Abgestempelt
Der Dienst für digitale Briefmarken von der Deutschen Post ist ein weiteres Musterbeispiel dafür, wie man Kopierschutz nicht implementieren sollte.
- Daniel Bachfeld
Elektronische Postwertzeichen sind praktisch, da sie Kunden den Weg ins Postamt oder zum Briefmarkenautomaten ersparen. Allerdings lässt die Art der Realisierung manchmal zu wünschen übrig und ist unter Umständen sogar unnötig nervenaufreibend. Unter anderem hat Alexander Klink vom deutschen Sicherheitsdienstleister Cynops klassische Fehler in der Implementierung des Online-Dienstes Stampit Web der Deutschen Post entdeckt, mit der man die elektronischen Briefmarken anderer Kunden entwerten konnte.
Die Post hat zwar diesen akuten (DoS)-Fehler beseitigt, allerdings wurde das wackelige Grundgerüst für das Digital Rights Management nicht überarbeitet. Die elektronische Briefmarke kommt als PDF-Dokument ins Haus, das der Anwender in seinen Browser laden und mit einem PDF-Plug-In von Adobe (und wirklich nur von Adobe) selbst ausdrucken muss. Anfangs wurde sogar nur der Internet Explorer unter Windows als Browser unterstützt, mittlerweile funktioniert Stampit auch mit Firefox - Linux-Anwender schauen allerdings weiterhin in die Röhre.
Nach dem Start des Druckvorgangs meldet sich das PDF-Dokument beim Stampit-Server mit seiner einmaligen Seriennummer, um sich dort zu registrieren, sodass es als gedruckt gekennzeichnet ist. Weitere Druckaufträge dieses Stampit-Dokuments sind anschließend nicht mehr möglich. Wenn dann gerade die Tintenpatrone leer war oder der Drucker Papierstau produziert hat, ist die Briefmarke futsch und das Geld im Eimer -- beim Porto für Pakete unter Umständen auch mal 10 Euro. Heise Security hat von Stampit-Anwendern gehört, die ihre Dokumente über spezielle Druckereinstellungen deshalb vorsichtshalber lieber in ein weiteres, aber nicht DRM-geschütztes PDF-Dokument drucken, um solchen Verlusten aus dem Weg zu gehen.
Es ist durchaus verständlich, dass die Post die Mehrfachverwendung einer digitalen Briefmarke verhindern will. Aber genau das tut ihr kruder Kopierschutz nicht. Denn nichts hindert den Anwender daran, den Ausdruck einfach auf einen Kopierer zu legen. Und weil alle ausgedruckten Briefmarken mit einem Matrixcode und einer Seriennummer versehen sind, würden solche Betrugsversuche ohnehin bei der Erfassung in einem automatischen Briefsortierer auffallen. Die Deutsche Post gab gegenüber heise Security auch unumwunden zu, dass man durchaus wisse, wie ein Kopierer funktioniert. Die Hürde sei jedoch aus juristischen Gründen notwendig, um Betrugsversuche als solche ahnden zu können. Leider, wie so oft bei Kopierschutzverfahren, geschieht dies wieder auf dem Rücken der ehrlichen Anwender.
siehe auch: The Stamp of Incompetence auf heise Security/UK (dab)
