Die Nadel im Heuhaufen

Haystack war ein Programm, das iranischen Dissidenten ermöglichen sollte, unkontrolliert über das Internet zu kommunizieren. Anders als andere Programme sollte es verdächtige Anfragen so verschleiern, dass es für die Zensoren so aussieht, als ob lediglich unverdächtige Webseiten angesurft würden. In der Masse der unverdächtigen Anfragen sollten verdächtige Kommunikationsinhalte einfach untergehen – wie die sprichwörtliche Nadel im Heuhaufen.

Das Programm war von Beginn an in der Presse hochgejubelt worden. Der Guardian hatte den Direktor des Censorship Research Center Austian Heap, der für die Entwicklung maßgeblich verantwortlich zeichnete, zum Beispiel zum Erfinder des Jahres gekürt. Das Programm wurde als “Schlüsseltechnologie” beschworen. Auch Newsweek, die BBC, Forbes und viele andere lobten das Programm in den Himmel, obwohl es noch gar nicht offiziell verfügbar war. Selbst die amerikanische Regierung gab an, das Programm werde dem freien Datenfluss in und aus dem Iran helfen. Auch Heap selbst war begeistert und lobte sein Programm in höchsten Tönen: “Es ist absolut sicher für die Anwender, so dass die Regierung ihnen nicht mehr nachschnüffeln kann.”

Damit ist es nun (wohl) vorbei. Ein wesentliches Problem von Haystack war von Beginn an, dass es nicht öffentlich verfügbar gemacht wurde. Lediglich eine kleine Gruppe von Testnutzern, darunter auch iranische Dissidenten, hatte das Programm erhalten, um es auszuprobieren. Im Hinblick auf die Gefahren für die Beteiligten ist solche operative Sicherheit durchaus verständlich. Dies gilt allerdings nicht für den Code der Software selbst. Insbesondere bei sicherheitsrelevanter Software ist der Ansatz “security by obscurity” schon seit Ewigkeiten überholt. Nur Programme und Algorithmen, die von der weltweiten Community ausgiebig getestet wurden und bei denen von unabhängigen Experten keine Sicherheitslöcher oder sonstigen Probleme gefunden werden können, gelten gemeinhin als ausreichend sicher. Bereits bei der Testgruppe gab es allerdings Probleme, denn das Programm kam nicht durch die Firewall.

Bei diesem Problem blieb es aber nicht. Als die ersten Sicherheitsexperten Zugriff auf die Software hatten, häufte sich die öffentliche Kritik. Besonders drastisch drückte sich Jacob Appelbaum, einer der Entwickler des Tor-Netzes aus. Er habe das Programm zusammen mit ein paar Freunden an einem Nachmittag (“und das ziemlich verkatert”) auseinandergenommen und sei danach zu einem eindeutigen Ergebnis gekommen:

Haystack is the worst piece of software I have ever had the displeasure of ripping apart.

Nicht nur sei das Programm besonders schlecht, es sei auch so konzipiert, dass selbst nach dem Abschalten des Haystack Services Nutzer, die das Programm weiterhin laufen ließen in extreme Gefahr gerieten, von den iranischen Zensurbehörden erkannt zu werden. Es sei unverantwortlich von den Programmierern, diese ungetestete Version ausgerechnet gefährdeten Iranern in die Hände zu geben. Auch die Medien hätten eine unrühmliche Rolle gespielt, indem sie ein quasi nicht-existentes Programm ungeprüft in den Himmel gelobt hätten. Appelbaum wollten zum gegenwärtigen Zeitpunkt keine weiteren Details über die von ihm gefundenen Schwachstellen öffentlich bekannt machen, denn dies könnte dazu führen, dass die iranische Regierung sehr schnell und automatisiert Nutzer von Haystack identifizieren könnte.

Heap versucht hingegen, sein Vorgehen zu rechtfertigen. Alle Testnutzer (bis auf einen) seien über die Risiken informiert gewesen. Gleichwohl habe er die Konsequenzen gezogen und den Service abgeschaltet. Bis auf die Testgruppe sei es nicht mehr zugänglich. Appelbaum widerspricht dem und weist darauf hin, dass das Programm über diverse Webseiten, darunter auch die von Heap selbst, nach wie vor abrufbar sei.

Das Debakel hat inzwischen weitere Kreise gezogen, denn der Chef-Programmierer von Haystack hat inzwischen seinen Hut genommen. Dies habe er nicht getan, weil das Programm so schlecht bewertet worden sei: “It is as bad as Appelbaum makes it out to be”. Vielmehr habe er das Programm aber bisher immer als eine Test-Version behandelt, die niemals für eine öffentliche Verbreitung vorgesehen gewesen sei. Hierüber habe er auch mit Heap gestritten. Wegen dieser unverantwortlichen Handlungsweise, bei der ein Hype über die Sicherheit gestellt worden sei, sehe er sich nicht mehr weiter in der Lage, am Projekt mitzuarbeiten.

Appelbaum misst dem Projekt zum gegenwärtigen Zeitpunkt kaum mehr Chancen bei. Es gebe zwar “definitiv” Möglichkeiten für steganographische Protokolle. Er habe aber “null Vertrauen”, dass es das Haystack-Team jemals schaffen könne: “Wenn Scharlatane Versprechungen machen, dann sollte man ihnen nicht vertrauen.”