignissen herauszufinden. Lassen Sie uns versuchen, die Fakten nicht mit Meinungen zu verwechseln: Fakt 1: Microsoft hat einen Vorgang entwickelt, wodurch eine Active X Applikation eine spezielle digitale Unterschrift übertragen kann. Diese Unterschrift wird von Verisign bereit gestellt. Verisign verlangt von Software-Autoren an einem ethischen Schlüssel festzuhalten; der Autor "soll versuchen, vernünftige Software-Pflege mit vorherrschenden Industrie-Standards zu schaffen, um Programme auszuschließen, die Codes, Viren oder Daten, von denen man annehmen kann, daß sie beschädigt, veruntreut oder mit dem Gebrauch von Daten, Software Systemen oder Operationen belastet sind, die anderen Software-Typen stören." Sie können auf deren eigener Web-Seite mehr darüber lesen und das Versprechen für sich unter dem Abschnitt 4.3 sehen.
Fakt 2: Die Chaos Active X Applikation war nicht unterzeichnet. McLain´s Exploder war unterzeichnet, aber das Zertifikat wurde von Verisign widerrufen, weil er sich nicht an das oben beschriebene Versprechen hielt. Gemäß Greg Smirin, einem Produkt-Manager von Verisign, war sein Zertifikat das erste, das "mit Grund" widerrufen wurde.
Fakt 3: Herauszufinden, ob ein Zertifikat noch gültig ist oder nicht, ist ein separater Schritt, der einige spezielle Kenntnisse benötigt. Wenn Sie den genauen Namen des Autors kennen, können Sie diesen auf der Verisign Web-Seite suchen und den Status eines speziellen Zertifikats herausfinden. ( Ein Microsoft Bevollmächtigter erzählte mir fälschlicherweise, daß eine Liste zurückgenommener Zertifikate auf einer Seite abgelegt sei. Sie existiert nicht.) Hier ist der Pfad zu McLAin´s Informationen.
Fakt 4: Bevor Sie irgendetwas vom Netz herunterladen, bringt Ihr Browser eine Dialogbox, in der Sie gefragt werden, was Sie tun wollen. Gewöhnlich wird hier der Dateiname und der Verzeichnisname auf Ihrer Festplatte festgelegt. Sie können den Internet Explorer und Navigator so konfigurieren, daß er Ihnen eine Warnmeldung ausgibt, das was sie tun wollen, unsicher ist. Oder Sie können ihn so konfigurieren, daß er ihnen kein Warnung ausgeben soll, abhängig vom Hersteller und Modell der Browser Software.
Jetzt liegen Ihnen die Fakten vor. Nun können Sie sich Ihre eigenen Gedanken darüber machen, was zu tun ist. Hier sind einige meiner Ansichten: Microsoft sagt, daß Anwender keine unterzeichnete Software downloaden sollen und tatsächlich ist dies eine gute Idee. Wie auch immer, eine Unterschrift bedeutet nicht viel wie das Beispiel McLain zeigt. Microsoft verunsichert die Präsenz des Zertifikats mit ihrer Rechtsgültigkeit. Microsoft zeigt auf, daß Java-Applikationen - genau wie betrügerische Active X Applikationen - das Potential haben, Ihr System zu beschädigen. Ja, und weiter?
Herauszufinden, ob ein Zertifikat widerrufen worden ist, ist nicht so einfach wie herauszufinden, ob eine Kredit Karte gestohlen worden ist. Und die meisten von uns werden sich nicht die Zeit nehmen, auf der Verisign Seite nachzuschauen, ob wir jetzt eine Applikation heruntergeladen haben, die ein gültiges Zertifikat hat. Microsoft und Verisign müssen mit einem besseren System kommen, wenn sie wollen, daß die Leute ihren Zertifikaten trauen, besonders wenn die Anzahl der mit Grund zurückgezogenen steigt. Das gleiche gilt auch für die Java-Anwendungen.
Meine Empfehlungen? Schütze Dich und überlege alle Wege, um die Sachen aus dem Netz zu bekommen. Ich benutze Norton Anti-Virus Software auf dem PC, auf dem ich alles aus dem Netz herunterlade (oder irgendwelche fremden Disketten anwende) und habe ihn so eingestellt, daß er alle heruntergeladenen Dateien und Disketten scannt. Ich benutze außerdem WordPad, um alle fremden Word .doc Dateien, die ich als E-Mail Attachment bekomme, zu lesen. WordPro kennt keine Makro-Funktionalität, so ist es also noch eine zusätzliche Möglichkeit, sich gegen die Sachen zu verteidigen, die Ihre Festplatte umgestalten.
Ist also Active X mehr oder weniger sicher als Java Applets? Nun, eigentlich ist es egal, oder nicht? Alles, was aus dem Netz herunter geladen wird, ist verdächtig. Microsoft sagt, daß Sie ja auch keine zufällige Diskette von der Straße nehmen würden und die Software auf ihr verwenden würden, warum sollten Sie das daher mit einer nicht vertrauenswürdigen Applikation tun? Dem stimme ich zu -- wie auch immer, um zu ergründen, wem man vertrauen kann, ist kein einfacher Prozeß, wie mein oben beschriebener Fakten-Katalog gezeigt hat.
Geht in Frieden.
david@strom.com
+1 (516) 944-3407
Zurückliegende Veröffentlichungen
Vollständiger Inhalt copyright 1997 by David Strom, Inc.