Wozu braucht man Zertifikate?

SuperSilent

Cadet 2nd Year
Registriert
Nov. 2011
Beiträge
29
Hallo an alle :)

Ich habe mir ein Programm gekauft, dass es mir ermöglicht Mehrfinger-Gesten für mein Touchpad zu konfigurieren.

Aber wenn ich das Programm starten will, kommt die Nachricht:
"Eine Referenzauswertung wurde vom Server zurückgesendet". Und danach passiert nichts.

In der Faq ( http://www.multiswipe.com/faq ) steht, dass ich deren Zertifikat zu "Trusted Root Certification Authorities" hinzufügen muss. Aber warum?!

Soweit ich weiß benötigt man Zertifikate für Sachen bezüglich Internet aber nicht für ein Touchpad Programm?

Ich habe ihnen eine Mail geschrieben und gefragt, warum ich das machen soll, die Antwort kam am nächsten Tag:

Hey ***, thank you for purchasing MultiSwipe, in order to make MultiSwipe work properly in Windows it needs to be signed by a trusted source because it controls some aspects of the UI, it can minimize and maximize windows as well as changing Windows, basically any shortcut involving the "Windows key" needs really high privileges, and the reason why you should add the certificate yourself is because purchasing a certificate from a big company is very expensive and MultiSwipe hasn't reached enough profit to purchase it, but as soon as this changes a certificate will be purchased to make the process a little easier, you can rest assured MultiSwipe only does what it is meant to do, you can run it through any antivirus software and it wont raise any alarms, if you have any other questions or comments please contact us.
Lügen die mich an?

Ich hoffe ihr könnt mir helfen :)

PS. So sieht der VirusTotal Log von der .exe aus: https://www.virustotal.com/de/file/...52abb5fa98f397f34d12f3da70e03d9e9ee/analysis/
 
Zuletzt bearbeitet:
Jein, sie lügen in gewisser Weise.
Du kannst nur Zertifikate zu deinem Browser hinzufügen. Und das braucht die Software eigentlich nur wenn sie nach Hause, zum Hersteller telefoniert. Damit wird imho mind. dein Nutzerverhalten der Software ausspioniert. Selbst dann ist das nicht wirklich sinnvoll weil man das auch anders erreichen kann.
Wenn du das Zertifikat dort wie von denen beschrieben einfügst, dann kann diese Firma dir HTTPS Verbindungen unterschieben: du meinst deine Verbindung zu Google,etc. ist gesichert, aber in Wahrheit kann diese Firma dies vorgaukeln.
Windows Programme brauchen nur Zertifikate um Treiber in Windows selber zu installieren und sonst für nichts. Alles andere geht auch ohne solche. Diese Zertifikate kannst du aber nicht hinzufügen, da MUSS man eins von Microsoft "kaufen", da führt kein Weg dran vorbei.
 
Meines Wissens kann man auch Zertifikate für Treiber selber hinzufügen (trennt Windows das überhaupt? Ich glaub der Zertifikatsspeicher gilt übergreifend für alles). Das scheint wohl auch der Grund bei die der Software zu sein. Allerdings ist das ganze auch nicht ungefährlich, denn selbst wenn diese Exe erst mal nichts schlimmes macht so wird danach dein System auch allem anderen Vertrauen das mit diesem Zertifikat erstellt wird und das ohne dass du eine Meldung deswegen bekommst.
 
Vielen Dank für eure Antworten :)

Und was soll ich jetzt machen? Ich habe mir das Programm so sehr gewünscht und auch 5 Euro bezahlt...

Soll ich denen vielleicht noch eine Mail schreiben? Kann ich denen irgendeine Falle stellen? Oder was bestimmtes Fragen, wo man sie entlarven kann?
 
Du könntest einfach deinen Netzwerk-Verkehr mitschneiden da siehst du ja was sie so nach Hause senden wollen.
 
Ich glaube eher nicht dass die da groß was machen. Die Gefahr ist eher dass sie nicht sicher genug mit dem Zertifikat umgehen und andere (kann auch ein Mitarbeiter dieser Firma sein der das für sich ausnutzt...) damit was anstellen können.
 
Jesterfox schrieb:
Meines Wissens kann man auch Zertifikate für Treiber selber hinzufügen (trennt Windows das überhaupt? Ich glaub der Zertifikatsspeicher gilt übergreifend für alles). Das scheint wohl auch der Grund bei die der Software zu sein. Allerdings ist das ganze auch nicht ungefährlich, denn selbst wenn diese Exe erst mal nichts schlimmes macht so wird danach dein System auch allem anderen Vertrauen das mit diesem Zertifikat erstellt wird und das ohne dass du eine Meldung deswegen bekommst.

Das ist falsch. Treiberzertifikate kann man nur global per Bootswitch komplett ausschalten. Und diese Treiberzertifikate haben nichts mit den normalen CAs zu tun die hier verändert werden sollen.

Was passiert genau wenn du das Programm startest?
 
Wenn ich das Programm starte popt ein Fenster mit dieser Meldung "Eine Referenzauswertung wurde vom Server zurückgesendet". auf.

Ich habe aber das Zertifikat auch noch nicht hinzugefügt.
 
Es ist hochgradig gefährlich, ein neues Root Certificate einzufügen. Egal, wozu du so etwas tun sollst, es ist ein Schuss ins Knie. Jede Person, die Zugriff das Cert hat, kann weitere Zertifikate damit signieren. Das heißt im Zweifel, dass dir, nachdem du das Root Cert akzeptiert hast, ein Angreifer gefälschte Zertifikate für weitere Seiten unterjubeln und damit deine eigentlich gesicherten Verbindungen abhören kann.

Das heißt: Wenn du den Kram installierst, kannst du deinem Betriebssystem keinen Meter weit trauen. Banking, Mail, Shopping... kann alles sehr leicht abgehört werden.
 
@Daaron

Aber damit er mein Banking abhören kann, müsste ich doch auf eine von ihm manipulierte Seite meine Daten eingeben, oder?
Oder kann der jetzt auch immer mithören, wenn ich auf sparkasse.de gehe oder ebay.de gehe?
 
Über Einträge in der Hosts Datei oder einen untergejubelten Proxy würde das gehen ohne das du es merkst.

Besser wäre es wenn sie einem erklären würden wie man über ein eigenes Zertifikat das einrichten kann. Aber das kann man glaub ich unter Windows nicht so ohne weiteres erstellen (geht glaub ich nur mit einem Windows Server). Ich weiß leider die Details nicht, aber es ist definitiv möglich Treiber mit einem eigenen Zertifikat zu versehen so dass Windows sie annimmt. Kenn ich noch von früher von Treibern für ne alte TV Karte unter Vista 64Bit (das hat ja auch schon nur signierte Treiber angenommen)
 
SuperSilent schrieb:
Aber damit er mein Banking abhören kann, müsste ich doch auf eine von ihm manipulierte Seite meine Daten eingeben, oder?
Nicht unbedingt. Angenommen bei deinem Gerät handelt es sich um einen Laptop und du bist in einem fremden WLAN: hier könnte sich schon sehr einfach jemand ZWISCHEN dich und die Sparkasse etc. klemmen.
Genauso gibt es allerhand Viren etc, die deine DNS-Auflösung manipulieren oder dich eben, wie von Jesterfox erwähnt, über einen Proxy schleifen. Gerade beim Proxy ist es sehr perfide. Du landest zwar am Ende bei der Sparkasse, aber mit einem gefälschten (aber von dir akzeptierten) Zertifikat kann der Proxy als Man-in-the-Middle alle Kommunikation abhören und manipulieren.

Zertifikate sind das höchste Gut und die größte Schwachstelle im Bereich der IT-Sicherheit.
 
dich per mail beim hersteller beschweren und das geld zurückfordern.

sobald du die erlaubnis erteilst, kann das tool irgendwelche daten nach hause senden... welche das sind, wird dir der support/hersteller eher nicht verraten oder ausweichend antworten.

ob dir das die mehrfingergestick für 5 euro wert ist, das musst du wissen.
 
Zurück
Oben