waterstorm.de :: blog and all that stuff

Chat

Der weltweit meist benutzte Chatclient ist der ICQ Client. Wie sicher ist der ICQ Client? Diese Frage ist wahrlich nicht schwer. Die Antwort lautet garnicht. Bei dieser Antwort fragt man sich schnell warum, aber die Gründe liegen ziemlich offen auf der Hand. Dazu schauen wir uns einen kleinen Ausschnitt aus der “Acceptable Use Policy” von ICQ an:

You agree that by posting any material or information anywhere on the ICQ Services and Information you surrender your copyright and any other proprietary right in the posted material or information. You further agree that ICQ LLC. is entitled to use at its own discretion any of the posted material or information in any manner it deems fit, including, but not limited to, publishing the material or distributing it.

Was auf Deutsch soviel heißt wie:

Sie stimmen zu, dass Sie Ihr Copyright sowie jegliche andere Eigentumsrechte an gesendetem Material durch das Senden aufgeben. Des Weiteren stimmen Sie zu, dass ICQ Inc. befugt ist, nach eigenem Ermessen jegliches gesendete Material oder gesendete Informationen in jeder Art und Weise zu benutzen, beispielsweise, aber nicht ausschließlich, indem es das Material veröffentlicht oder verbreitet.

Als ich dies das erste Mal gelesen habe, bin ich doch etwas erschrocken. Gleich weiter gehts dann in der “End User License Agreement”:

Restrictions on Use You agree not to (1) create or use any software other than the Software provided by ICQ or by America Online, Inc., or any affiliate thereof, to enter your ICQ number and password or to access the ICQ Services, without the express written authorization of ICQ; (2) extract information from the ICQ Services, reverse engineer, decompile, disassemble, alter, duplicate, make copies, create derivative works from, distribute or provide others with the Software, the ICQ communications protocol or any information available on, derived or extracted from the ICQ Services, or any part thereof; (3) block, disable or otherwise affect any advertising, advertisement banner window, links to other sites and services, or other features that constitute an integral part of the Software and ICQ Services; (4) connect, use, attempt to connect or use in any way the ICQ Services, for any commercial purpose and any other purpose that is not for your private personal use in good faith and as explicitly offered on the ICQ Web site; and (5) incorporate, integrate or otherwise include the Software or any portion thereof (including the ICQ communications protocols) into any software, program or product that communicates, accesses, or otherwise connects with the ICQ Service or any other instant messaging, Internet, or online service.

Auf Deutsch:

„Sie stimmen zu, weder (1) Software zu erstellen oder zu nutzen, die nicht von ICQ, America Online, Inc. oder ihrer Partner bereitgestellt wurden, um ihre ICQ-Nummer und Passwort einzugeben oder die ICQ-Dienste zu nutzen ohne die ausdrückliche Genehmigung von ICQ; (2) Informationen aus den ICQ-Diensten zu extrahieren, rückzuentwickeln, zu dekompilieren, zu disassemblieren, zu verändern, zu duplizieren, zu kopieren, abgeleitete Werke zu erstellen, zu verbreiten oder anderen die Software, das ICQ-Kommunikationsprotokoll oder jeglicher erhältlichen, abgeleiteten oder extrahierten Informationen oder Teilen darüber zur Verfügung zu stellen; (3) Werbung, Werbebannerfenster, Links zu anderen Seiten oder Diensten oder andere Funktionen, die als integraler Teil der Software und ICQ-Diensten gelten, zu blockieren, zu deaktivieren oder auf irgend einer anderen Weise zu beeinflussen; (4) zu den ICQ-Diensten in irgendeiner Weise zu verbinden, zu nutzen, versuchen zu verbinden oder zu nutzen für kommerzielle Absichten oder jegliche Absichten, die nicht dem privaten, persönlichen Gebrauch mit gutem Vorsatz entsprechen oder nicht explizit durch die ICQ-Webseite erlaubt werden; und (5) Software oder Teile davon (sowie die ICQ-Kommunikationsprotokolle) in andere Software, Programme oder Produkte, welche mit den ICQ-Diensten oder einem anderen Instant Messaging-, Internet-, oder Onlinedienst kommunizieren, ansteuern oder in irgendeiner anderen Art verbinden, zu integrieren, einzugliedern oder auf andere Weise einzuarbeiten.“

(Übersetzungen sind von Wikipedia kopiert. Die englischen Originale findet man direkt auf den ICQ Seiten. Einmal bei der “Acceptable Use Policy”, das andere mal hier bei der “End User License Agreement”.)

Für mich persönlich hört sich das ja fast schon so an, dass sie andere Chatclients, die keine Werbung haben und/oder eine Verschlüsselung beherrschen, absichtlich ausschließen, damit auch alles aufgezeichnet werden kann. Ich finde diese Gründe ausreichend um meine Chats zu verschlüsseln. So kann weder ICQ noch irgendjemand anderes meine Chats speichern, mitlesen oder ähnliche Dinge damit anstellen. (Die lokale History natürlich ausgeschlossen)

Aber das ist noch nicht alles. ICQ hat im Moment keine verschlüsselte Verbindung zum Server, das heißt jeder im Netzwerk kann das Passwort auslesen. Dazu ein kleines (fiktives) Beispiel:

Tim N. ist in der Schule im Computerraum. Um ihn herum 20 Mitschüler. Einer dieser Mitschüler findet es lustig, mit diversen Programmen im Netzwerk herumzuschnüffeln. (Diese Programme sind offiziell in Deutschland illegal, aber man kann sie sich trotzdem kostenfrei auf vielen Websiten im Netz herunterladen) Tim möchte sich in einer Pause mit einem Freund, von dem er weiß, dass er zuhause am Rechner sitzt, unterhalten. Er öffnet ICQ und tippt seinen Benutzername und sein Passwort ein. 5 Sekunden später ist Tim online und sein Mitschüler, der in der gegenüberliegenden Ecke des Raumes sitzt, muss lachen, weil er Tims Benutzername/Nummer und sein Passwort auf seinem Bildschirm erscheinen sieht. Ab jetzt kann er, wann er will mit Tims Benutzername einloggen. Tim wusste nichteinmal, das soetwas möglich ist.

(Selbes Szenario könnte sich z.B. im Inetrnetcafe, im Geschäft, oder an ähnlichen Orten mit einem Netzwerk ereignen)

Die Zentrale Frage ist: Wie kann man so etwas verhindern?

Die Antwort hierzu liegt nicht in allzuweiter ferne. Um sich effektiv zu schützen, sollte man auf ICQ verzichten und sich einen Jabber Account erstellen. Jabber verfügt über eine SSL-Verbindung zum Server und über die Möglichkeit das OTR-Plugin (Off-the-record) zu benutzen. Somit wird das Passwort beim einloggen, als auch die nachfolgenden Messages sicher übertragen. (Vorrausgesetzt das Gegenüber verfügt auch über das OTR-Plugin.)

Jabber kann man auf vielen Wegen benutzen. Es gibt eigene Jabberclients oder z.B. Multiprotokollclients wie Miranda, Pidgin oder Kopete die ICQ und Jabber gleichzeitig beherrschen. Eine schöne Liste mit verfügbaren Clients gibt es auf www.jabber.org.

Mit ICQ gibt es, soweit ich weiß, noch keine Möglichkeit das Passwort verschlüsselt zu übertragen. Aber die Messages können ebenfalls, genau wie in Jabber mit dem OTR-Plugin verschlüsselt werden. (Es gibt noch diverse andere Möglichkeiten z.B. ein PGP-Plugin, aber darauf werde ich hier nicht weiter eingehen)

Wie funktioniert das?

Die einfachste Möglichkeit ist es einen guten Messenger wie Miranda zu verwenden. (Ich habe dazu schon einmal einen Blogeintrag geschrieben). Es ist ganz einfach man läd sich zuerst Miranda und anschließend das OTR-Plugin herunter. Dieses kopiert man einfach in den Plugins Ordner von Miranda. Danach sollte das in den Optionen etwa so aussehen:

Auf Linux ist das ganze ein wenig einfacher. Man muss sich nur seinen Messenger aussuchen und das Plugin im Paketmanager auswählen:

Man muss das Plugin nur noch in den Optionen aktivieren und schon hat man einen hübschen OTR-Knopf:

Es ist so einfach, aber doch so effektiv. Man sollte es den “Überwachern” doch immer so schwer machen, wie es einem mit den einfachsten Mitteln möglich ist. Verlieren kann man dabei nichts, gewinnen dagegen die Privatsphäre.

Wer garnicht auf das knallbunte, werbungsüberfüllte ICQ 6 verzichten will kann es auch etwas komplizierter haben. Dazu braucht man einen OTR-Proxy. Ich habe das nie versucht. Ich war schon immer gegen den standard ICQ Client. Eine Anleitung findet man aber hier.

Allgemein eine sehr gute Website zum Thema gibts hier.