15. Juli 2010
Die ersten großen Provider haben den Run auf handliche De-Mail-Adressen eröffnet. Wobei ich ehrlich gesagt glaube, dass es (außer für manche Firmen) primär eine gemütliche Volkswanderung einzelner unverzagter wird.
Und man sieht auch direkt wieder, warum das mit De-Mail so problematisch wird:
1. Kosten - Teil I
1&1 (GMX, Web.de) plant nach verschiedenen Quellen mit De-Mail Preisen von etwa 15 Cent pro verschickter E-Mail. Gegenüber normaler Post immerhin eine Ersparnis von ca. 40 Cent, wobei mir noch nicht klar ist ob die Sonderleistungen wie Zustellbestätigung extra kosten. Aber wann rechnet sich das? Wir verschicken im Jahr vielleicht ein paar Hundert Rechnungen im Unternehmen. Die Kostenersparnis ist da nicht so gigantisch. Ein vereinfachtes e-Rechnungsverfahren würde vielleicht helfen aber selbst dann stellt sich die Frage, ab wann sich das denn wirklich lohnt. Wir kommunizieren vielleicht 3-4 mal im Jahr mit Behörden. Da kann ich gerade noch ein paar Euro für das Porto aufbringen. Kurz für ein kleines Unternehmen ist da kein echter finanzieller Mehrwert. Für Privatpersonen sowieso nicht.
2. Kosten - Teil II
Die Deutsche Post plant sogar, für De-Mail die gleichen Preise anzusetzen wie für normale Post, nämlich fette 55 Cent. Und nach meinen Informationen sind da die Mehrwertleistungen noch gar nicht enthalten, eine Zustellbestätigung kostet also extra. Da kann ich genausogut bei der normalen Briefpost bleiben. Ich persönliche glaube ja, bei denen hackt es.
3. Rechtsfolgen
Die Rechtsfolgen sind mir noch nicht so ganz klar. Wie löse ich das denn, wenn ich drei Wochen im Urlaub bin? Kann ich da meine Nachbarn den De-Mail Briefkasten leeren lassen wie bei normaler Post auch? Das Reizzentrum hat in die allgemeinen Geschäftsbedingungen der Post bezüglich De-Mail reingeschaut und hanebüchene Forderungen entdeckt. Auch hier kann man nur empfehlen, die Finger von De-Mail wegzulassen. Ich geh doch auch nicht 8x am Tag an meinen Briefkasten.
Eigentlich kann man nur hoffen, das folgende Aussage: “Die Teilnahme an De-Mail ist freiwillig und kostenpflichtig. Bürger wie Behörden dürfen durch keine Verordnungen gezwungen werden, dem De-Mail-System beizutreten.” aus dem Referentenentwurf es später auch in das De-Mail-Gesetz schafft.
Nachtrag/Korrektur:
Wie Martin in den Kommentaren korrekterweise bemerkt hat: Ich habe im obigen Beitrag leider schlampig geschrieben und nicht zwischen dem De-Mail-Angebot von 1&1, der Dt. Telekom, etc. und dem e-Post-Angebot der Dt. Post unterschieden, das genaugenommen mit De-Mail (erstmal) überhaupt nichts zu tun hat. Ich gehe zwar davon aus, dass e-Post irgendwann die De-Mail-Anforderungen erfüllen wird, das ist heute jedoch nicht der Fall. Unabhängig davon sehe ich jedoch die oben beschriebenen Nachteile weiterhin sowohl für De-Mail als auch e-Post zutreffen, also unnötig hoher Preis für nicht benötigte Leistungen und einseitige Abwälzung möglicher nachteiliger Rechtsfolgen auf den Nutzer.
Tags: 10381,
De-Mail,
Post
14. Juli 2010
Die Black Hat Asia findet dieses Jahr Anfang November in Abu Dhabi statt. Wer da schon immer mal hinwollte, der Call for Paper ist bis 1. September offen.
Tags: Black Hat
10. Juli 2010
Symantec ist irgendwie auch eine lustige Firma.
Auf der einen Seite weiß ich nie, wie man den Laden eigentlich aussprechen soll. “Sümantek” oder “Simantek” oder “Seimantek” oder wie sonst? Auf der anderen Seite weiß ich nicht, womit die eigentlich ihr Geld verdienen. Security kann es jedenfalls nicht sein. Ok, Symantec hat da einen sogenannten Virenscanner im Angebot. Der bei uns intern “die gelbe Gefahr” heißt. Und angeblich soll der so viele Ressourcen benötigen, dass man alleine deshalb vor Viren und Schadprogrammen geschützt ist, weil man mit dem Rechner eh nicht mehr arbeiten kann. Aus dem Firewall-Markt (SGS, kennt die noch jemand?) hat sich Symantec auch verabschiedet, vermutlich weil die Software-Firma keine Hardware-Logistik stemmen wollte oder konnte. Statt dessen wird halt zugekauft, erst SecurityFocus (platt), dann PGP (mal sehen), jetzt Verisign (oh Gott). Der aktuelle tolle Marketingslogan von Symantec: “The last word in online trust” würde ich jetzt ganz spontan mit “die letzten, denen ich online vertraue” übersetzen.
Gründe dafür gibt es jedenfalls genug. Beispielsweise das von Symantec zur WM 2010 gestartete Portal 2010NetThreats, in dem Besucher kommentieren konnten und praktisch jeder Link in den Kommentaren zu Spam und anderen potentiellen Malware-Seiten zeigt.
Aber vielleicht haben wir das auch einfach nur falsch verstanden und 2010NetThreats ist eine Seite bei der die Bösen im Internet ihre Malware-Seiten registrieren können, damit die nächste Version des Norton 360% CPU-Auslastung Virenscanners sie auch zuverlässig erkennt.Wer weiß das schon.
Tags: Spam,
Symantec
2. Juli 2010
Seltsam, seltsam. Mal wieder ist einer dieser genialen, hochsicheren, unknackbaren, mit 256-Bit AES-Verschlüsselung werbenden USB-Sticks gehackt worden. Genaugenommen wurde mal wieder der PIN-Schutz umgangen und die Daten direkt aus dem Flash-Speicher ausgelesen.
Wobei sich mir direkt die Frage stellt, was denn da genau mit 256-Bit AES verschlüsselt worden ist. Die Daten können es ja nicht sein, wenn man sie einfach so auslesen kann. Die PIN vielleicht.
Mann-oh-mann, bei verschlüsselten USB-Sticks ist ja noch mehr Snake Oil auf dem Markt als bei Virenscannern!
Tags: Corsair,
Snake Oil,
USB-Stick,
Verschlüsselung
23. Juni 2010
Zumindest ein ganz klein wenig Virenschutz gibt es inzwischen auch in Mac OS X. Apple hat offensichtlich gelernt, dass eine exotische Plattform nur solange vor Viren und Schadprogrammen schützt solange sie so exotisch ist, dass sie für Malware-Autoren nicht lukrativ genug ist. Inzwischen hat Apple einen ausreichend hohen Marktanteil um Schadprogramme lukrativ werden zu lassen. Dazu kommt, dass der typische Apple-User inzwischen den Ruf weghat, etwas minderbemittelter zu sein, sich gerne gängeln zu lassen, dafür aber über ausreichend finanzielle Mittel verfügt. Also das ideale Phishing und Social Engineering-Ziel.
Jedenfalls schreibt der Inquirer, dass ein paar Leute von Insecurity Signaturen des Trojaners “HellRTS” in einem Apple-Update gefunden haben. Natürlich still und heimlich installiert.
Stellt sich nur die Frage, wann Apple die Selbstverleugnung aufgibt und sich selbst endlich eingesteht, dass es auch für Mac OS X inzwischen diverse Schadprogramme und Trojaner gibt und ein Virenscanner mit regelmäßigen Updates deshalb vielleicht eine gute Idee sein könnte. Aber ich fürchte, da müssen wir bei Apple noch so 5-8 Jahre warten. Bei Microsoft ging es damals auch nicht schneller aber inzwischen gehört Microsoft ja fast schon zu den guten. Zumindest im Vergleich zu Apple.
Gibt es eigentlich brauchbare Virenscanner für Mac OS X? Ich habe zum Glück nichts von Apple, ich kenne mich da nicht so aus.
Tags: Apple,
Mac OS X,
Virenscanner
20. Juni 2010
Wie üblich wird bei Apple zensiert, was das Zeug hält. Diesmal hat es ein Schwulencomic erwischt. Und wie üblich ist sich Apple keiner Schuld und keines Fehler bewußt lenkt aber nach erheblicher schlechter Presse ein.
Langsam frage ich mich echt, welche Idioten das Zeug von Apple noch kaufen. iFail!
Tags: Apple,
iFail,
iPad,
Zensur
14. Juni 2010
Ich hatte erst vor ein paar Tagen hier einen Beitrag zu Vulnerability Disclosure veröffentlicht. Die gängige Diskussion ist dabei vor allem, was ist ein “Responsible” Disclosure also eine verantwortunsbewußte Veröffentlichung von Sicherheitslücken. Hier wird in der IT-Security Branche bekanntlich heftig gestritten. Die eine Front verlangt ausreichend (notfalls beliebig) Zeit für die Hersteller um Sicherheitslücken zu beheben, die andere Front will Lücken so schnell wie möglich veröffentlichen um Hersteller zu zwingen, auf bekannte Lücken auch tatsächlich zügig mit einem Patch zu reagieren. In der Praxis lassen viele Leute dem Hersteller zwischen 30 und 90 Tagen Zeit um einen Patch zu entwickeln und veröffentlichen dann Details zu einer Lücke, auch wenn der Hersteller nach dieser Zeit noch keinen Patch veröffentlicht hat. Das ist ein relativ guter Kompromiß zwischen beiden Lagern.
Aktuell gibt es jetzt einen Fall in dem der Entdecker einer Lücke dem Hersteller nur wenige Tage gelassen hat und schon sind wieder alle am Streiten.
Tavis Ormandy, ein Entwickler bei Google hat eine technisch interessante (weil recht komplexe) Sicherheitslücke im Hilfe- und Support-Center von Microsoft Windows entdeckt. Details zur Lücke und einen Demo-Exploit hat Tavis am 10.06. auf der Full-Disclosure Mailingliste veröffentlicht. Die Mailingliste kann jeder abonnieren und bekommt automatisch alles zugeschickt was dorthin geschickt wird. Leider ist auch viel Schrott auf der Liste, weil sie kaum moderiert wird. Microsoft wurde am 05.06. von Tavis über diese Lücke informiert und hat den Eingang am gleichen Tag bestätigt.
Tavis wirft Microsoft jetzt vor, seit 05.06. nichts mehr gehört zu haben, nimmt deshalb an, es kümmert sich keiner um die Lücke und veröffentlicht 5 Tage später den Exploit mit dem dezenten Hinweis:
“Those of you with large support contracts are encouraged to tell your support representatives that you would like to see Microsoft invest in developing processes for faster responses to external security reports.”
Und das ausgerechnet von einem Mitarbeiter von Google, der Firma die vor wenigen Wochen großmäulig Microsoft-Betriebssysteme in die Tonne getreten hat. Das hat schon ein “Geschmäckle”. Tavis begründet sein schnelles Disclosure zwar unter anderem damit, dass er vermutet die bösen Hacker würden diese Lücke bereits ausnutzen. Dafür fehlen jedoch die nötigen Beweise. Außerdem hat Tavis einen Workaround mitgeliefert, der den Angriff verhindern sollte bei dem sich jedoch herausgestellt hat, dass der Schutz nicht richtig wirksam ist.
Und nun stellt sich die berechtigte Frage, ob das Vorgehen von Tavis noch von “Responsible Disclosure” gedeckt ist oder ob ein Google-Mitarbeiter die gute Gelegenheit genutzt hat, mit einer neuen Sicherheitslücke Microsoft eins auszuwischen und den Konzern vielleicht sogar dazu zu nötigen, einen Patch außerhalb der normalen Update-Sequenz herauszubringen. Und damit quasi als Kollateralschaden Millionen von Windows-Anwendern gefährdet. Ich weiß es nicht. Aber als Administrator bin ich über “aus der Reihe Patches” nie besonders glücklich. Vermutlich hätte man die Kommunikation über diese Lücke klüger handhaben könne.
Tags: Exploit,
Google,
Tavis Ormandy,
Windows
10. Juni 2010
Eigentlich weiß ich gar nicht, was ich heute so schreiben will. Naja, dann halt irgendwas buntes durcheinander:
Apple macht sich weiter unbeliebt
Apple zensiert munter weiter im App-Store. Der Bewertungsmaßstab scheint der durchschnittlichte Hillbilly-Farmer im religiösen Mittleren Westen zu sein. Was der nicht gut findet, wird von Apple auch gesperrt. Inzwischen scheint sich sogar Fanboy und Springer-Chef Döpfner unsicher zu werden. Jedenfalls wird auf allen Kanälen um Hilfe gerufen. Apple schert das gar nicht, jetzt wird mittels iAd-Zensur gegen Google und Microsoft geschossen. Langsam hat man das gesamte IT-Lager (Adobe, Microsoft, Google, …) gegen sich. Und zu aller Freude verliert Partner AT&T auch noch jede Menge Daten.
Adobe macht sich weiter unbeliebt
Zumindest gibt es schon wieder einen Zero-Day Exploit für Flash. Ich verstehe ja manchmal Steve Jobs wenn er Flash nicht auf dem iPfusch haben will. Zusätzlich zu den Fantastilliarden (Enzyklopädie, my ass) an Safari-Lücken auch noch die Flash-Lücken auf seinen Geräten? Dabei gibt’s einen simplen Workaround. Einfach die ganze Adobe-Software deinstallieren. Schon ist Ruhe. Lustig ist nur, dass laut Advisory die Lücke gleichzeitig Flash, Reader und Acrobat betrifft. Da wird anscheinend heftig Code wiederverwendet.
Facebook macht sich weiter unbeliebt
Und zwar durch fleißig aus dem iPhone abgegriffenen Telefonkontaktdaten. Löschen der Daten ist nicht vorgesehen. Auskunft was mit den Daten passiert: keine. Auskunft, wie die Daten geschützt werden: keine. Reaktion vom Bundesdatenschutzbeauftragten Peter Schaar: keine (der wird sich notfalls einfach für “nicht zuständig” erklären). Da kann man nur hoffen, dass man keine “Freunde” hat, die gleichzeitig iPhone- und Facebookaccount-Besitzer sind.
Offtopic: Grätzel gewinnt Millenium-Preis (und macht sich nicht unbeliebt)
Da geht es um organische Solarzellen. Allerdings scheint die Versiegelung des Elektrolyt noch ein Problem zu sein (falls man Wikipedia trauen kann). Das Genie unserer Familie arbeitet in Dresden ebenfalls an organischen Solarzellen und kommentiert das mit: “Das Gute daran ist, dass der optische Anregungszustand durch das TiO2 schnell in Ladungen getrennt wird. Aber das Problem ist der Elektrolyt und das andere reine organische Solarzellen wie unsere und Polymer-basierte in der Effizienz aufholen und jetzt bei 8% sind (Anmerkung: Grätzel-Zellen sind bei 11%). Ich denke das sich unsere Technologie oder Polymersolarzellen durchsetzen werden.”
Nachtrag:
Fefe hat die wichtigsten aktuellen Lücken in Flash aufbereitet. Langsam machen CVE-Nummern für Adobe gar keinen Sinn mehr. Die brauchen eine eigene Datenbank nur für Adobe-Lücken.
Tags: Adobe,
Apple,
Datenschutz,
Facebook,
Flash,
iPfusch,
iPhone,
Schaar,
Solarzellen
9. Juni 2010
Auf der DailyDave-Mailingliste gefunden:
Auf dem “Workshop on the Economics of Information Security 2010” hat der mir vorher nicht bekannte Sam Ransbotham ein Paper veröffentlicht mit dem Titel: “An Empirical Analysis of Exploitation Attempts based on Vulnerabilities in Open Source Software” (PDF). Zu diesem Paper gibt es auch einen Artikel auf Technology Review.
Seine Kernaussage (und ich bin sicher, ein paar Leute bei Microsoft haben das mit Freude gelesen) ist, dass Open Source Software bezüglich Sicherheitslücken die vor der Veröffentlichung gefunden werden möglicherweise einen Sicherheitsvorteil gegenüber Closed Source hat. Falls Sicherheitslücken jedoch erst nach der Veröffentlichung gefunden werden, hat Open Source den Nachteil, dass jeder die Lücken sehen und leicht analysieren kann. Angreifer werden Lücken in Open Source deshalb bevorzugt ausnutzen.
Ich halte wie Dave Aitel sowohl die These für falsch, als auch die Zahlen die er zur Untermauerung verwendet.
Argument 1: Sicherheitslücken werden von Angreifern dann ausgenutzt, wenn es sich für den Angreifer lohnt. Die meisten Angriffe auf Rechner erfolgen heute durch Software wie Adobe Flash oder den Adobe Reader über den Webbrowser auf Windows. Der Grund ist einfach. Finanziell lohnt es sich eher, einen Angriff für das Betriebssystem von 94% der Rechner im Internet zu entwickeln als für die paar Mac OS X oder Linux-Rechner, selbst wenn z.B. der Linux-Source-Code komplett vorhanden ist. Und Flash ist als Browser-Plugin am weitesten verbreitet, auch deshalb werden Exploits speziell für Flash gesucht. Obwohl Flash Closed Source ist.
Argumtent 2: Die von ihm verwendeten Zahlen stimmen einfach nicht. Man kann die Anzahl der Einträge in der National Vulnerability Database (NVD) oder irgendeiner sonstigen Schwachstellendatenbank für Open Source und Closed Source einfach nicht vergleichen. Bei Open Source ist das Standard-Fehlerbehandlungsmodell, dass wenn eine Lücke bekannt wird, für diese Lücke ein Patch entwickelt wird und in den Source-Tree eingepflegt wird. Für die nächste Lücke gibt es den nächsten Patch und auch der wird direkt eingepflegt. Weil jeder den Source-Tree ansehen kann, gibt folglich jede Lücke einen eigenen Vulnerability-Datenbankeintrag. Bei Closed Source liegt es im Interesse des Herstellers (und meist auch der Kunden), dass nicht für jede Lücke direkt ein Patch veröffentlicht wird sondern alle Lücken in einem bestimmten Programm innerhalb eines gewissen Zeitraums in einem gemeinsamen Patch veröffentlicht werden, der hoffentlich gut getestet wurde. Microsoft macht das beispielsweise sehr gerne und behebt mit einem Patch in der Regel mehrere Lücken. Natürlich steht Closed Source dann bzgl. der reinen Zahl der Einträge in einer Schwachstellendatenbank besser da. Daraus jedoch Rückschlüsse auf die Sicherheit ziehen zu wollen ist dumm und naiv.
Im Ergebnis läßt sich mal wieder nur feststellen, dass Sam Ransbotham eine weitere Chance für einen realistischen und echten Vergleich der Sicherheit von Open und Closed Source vertan hat. Eine aussagekräftige und unabhängig überprüfbare Real-World Analyse fehlt mit leider bis heute. Aber egal, gehackt wird sowieso alles 
Tags: Dave Aitel,
Exploit,
Flash,
Sicherheitslücke
7. Juni 2010
Früher gab es ja immer die Diskussion, ob und wie Sicherheitslücken veröffentlicht werden sollen. Da gab es im großen und ganzen drei Schulen:
1. No Disclosure
No Disclosure bedeutet, man hält die Lücke einfach für sich selbst geheim. Kann man immer mal brauchen. Mit dem Risiko, dass natürlich jemand anderes die Lücke auch findet. No Disclosure war früher typisch bei Schadprogrammautoren. Wenn die mal eine Lücke hatten, wurden damit Schadprogramme verbreitet und irgendwann über Projekte wie das Honeynet wurde dadurch die Lücke irgendwann bekannt und gestopft.
2. Responsible Disclosure
Das war der Begriff den Firmen wie Microsoft geprägt haben, die Sicherheitslücken am liebsten vertuscht haben. Mit Responsible Disclosure sollte eine Sicherheitslücke nur dem Hersteller bekanntgegeben werden damit dieser dann beliebig lange Zeit hat die Lücke zu beheben. Ein paar Firmen wollten daraus sogar einen Standard (RFC) machen, der aber glücklicherweise dann nicht in den Standard aufgenommen wurde. Firmen wie eEye konnten zeigen, dass sich Microsoft bei “responsible” bekanntgegebenen Lücken sehr viel länger Zeit läßt, diese zu beheben. In der Praxis hat sich eine Art Responsible Disclosure durchgesetzt, weil die Sicherheitsfirmen halt auf Aufträge der großen Softwarehersteller angewiesen sind.
3. Full Disclosure
Sicherheitslücken, möglicherweise inkl. Exploit werden auf einer öffentlichen Webseite oder Mailingliste bekanntgegeben und stehen damit Softwarefirmen genauso wie Angreifern direkt und gleichzeitig zur Verfügung. Ein Softwarehersteller muß dann natürlich schnell reagieren und einen Patch bereitstellen der möglichst keine Nebeneffekte haben darf d.h. unter Zeitdruck sorgfältig entwickelt und getestet werden muß.
Heute muß man meiner Ansicht nach andere Kriterien anwenden:
1. Free Disclosure
Sicherheitslücken bzw. Exploits werden (egal wann) auf einer kostenfreien Webseite oder Mailingliste bereitgestellt. Namentlich kann man SecurityFocus oder Metasploit nennen.
2. Disclosure über einen Exploit Broker
Eine Reihe von Agenturen kaufen Sicherheitslücken von Entwicklern auf und geben diese dann an den Herstellern weiter. ZDI (TippingPoint/3Com/HP), iDefense (Verisign) und Co. sind hier zu nennen. Ein Exploit Broker hat den Vorteil, dass man mit einem Exploit Geld verdienen kann, jedoch praktisch kein Risiko eingeht, wegen dieses Exploits auch verklagt zu werden. Gerade für einzelne Programmierer ist das eine brauchbare Alternative.
3. Kommerzielle Exploit-Software
Neben ZDI/iDefense gibt es auch Firmen wie Core oder Immunity, die Sicherheitslücken z.B. von freiberuflichen Exploitentwicklern kaufen und in ihre kommerziellen Frameworks mit aufnehmen. Dazu gibt es sogar eine “No more free bugs” Initiative.
Mein Eindruck ist, dass sich der Trend zu kommerziell vermarkteten Sicherheitslücken in den nächsten Jahren verstärken wird. Das wird dazu führen, dass nur noch große finanzkräftige Firmen sich alle notwendigen Sicherheitslücken z.B. für Penetrationstests zusammenkaufen können. Ob das eine wünschenswerte Entwicklung ist, will ich mal offen lassen.
Literatur zum Nachlesen:
Ich bin gespannt, wie sich das weiterentwickelt.
Tags: Exploit,
Full Disclosure,
iDefense,
ZDI
