Firefox kompromittiert

MacMark · 03.11.11

http://www.golem.de/1111/87509.html
Firefox hat ein von Anonymous manipuliertes Plugin zertifiziert. Anonymous hält sich für Richter und Henker. Das ist schlicht Selbstjustiz! Und Firefox kann man jetzt nicht mehr trauen. Die zertifizieren dann auch Trojaner-Plugins für den Staat, wenn sie es schon für kriminelle Hacker tun.

apfelfrischling · 03.11.11

Hm...komplexe Thematik mit Potenzial zu sehr kontroversen Diskussionen- aber: wenn man nur den verlinkten Golem-Artikel liest:

"Jedoch hat Kinderpornografie nichts mit dem Recht auf freie Meinungsäußerung zu tun"

...dem würde ich zustimmen wollen -und zwar ziemlich uneingeschränkt.

MacMark · 04.11.11

Es gibt keine Rechtfertigung dafür, daß Firefox Malware in den Browser einbaut.

Bananenbieger · 04.11.11

apfelfrischling schrieb:
...dem würde ich zustimmen wollen -und zwar ziemlich uneingeschränkt.

Das ist zwar richtig. Legitimiert aber nicht Unrecht an anderer Stelle. Da können wir ja gleich wieder Leute mit Fackeln und Mistgabeln durch das Dorf treiben...

MacMark · 04.11.11

Noch ein paar Infos: http://pastebin.com/hquN9kg5

Retrax · 04.11.11

MacMark schrieb:
Die zertifizieren dann auch Trojaner-Plugins für den Staat, wenn sie es schon für kriminelle Hacker tun.

Das ist wirklich ein Skandal, den sich Mozilla / FireFox Entwickler hier geleistet haben...

Wenn Browser Entwickler schon nicht mehr neutral sind in dieser Beziehung,...

Aber würde solch eine Manipulation in der offiziellen FireFox Variante nicht sehr rasch auffallen?

karolherbst · 04.11.11

Anonymous haben erstmal ganz andere Probleme:

http://www.zeit.de/digital/internet/2011-11/mexiko-anonymous-zetas

Aronnax · 04.11.11

MacMark schrieb:
http://www.golem.de/1111/87509.html
Firefox hat ein von Anonymous manipuliertes Plugin zertifiziert. Anonymous hält sich für Richter und Henker. Das ist schlicht Selbstjustiz! Und Firefox kann man jetzt nicht mehr trauen. Die zertifizieren dann auch Trojaner-Plugins für den Staat, wenn sie es schon für kriminelle Hacker tun.

Siehe den Nachtrag vom 4. November 2011, 10:55 Uhr
http://www.golem.de/1111/87509.html
"Justin Scott, Add-ons Produktmanager bei Mozilla, nannte die Aussagen "ziemlich seltsam". Scott erklärte SecurityNewsDaily: "Ich habe mit den Add-on-Teams Rücksprache gehalten. Niemand wurde von Anonymous offiziell kontaktiert. Wir zertifizieren auch keine Add-ons, wie (Anonymous) behauptet. Das Honey Pawt Add-on ist in Mozillas Add-ons Marketplace nicht verfügbar. Alle Add-ons, die dort verfügbar sind, wurden von einem Mitglied des Add-ons-Team überprüft.""

Nebenbei erwähnt habe ich auch so einen Account, um Mozilla Add-ons freizuschalten bzw. zu überprüfen und es gibt so etwas definitiv nicht, also eine Zertifizierung von Add-ons seitens Mozilla und da frage ich mich doch was Mozilla, oder für Mozilla arbeitende hier getan haben sollten.

MacMark · 04.11.11

Die Kooperation war inoffiziell; kein Wunder, daß die Firefox-PR "nichts" davon weiß. http://pastebin.com/hquN9kg5

Trojaner werden nie über die Plattform des Herstellers verteilt. So auch dieses Plugin.

Aronnax · 04.11.11

MacMark schrieb:
Die Kooperation war inoffiziell; kein Wunder, daß die Firefox-PR "nichts" davon weiß. http://pastebin.com/hquN9kg5

Trojaner werden nie über die Plattform des Herstellers verteilt. So auch dieses Plugin.

http://pastebin.com/hquN9kg5
"3) We secretly contacted our friends at The Mozilla Foundation™, Developers of Firefox™, for them to authorize a developer signer certificate for "The Honey Pawt", a TorButton that we Anon created to funnel all ORIGINATING traffic to our forensic logger."

Was soll das sein "a developer signer certificate"? So etwas gibt es dort schlicht nicht.

Die Add-ons werden bei Mozilla erstmals automatisch per Software getestet, der zweite Schritt ist dann die "Review" (meistens) von freiwilligen Helfern. Bei Sicherheitsrelevanten Auffälligkeiten z.B. über die Software herausgefunden, oder über die Art der Herstellung systembedingt (z.B. zusätzliche Binaries) wird es auch nur von autorisierten Mozilla Angestellten getestet und freigeschaltet, oder eben nicht.
Freigeschaltet dann für den Download über die Mozilla Seiten. Irgendeine Art von Stempel, Zertifikat oder sonst was gibt einfach nicht bzw. da wird dem Add-on auch nichts angehängt.
Man kann seinem Add-on ein Zertifikat zusätzlich verpassen, kommt dann aber immer von Dritten und nie von Mozilla. Systembedingt, denn so ein Zertifikat kann ja auch nicht jeder verteilen - Mozilla macht das grundsätzlich nicht.

Worauf willst du also hinaus, was genau hat der angebliche Typ von Mozilla denn nun genau gemacht?
Es sieht schlicht danach aus, das die Leute von Anonymous puren Bullshit erzählen.

Retrax · 04.11.11

@Aronnax

Aber dass sie die IPs gesammelt haben ist ja unstrittig - und das ging eben nur über das zertifizierte Plugin...

Oder hast Du eine andere Erklärung?

Aronnax · 04.11.11

Retrax schrieb:
@Aronnax

Aber dass sie die IPs gesammelt haben ist ja unstrittig - und das ging eben nur über das zertifizierte Plugin...

Oder hast Du eine andere Erklärung?

Sie haben scheinbar irgendwo ein Add-on bereitgestellt das IPs aufzeichnet. Mag ja alles sein, dafür benötigt man allerdings auch kein Zertifikat.
Zertifikate von Firefox Add-ons sind übrigens sicher extrem selten. Mir ist jetzt spontan gar keines bekannt, weil so eine Prüfung auch richtig ins Geld geht und bei jedem Update wiederholt werden müsste. Mit anderen Worten, darauf achtet sicher auch kaum jemand, weil es schlicht nicht üblich ist - für die Funktionen eben auch nicht zwingend notwendig sind.

MacMark · 04.11.11

1. Die Aktion lief inoffiziell zwischen Anonymous und Firefox-Entwickler(n). Offiziell werden die das nie zugeben.
2. Das developer signer certificate von Mozilla/Firefox machte den Trojaner-Torbutton vertauenswürdiger. Wenn Du ein nicht-signiertes Addon installierst kommt “Author not verified”. User können kein zertifiziertes Addon installieren, dessen Root-CA sie nicht haben. Daher war das von Firefox/Mozilla erhaltene Zertifikat notwendig/nützlich.
3. Der Torbutton wird nicht über Firefox Addons verteilt, sondern von Tor Project oder Drittseiten. Dieser Torbutton wurde trojanisiert und über eine Drittseite gestreut.

Thaddäus · 04.11.11

Ich mochte den Firefox noch nie. Viel zu überladen...

Aronnax · 04.11.11

Noch mal für die ganz langsamen: Es gibt kein Mozilla "developer signer certificate".

Wenn Mozilla Angestellte privat da irgendwas gemacht haben, und du bist ja noch nicht einmal fähig zu beschreiben was genau das sein soll, hat das noch lange nichts mit Mozilla, oder Firefox an sich zu tun. Es wurde ja auch nichts über Mozillaseiten verbreitet, noch haben sie irgendwem über irgendwas irgendwie vertrauenswürdiger dargestellt.

Man kann allerdings Zertifikate von Drittanbietern in die Add-ons einbinden. Von "established certificate authority (CA) such as Verisign"
Deshalb kann auch Mozilla keine manipuliertes Plugin zertifizieren, wie du es ja wiederholt behauptest. Anonymous hat Zertifikate von z.B. Verisign oder sonst wem, oder gefälschte, oder geklauten Kram - wie auch immer, benutzt.

Rastafari · 04.11.11

MacMark schrieb:
1. Die Aktion lief inoffiziell zwischen Anonymous und Firefox-Entwickler(n). Offiziell werden die das nie zugeben.

Das wäre aber blöd. Saublöd sogar.
Gäbe es tatsächlich so etwas wie diese Zertifizierung, besässe sie mehr Glaubwürdigkeit als jede handschriftliche Signatur. Leugnen wäre da ziemlich infantil. Dürfte man die mal irgendwo sehen und prüfen, bevor man jemandem einen ernsthaften Vertrauensbruch (und möglicherweise sogar eine Straftat) vorwirft? Sind wir hier bei der BILD oder wie?

MacMark · 04.11.11

Im O-Ton heißt es:

3) We secretly contacted our friends at The Mozilla Foundation™, Developers of Firefox™, for them to authorize a developer signer certificate for "The Honey Pawt", a TorButton that we Anon created to funnel all ORIGINATING traffic to our forensic logger.
4) On October 26th, 2011 we passed certification of a modified TorButton for Firefox™ called "The Honey Pawt" which would be used for the forensic logging of users accessing The "HARD CANDY" and "Lolita City" Tor Hidden Onion sites. Our TorButton aka "The Honey Pawt" did not contain any malware or virus. It was developed according to the Firefox/Mozilla Foundation guidelines.
…
6) On October 27th, 2011 we launched Operation "Paw Printing". What we did was stopped our #occupy Denial-of-Service on The Hidden Wiki and placed a Tor "security update" message on the "HARD CANDY" section of The Hidden Wiki.
7) No where else did we place that message except for the HARD CANDY page on The Hidden Wiki. The message contained a download link to our "The Honey Pawt". To ensure no conflicts with the existing, TorButton our "The Honey Pawt" replaced the old TorButton Firefox extension.
8) The pedo who was on the "HARD CANDY" section would then restart Firefox™ and turn our TorButton and attempt to access websites such as The Hidden Wiki and Lolita City.

http://pastebin.com/hquN9kg5

Rastafari · 04.11.11

Booooooring.

MacMark · 05.11.11

Da ich wohl keine Chance habe, das Plugin zu untersuchen, weil es gezielt in diesen - ähem - dunklen Seiten gepostet wurde, werde ich wohl nicht feststellen können, wer das wie signiert hat. Daher sollte ich Firefox/Mozilla erstmal für "sauber" halten.

Firefox kompromittiert

Jakob Lebel

Doppelter Melonenapfel

Jakob Lebel

Golden Noble

Jakob Lebel

Schweizer Orangenapfel

Danziger Kant

Châtaigne du Léman

Jakob Lebel

Châtaigne du Léman

Schweizer Orangenapfel

Châtaigne du Léman

Jakob Lebel

Golden Noble

Châtaigne du Léman

deaktivierter Benutzer

Jakob Lebel

deaktivierter Benutzer

Jakob Lebel

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)