Webappsec, das Web Application Security Consortium hat sich wieder etwas einfallen lassen: Die Web Hacking Incident Database, kurz WHID. Die gibt es wohl schon länger aber ich bin jetzt erst drüber gestolpert. Interessant finde ich vor allem die Statistiken der Top Attack Methods und der Top Application Weaknesses. Da weiß man wo die Probleme sind und was man dagegen hoffentlich tun kann.
Außerdem gibt es einen Twitter-Account in dem die neuesten bekanntgewordenen Hacks veröffentlicht werden: @wascwhid.
Kann man sich ja mal merken, wenn Statistiken für irgendeine Management Präsentation oder coole Stories für eine Hacking-Demo benötigt werden.
Nach Please Rob Me, die Daten aus Twitter und Facebook verknüpft um festzustellen welche Leute gerade im Urlaub sind und wo diese wohnen gibt es nun auch noch ICanStalkU.com, eine Webseite die Metadaten wie GPS-Positionen aus Bildern ausliest die irgendwelche Nutzer im Internet hochgeladen haben. Technisch nicht besonders anspruchsvoll aber durchaus interessant.
Nur, wie bei Please Rob Me geht das drei Tage durch die Medien und verschwindet dann wieder. Leider.
Ich muss mal darüber nachdenken ob das schon direkte Auswirkungen auf die von-der-Laienschen-Stoppschilder hat. Digital signierte DNS-Antworten sollten sich ja nicht mehr fälschen lassen. Oder kann/darf der DNS-Server meines Providers on-the-fly Signaturen fälschen, wenn er die Antwort manipuliert?
Und jetzt gehen direkt die gegenseitigen Vorwürfe los. Skype wirft O’Neil vor, durch seine Veröffentlichung sei das Spam-Aufkommen massiv angestiegen. O’Neil wiederum behauptet, erst das gestiegene Spam-Aufkommen habe ihn zur Veröffentlichung veranlasst, damit Sicherheitsforscher sich mit der Thematik beschäftigen können.
Die Bezeichnung „Perfect Citizen“ der NSA für ein Bürgerüberwachungs- und -bespitzelungsprogramm (die NSA bezeichnet es als „Forschungsprogramm“) ist behördlicher Neusprech allererster Güte. Der „Perfekte Bürger“ ist aus Sicht der Behörden schließlich der obrigkeitshörige, verdummte, kritiklos alles mit sich machen lassende Bürger. George Orwell wäre stolz auf diese Verwendung.
Anscheinend bastelt die NSA zusammen mit Raytheon an einem Programm, das potentielle Cyberkriminelle erkennen kann. Der Nachteil: offensichtlich muss man dafür viele Bürger und deren gesamte Kommunikation überwachen, um die Bösen zu finden. Oder wie Raytheon das in einer internen E-Mail bezeichnet: „Perfect Citizen ist Big Brother“. Basic Thinking hat einen ganz netten Artikel zum Thema.
Ich versuche mal ein paar Links zum Thema zusammenzustellen:
Ich kann die Bedenken der Leute gut verstehen. Die NSA möchte zur Erkennung und Abwendung von Cyberangriffen Sensoren in den privaten Netzwerken der Unternehmen installieren. Die befinden sich normalerweise hinter Firewalls und sind daher für die NSA nicht direkt zugänglich. Im Gegensatz zum restlichen Internet, das bei den Providern gut überwacht werden kann. Im ersten Schritt ist die Teilnahme freiwillig und vermutlich werden tatsächlich nur Angriffe wie mit einem IDS analysiert. Aber was ist im zweiten Schritt? Ich kann mit gut vorstellen, dass für alle Anbieter von „kritischer Infrastruktur“ die Teilnahme irgendwann verpflichtend wird und dass spätestens nach dem nächsten Terrorangriff nicht mehr nur Cyberangriffe sondern alle möglichen Daten abgehört und ausgewertet werden.
Ich habe keine Ahnung, ob die Server dort vertrauenswürdig sind, die Daten unverändert weiterleiten, von irgendwelchen 3-Buchstaben-Agencies abgehört werden oder was auch immer. Der Link stellt keine irgendwie geartete Empfehlung dar!
Eine Studie des Antivirensoftware-Herstellers Avast hat ergeben, dass die meisten Webseiten die versuchen, Benutzer mit Schadprogrammen zu infizieren ganz normale Webseiten und keine obskuren Adult- oder Hacker-Seiten sind. Angeblich kommen 99% der Angriffe von eigentlich legitimen aber infizierten Webseiten:
„HTML files from sub-domain blackberry.vodafone.co.uk still contain malicious code at the time of writing but point to a site containing the attack payload site that has been pulled offline.“
Ich kann mir das gut vorstellen. Immerhin gibt es in vielen Unternehmen URL-Filter die bestimmte Seiten generell blockieren. Dazu gehören eben viele Adult- und Hacker-Seiten. Die Zielgruppe wäre deshalb recht gering wenn sich die Angreifer nur auf solche Seiten stürzen würden. Viel lukrativer sind doch infizierte Werbeserver wie erst vor einigen Monaten wieder bei Holtzbrinck passiert. Damit erwischt man auf einen Schlag tausende nichtsahnender Anwender und hat (weil u.a. genug Firmen noch den Internet Explorer 6 einsetzen) auch eine gute Ergebnisquote.
US-Behörden haben den Verkauf von ICQ durch AOL an ein russisches Konsortium verhindert. Mit der Begründung, das würde die Verfolgung von Straftaten einschränken. Oder wie The Register schreibt:
„But ICQ is popular in Russia, the Czech Republic and Germany, especially among eastern European criminal gangs. One investigator said „Every bad guy known to man is on ICQ“, according to the Financial Times.“
Sehr schön 🙂
Die ICQ-Server stehen übrigens in Israel. Da haben also gleich mehrere Geheimdienste die Augen drauf.
Ich war ein paar Tage beruflich unterwegs und muss deshalb noch ein paar Beiträge nachschreiben. Aber keine Sorge, alles was sich so auf meiner Liste für das Blog angesammelt hat, wird hier die Tage auch nachgetragen.
Der UnrealIRCd hat eine Backdoor. Na gut, das kann ja mal passieren. Interessant in diesem Zusammenhang sehe ich vor allem drei Punkte:
1. Die Lücke wurde erst nach Monaten entdeckt. Das zeigt erstens wieder, dass eine Software nur weil sie Quelloffen ist, nicht automatisch sicherer sein muss. Insbesondere Source Code Audits sind gar nicht so einfach. Für PHP, Perl, Python und so traue ich das mir und meinen Kollegen hier noch gut zu. Bei C und Java wird es schon eng. Spätestens bei C++ und exzessivem Einsatz von Templates hört jedoch jedes Verständnis des Source Codes auf.
2. Jetzt kann man natürlich noch diskutieren, was für eine Source Code Verwaltung da eingesetzt wurde und warum die auch nichts bemerkt hat. Ist die so schlecht oder hat keiner aufgepasst oder wurde die Verwaltung gleich mitgehackt?
3. Und zu guter Letzt, warum wird Software nicht digital signiert. In dem Zusammenhang schreibt Heise: „Damit dieser Vorfall sich nicht wiederholt, wollen die Entwickler ihre Releases wieder mittels PGP/GPG signieren“. Also wurde wohl schon mal signiert. Warum jetzt nicht mehr? Faulheit oder Nachlässigkeit?
Tja, so wird das nichts mit der Open Source Security. Das haben kommerzielle Anbieter wie Microsoft schon lange gelernt. Da müssen die freien Entwickler noch nachziehen. Und so teuer ist eine digitale Signatur auch nicht. Genau genommen kostenlos weil alle benötigten Programme bei Linux schon vorhanden sind.
Ach ja, und für die Freunde von The Register: Nicht alles was mit „Unreal“ anfängt ist auch ein Shooter 🙂
