Mitternachtshacking

Die Verschlüsselung von Skype wurde mittels Reverse Engineering aufgedeckt. Auf Details müssen wir noch etwas warten. Die gibt es erst auf dem 27C3 im Dezember in Berlin. Als Basis dient ein recht gewöhnlicher RC4, den Skype ein wenig angepasst hat.

Und jetzt gehen direkt die gegenseitigen Vorwürfe los. Skype wirft O’Neil vor, durch seine Veröffentlichung sei das Spam-Aufkommen massiv angestiegen. O’Neil wiederum behauptet, erst das gestiegene Spam-Aufkommen habe ihn zur Veröffentlichung veranlasst, damit Sicherheitsforscher sich mit der Thematik beschäftigen können.

Und ich sage weiterhin: Finger weg von Skype!

Symantec ist irgendwie auch eine lustige Firma.

Auf der einen Seite weiß ich nie, wie man den Laden eigentlich aussprechen soll. “Sümantek” oder “Simantek” oder “Seimantek” oder wie sonst? Auf der anderen Seite weiß ich nicht, womit die eigentlich ihr Geld verdienen. Security kann es jedenfalls nicht sein. Ok, Symantec hat da einen sogenannten Virenscanner im Angebot. Der bei uns intern “die gelbe Gefahr” heißt. Und angeblich soll der so viele Ressourcen benötigen, dass man alleine deshalb vor Viren und Schadprogrammen geschützt ist, weil man mit dem Rechner eh nicht mehr arbeiten kann. Aus dem Firewall-Markt (SGS, kennt die noch jemand?) hat sich Symantec auch verabschiedet, vermutlich weil die Software-Firma keine Hardware-Logistik stemmen wollte oder konnte. Statt dessen wird halt zugekauft, erst SecurityFocus (platt), dann PGP (mal sehen), jetzt Verisign (oh Gott). Der aktuelle tolle Marketingslogan von Symantec: “The last word in online trust” würde ich jetzt ganz spontan mit “die letzten, denen ich online vertraue” übersetzen.

Gründe dafür gibt es jedenfalls genug. Beispielsweise das von Symantec zur WM 2010 gestartete Portal 2010NetThreats, in dem Besucher kommentieren konnten und praktisch jeder Link in den Kommentaren zu Spam und anderen potentiellen Malware-Seiten zeigt.

Aber vielleicht haben wir das auch einfach nur falsch verstanden und 2010NetThreats ist eine Seite bei der die Bösen im Internet ihre Malware-Seiten registrieren können, damit die nächste Version des Norton 360% CPU-Auslastung Virenscanners sie auch zuverlässig erkennt.Wer weiß das schon.

Microsoft beispielsweise. Erst mault der Softwarehersteller ständig über Full Disclosure, d.h. wenn Sicherheitslücken komplett für jeden zugänglich veröffentlicht werden (weil die bösen Hacker die Informationen ja auch lesen können), jetzt mault der Softwarehersteller über “Null Disclosure”, d.h. über Firmen die auf gefundenen Sicherheitslücken sitzenbleiben und Details nur gegen bares rausrücken.

Tja liebes Microsoft. Wer auf soviel Cash sitzt wie ihr muß vielleicht selbst mal ein vernünftiges Bounty-Programm (”Prämien für gefundene Sicherheitslücken”) aufsetzen. Dann klappt es auch wieder mit dem “Responsible Disclosure”, d.h. außer dem Hersteller erfährt sonst niemand von der Lücke. Denn ganz ehrlich, Fehlersuche ist harte Arbeit geworden. Die Zeiten als man mit einem billigen selbstgebastelten Fuzzer noch wahre Exploitorgien finden konnte sind lange vorbei. Viele dieser Tests machen die Softwarehersteller inzwischen selbst.

Ob der Weg von VUPEN allerdings richtig ist, erst nach Lücken zu suchen und dann den Softwareanbieter unter Druck zu setzen entweder er zahlt oder die Lücken werden anderweitig veröffentlicht, muß ich allerdings bezweifeln. Und da kann ich wiederum Microsoft gut verstehen, die sich in diesem Fall vermutlich direkt erpresst vorkommen und fürchten für umfangreiche weitere Erpressungen die Tür zu öffnen.

Auf jeden Fall bleibt es spannend.

Eine Studie des Antivirensoftware-Herstellers Avast hat ergeben, dass die meisten Webseiten die versuchen, Benutzer mit Schadprogrammen zu infizieren ganz normale Webseiten und keine obskuren Adult- oder Hacker-Seiten sind. Angeblich kommen 99% der Angriffe von eigentlich legitimen aber infizierten Webseiten:

“HTML files from sub-domain blackberry.vodafone.co.uk still contain malicious code at the time of writing but point to a site containing the attack payload site that has been pulled offline.”

Ich kann mir das gut vorstellen. Immerhin gibt es in vielen Unternehmen URL-Filter die bestimmte Seiten generell blockieren. Dazu gehören eben viele Adult- und Hacker-Seiten. Die Zielgruppe wäre deshalb recht gering wenn sich die Angreifer nur auf solche Seiten stürzen würden. Viel lukrativer sind doch infizierte Werbeserver wie erst vor einigen Monaten wieder bei Holtzbrinck passiert. Damit erwischt man auf einen Schlag tausende nichtsahnender Anwender und hat (weil u.a. genug Firmen noch den Internet Explorer 6 einsetzen) auch eine gute Ergebnisquote.

Seltsam, seltsam. Mal wieder ist einer dieser genialen, hochsicheren, unknackbaren, mit 256-Bit AES-Verschlüsselung werbenden USB-Sticks gehackt worden. Genaugenommen wurde mal wieder der PIN-Schutz umgangen und die Daten direkt aus dem Flash-Speicher ausgelesen.

Wobei sich mir direkt die Frage stellt, was denn da genau mit 256-Bit AES verschlüsselt worden ist. Die Daten können es ja nicht sein, wenn man sie einfach so auslesen kann. Die PIN vielleicht.

Mann-oh-mann, bei verschlüsselten USB-Sticks ist ja noch mehr Snake Oil auf dem Markt als bei Virenscannern!

<Guyman> Alter, ich hab das System überwunden!
<Dudistisch> Wie?
<Guyman> Naja das Post-System! Wenn du ein Brief nicht ausreichen frankierst, kommt er ja zurück an den Absender.
<Dudistisch> Ja und weiter?
<Guyman> Na was ist wenn du Absender und Empfänger vertauschst. Also du deinen Namen als Empfänger angibst und den Namen von dem an den der Brief wirklich gehen soll als Absender? Und dann nicht ausreichen frankierst? Richtig! Dann bekommt der der den Brief wirklich kriegen soll gratis zugestellt mit der Begrüngung: Nicht ausreichend frankiert, und zurück gesendet an den Empfänger.
<Dudistisch> Alter, auf was für Ideen kommstn du?
<Guyman> Krass oder?

Quelle: iBash.de

So alt und kann doch nicht oft genug wiederholt werden. Verschlüsselte Daten auch auf privaten Festplatten und Datenträgern schützen! Nicht nur bei Verlust der Datenträger sondern auch und vor allem vor Behörden. Und gerade da kann man gar nicht vorsichtig genug sein. Ich hatte neulich erst wieder mit drei Gestalten vom Verfassungsschutz zu tun, mit denen war nichtmal eine normale Diskussion zu diesem Thema möglich, soweit hatten die die Realität ausgeblendet.

Ich persönlich habe meine Rechnerfestplatten normalerweise komplett mit Utimaco verschlüsselt. Das ist ein kommerzielles Produkt, weil ich eventuell dafür Support haben möchte und hauptsächlich deshalb im Einsatz, weil es das erste war, das gut mit Dual-Boot Platten mit Windows/Linux zurecht kam. Wichtige Daten sind auf der verschlüsselten Windows-Partition zusätzlich in einem Truecrypt-Container gespeichert (nur für den Fall, dass Utimaco irgendwann eine Sicherheitslücke oder Hintertür haben sollte) und Passwörter befinden sich in diesem Truecrypt-Container nochmal in einem KeePass-Safe. Wenn das nicht reicht, weiß ich auch nicht.

Ach ja, die Truecrypt-verschlüsselte Festplatte hat aktuell einen brasilianischen Bankier vor dem FBI gerettet. Nach einem Jahr hat das FBI aufgegeben, die Platte noch entschlüsseln zu können. Meine Empfehlung sind Passphrases mit mindestens 20 Zeichen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen gemischt. Bei meinen Platten halte ich das (mit zwei Ausnahmen) genauso. Ausnahme eins ist ein unverschlüsselter USB-Stick zum Datenaustausch mit Leuten die nicht verschlüsseln können und Ausnahme zwei ist eine Festplatte mit Daten die lediglich für Schulungen und Seminare benötigt werden und eigentlich nicht vertraulich sind. Da ist nur routinemäßig Verschlüsselung drauf und das Passwort kennen ein paar Kollegen. Und so läßt sich auch prima arbeiten.

Ich war ein paar Tage beruflich unterwegs und muß deshalb noch ein paar Beiträge nachschreiben. Aber keine Sorge, alles was sich so auf meiner Liste für das Blog angesammelt hat, wird hier die Tage auch nachgetragen.

Der UnrealIRCd hat eineBackdoor. Na gut, das kann ja mal passieren. Interessant in diesem Zusammenhang sehe ich vor allem drei Punkte:

1. Die Lücke wurde erst nach Monaten entdeckt. Das zeigt erstens wieder, dass eine Software nur weil sie Quelloffen ist, nicht automatisch sicherer sein muß. Insbesondere Source Code Audits sind gar nicht so einfach. Für PHP, Perl, Python und so traue ich das mir und meinen Kollegen hier noch gut zu. Bei C und Java wird es schon eng. Spätestens bei C++ und exzessivem Einsatz von Templates hört jedoch jedes Verständnis des Source Codes auf.

2. Jetzt kann man natürlich noch diskutieren, was für eine Source Code Verwaltung da eingesetzt wurde und warum die auch nichts bemerkt hat. Ist die so schlecht oder hat keiner aufgepasst oder wurde die Verwaltung gleich mitgehackt?

3. Und zu guter letzt, warum wird Software nicht digital signiert. In dem Zusammenhang schreibt Heise: “Damit dieser Vorfall sich nicht wiederholt, wollen die Entwickler ihre Releases wieder mittels PGP/GPG signieren”. Also wurde wohl schon mal signiert. Warum jetzt nicht mehr? Faulheit oder Nachlässigkeit?

Tja, so wird das nichts mit der Open Source Security. Das haben kommerzielle Anbieter wie Microsoft schon lange gelernt. Da müssen die freien Entwickler noch nachziehen. Und so teuer ist eine digitale Signatur auch nicht. Genaugenommen kostenlos weil alle benötigten Programme bei Linux schon vorhanden sind.

Ach ja, und für die Freunde von The Register: Nicht alles was mit “Unreal” anfängt ist auch ein Shooter

Ich hatte erst vor ein paar Tagen hier einen Beitrag zu Vulnerability Disclosure veröffentlicht. Die gängige Diskussion ist dabei vor allem, was ist ein “Responsible” Disclosure also eine verantwortunsbewußte Veröffentlichung von Sicherheitslücken. Hier wird in der IT-Security Branche bekanntlich heftig gestritten. Die eine Front verlangt ausreichend (notfalls beliebig) Zeit für die Hersteller um Sicherheitslücken zu beheben, die andere Front will Lücken so schnell wie möglich veröffentlichen um Hersteller zu zwingen, auf bekannte Lücken auch tatsächlich zügig mit einem Patch zu reagieren. In der Praxis lassen viele Leute dem Hersteller zwischen 30 und 90 Tagen Zeit um einen Patch zu entwickeln und veröffentlichen dann Details zu einer Lücke, auch wenn der Hersteller nach dieser Zeit noch keinen Patch veröffentlicht hat. Das ist ein relativ guter Kompromiß zwischen beiden Lagern.

Aktuell gibt es jetzt einen Fall in dem der Entdecker einer Lücke dem Hersteller nur wenige Tage gelassen hat und schon sind wieder alle am Streiten.

Tavis Ormandy, ein Entwickler bei Google hat eine technisch interessante (weil recht komplexe) Sicherheitslücke im Hilfe- und Support-Center von Microsoft Windows entdeckt. Details zur Lücke und einen Demo-Exploit hat Tavis am 10.06. auf der Full-Disclosure Mailingliste veröffentlicht. Die Mailingliste kann jeder abonnieren und bekommt automatisch alles zugeschickt was dorthin geschickt wird. Leider ist auch viel Schrott auf der Liste, weil sie kaum moderiert wird. Microsoft wurde am 05.06. von Tavis über diese Lücke informiert und hat den Eingang am gleichen Tag bestätigt.

Tavis wirft Microsoft jetzt vor, seit 05.06. nichts mehr gehört zu haben, nimmt deshalb an, es kümmert sich keiner um die Lücke und veröffentlicht 5 Tage später den Exploit mit dem dezenten Hinweis:

“Those of you with large support contracts are encouraged to tell your support representatives that you would like to see Microsoft invest in developing processes for faster responses to external security reports.”

Und das ausgerechnet von einem Mitarbeiter von Google, der Firma die vor wenigen Wochen großmäulig Microsoft-Betriebssysteme in die Tonne getreten hat. Das hat schon ein “Geschmäckle”. Tavis begründet sein schnelles Disclosure zwar unter anderem damit, dass er vermutet die bösen Hacker würden diese Lücke bereits ausnutzen. Dafür fehlen jedoch die nötigen Beweise. Außerdem hat Tavis einen Workaround mitgeliefert, der den Angriff verhindern sollte bei dem sich jedoch herausgestellt hat, dass der Schutz nicht richtig wirksam ist.

Und nun stellt sich die berechtigte Frage, ob das Vorgehen von Tavis noch von “Responsible Disclosure” gedeckt ist oder ob ein Google-Mitarbeiter die gute Gelegenheit genutzt hat, mit einer neuen Sicherheitslücke Microsoft eins auszuwischen und den Konzern vielleicht sogar dazu zu nötigen, einen Patch außerhalb der normalen Update-Sequenz herauszubringen. Und damit quasi als Kollateralschaden Millionen von Windows-Anwendern gefährdet. Ich weiß es nicht. Aber als Administrator bin ich über “aus der Reihe Patches” nie besonders glücklich. Vermutlich hätte man die Kommunikation über diese Lücke klüger handhaben könne.

Eigentlich weiß ich gar nicht, was ich heute so schreiben will. Naja, dann halt irgendwas buntes durcheinander:

Apple macht sich weiter unbeliebt

Apple zensiert munter weiter im App-Store. Der Bewertungsmaßstab scheint der durchschnittlichte Hillbilly-Farmer im religiösen Mittleren Westen zu sein. Was der nicht gut findet, wird von Apple auch gesperrt. Inzwischen scheint sich sogar Fanboy und Springer-Chef Döpfner unsicher zu werden. Jedenfalls wird auf allen Kanälen um Hilfe gerufen. Apple schert das gar nicht, jetzt wird mittels iAd-Zensur gegen Google und Microsoft geschossen. Langsam hat man das gesamte IT-Lager (Adobe, Microsoft, Google, …) gegen sich. Und zu aller Freude verliert Partner AT&T auch noch jede Menge Daten.

Adobe macht sich weiter unbeliebt

Zumindest gibt es schon wieder einen Zero-Day Exploit für Flash. Ich verstehe ja manchmal Steve Jobs wenn er Flash nicht auf dem iPfusch haben will. Zusätzlich zu den Fantastilliarden (Enzyklopädie, my ass) an Safari-Lücken auch noch die Flash-Lücken auf seinen Geräten? Dabei gibt’s einen simplen Workaround. Einfach die ganze Adobe-Software deinstallieren. Schon ist Ruhe. Lustig ist nur, dass laut Advisory die Lücke gleichzeitig Flash, Reader und Acrobat betrifft. Da wird anscheinend heftig Code wiederverwendet.

Facebook macht sich weiter unbeliebt

Und zwar durch fleißig aus dem iPhone abgegriffenen Telefonkontaktdaten. Löschen der Daten ist nicht vorgesehen. Auskunft was mit den Daten passiert: keine. Auskunft, wie die Daten geschützt werden: keine. Reaktion vom Bundesdatenschutzbeauftragten Peter Schaar: keine (der wird sich notfalls einfach für “nicht zuständig” erklären). Da kann man nur hoffen, dass man keine “Freunde” hat, die gleichzeitig iPhone- und Facebookaccount-Besitzer sind.

Offtopic: Grätzel gewinnt Millenium-Preis (und macht sich nicht unbeliebt)

Da geht es um organische Solarzellen. Allerdings scheint die Versiegelung des Elektrolyt noch ein Problem zu sein (falls man Wikipedia trauen kann). Das Genie unserer Familie arbeitet in Dresden ebenfalls an organischen Solarzellen und kommentiert das mit: “Das Gute daran ist, dass der optische Anregungszustand durch das TiO2  schnell in Ladungen getrennt wird. Aber das Problem ist der Elektrolyt  und das andere reine organische Solarzellen wie unsere und Polymer-basierte in der Effizienz aufholen und jetzt bei 8% sind (Anmerkung: Grätzel-Zellen sind bei 11%). Ich denke das sich unsere Technologie oder Polymersolarzellen durchsetzen werden.”

Nachtrag:

Fefe hat die wichtigsten aktuellen Lücken in Flash aufbereitet. Langsam machen CVE-Nummern für Adobe gar keinen Sinn mehr. Die brauchen eine eigene Datenbank nur für Adobe-Lücken.