Mitternachtshacking

Das ist fast schon so krass wie die Blackberry-Geschichte in den Vereinigten Arabischen Emiraten: Forscher von TippingPoint haben eine scheinbar nützliche Anwendung mit dem Namen “WeatherFist” auf einem Portal zum Download und zur Installation auf Mobiltelefonen angeboten. Innerhalb von wenigen Stunden haben über 700 User die Anwendung runtergeladen und installiert. Innerhalb einiger Tage waren es bereits 8000 infizierte Telefone. Neben der harmlosen Wetteranzeige hat die Anwendung nur den Standort des Telefons gemeldet, genauso einfach hätte man jedoch auch echten Schaden anrichten können. Erstaunlich, daß es bisher nicht mehr Schadanwendungen für Mobiltelefone gibt. Oder hat die nur noch niemand entdeckt?

Das Problem ist … was will man dagegen tun? Nur Anwendungen aus vertrauenswürdigen Quellen herunterladen? Aus dem iTunes Store für das iPfusch, aus dem Google Store für das Android und aus dem Ovi Store für Nokia? Und was, wenn es das benötigte da nicht gibt? Beispielsweise war Putty für das TouchUI eine der ersten Anwendungen die es auf mein neues Telefon geschafft haben. Inzwischen laufen da mehrere Tools, die nicht aus dem Ovi Store sind.

Das Problem wird sein, daß Virenscanner keine echte Chance haben, solche Anwendungen zu finden. Ja, es gibt für mein Mobiltelefon beispielsweise einen Schadcode-Scanner von Trend Micro und einen weiteren von F-Secure. Der von F-Secure ist sogar vorinstalliert. Ich wette, das hätte TippingPoint-Trojaner auch nicht erkannt. Dafür kostet der Adobe Reader 10,- Euro. Das ruft doch nur so nach infizierten Raubkopien. Und mit etwas Geschick kann man einen Trojaner immer so programmieren, daß der Virenscanner ihn nicht findet.

Lösungen? Tja, eine echte habe ich nicht. Nur signierte Anwendungen zuzulassen ist jedenfalls keine. Dann bekommt man ein Lock-in-Gerät wie mit dem iPfusch von Apple. Was ich mir für mein Telefon wünschen würde, wäre beispielsweise eine einfache Übersichtsseite, welche Anwendung auf welche Funktionen(GPS, Datenübertragung eingehend/ausgehend, welche IP-Adressen/Server, etc.) zugreift und eine Möglichkeit das (a) zu Beschränken und (b) zu Widerrufen. Das AccuWeather auf meinem Mobiltelefon fragt mich bei jedem Aufruf ob ich eine Netzverbindung erlauben will. Das ist zwar nett aber nervig. Ich würde das dieser Anwendung beispielsweise pauschal erlauben. Google Maps fragt mich nicht sondern greift einfach auf GPS und Datenverbindung zu. Ich wüsste nicht wie ich das verbieten kann. Andere Anwendungen haben mich bei der Installation einmal gefragt und fertig. Widerrufen ist nicht vorgesehen nur Deinstallation. Ich denke, da müssen die Mobiltelefonhersteller noch von den Desktopfirewallherstellern lernen.

Ach ja, weiß jemand zufällig ob es Truecrypt für das N97 mini gibt?

(Danke Sören)

Stell Dir vor es ist CeBIT und niemand geht hin. Oder, ich zumindest nicht. Schon seit drei oder vier Jahren nicht mehr. Die CeBIT ist zwar vielleicht noch die zentrale IT-Messe aber Spezialmessen wie die IFA oder IT-SA ziehen das Fachpublikum oft besser und gezielter an. Egal.

Eines der amüsanteren Themen  auf der CeBIT ist De-Mail, weil es ja da unten in Friedrichshafen am Bodensee so ein lustiges Pilotprojekt gibt. Amüsant vor allem, weil jeder seinen Senf dazugeben muß.

Die Zeit beispielsweise sieht De-Mail eher kritisch:

“Ohnehin ist noch nicht ganz klar, warum sich die Bürger einen De-Mail-Account zulegen sollen. Schließlich profitieren davon vor allem Behörden, Banken und Versicherungen, die ihre Bescheide künftig elektronisch zustellen und so Porto sparen können. Die Kunden dagegen werden für den Versand von De-Mails voraussichtlich extra zahlen müssen […]”

Heise dagegen schließt sich aktuell den Jubelpersern an:

“Internet-Provider, Behörden, Unternehmen und schließlich die Anwender haben auf der CeBIT ein positives Fazit zum sechsmonatigen Feldtest von DE-Mail in Friedrichshafen gezogen. […] Die größten Wünsche haben dabei die Behörden.”

Tja, ist mir schon klar, daß Behörden das toll finden. Bescheide nicht mehr per Post sondern per E-Mail. Und wenn der Bürger nicht rechtzeitig in seine Mailbox schaut dann hat der Bürger eben Pech gehabt. Den Hartz 4 Bescheid gibt es trotzdem nicht pünktlicher und um gegen den E-Mail Bescheid Widerspruch einzulegen muß dieser dann (rechtssicher) ausgedruckt werden.

Die spinnen doch, die gallischen Behörden.

“Don’t just shorten your URL, make it suspicious and frightening.”

Beispielsweise diese:

http://5z8.info/dont-just-drizzle_k2c3j_malicious-cookie

Und wenn diese URL nicht funktioniert, dann vielleicht diese?

http://5z8.info/click-on-this-and-youll-be-taken-to-page-that-will-create-pop-up-windows-until-your-browser-crashes_l2y0d__init_download

oder doch besser was harmloseres?

http://5z8.info/amazon.com-phish_q4a6v_open_exe_begin_transfer

Passende URLs gibt’s bei http://www.shadyurl.com/. Klingt lustig, hat aber durchaus einen ernsten Hintergrund.

Please Rob Me

Die Webseite Please Rob Me zeigt mir Hilfe einfacher Suchanfragen an Twitter und Foursquare die Nachrichten der Nutzer analysiert. Dabei wird nach Lokations- und Abwesenheitsmeldungen gesucht, die z.B. einem EinbrecherHinweise geben könnten, wo ein Benutzer wohnt und wann er unterwegs ist. Damit soll u.a. auf die Gefahr von Social Networks aufmerksam gemacht werden, in denen Benutzer zu viele Informationen über sich preis geben. Und wir haben uns vor 15 Jahren über die Abwesenheitsnotizen in E-Mails aufgeregt …

Panopticlick

Panopticlick der Electronic Frontier Foundation (EFF) führt vor, wie eindeutig sich ein Browser durch Javascript und diverse Plugin-Kombinationen identifizieren läßt. Mit abgeschaltetem Javascript (NoScript sei Dank) komme ich auf 1 von ca. 32.000 Usern, mit eingeschaltetem Javascript bin ich mit meiner Plugin-Kombination eindeutig identifizierbar. Wobei ich mich frage, warum Javascript z.B. die installierten Systemfonts an den Server übermitteln muß.

Amazon EC2 Passwort-Cracker

Cloud-Dienste lassen sich nicht zur für Virenscanner oder Datenspeicherung nutzen sondern können (wenn viel Rechenleistung für wenig Geld angeboten wird) auch für Passwortcracker nutzen. Da Amazon der Rechnleistung Kosten verpasst, ergibt sich eine einfach nutzbare Metrik, um Passwort-Cracking mit echten Kosten zu versehen. David Campbell hat das tabellarisch aufbereitet. Interessant ist, daß die Passwortlänge wichtiger ist als die Passwortkomplexität. Ein 12-Zeichen Passwort nur aus Kleinbuchstaben kostet nach seiner Rechnung über 1,5 Millionen USD, ein komplexes Passwort mit Sonderzeichen aber nur 8-Zeichen Länge kostet günstige 106.000 USD. Erst mit 10-Zeichen Länge ist ein komplexes Passwort besser als ein simples 12-Zeichen Passwort.

So ist das in Berlin … erst macht man das schlechteste aller möglichen Gesetze zur Internet-Zensur, dann sind praktisch alle Parteien dafür, das nicht anzuwenden und schließlich wird das Gesetz doch vom Bundespräsidenten unterzeichnet und kann jetzt in Kraft treten.

Verloren haben im Grunde alle. Zuallererst der Bürger in Deutschland, dem mal wieder deutlich klargemacht wurde, daß Petitionen für den Arsch sind. Die interessieren doch eh keinen Bundestagsabgeordneten. Am wenigsten die, die sich hinterher aufregen über mangelnde Beteiligung an Wahlen, den Zulauf der Rechts- und Linksextremen sowie das generelle Mißtrauen gegenüber Politikern.

Verloren haben die Parteien im Bundestag, die alle (inklusive der ehemals treibenden CDU) davon reden, wie schlecht dieses Gesetz doch ist aber nichts dagegen tun. Im besonderen die angebliche Bürgerrechts- und tatsächliche Klientelpartei FDP mit ihrer blassen Justizminsterin, die genau gar nichts von dem erreicht hat, was sie vorher großspurig angekündigt hat. Das letzte mal (Großer Lauschangriff) ist die Justizministerin Leutheusser-Schnarrenberger noch zurückgetreten. Jetzt (Große Internetzensur) geht die Justizministerin Leutheusser-Schnarrenberger langsam auf die Rente zu und da ist ihr die Ministerpension natürlich näher als das Grundgesetz.

Verloren hat auch der Bundespräsident, der angeblich monatelang prüfen musste, ob sich das Gesetz mit dem Grundgesetz vereinbaren lässt in Wirklichkeit jedoch nur warten wollte, bis sich nach der Bundestagswahl die Wogen geglättet haben. Ein typischer Präsident nach Merkel Gnaden. Im Grunde können wir auf diesen rückgratlosen Köhler genausogut verzichten. Bei von Weizsäcker oder dem ehemaligen Verfassungsrichter Herzog hätte es dieses Gesetz nicht gegeben.

Verlieren wird auch der Kinderschutz. Spätestens wenn die Sperrliste wie alle anderen Listen auch bei Wikileaks oder woanders auftaucht und die echten Pädophilen freien Zugriff darauf bekommen. Und verlieren wird das BKA, wenn sich herausstellt, daß nicht nur Kinderpornoseiten gesperrt wurden sondern (natürlich nur versehentlich) die Webseite der Piratenpartei und von Wikileaks gleich mit.

Nachdem die OECD bei der letzten Bundestagswahl bereits Wahlbeobachter nach Deutschland geschickt hat (übrigens das erste mal nach dem 2. Weltkrieg) und wir damit bereits den offiziellen Stand einer Bananenrepublik erreicht haben, nähern wir uns nun konkret chinesischen Verhältnissen an. Interessant übrigens, daß der Bundestag gleichzeitig mehr Einsatz gegen Internet-Zensur fordert. So schizophren können auch nur Politiker sein.

Ein interessanter Beitrag, wie YouTube Musik in Videofiles erkennt und mit welchen Tricks man das verwendete Verfahren aushebeln kann bzw. eben nicht.

Prinzipiell ist das verwendete Verfahren recht immun gegen Änderungen der Lautstärke, auch die gespielte Geschwindigkeit muß man um mehr als 5% verändern, bevor der Fingerprinter ein Musikstück nicht mehr erkennt. Auch gegen Rauschen ist das Verfahren recht gut. Wenn man allerdings ein kurzes Liedstück von weiter hinten anstatt vom Anfang verwendet, kommt man offensichtlich recht gut durch den Filter.

(via carta.info)

Angeblich will die Post 20 Cent für jede innerhalb von DE-Mail zugestellte E-Mail.

Es gibt nur noch eine Möglichkeit, wie das kein Flop wird: wenn der Staat diese Form des Mailens verbindlich für Kontakte zum Finanzamt, Arbeitsamt etc. vorschreibt. Ansonsten ist das wie die ePost, die hat auch keine 5 Jahre überlebt.

(via Heise)

Ein paar Sachen die schon seit geraumer Zeit in meiner Inbox vorsichhinschimmeln:

ADS

ADS is where some file metadata is stored.  Yes, it’s not viewable in Windows Explorer, but if you want more transparency with ADS, you can add ADS to the Properties tabs of the file system and view ADS for every file in the GUI by using StrmExt.dll. See: http://msdn.microsoft.com/en-us/library/ms810604.aspx

Shellcode

If you are interested in shellcoding then check out www.projectshellcode.com for heaps of shellcode tutorials, whitepapers, tools and resources.

Metasploit Addon

MetaScanner is a script in ruby to scan a host for exploits than are already in metasploit framework. This is not a vulnerability scanner and may report some few false puritives. How many times have you scanned a host using nmap and then tried different exploits from the framework? This tool automates that for you. You can find it on http://kalgecin.110mb.com/index.php?id=codes.

Fuzzer

Krakow Labs maintains a current list of security driven fuzzing technologies: http://www.krakowlabs.com/lof.html

Ich denke ich werde in Zukunft öfter Links mit so einer Kurzbeschreibung für Sachen posten, die bisher unter den Tisch gefallen sind, weil sie eigentlich keinen kompletten Blogeintrag rechtfertigen.

Das kennen wir doch schon: Auf seriösen Webseiten werden nichtsahnende Benutzer durch bösartige Werbung mit Schadprogrammen infiziert. Dieses mal waren u.a. Golem.de, Zeit.de und Handelsblatt.de betroffen. Davor gerne auch mal Heise, die New York Times, The Register und andere.

Die Ursache für dieses wiederkehrende Problem findet sich an zwei Stellen:

1. Die Werbung wird nicht von den Servern der Redaktion ausgeliefert. Statt dessen enthalten die Seiten lediglich einen Verweis auf einen Server der typischerweise bei einem Werbevermarkter steht. Dies kann Google sein aber auch kleinere Vermarkter wie Falk eSolutions. Von dort wird die Werbung eingeblendet auf die die Redaktion nur eingeschränkt Einfluß hat. Wenn bei diesen Vermarktern etwas passiert ist immer direkt eine größere Anzahl von Webseiten mit einer Vielzahl von Benutzern betroffen.
2. Werbung bedient sich massiv dynamischer Inhalte wie Javascript und Flash, um die Aufmerksamkeit der Nutzer zu erlangen.  Würden nur statische Inhalte wie Bilder oder Texte ausgeliefert, wäre die Gefahr generell geringer.

Als Lösung für den Anwender läßt sich meiner Ansicht nach nur empfehlen, Werbung so konsequent wie möglich auszublenden und gar nicht erst zu laden. Adblock Plus im Firefox erledigt das recht zufriedenstellend und ist einfach genug auch für weniger technisch versierte Benutzer bedienbar. Leider können es sich die etablierten werbefinanzierten Online-Medien schlecht leisten, Werbeblocker zu empfehlen. Statt dessen gibt es bei Heise nur eine Anleitung wie man die unerwünschte Scareware wieder los wird. Wenn das Kind also erstmal in den Brunnen gefallen ist.

Nur ein Link: http://extraexploit.blogspot.com/. Kommt in meine Blogroll.