Mitternachtshacking

Und was für das iPhone gilt, gilt auch für das iPad. Gleiches OS!

Soso, Apple hat die ganzen Wifi-Scanner aus dem iTunes Store verbannt. Weil die Scanner um auf Wireless LAN Signale z.B. von offenen Hotspots in der Nähe zugreifen zu können, ein paar private APIs benötigt haben, die Apple nicht für die gemeinen Plebs-Entwickler freigegeben hat. Für das iPhone ist mir das im Grunde ja egal, für ein iPad keinen Wifi-Scanner mehr zu haben ist … typisch Apple halt.

Wann gibt’s eigentlich endlich das HP Slate mit Windows 7 und Back Track Linux?

Ich lach mich schlapp. Die Beutelschneider von Verisign haben ein neues Geschäftsmodell gefunden. Musste ja kommen, weil Jamba (die mit den Klingeltonabos für kleine Kinder) im Oktober 2008 an Rupert Murdoch verkauft wurde.

Zur Wiederholung, das Geschäftsmodell von Verisign basiert neben der überteuerten Domainverwaltung von .com und .net vor allem darauf, überteuerte Zertifikate für SSL-Server zu verkaufen. Am besten gleich die mit Extended Verification, was bei mir den Eindruck erweckt als würde Verisign bei den anderen SSL-Zertifikaten gar nicht richtig prüfen. (Naja, tun sie ab und zu auch nicht wie die fehlerhaft auf den Namen Microsoft ausgestellten Zertifikate zeigen.) Aber gut, man braucht ja nicht unbedingt ein Zertifikat von Verisign. Es gibt auch günstige seriöse Anbieter.

Verisign hat jetzt aber entdeckt, daß es ja gaaaanz viele Webseiten gibt, die gar kein SSL haben. Und den gaaaanz vielen Webseiten ohne SSL kann man gar kein SSL-Zertifikat verkaufen. Was verkauft man denen dann? Genau, ein Webseiten-Siegel. Sowas wie es der TÃœV (die anderen Beutelschneider) auch im Angebot hat. Bei Verisign heißt das “VeriSign Trusted” (nur 299 USD, umgerechnet 220 Euro) und beinhaltet laut Heise die Identitätsprüfung des Seitenbetreibers. Ein SSL-Zertifikat ist nicht enthalten, das ist nämlich dann “VeriSign Secured” und kostet natürlich mehr. Nebenbei ist noch ein Malware-Scanner für die Webseite enthalten. Ich persönlich halte das ja für Quatsch, aber es gibt sicher genug Webseitenbetreiber die drauf reinfallen. Und vielleicht gibt’s das Siegel irgendwann sogar im VeriSign-Sparabo.

Nachtrag:

Ganz sachlich: ein normales VeriSign-SSL-Zertifikat kostet umgerechnet 440 Euro (599 USD) für ein Jahr, ein VeriSign-SSL-Zertifikat mit Extended Validation kostet umgerechnet 1250 Euro (1699 USD) für einen Server außerhalb der USA/Kanada. Ein vergleichbares SSL-Zertifikat z.B. von TC Trustcenter kostet 159 Euro (aktuelle Promo 143 Euro) zzgl. MwSt., von der Deutschen Telekom kostet es 150 Euro zzgl. MwSt. Aber da VeriSign keine Zwangslage ausnutzt darf man nicht von Wucher sprechen.

Tja, Apple braucht offensichtlich einen Larry Flynt. Und vielleicht ist gerade ein umstrittener Konzern wie Springer mit seinem zwielichtigen Produkt “Bild” genau richtig. Immerhin war Larry Flynt auch nicht gerade unumstritten.

Naja, bevor ich mir von Steve Jobs vorschreiben lasse, welche Medien ich auf meinem iPod/iPhone/iPad/iPfusch anschauen (nur Fox News!) darf, schau ich mir lieber mal ein HP Slate an.

Ich schreibe schon seit geraumer Zeit davon, daß die Erkennungsraten der Virenscanner langsam aber sicher schlechter werden und wir irgendwann einen Paradigmenwechsel weg vom Blockieren von Schadsoftware hin zum Erlauben von guter Software benötigen. Vielleicht wird es jetzt langsam soweit. Immerhin scheinen die False Positives der diversen Virenscanner so schmerzhaft zu werden, daß das Internet Storm Center (ISC) eine National Software Reference Library (NSRL) mit rund 40 Millionen Programmen und ihren Hash-Werten zusammengestellt hat.

Und jetzt könnte Cloud-Scanning plötzlich Sinn machen. Vor jedem Aufruf eines Programms oder einer ausführbaren Datei verifiziert das Betriebssystem das Programm gegen die NSRL und wenn das Programm enthalten ist, dann wird es ausgeführt (und das Ergebnis gecacht). Wenn nicht, prüft eine einfache Heuristik ob das Programm möglicherweise Schadcode enthält. Ich könnte mir vorstellen, daß damit die Abhängigkeit der Virenscanner von Patternupdates sinkt. Allerdings enthält dieser Entwurf noch viele ungelöste Probleme, beispielsweise wie eine manipulationssichere Kommunikation mit der NSRL möglich ist (DNS kann leicht manipuliert werden, HTTPS ist sehr aufwendig) und wie verfahren werden soll, wenn die NSRL nicht verfügbar ist. Außerdem halte ich die teilweise verwendeten MD5-Hashes für nicht gerade vertrauenerweckend. Und natürlich hilft das ganze Verfahren nicht gegen Schadprogramme die sich z.B. in Office-Dokumenten oder PDF verstecken.

Aber mein Eindruck ist, Whitelisting kommt, wenn wohl auch erst in einigen Jahren. Für die nahe Zukunft wünsche ich mir jedenfalls, daß die NSRL direkt in das Betriebssystem integriert wird und von verschiedenen Virenscannern einfach genutzt werden kann. Für Linux sollte sich sowas einfach realisieren lassen. Und wenn die NSRL (digital signiert) auf dem System vorhandenist, kann ClamAV oder jeder andere Scanner auf diese Daten zurückgreifen.

(via Heise)

schreibt u.a. Golem.

Alle 90 Tage lädt das Microsoft-SWAT-Team (für Secure Windows Activation Technologies) ein neues Patternupdate und wen dem was an der Windows-Installation nicht gefällt, dann ist die boooom nicht mehr aktiviert. Ich bin sicher, das mit den Pattern funktioniert genauso zuverlässig wie die Patternupdates bei McGorilla, Bierdefender oder GehtDaten. Aber das deckt sich mit dem amerikanischen Rechtsverständnis. Erst tasern, dann fragen.

Ich wünsche mir ja, daß irgendein Virenautor so einen Exploit auf die Systeme bringt um damit großflächig das Internet abzuschießen. Wie früher der AOL Hoax. Hat auch viele Deppen vom Internet ferngehalten. Ich würde sogar dafür bezahlen! Aber leider ist ein kaputter Rechner kein guter Botnet-Rechner. Darum mache ich mir wenig Hoffnung, daß die Russenmafia so eine Schadprogramm unter die Windows-User bringt.

Ach ja, der kluge Mensch lehnt die Installation natürlich ab. Sie ist im Grunde freiwillig. Nur erzählt einem Microsoft gerne was vom Pferd und dem Weltuntergang, wenn man das Zeug nicht installiert. Ich bin ja gespannt, ob man die wieder deinstallieren kann. Microsoft behauptet ja. Bei WGA und der Windows Genuine Notification ging’s nicht. Wahrscheinlich lügt der Microsoft-Pressesprecher und redet sich hinterher mit Fehlinformation raus.

Also nichts neues. Seufz.

Paypal zahlt in Indien kein Geld mehr aus. Nicht etwa nur bei einzelnen Accounts sondern bei allen!

Begründung: “to respond to enquiries from the Indian regulators”. Meine Interpretation auf Deutsch: Paypal hat gegen diverse indische Gesetze verstoßen und die Inder haben den Laden erstmal zugemacht.

Wie lange das dauert: “Personal payments to and from India will be suspended for at least a few months until we fully resolve the questions from the Indian regulators”. Auf Deutsch: Wir wissen nicht, ob wir die  Geschäftstätigkeit in Indien überhaupt wieder aufnehmen dürfen.

Klingt sehr vertrauenswürdig. Aber in Deutschland will Ebay die Händler zwingen, dieses Paypal zu verwenden. Ein wenig mehr im Paypal-Blog hier und hier. Und viel mehr hier.

Ab und zu gibt es so Geschichten die irgendwie schwer einzuordnen sind. Beispielsweise die seltsame Geschichte des Samba Zero-Day Exploits. Ich rekapituliere mal kurz die Ereignisse:

Fr, 05.02.: Kingcope veröffentlicht einen Exploit mit dem sich via Symlink Beschränkungen auf Samba-Freigaben aufheben lassen. Dazu hat er einen Sambaclient modifiziert um diese Symlinks anlegen zu können.

“A remote attacker can read, list and retrieve nearly all files on the System remotely.
Required is a valid samba account for a share which is writeable OR a writeable share which is configured to be a guest account share, in this case this is a preauth exploit.”

Die Samba-Entwickler sind relativ schnell mit einem Advisory zur Hand, das dieses Problem erklärt.

Mo, 08.02.: Paul Szabo weist den Fehler zurück es handle sich um eine Fehlkonfiguration wenn diese Symlinks vom Sambadienst berücksichtigt werden.

“Nothing breaks if the admin sets “wide links = no” for that share: the link is not followed.”

Und dann driftet die Diskussion in das Verhalten von SMB auf Windows 2008 ab:

“Since Windows 2000 NTFS supports “junctions”, which pretty much resemble Unix symlinks, but only for directories. And at least since Vista, it also supports symlinks, which are designed to mimic Unix symlinks, and can point to files or directories. Junctions
and symlinks can cross volumes; symlinks can also refer to files or directories on network filesystems.”

Ende der Diskussion. Was praktisch nicht zur Sprache kommt ist, ob z.B. die Defaultkonfiguration von Samba einfach schlecht ist und nicht das erwartet, was der typische Administrator erwartet. Zumindest kann man nicht von “Safe Defaults” sprechen. Aber wenigstens soll die Standardeinstellung in der nächsten Version behoben werden:

“All future versions of Samba will have the parameter “wide links” set to “no” by default, and the manual pages will be updated to explain this issue.”

Und daraus kann man eine recht einfache Lehre ziehen. Wenn ein Programm in einer Konfiguration Defaulteinstellungen vornimmt, müssen diese der Erwartungshaltung der Administratoren entsprechen. Alles andere ist genauso ein Sicherheitsrisiko wie wenn es sich bei diesem Fehler um einen echten Zero-Day Exploit gehandelt hätte. Erstaunlich ist meiner Ansicht nach, daß es immer noch so viele Programme gibt, die sich nicht an diese Regel halten.

Aus Hackersicht sind die ganzen iPx von Apple alle zu nichts zu gebrauchen. Ok, man kann mit dem iPod Musik hören, mit dem iPhone telefonieren und mit dem iPad augenscheinlich eBooks lesen.

Aber was ist mit den wirklich relevanten Anwendungen? Wenn ich schon ein Gerät habe, das IP versteht, dann will ich da einen Portscanner drauf haben. Bevorzugt Nmap, notfalls auch was anderes. Wireshark könnte auch nützlich sein. Wenn das Gerät WLAN versteht, dann will ich da zumindest den Network Stumbler drauf haben. Kismet oder die komplette Aircrack Suite wäre natürlich besser. Einen einfachen Portscanner hatte ich vor 10 Jahren schon auf meinem HP iPaq mit Windows CE. Den Network Stumbler (MiniStumbler) gibt es auch für Windows CE. Technisch kann das also kein Problem sein.

Statt dessen haben wir hier es mit einer maximal verschlossenen Plattform zu tun. (Ok, es gibt Jailbreak aber will ich mir bei einem so teuren Teil das selbst antun und das Risiko einzugehen mit dem nächsten Release einen teuren Ziegelstein zuhause zu haben?) Damit wird das Gerät für mich genauso nützlich wie ein Nintendo DS. Man kann ein bissi damit rumspielen aber ernsthafte Anwendungen fallen mir praktisch schon nicht mehr ein. Erstaunlich eigentlich, welche Rückschritte die letzten 10 Jahre hier passiert sind.

Also liebe Apple-Nasen: Es freut mich, daß ihr so viele IQ90-Träger findet, die sich zwar über DRM bei Musik aufregen aber trotzdem vergnügt ihr DRM-verseuchtes iPhone durch die Gegend schleppen. Mich jedenfalls kriegt ihr für das iPod/iPhone/iPad erst als Kunde, wenn Nmap im AppStore auftaucht.

Diesmal spammt mich M86 voll. Ich fürchte die haben meine Mailadresse durch die Übernahme von Finjan. Aber so schnell können die gar nicht kucken, wie sie bei mir auf der Sperrliste stehen.

Jedenfalls hab ich ne nette Mail bekommen auf der sich M86 berufen fühlt, Vorhersagen für das Jahr 2010 zu machen:

• Botnets Grow in Sophistication
• Continued Rise of Scareware
• Poisoning Search Engine Results
• Evolution of Web Site Infections
• Setting Sights on SaaS and Cloud Services
• Exploiting Third Party Applications
• International Domain Name Abuse
• Attacking Application Programming Interfaces
• URL Shortening Services Hide Nefarious Means

Das meiste davon ist 2009 schon da gewesen. Beispielsweise, daß Botnets immer cleverer werden. Einige nutzen bereits Social Websites oder Cloud Services um darüber das Botnet zu steuern. Scareware wird natürlich mehr, die Leute fallen schließlich auf jeden Blödsinn rein. Da gab es letztes Jahr auch genug Beispiele. Und so weiter, ich will das gar nicht alles kommentieren.

Im Grunde scheint es doch so zu sein: die Firmen die so Vorhersagen machen, kucken was wird den aktuell auf Security Konferenzen diskutiert und kann eventuell von eigenen Produkten eingedämmt werden und so macht man dann seine Vorhersagen. Ich würde z.B. auch vorhersagen können, daß Daten- und Identitätsdiebstahl in Social Networks zunehmen wird. Oder, daß die Britischen Behörden weiterhin Unmengen von Daten verlieren. Oder, daß Cloud-Serviceanbieter zukünftig vermehrt in den Fokus von DDoS-Schutzgelderpressern geraten. Aber für keine dieser drei Vorhersagen kann ich ein Produkt anbieten. Und schlechter als die Vorhersagen von Frank Rieger auf dem 26C3 sind die auch nicht.

Ich suche ein Stück Software, das folgende Anforderungen erfüllen sollte:

Required:

• SSL-Portforwarding, d.h. eine TCP-Verbindung (mind. SSHv2) über HTTPS
• muß mit Web-Proxys und Proxy-Authentisierung zurechtkommen
• muß im Kontext eines vorhandenen Apache Webservers laufen, weil nur eine IP-Adresse zur Verfügung steht und dort bereits ein Webserver läuft
• Darf Geld kosten, muß aber nicht

Nice to have:

• SSL-VPN, d.h. eine echte IP-Verbindung über HTTPS
• Open Source

Die Software soll auf einem meiner Webserver installiert werden und das Problem lösen, daß ich ab und an in fremden Firmen sitze, eine SSH-Verbindung nach Hause brauche aber nur HTTP und HTTPS über den Proxy bekomme. Es gibt nur eine (dynamische) IP-Adresse und ich kann auch nicht einfach einen SSH-Dienst an 443 binden, weil da weiterhin ein normaler Webserver laufen muß.

Insbesondere die Anforderung, daß das im Kontext einen vorhandenen Webservers laufen muß, scheint ein Problem zu sein. Die diversen SSL-VPN Appliances wollen alle den Port 443 alleine haben. Das ließe sich bei nur einer IP-Adresse zwar mittels Port-Forwarding auf dem DSL-Router lösen, nur brauche ich an Port 443 trotzdem noch einen normalen HTTPS-Webserver. Eine zweite IP-Adresse geht leider auch nicht.

Ich habe jetzt mit Webtunnel rumgespielt, das macht aber nicht so ganz das was ich gern hätte. Außerdem habe ich HTTPTunnel gefunden, das eine Version enthält die das in PHP implementiert. Nur kriege ich über die PHP-Version kein SSHv2 zum Laufen. Da bricht mein SSH-Server immer mit ner Fehlermeldung ab. Außerdem können beide nur TCP-Forwarding, kein echtes IP-VPN. Die üblichen Verdächtigen wie OpenVPN oder GNU HTTPTunnel scheiden aus, weil sie nicht im Kontext meines Webservers laufen. Und PHP kann ich nicht so gut programmieren, daß ich den HTTPTunnel-Fehler beheben könnte.

Alternativ wäre auch ein PHP-SSH, also ein SSH-Server im Kontext des Webservers ok. Ich finde nur gar nix, das mein Problem lösen würde. Open Source Lösungen werden bevorzugt, was nicht heißt, daß es nichts kosten darf.

Ach ja, und welchen PHP Proxy (mit ähnlichen Anforderungen wie oben, d.h. muß über HTTPS im Kontext eines Apache Webservers laufen) würdet Ihr mir empfehlen?