Mitternachtshacking

Heute nicht ganz so zuällig, die Themen haben das gemeinsame Leitmotiv des Urheberrechts und geistigen Eigentums und wie man sich eine gewisse Unabhägigkeit schaffen kann.

All Your Apps Are Belong to Apple

Die Electronic Frontier Foundation (EFF) hat sich von der NASA den Lizenzvertrag der Software-Entwickler mit Apple erklagt und erschreckendes zu Tage gefördert:

“If Apple’s mobile devices are the future of computing, you can expect that future to be one with more limits on innovation and competition than the PC era that came before. It’s frustrating to see Apple, the original pioneer in generative computing, putting shackles on the market it (for now) leads.”

Erstaunlich, daß bei diesen Lizenzbedingungen überhaupt jemand für Apple Software schreibt. Aber Gier frißt bekanntlich Hirn.

Dein Twitter gehört dir nicht!

“Viele, die munter Fotos hochladen, anderen Applikationen Zugriff auf ihre Social Media gewähren oder sonstwo etwas posten, haben noch nie wirklich nachgelesen, welche umfassenden Rechte sich viele Betreiber auf das geistige Eigentum der Teilnehmer vorbehalten.”

Wovon schreib ich eigentlich die ganze Zeit?

Jetzt backe ich sie mir selbst

“Micro blogging wird immer poulärer. Doch Dienste wie Twitter haben ein 140-Zeichen-Limit für die Nachrichten. In der Kürze liegt die Würze, ja, doch wenn manchmal die halbe Nachricht für lange URL’s draufgeht, macht es keinen Spaß mehr. […] Aber wer weiß, wann so ein kostenloser URL-Kürzer seinen Laden dicht macht - und dann sind alle Short-URL’s futsch! Nicht so, wenn ich meinen eigenen Dienst nutze.”

Sehr schöne Anleitung

Ich habe nicht die geringste Ahnung wie gut oder wie schlecht der Victorinox Secure USB-im-Taschenmesser-Stick abgesichert ist. Als regelmäßiger Flugpassagier habe ich für Taschenmesser auch nicht mehr so viel Verwendungszweck. Die Fummler am Flughafen nehmen einem die gerne mal ab. Und zu guter Letzt muß ich bei Victorinox immer an das Bild aus Asterix und der Arvernerschild denken, in dem Vercingetorix seine Waffen Cäsar auf die Füße knallt.

Was ich aber bei Bruce Schneier gelernt habe ist, daß ein Crypto-Wettbewerb mit der Aufgabe für eine Summe x (bei Victorinox sind das immerhin 100.000 Pfund) eine Verschlüsselung zu brechen kein Hinweis für gute Verschlüsselung sondern viel häufiger ein Hinweis auf Snake Oil Cryptography ist:

Warning Sign #9: Cracking contests: Contests are a terrible way to demonstrate security. A product/system/protocol/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products/systems/protocols/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don’t produce useful data.

Ob das alles jetzt für oder gegen Victorinox spricht, kann ich leider nicht beurteilen. Vielleicht wurde Victorinox auch nur von einer schlechten Marketingagentur beraten.

Foto: AskDaveTaylor, Lizenz: CC

Und was für das iPhone gilt, gilt auch für das iPad. Gleiches OS!

Soso, Apple hat die ganzen Wifi-Scanner aus dem iTunes Store verbannt. Weil die Scanner um auf Wireless LAN Signale z.B. von offenen Hotspots in der Nähe zugreifen zu können, ein paar private APIs benötigt haben, die Apple nicht für die gemeinen Plebs-Entwickler freigegeben hat. Für das iPhone ist mir das im Grunde ja egal, für ein iPad keinen Wifi-Scanner mehr zu haben ist … typisch Apple halt.

Wann gibt’s eigentlich endlich das HP Slate mit Windows 7 und Back Track Linux?

Ich lach mich schlapp. Die Beutelschneider von Verisign haben ein neues Geschäftsmodell gefunden. Musste ja kommen, weil Jamba (die mit den Klingeltonabos für kleine Kinder) im Oktober 2008 an Rupert Murdoch verkauft wurde.

Zur Wiederholung, das Geschäftsmodell von Verisign basiert neben der überteuerten Domainverwaltung von .com und .net vor allem darauf, überteuerte Zertifikate für SSL-Server zu verkaufen. Am besten gleich die mit Extended Verification, was bei mir den Eindruck erweckt als würde Verisign bei den anderen SSL-Zertifikaten gar nicht richtig prüfen. (Naja, tun sie ab und zu auch nicht wie die fehlerhaft auf den Namen Microsoft ausgestellten Zertifikate zeigen.) Aber gut, man braucht ja nicht unbedingt ein Zertifikat von Verisign. Es gibt auch günstige seriöse Anbieter.

Verisign hat jetzt aber entdeckt, daß es ja gaaaanz viele Webseiten gibt, die gar kein SSL haben. Und den gaaaanz vielen Webseiten ohne SSL kann man gar kein SSL-Zertifikat verkaufen. Was verkauft man denen dann? Genau, ein Webseiten-Siegel. Sowas wie es der TÃœV (die anderen Beutelschneider) auch im Angebot hat. Bei Verisign heißt das “VeriSign Trusted” (nur 299 USD, umgerechnet 220 Euro) und beinhaltet laut Heise die Identitätsprüfung des Seitenbetreibers. Ein SSL-Zertifikat ist nicht enthalten, das ist nämlich dann “VeriSign Secured” und kostet natürlich mehr. Nebenbei ist noch ein Malware-Scanner für die Webseite enthalten. Ich persönlich halte das ja für Quatsch, aber es gibt sicher genug Webseitenbetreiber die drauf reinfallen. Und vielleicht gibt’s das Siegel irgendwann sogar im VeriSign-Sparabo.

Nachtrag:

Ganz sachlich: ein normales VeriSign-SSL-Zertifikat kostet umgerechnet 440 Euro (599 USD) für ein Jahr, ein VeriSign-SSL-Zertifikat mit Extended Validation kostet umgerechnet 1250 Euro (1699 USD) für einen Server außerhalb der USA/Kanada. Ein vergleichbares SSL-Zertifikat z.B. von TC Trustcenter kostet 159 Euro (aktuelle Promo 143 Euro) zzgl. MwSt., von der Deutschen Telekom kostet es 150 Euro zzgl. MwSt. Aber da VeriSign keine Zwangslage ausnutzt darf man nicht von Wucher sprechen.

Tja, Apple braucht offensichtlich einen Larry Flynt. Und vielleicht ist gerade ein umstrittener Konzern wie Springer mit seinem zwielichtigen Produkt “Bild” genau richtig. Immerhin war Larry Flynt auch nicht gerade unumstritten.

Naja, bevor ich mir von Steve Jobs vorschreiben lasse, welche Medien ich auf meinem iPod/iPhone/iPad/iPfusch anschauen (nur Fox News!) darf, schau ich mir lieber mal ein HP Slate an.

Ich schreibe schon seit geraumer Zeit davon, daß die Erkennungsraten der Virenscanner langsam aber sicher schlechter werden und wir irgendwann einen Paradigmenwechsel weg vom Blockieren von Schadsoftware hin zum Erlauben von guter Software benötigen. Vielleicht wird es jetzt langsam soweit. Immerhin scheinen die False Positives der diversen Virenscanner so schmerzhaft zu werden, daß das Internet Storm Center (ISC) eine National Software Reference Library (NSRL) mit rund 40 Millionen Programmen und ihren Hash-Werten zusammengestellt hat.

Und jetzt könnte Cloud-Scanning plötzlich Sinn machen. Vor jedem Aufruf eines Programms oder einer ausführbaren Datei verifiziert das Betriebssystem das Programm gegen die NSRL und wenn das Programm enthalten ist, dann wird es ausgeführt (und das Ergebnis gecacht). Wenn nicht, prüft eine einfache Heuristik ob das Programm möglicherweise Schadcode enthält. Ich könnte mir vorstellen, daß damit die Abhängigkeit der Virenscanner von Patternupdates sinkt. Allerdings enthält dieser Entwurf noch viele ungelöste Probleme, beispielsweise wie eine manipulationssichere Kommunikation mit der NSRL möglich ist (DNS kann leicht manipuliert werden, HTTPS ist sehr aufwendig) und wie verfahren werden soll, wenn die NSRL nicht verfügbar ist. Außerdem halte ich die teilweise verwendeten MD5-Hashes für nicht gerade vertrauenerweckend. Und natürlich hilft das ganze Verfahren nicht gegen Schadprogramme die sich z.B. in Office-Dokumenten oder PDF verstecken.

Aber mein Eindruck ist, Whitelisting kommt, wenn wohl auch erst in einigen Jahren. Für die nahe Zukunft wünsche ich mir jedenfalls, daß die NSRL direkt in das Betriebssystem integriert wird und von verschiedenen Virenscannern einfach genutzt werden kann. Für Linux sollte sich sowas einfach realisieren lassen. Und wenn die NSRL (digital signiert) auf dem System vorhandenist, kann ClamAV oder jeder andere Scanner auf diese Daten zurückgreifen.

(via Heise)

schreibt u.a. Golem.

Alle 90 Tage lädt das Microsoft-SWAT-Team (für Secure Windows Activation Technologies) ein neues Patternupdate und wen dem was an der Windows-Installation nicht gefällt, dann ist die boooom nicht mehr aktiviert. Ich bin sicher, das mit den Pattern funktioniert genauso zuverlässig wie die Patternupdates bei McGorilla, Bierdefender oder GehtDaten. Aber das deckt sich mit dem amerikanischen Rechtsverständnis. Erst tasern, dann fragen.

Ich wünsche mir ja, daß irgendein Virenautor so einen Exploit auf die Systeme bringt um damit großflächig das Internet abzuschießen. Wie früher der AOL Hoax. Hat auch viele Deppen vom Internet ferngehalten. Ich würde sogar dafür bezahlen! Aber leider ist ein kaputter Rechner kein guter Botnet-Rechner. Darum mache ich mir wenig Hoffnung, daß die Russenmafia so eine Schadprogramm unter die Windows-User bringt.

Ach ja, der kluge Mensch lehnt die Installation natürlich ab. Sie ist im Grunde freiwillig. Nur erzählt einem Microsoft gerne was vom Pferd und dem Weltuntergang, wenn man das Zeug nicht installiert. Ich bin ja gespannt, ob man die wieder deinstallieren kann. Microsoft behauptet ja. Bei WGA und der Windows Genuine Notification ging’s nicht. Wahrscheinlich lügt der Microsoft-Pressesprecher und redet sich hinterher mit Fehlinformation raus.

Also nichts neues. Seufz.

Paypal zahlt in Indien kein Geld mehr aus. Nicht etwa nur bei einzelnen Accounts sondern bei allen!

Begründung: “to respond to enquiries from the Indian regulators”. Meine Interpretation auf Deutsch: Paypal hat gegen diverse indische Gesetze verstoßen und die Inder haben den Laden erstmal zugemacht.

Wie lange das dauert: “Personal payments to and from India will be suspended for at least a few months until we fully resolve the questions from the Indian regulators”. Auf Deutsch: Wir wissen nicht, ob wir die  Geschäftstätigkeit in Indien überhaupt wieder aufnehmen dürfen.

Klingt sehr vertrauenswürdig. Aber in Deutschland will Ebay die Händler zwingen, dieses Paypal zu verwenden. Ein wenig mehr im Paypal-Blog hier und hier. Und viel mehr hier.

Ab und zu gibt es so Geschichten die irgendwie schwer einzuordnen sind. Beispielsweise die seltsame Geschichte des Samba Zero-Day Exploits. Ich rekapituliere mal kurz die Ereignisse:

Fr, 05.02.: Kingcope veröffentlicht einen Exploit mit dem sich via Symlink Beschränkungen auf Samba-Freigaben aufheben lassen. Dazu hat er einen Sambaclient modifiziert um diese Symlinks anlegen zu können.

“A remote attacker can read, list and retrieve nearly all files on the System remotely.
Required is a valid samba account for a share which is writeable OR a writeable share which is configured to be a guest account share, in this case this is a preauth exploit.”

Die Samba-Entwickler sind relativ schnell mit einem Advisory zur Hand, das dieses Problem erklärt.

Mo, 08.02.: Paul Szabo weist den Fehler zurück es handle sich um eine Fehlkonfiguration wenn diese Symlinks vom Sambadienst berücksichtigt werden.

“Nothing breaks if the admin sets “wide links = no” for that share: the link is not followed.”

Und dann driftet die Diskussion in das Verhalten von SMB auf Windows 2008 ab:

“Since Windows 2000 NTFS supports “junctions”, which pretty much resemble Unix symlinks, but only for directories. And at least since Vista, it also supports symlinks, which are designed to mimic Unix symlinks, and can point to files or directories. Junctions
and symlinks can cross volumes; symlinks can also refer to files or directories on network filesystems.”

Ende der Diskussion. Was praktisch nicht zur Sprache kommt ist, ob z.B. die Defaultkonfiguration von Samba einfach schlecht ist und nicht das erwartet, was der typische Administrator erwartet. Zumindest kann man nicht von “Safe Defaults” sprechen. Aber wenigstens soll die Standardeinstellung in der nächsten Version behoben werden:

“All future versions of Samba will have the parameter “wide links” set to “no” by default, and the manual pages will be updated to explain this issue.”

Und daraus kann man eine recht einfache Lehre ziehen. Wenn ein Programm in einer Konfiguration Defaulteinstellungen vornimmt, müssen diese der Erwartungshaltung der Administratoren entsprechen. Alles andere ist genauso ein Sicherheitsrisiko wie wenn es sich bei diesem Fehler um einen echten Zero-Day Exploit gehandelt hätte. Erstaunlich ist meiner Ansicht nach, daß es immer noch so viele Programme gibt, die sich nicht an diese Regel halten.

Aus Hackersicht sind die ganzen iPx von Apple alle zu nichts zu gebrauchen. Ok, man kann mit dem iPod Musik hören, mit dem iPhone telefonieren und mit dem iPad augenscheinlich eBooks lesen.

Aber was ist mit den wirklich relevanten Anwendungen? Wenn ich schon ein Gerät habe, das IP versteht, dann will ich da einen Portscanner drauf haben. Bevorzugt Nmap, notfalls auch was anderes. Wireshark könnte auch nützlich sein. Wenn das Gerät WLAN versteht, dann will ich da zumindest den Network Stumbler drauf haben. Kismet oder die komplette Aircrack Suite wäre natürlich besser. Einen einfachen Portscanner hatte ich vor 10 Jahren schon auf meinem HP iPaq mit Windows CE. Den Network Stumbler (MiniStumbler) gibt es auch für Windows CE. Technisch kann das also kein Problem sein.

Statt dessen haben wir hier es mit einer maximal verschlossenen Plattform zu tun. (Ok, es gibt Jailbreak aber will ich mir bei einem so teuren Teil das selbst antun und das Risiko einzugehen mit dem nächsten Release einen teuren Ziegelstein zuhause zu haben?) Damit wird das Gerät für mich genauso nützlich wie ein Nintendo DS. Man kann ein bissi damit rumspielen aber ernsthafte Anwendungen fallen mir praktisch schon nicht mehr ein. Erstaunlich eigentlich, welche Rückschritte die letzten 10 Jahre hier passiert sind.

Also liebe Apple-Nasen: Es freut mich, daß ihr so viele IQ90-Träger findet, die sich zwar über DRM bei Musik aufregen aber trotzdem vergnügt ihr DRM-verseuchtes iPhone durch die Gegend schleppen. Mich jedenfalls kriegt ihr für das iPod/iPhone/iPad erst als Kunde, wenn Nmap im AppStore auftaucht.