Mitternachtshacking

Aus einer Empfehlung via Full-Disclosure:

SecTechno (http://www.sectechno.com/) the excellent blog that publishes articles and whitepapers on a variety of IT security topics

Gefällt mir aktuell ganz gut und ist am rechten Rand jetzt dauerhaft verlinkt.

Sehr schön. Für das angeblich so versehentliche und durch einen dummen Programmierfehler erfolgte umfangreiche Mitsniffen von Paketen hat Google sogar eine Patentanmeldung eingereicht, berichtet The Register.

Man beachte insbesondere Claim 10-13:

• 10. A computer-implemented method of estimating confidence in a status of a wireless device, the method comprising:obtaining one or more packets of data transmitted from a first wireless device to a second wireless device;evaluating the one or more transmitted data packets to identify a frame type for each respective data packet;identifying the first wireless device or the second wireless device as a wireless access point based upon the identified frame type for at least one of the data packets; andassigning a confidence value to the identification of the wireless access point.
• 11. The method of claim 10, wherein:if the frame type of at least one of the respective data packets is a management frame, then identifying the first wireless device as a wireless access point; andsetting the confidence value for the identification of the wireless access point to a maximum confidence value.
• 12. The method of claim 11, wherein:if the frame type of at least one of the respective data packets is not the management frame, then evaluating whether the frame type of any of the respective data packets is a control frame;if the frame type of at least one of the respective data packets is the control frame, then identifying the first wireless device as the wireless access point; andsetting the confidence value for the identification of the wireless access point to a value between the maximum confidence value and a minimum confidence value.
• 13. The method of claim 10, wherein identifying the first wireless device or the second wireless device as the wireless access point further includes analyzing a number of frames transmitted or received by each device.

Auf Deutsch: wir hören Datenpakete ab, analysieren die Inhalte und bestimmen damit wer Client und wer Access Point ist. Yup, hört sich für mich völlig illegal an. In den USA und in Europa sind auch schon diverse Klagen anhängig.

Aber das passiert halt, wenn man völlig amoralische Techniker an so eine Thematik heranläßt. Gemacht wird, was technisch machbar ist. Ob das legal oder moralisch in Ordnung ist, wird nicht mehr hinterfragt. Und irgendein naiver Fanboy findet sich garantiert auch, der so ein Verhalten verteidigt.

Kommunikation mit der Bank wird immer gefährlicher. Weder Internetbanking noch Geldautomaten sind noch ausreichend sicher. Aber egal, das Risiko trägt ja bekanntlich der Kunde.

BSI-zertifizierter Kobil Kartenleser gehackt

Tja, si eine BSI-Zertifizierung ist auch nicht mehr das, was sie nie war. Der Kobil SecOVID Reader III, der vom BSI für den Einsatz nach dem strengen deutschen Signaturgesetz (SigG) zugelassen wurde, kann mit einer fremden nicht signierten Firmware geflasht werden. Und schon hat sich die Sicherheit erledigt. Und sehr schön, das Problem wurde nicht allgemein bekannt gemacht, weil es sich um “eine überschaubare Kundengruppe” handeln soll und die die Anwendungen für Geldkarte, HBCI und Secoder nicht von der Lücke betroffen seien. Stimmt zwar nicht aber klingt besser und beruhigt die Homebanking-Kunden die ja für den Schaden haften, wenn was schiefgeht.

Mehr Geldautomaten werden manipuliert

Das Abheben von Geld am Geldautomat wird dafür auch immer unsicherer. Das BKA warnt mal wieder vor Skimming, d.h. manipulierten Geldautomaten um Kartendaten und PIN abzugreifen. „Als normaler Kunde kann man eine Manipulation im Grunde nicht erkennen“, sagte BKA-Präsident Jörg Ziercke. Und: “Viele Banken würden die Manipulationen nicht melden, weil sie sonst um ihre Reputation fürchteten”. Na toll. Aber laut AGB haftet eh der Kunde.

OCSP rettet uns auch nicht

Und für das gewöhnliche Internet-Banking gibt es auch beruhigende Nachrichten für den bösen Hacker. Das Online Certificate Status Protocol (OCSP), das vom Browser verwendet wird um die Gültigkeit von SSL-Zertifikaten zu verifizieren kann geschickt manipuliert werden. Dazu erklärt man dem Browser über eine OCSP-Statusmeldung einfach, der Server sei überlastet und der Browser solle es später nochmal probieren. Das Standardverhalten der Browser ist dann, das Zertifikat halt solange anzuerkennen.

Mobile Banking bedroht

Und für die Freunde von Mobile Banking oder Mobile TANs  gibt es zum Schluß noch den Hinweis, dass zumindest im Android Market bereits eine Applikation aufgetaucht ist, die Bankzugangsdaten ausspähen sollte. Ich denke wir werden noch viel mehr in diese Richtung erleben.

Ich sollte mir mein Gehalt vielleicht wieder bar auszahlen lassen

dem kann ich nichts hinzufügen.

Naja, hat sich ja hoffentlich erledigt.

Ich habe meine persönliche Filterliste im Adblock Plus mal überarbeitet und neu strukturiert. Ich bin sicher, man kann die Filter noch optimieren für meine Zwecke sind sie jedoch schnell und effizient genug.

Filterliste allgemeine Webbugs

• .etracker.com/nscnt.php?* (eTracker)
• .etracker.com/cnt.php?* (eTracker)
• .etracker.com/t.js?* (eTracker)
• .nuggad.net/bk?* (nugg.ad)
• .sitestat.com/* (Nedstat)
• quantserv.com/* (Quantcast)
• 2o7.net/* (Omniture)
• .hitbox.com/* (Omniture)
• .extreme-dm.com/c.g?* (Extremetracking)
• .lijit.com/res/images/wijitTrack.gif?* (Lijit)
• .lijit.com/res/images/empty.gif?* (Lijit)
• /botd.wordpress.com/botd.gif?* (Wordpress Botd)
• .webtrekk.net/* (Webtrekk)
• /track.webtrekk.de/* (Webtrekk)
• */webtrekk.js (Webtrekk)
• */webtrekk_media.js (Webtrekk)
• /c*.statcounter.com/* (StatCounter)
• /*.doubleclick.net/ad/* (DoubleClick)
• /stats.blogoscoop.net/* (Blogoscoop)
• .yahoo.com/b?P* (Yahoo)
• /stats.big-boards.com/* (Big Boards)
• /static.getclicky.com/* (Clicky)
• /www.browser-statistik.de/browser.png?* (browser-statistik.de)
• /statse.webtrendslive.com/* (Webtrends)
• /dcstest.wtlive.com/*  (Webtrends)
• /anormal-tracker.de/countv2.php?* (Anormal Media, immerhin zeigt dieser Tracker nicht die kompletten IP-Adressen an, Datenschutz positiv umgesetzt)
• /wikia-ads.wikia.com/onedot.php?* (Wikia Inc.)
• wikio.de/blogs/top/getrank?* (Wikio)
• *.addfreestats.com/cgi-bin/afstrack.cgi?* (Free Web Stats)
• topblogs.de/tracker.php?* (Top Blogs)

Filterliste Google Analytics / Urchin

• .google-analytics.com/* (Google Analytics)
• */__utm.js (das Original Urchin Tracker Modul, Urchin 5)
• */__utm.gif?* (Urchin Tracker Modul ??)
• */urchin.js (das um Google Analytics erweiterte Modul, Urchin 6)
• */ga.js (das neue Google Analytics Javascript)
• */__ga.js (das neue Google Analytics Javascript)
• ||ajax.googleapis.com/ajax/libs/jquery/*
• ||ajax.googleapis.com/ajax/libs/jqueryui/*

Filterliste IVW / SZM

• .ivwbox.de/cgi-bin/* (Infoline SZM)
• */ivw-bin/ivw/* (Infoline SZM)
• */cgi-bin/igare/CP/* (Infoline SZM ??)
• /ivw.* (Infoline SZM)
• *.ivwbox.de/2004/01/survey.js (Infoline SZM)
• *.wemfbox.ch/2004/01/survey.js (WEMF Schweiz)
• */cgi-bin/ivw/CP/* (WEMF Schweiz)
• ||met.vgwort.de/* (VG Wort)
• /map24agof.php?ivwCode=* (IVW Link auf Map24)

Filterliste Facebook / Like und andere Social Networks

• ||facebook.com/plugins/like.php
• ||facebook.com/plugins/likebox.php
• ||facebook.com/connect.php
• ||facebook.com/connect/connect.php
• ||facebook.com/widgets/recommendations.php
• ||static.ak.fbcdn.net/rsrc.php
• ||static.ak.fbcdn.net/connect.php
• ||badge.facebook.com/badge/
• ||api.tweetmeme.com/button.js

Filterliste Yahoo Web Analytics Tracking

• *.yimg.com/*/ywa.js (Yahoo Web Analytics)

Filterliste Flattr (vermutlich mache ich mich damit unbeliebt)

• api.flattr.com/* (Flattr)

Spezialfilter für nervende Social Network Bookmark Links

• sueddeutsche.de##div[class^=”articlefooter”]
• sueddeutsche.de##div[id^=”bookmarking”]
• sueddeutsche.de##li[class^=”social”]
• welt.de##div[class^=”advertising”]
• welt.de##div[id^=”footerContainer”]
• welt.de##div[id^=”stickySocialBookmarks”]
• spiegel.de##div[id^=”spSocialBookmark”]
• 20min.ch##div[class^=”social_bookmarks”]

Anmerkung am Rande

Die einzige mir bekannte Webseite eines Medienunternehmens auf dem meine Filter nichts, aber auch gar nichts blockieren ist die Webseite des Titanic Magazins.

Nachtrag:

Und ja, ich habe ein (bezahltes) Titanic Abo. Das hat mir mein Bruder zu Weihnachten geschenkt

Nachtrag 2:

Ich habe noch ein paar Facebook-Blockierregeln ergänzt. Das entwickelt sich echt zur Seuche. Ich denke ich werde die Liste mal komplett überarbeiten und optimieren müssen. Dann kann ich die auch als Import-Filter zur Verfügung stellen, wenn das jemand interessiert.

Google trifft eine interessante und meiner Ansicht nach recht kurzsichtige Entscheidung, auf Windows im Firmennetz komplett verzichten zu wollen.

Alleine die Überlegung, statt Windows bevorzugt MacOS X mit dem ganz toll sicheren Safari Browser zu präferieren ist natürlich für jeden vom Fach sofort verständlich. Ich glaube es geht in der Thematik um zwei andere Punkte die für Google viel wichtiger sind:

1. Der symbolische Schuß gegen Microsoft. Natürlich spart Google ein paar Dollar für Windows-Lizenzen aber das ist kein Kriterium. Außerdem ist bekannt, dass MacOS X mindestens genausoviele Sicherheitslücken hat, die meisten die ich kenne halten MacOS X sicherheitstechnisch sogar für deutlich schlechter als Windows 7. Aber der Zeitpunkt ist gut gewählt um dem alten Gegner Microsoft, der Google in einigen Ländern mit Bing gerade Marktanteile abnimmt eins vor den Bug zu knallen.

2. Die Kontrolle und Überwachung der Mitarbeiter. Bei den E-Mails die in meinem privaten Outlook liegen habe ich weitgehende Kontrolle darüber. Sofern ich auf Software wie Google Desktop Search oder was es da aktuell gibt verzichten kann. Bei E-Mails, die in einem Google Mail Account liegen, bei Dokumenten die in Google Apps liegen, bei Nachrichten in Google Buzz habe ich die Kontrolle nicht mehr. Die hat Google.

Aber es klingt natürlich viel besser, wenn man die Änderung mit “Sicherheitsbedenken” begründen kann.

Heute mit Links von den Inseln …

Komplettausschluß aller Haftungsregeln in Software-Lizenzen ist unfair

In Großbritannien hat der High Court (also keine kleineAmtsgerichtsklitsche) entschieden, dass bestimmte Klauseln in Software Lizenzen unfair und damit unwirksam sind. Im speziellen Fall ging es um eine Hotelsoftware, die wohl nicht ganz den Vorgaben entsprochen hat. In den Lizenzbedingungen stand jedoch, der Kunde könne bei Problemen nur auf den Supportvertrag zurückgreifen und keine Rückerstattung verlangen, egal wie schlecht die Software ist. Diese Klausel hat das Gericht als unwirksam verworfen. Ich hoffe ja, dass wir in Deutschland auch irgendwann stärker entweder Produkthaftungsregeln für Software anwenden oder, wenn das nicht möglich oder praktikabel ist, Lizenzbedingungen zumindest wie AGB einer Inhaltskontrolle unterliegen. Naja, abwarten.

Large-Scale Cyber-Attacks

Ebenfalls in Großbritannien wurde vom House of Lords der 5. Bericht zum Schutz der EU vor Large-Scale Cyber-Attacks veröffentlicht. Dabei wurden insbesondere die (vermutlich aus Russland durchgeführten) Angriffe gegen Estland im April/Mai 2007 und die chinesischen Angriffe gegen Systeme des Dalai Lama vor den olympischen Spielen im August 2008 als Beispiele herausgegriffen. Und die ENISA bei der sich Udo Helmbrecht auf seine Pension vorbereitet hat auch einen Seitenhieb bekommen, da sie in Kreta in der Sonne weit ab vom Schuss ist.

UK will Big Brother (ein wenig) zurückfahren

Schreibt Heise. Also, eigentlich ja nicht, aber es ist einfach nicht mehr genug Geld für alles da. Vorratsdatenspeicherung kostet den Staat erstmal Geld und ob es was bringt, weiß eigentlich keiner. Ein paar Ãœberwachungskameras (CCTV) werden vielleicht abgeschaltet. Ein klein wenig weniger DNA- und Fingerabdruckdatenbanken (an Stellen an denen der EUGH schon hinschauen wollte). Und das Auskunftsrecht bei Behörden “wie in Deutschland” klingt eher wie eine Drohung als eine Verheissung. Auf Deutsch, ich bin extrem pessimistisch. Das hört sich an wie das Dialogangebot von Herrn de Maiziere und in Folge wird dann eben auch getrickst, getäuscht und verarscht.

Three Strikes in Irland

Die irren Iren sind da schon einen Schritt weiter. Der (noch) größte irische Provider Eircom hat inzwischen auf Druck der Contentmafia ein System der “abgestuften Erwiederung” eingerichtet. Die IRMA droht schon mal, Eircom “jede Woche mit tausenden IP-Adressen von Copyright-Sündern versorgen zu können”. Wenn das stimmt, hat Eircom in einem Jahr nicht mehr 750.000 Kunden sondern nur noch die Hälfte. Und zu wünschen ist es dem Laden ja auch.

Inzwischen kann die Gleichsetzung von Google mit Datenschutzverbrechern gar nicht mehr strafbar sein. Nach allem was man liest und was Google so zugibt handelt es sich um eine wahre Tatsachenbehauptung.

Wenn Google also (wie inzwischen zugegeben) mit Autos durch die Gegend fährt und Datenpakete aus unverschlüsselten WLANs mitsnifft, dann ist das meiner Ansicht nach ein Verstoß gegen § 202b StGB. Auch wenn die Datenübertragung unverschlüsselt ist, waren die Daten garantiert nicht für Google bestimmt. Ich kenne auch niemanden der Google dazu befugen würde. Komplizierter ist es nur mit der Öffentlichkeit. Nur weil die Daten unverschlüsselte Funkdaten sind, kann man jedoch noch nicht von Öffentlichkeit ausgehen. Eine unverschlüsselte Übertragung von E-Mails von mir zu einem anderen mittels SMTP abzuhören fällt explizit nämlich auch unter den § 202b StGB. Inzwischen gibt es für solche Fälle sogar Sekunderliteratur und ein wenig Rechtsprechung. Allerdings braucht es für eine Anzeige einen Betroffenen und der wird nicht zu ermitteln sein. Ich persönlich habe (leider) kein offenes Funknetz und müsste dann auch noch wissen, wann Google bei mir vorbeigefahren ist.

Die Frage ist: glaubt irgendjemand, dass der Vorfall “versehentlich” erfolgt ist? Merkt Google nicht, wenn mehrere hundert Gigabyte Daten (laut Süddeutsche Zeitung 600 GB) gesammelt werden, weil statt nur der Positionsdaten auch Paketdaten mitgesnifft werden? Oder werden wir einfach nur belogen und betrogen?

Und zuletzt: Wo belügt uns Google eigentlich noch überall?

Nachtrag:

Der Clou ist jetzt, dass Google behauptet die Daten nicht mehr einfach löschen zu dürfen, weil sie ja Beweismittel in einem Kriminalfall sein könnten. Ich denke, Google hebt die Daten einfach mal auf bis Gras drüber gewachsen ist. Das wäre zumindest typisch für das bisherige Verhalten der Datenkrake.

Nachtrag 2:

Kris Köhntopp schreibt, dass das ein normales Verhalten einer Bibliothek wäre, dass im Monitor Mode einer Netzwerkkarte halt Pakete mitgeschrieben werden. Deshalb wäre das ein lässlicher Fehler und Spiegel und Co. übertreiben da alle (und ich natürlich auch). Naja, wenn man wie Kris grundsätzlich alles in eine MySQL-Datenbank schreibt und dann erst analysiert muss man wohl zu diesem Ergebniss kommen. Ich habe allerdings selbst schon WLAN-Sniffing Software programmiert. Und ja, natürlich liest die Bibliothek im Monitor Mode alle Pakete mit, aber nein, die landen nicht alle auf der Festplatte. Die werden in Echtzeit von der Software analysiert und die interessanten Pakete schreibe ich mit. Das darf Kris gerne mal mit seiner Aircrack Suite probieren. Die kann nämlich auch z.B. nur IVs mitschreiben und den Rest nicht. Und zwar OHNE, dass alle Daten auf einer Festplatte gespeichert werden müssen.

Ich glaube immer noch, jeder der von Anfang an so ein Projekt entwirft, überlegt sich welche Daten er braucht und schreibt genau diese Daten mit. Und wenn Google mehr Daten mitgeschrieben hat, dann nicht, weil das ein versehen war sondern weil von Anfang an geplant war, alle Daten mitzuschreiben. Warum, ist mir dann eigentlich auch völlig egal.

Die Umbrella Corporation Fraunhofer Gesellschaft (genauer Fraunhofer SIT) hat bekanntlich vor einiger Zeit eine bezahlte Studie im Auftrag von Microsoft durchgeführt und gezählt, wie viel Spam bei diversen Freemail-Anbietern aufschlägt (Link zum PDF).

Gewonnen hat Yahoo vor Hotmail und Googlemail. Die beiden 1&1-Firmen Web.de und GMX schnitten deutlich schlechter ab. Über die zu erwartenden Mängel bei einer bezahlten Studie im allgemeinen und einer Fraunhofer Studie im besonderen hat Basic Thinking einen ganz netten Bericht geschrieben. Probleme sind insbesondere, was ist alles Spam (z.B. die Hauspost von GMX die ja zur Finanzierung des Dienstes dient), was ist mit Spam der zugestellt aber als Spam markiert ist (z.B. wenn die Zustellung gesetzlich vorgeschrieben ist) und wie man mit False Positive umgeht (was mit persönlich wichtig ist, lieber ein Spam zu viel als eine wichtige Nachricht verloren). Egal, ist ja eine Fraunhofer Studie (also Werbung) und außer Spiegel Online fällt da keiner mehr drauf rein.

Da ich bei all denen kein echter Nutzer bin interessiert mich eigentlich nicht, wie viel Spam man bei GMX oder Hotmail bekommt. Statt dessen interessiert mich als Nutzer einer anderen Mailadresse, wie viel Spam ich von diesen kostenlosen Diensten bekomme, d.h. was mich dieser Dienst kostet, obwohl ich gar nicht Nutzer bin.

Ich habe letzten Monat deshalb mal andersrum gezählt, nämlich von welchen Adressen ich den meisten Spam auf meine privaten und Firmenadressen bekomme (ist der gleiche Mailserver, darum einfach zu zählen). Genauso stichprobenartig und systematisch wie Fraunhofer. Einfach gezählt, was für mich Spam ist. Die meisten Mails werden mittels Real-Time Blacklist geblockt, insbesondere auch, wenn die Absenderdomain mit dem Absenderserver nicht zusammengeht. Die gezählten Mails sind deshalb nur die Spam-Mails die direkt über die Server der jeweiligen Anbieter verschickt wurden.

Und hier das Ergebnis:

1. Gmail: 14 Spam-Mails
2. Hotmail: 9 Spam-Mails
3. Web.de: 1 Spam-Mail
4. GMX: 1 Spam Mail

Mein Fazit: Den größten Schaden durch Spam-Versand an andere richten Google (Gmail) und Microsoft (Hotmail) an. Schade, dass man die nicht verbieten kann.

zu geil, heute gesehen beim Durchblättern alter URLs und löschen der toten Webseiten:

7343 Facebook-Deppen sind schon drauf reingefallen