Der Lilith-Code von Martin Calsow

Der Lilith-Code von Martin Calsow weiß nicht so ganz, was es werden soll: Ein Polit-Thriller oder eher ein Mystery-Thriller.

Zum einen dreht es sich um den Versuch, einen arabischen Staat bzw. eine Allianz von Libyen bis nach Syrien zu gründen. Zum anderen tauchen aber auch Dokumente auf, die an den Grundfesten des Islam rütteln sollen. Schließlich kommt auch noch ein mystischer Touch in Form eines Teufelskults ins Spiel.

Man hat das Gefühl, dass das alles nicht so recht zusammen passt. Einer dieser drei Teile ist zu viel. Aber selbst dann fragt man sich an der einen oder anderen Stelle „warum“. So erscheint das Handeln der einzelnen Staaten beim Nahost-Konflikt recht willkürlich zu sein. (Okay, dafür ist’s auch der Nahost-Konflikt …)

Erschwerend kommt noch hinzu, dass dieses Buch sich bereits historisch überholt hat. Bashar al Assad wird im Roman als eigentlich recht vernünftiger Präsident Syriens beschrieben, der der Region Frieden geben will. Leider hat er im Bürgerkrieg in Syrien ein völlig anderes Gesicht gezeigt. Aber das sollte man nicht dem Autor anlasten. Es verwirrt nur beim Lesen.

 

Zertifikats- bzw. SSL-pinning als Allheilmittel?

Immer wieder liest man, wie der Datenverkehr zwischen Apps und den entsprechenden Servern abgehört wird. Als Gegenmittel bietet sich dafür zunächst SSL-Verschlüsselung an. Damit ist der Datenverkehr verschlüsselt und nicht mehr einzusehen. Allerdings sind SSL-Verbindungen nicht gegen man-in-the-middle-Attacken (mitm-Attacken) geschützt. Dabei schaltet sich der Angreifer zwischen Server und Client. Der Client baut statt zum Server zum Angreifer eine Verbindnung auf. Diese Kommunikation ist zwar verschlüsselt, kann aber vom Angreifer entschlüsselt werden, so dass dieser seinerseits eine verschlüssselte Verbindung zum Server aufbauen kann. Er reicht die Daten transparent durch, liest mit und verändert gegebenenfalls.

Die Verifizierung, dass ich wirklich mit dem Server spreche, kann über SSL-Zertifikate erfolgen. Dabei lässt der Serverbetreiber sich ein Zertifikat von einer Zertifizierungsstelle (CA, Certification Authority) ausstellen, der ich (bzw. mein Browser) vertraut. Das Zertifikat ist an den Servernamen gebunden. Ein Angreifer kann höchstens ein selbst unterschriebenes Zertifikat anbieten. Beim Verbindungsaufbau wird das Zertifikat überprüft und abgelehnt, da die Unterschrift nicht gültig ist.

Bei einem App-Zugriff hat der Nutzer in der Regel keine Möglichkeit, das Zertifikat zu überprüfen. Daher muss dies die App tun. Dies kann durch sogenannten SSL-Pinning geschehen. Die App kennt das zu erwartende Zertifikat und akzeptiert nur dieses.

Nun wird es spannend. An dieser Stelle steigt leider auch der Artikel auf golem.de aus. Es werden die unterschiedlichen Angriffsvektoren durchmischt:

Es wird beschrieben, dass SSL-Pinning auf Android leicht zu umgehen ist. Das mag sein. Aber hier wird auf einmal von anderen Voraussetzungen ausgegangen. Bis eben haben wir dem Client noch vertraut. Als Anwender will ich mitm-Attacken verhindern. Dann ist SSL-Pinning sinnvoll.

Vertaue ich aber nicht mehr dem Client, muss man sich in der Tat etwas anderes überlegen. Dann ist aber das Ziel auch ein anderes: Als Anbieter möchte ich mit einem nicht vertrauenswürdigen Gegenüber Daten austauschen. Solange es nicht irgendeinen vertrauenswürden Kanal gibt, wird dies im Zweifel nicht gelingen.

Andreas Adlon: Tod im Netz

Tod im Netz von Adreas Adlon ist ein klassischer Kriminalroman. Das Ermittlerduo besteht einmal mehr aus einem Mann als Vorgesetzter und einer jüngeren Ermittlerin. Diesmal ist die Ehe des Ermittlers aber nicht am Ende 😉 Ansonsten gibt’s wieder die typischen Personen: Ein cholerischer Oberstaatsanwalt, der Karriere machen will und immer darum besorgt ist, wie er in den Medien gut aussehen kann. Erst eine junge Studentin, dann eine zweite, die auf ähnliche Weise umgebracht wurden. Es wird vermutet, dass die Täter in Internet-Bekanntschaften der Toten zu suchen ist.

Plötzlich taucht eine mehr oder weniger obskure Männer-Gesellschaft auf, aus deren Reihen der Mörder evtl. stammen könnte. Man könnte aus der Story sicherlich einen durchschnittlichen Tatort machen….

Die Story ist nett erzählt, haut aber keinen vom Hocker. Leider ist der Schluss etwas zu überraschend und plötzlich. Er erscheint zu action-reich.