Hallo,
ich hab mich hier jetzt registriert (mit etwas Unbehagen, da gänzlich unverschlüsselt), da ich auch betroffener DVR-Studio HD3 Kunde bin. Ich bin aber auch Softwareentwickler für Sicherheitssoftware, kann also die technischen Hintergründe einordnen - und kann umso mehr nur den Kopf schütteln. Zum einen über die technischen Hintergründe und Ausreden, weshalb eine Lösung nicht möglich sein soll und auch darüber, wie Haenlein-Software mit Kunden umgeht.
Deshalb hab auch ich schon daran gedacht, was Jogibär nun schon formuliert hat:
Jogibär hat geschrieben: ↑11.06.2018, 17:26
Ich bin geneigt, diesen ganzen Fall der c‘t für die Rubrik „Vorsicht Kunde“ zukommen zu lassen.
Gleichzeitig möchte ich aber auch konstruktiv ein paar (unterschiedlich aufwendige) Lösungsmöglichkeiten aufzeigen.
Die für rechtschaffene Kunden praktikabelste und für Haenlein-Software zukunftssicherste und juristisch einwandfreiste Lösung wäre, die Lizenz-Abfrage aus der alten Software zu patchen und dies als sozusagen finales Update bereitzustellen. Diese Lösung haben schon etliche andere Unternehmen umgesetzt, wenn sie ihre Lizenzserver abschalten wollten oder mussten. Leider scheint sich Haenlein-Software zu weigern, diese Lösung zu verfolgen.
Eine andere Möglichkeit wäre, die Software TLS 1.2-fähig zu machen. Bei korrekter Implementierung (angeblich wird ja das .NET-Framework verwendet) wäre sie das sogar automatisch (liegt etwa nur ein Programmierfehler vor?). Microsoft selbst schreibt unter
https://docs.microsoft.com/en-us/dotnet ... amming/tls:
We recommend that you: Do not specify the TLS version. Configure your code to let the OS decide on the TLS version. When your app lets the OS choose the TLS version: It automatically takes advantage of new protocols added in the future, such as TLS 1.3.
Die Möglichkeit beliebige TLS-Versionen zu benutzen, ist jedenfalls nicht von bestimmten Windows-Versionen abhängig. Sicher, es ist bequemer, gleich die eingebaute (und eben mal zur Verfügung stehenden und mal nicht zur Verfügung stehende) TLS-Funktionalität von .NET zu benutzen. Es steht einem Entwickler aber frei, eine der unzähligen (oftmals sogar freien) TLS-Bibliotheken zu benutzen (z.B. OpenSSL etc.). So bekommt man selbst unter Windows XP ohne Probleme sogar noch TLS 1.3.
Wohl die simpelste, schnellste und mit dem geringsten Aufwand durchführbare Lösung (sofern der Inhalt der verschickten Pakete ihres alten TLS 1.0-fähigen Lizenzservers und des neuen TLS 1.2-Lizenzservers derselbe ist, was ich mal stark annehme. TLS ist ja lediglich "die Verschlüsselung drumherum") wäre, auf einer bei irgendeinem Provider gehosteten virtuellen Maschine (root-Server etc.) einen TLS-Proxy einzurichten, der TLS 1.0-verschlüsselte Verbindungen entgegennimmt und diese TLS 1.2-gesichert an den neuen Lizenzserver weiterschickt. Es sei denn, DVR-Studio HD3 war damals sicherheitstechnisch seiner Zeit voraus und nutzt Certificate Pinning.
Dies ist natürlich keine langfristige Lösung, da immer noch TLS 1.0 zum Einsatz käme.
Wie gesagt, technisch machbar ist vieles und es gibt sicher noch viele weitere technische Lösungsmöglichkeiten. Nun liegt es an Haenlein-Software, sich die praktikabelste Lösung zu suchen. Dass eine Lösung gefunden werden muss, ist rechtlich ganz klar. Die AGB besagen:
Eine Volllizenz hat keine zeitliche Limitierung und kann unbefristet genutzt werden.
Ach ja, noch etwas, das mich als jemand mit IT-Sicherheit bestens vertrauter etwas schaudern lässt:
Ralf hat geschrieben: ↑11.06.2018, 01:00
Stellt TSL1.0 eine Gefahr dar?
Für uns definitiv Nein, denn es werden nur Kundennummer und das Kundenpasswort als kundenbezogene Daten übertragen.
Es sollte für Sie und vor allem für die Kunden aber eine gewisse Gefahr darstellen. Denn, was benötigt man zur Anmeldung an den Kundenbereich auf
https://www.haenlein-software.com/? Richtig, Kundennummer und das Kundenpasswort. Bricht also jemand eine nicht nach Stand der Technik, lediglich mit TLS 1.0-verschlüsselte Verbindung auf und kommt "nur" an die Kundennummer und das Kundenpasswort, so kann er sich damit am Kundenbereich anmelden und somit
alle Daten des Kunden abgreifen. Darüberhinaus könnte der Angreifer so auch die Lizenzen des Kunden auf sich übertragen.