Mitternachtshacking

Meine Firefox-Extensions, nur so als persönlicher Merker:

• Adblock (nicht Adblock Plus)
• Add N Edit Cookies
• DOM Inspector
• Exif Viewer
• Fasterfox
• FlashGot
• FoxTorrent
• NoScript
• SEO For Firefox
• Server Spy
• ShowIP
• Tamper Data

bisher tun die es für mich. Standard-Theme. Fertig. Insbesondere das Server Spy und Tamper Data finde ich sehr praktisch. Und ohne Adblock und NoScript kann man eigentlich gar nicht mehr im Internet surfen. Der Rest sind Gimmicks.

Ein paar Virenscanner sind mal wieder dadurch aufgefallen, dass sie nicht etwa zu wenig oder zu viele Viren erkannt haben sondern eigene Lücken enthalten, durch die sich Schadprogramme ausbreiten oder Systeme kompromittiert werden können. Zu den Übeltätern gehören:

• Panda Antivirus
• NOD32
• Norman

Heise ist die Meldung sogar ein nein zwei Artikel wert. Ich weiß nicht, was daran jetzt neu und eine Meldung wert ist.

Spannender wäre es mal, sich ein paar Gedanken zu machen, warum wir insbesondere auf gehärteten Firmen-PCs nicht endlich zu Whitelists und Code Signing zu wechseln.

Das BSI tut uns auch mal etwas Gutes, hier mit der BSI OSS Security Suite, aktuell in der Version 2.0.

Live Linux Hacking CD-ROMs wie die Back Track CD haben ein paar Nachteile. Der wichtigste ist vielleicht, dass in den meisten Unternehmen Hacking-CDs nicht sonderlich gerne gesehen werden. Auf diesen CDs sind oft eine Reihe von Exploits enthalten, der Inhalt generell ist nicht kontrollierbar und die Firmen haben (oft verständlicherweise) ein wenig Angst vor zu erwartenden Problemen. Ein weiterer Nachteil insbesondere der Back Track CD ist, dass die neuen sehr restriktiven Lizenzbedingungen von Nessus v3 es nicht mehr erlauben, Nessus auf der Back Track mit zu integrieren. Back Track hat konsequenterweise Nessus komplett entfernt. In der praktischen Arbeit hinterlässt das jedoch eine Lücke.

Die BSI Open Source Software Security Suite, kurz BOSS ist eine im Auftrag des BSI entwickelte Software, die Nessus (allerdings v2), Nmap und ein paar weitere nützliche Tools zur schnellen Prüfung der Sicherheit eines Unternehmens enthält. Und da die CD-ROM von der Webseite des BSI heruntergeladen werden kann und sogar mit einem BSI-Logo kommt, ist es interessanterweise für viele Unternehmen akzeptabel diese CD einzusetzen.

Aus diesem Grund haben wir vor einiger Zeit die Präsentation Mitternachtshacking BSI BOSS (PDF, 720 KB) zusammengestellt, die neben der Bedienung von Nessus und NmapFE auch ein paar Infos zum Portscannen an sich enthält. Sicher nicht die besten und detailliertesten Inhalte, aber besser als nichts.

Hier in den Milw0rm Papers muss ich demnächst auch noch ein wenig Zeit verbringen …  nur zur Erinnerung an mich selbst 🙂

Langsam bin ich ja schon enttäuscht. Da gibt es einen neuen Virus, der versucht die Leute zu erpressen (neudeutsch Ransomware) :

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.

Und wenn wir berücksichtigen, dass die meisten Privatleute (und erschreckend viele Firmen) keine Backups haben, ist das eine realistische Drohung. Nur: das ist schlicht gelogen. Der Trojaner scheint eine leicht modifizierte RC4-Routine zu verwenden. Das ist jedoch im Gegensatz zu RSA ein symmetrisches Verfahren und der Schlüssel zum Verschlüsseln ist der gleiche wie zum Entschlüsseln. Wenn der Virus die Daten verschlüsselt kann folglich aus dem Virus auch der Schlüssel zur Dechiffrierung extrahiert werden. Die cleveren Jungs von Kaspersky haben das herausgefunden und ein kostenfreies Tool zum Entschlüsseln veröffentlicht. Das wären dann 300 USD gespart. Nett von Kaspersky.

Bootnote (Begriff von The Register geklaut):

Wenn ich der Virenautor wäre, würde ich jetzt Kaspersky wegen wettbewerbsfeindlichem Verhalten verklagen. Die machen einfach das Geschäftsmodell kaputt. Und außerdem ist das garantiert ein Verstoß gegen den DMCA, der so Reverse-Engineering zur Umgehung von Sicherungsmaßnahmen (und das ist die Verschlüsselung ja wohl) eindeutig verbietet.

Wollte nicht auch mal Cult of the Dead Cow Symantec verklagen, weil die Back Orifice 2000 in Norton Antivirus als Schadprogramm erkannt haben? Dabei ist das doch ein normales Remote-Admin Tool, vergleichbar mit PCAnywhere und Symantec will nur die Wettbewerber ausschalten … ich finde aber keine Quelle mehr dazu.

Da hat sich also jemand die Arbeit gemacht, wenige Tage vor der neue Harry Potter Roman in die Buchläden kommt, alle Seiten einzeln mit einer Digitalkamera abzufotografieren und die Bilder ins Internet zu stellen. Krasse Arbeitsleistung, Respekt.

Nur, mal wieder einen dummen Anfängerfehler gemacht: Metadaten. Man kann das gar nicht oft genug erwähnen: praktisch jedes verdammte Datenformat hat inzwischen Metadaten. Da stehen z.B. in Word so tolle Zusatzinformationen drin, welche MAC-Adresse der Rechner hat, auf dem die Datei erstellt wurde. Oder wer zuletzt welche Änderungen geschrieben hat. Und für JPEG gibt es Exif (Exchangeable Image File Format), in dem neben Informationen zur Belichtung und dem Datum auch der Kameratyp und die Seriennummer der Kamera gespeichert ist.

In den Bildern des Harry Potter Romans sind die Exif-Daten intakt und weisen offensichtlich auf einen Canon Rebel 350 (in Europa Canon EOS 350D)  hin, sogar die Seriennummer der Kamera ist bekannt.  Wenn diese Kamera nun mit einer Kreditkarte gekauft wurde oder sich in Reparatur befand (was Canon bei einer drei Jahre alten Kamera laut Heise als „wahrscheinlich“ bezeichnet,  gehen die so oft kaputt oder gibt es wie in den Druckern ein elektronisches Verfallsdatum?) lässt sich neben dem Händler, der die Kamera verkauft hat vermutlich auch der Kunde ermitteln.

Ich ziehe daraus drei Lehren:

1. Bargeld lacht. Nach meiner bisherigen Erfahrung nehmen MediaMarkt, Saturn oder der nette Fachhändler um die Ecke gerne Cash zur Bezahlung der Kamera, man behält seine Privatsphäre.

2. Finger weg von Canon. Das mit den Druckern ist ein ständiges Ärgernis, egal ob Verfallsdatum oder Patentklage. Bei den Kameras scheint es ähnlich zu sein. Wenn es gegen den Konsumenten geht ist Canon meiner Meinung nach immer vorne mit dabei. Und wenn die auch noch (ohne rechtskräftiges Urteil) ihre Kundendaten für die Content Industrie rausrücken, dann ist das ein (in den USA leider nicht) krasser Verstoß gegen alles, was ich unter Datenschutz verstehe.

3. Wenn man schon digital illegal unterwegs ist, sollte man wenigstens die virtuellen Einweghandschuhe anziehen und die Metadaten vernichten. Einmal nach BMP konvertiert und zurück genügt meistens.

Tja, man lernt halt nie aus.

Das FBI hat zur Aufdeckung eines Straftäters zum ersten Mal einen Trojaner zur heimlichen Durchsuchung eines PCs eingesetzt. Das Programm CIPAV (PDF) ist ein Windowsprogramm, das an das FBI eine Liste der Programme auf einem Rechner, Registry-Informationen und Browser-Daten wie zuletzt besuchte URLs übermittelt. Im Gegensatz zum von Schäuble geforderten Bundestrojaner ist keine heimliche Durchsuchung von Dateien geplant, der FBI-Trojaner würde sogar den deutschen Anforderungen des Datenschutzes genügen.

Die Gegenmaßnahmen sind dagegen einfach: da bisher immer nur von Windows-Trojanern die Rede ist, wird es genügen einfach das Betriebssystem zu wechseln, zu Linux oder FreeBSD zum Beispiel und schon hat man vor der Schnüffellust des Innenministers erstmal Ruhe.

Phenoelit hat die deutsche Webseite wegen des neuen StGB §202c zugemacht. Das Lands of Packets findet sich jetzt auf einer US-Seite.

Muahahaha, oder wie Fefe schreiben würde: Das merken die NIE !!!1!!

JdM von 23sr hat’s doch bemerkt, nämlich, dass man dem Verisign Trusted Shop Siegel falsche Daten unterjubeln kann. Dann sieht es so aus, als hätte man einen Verisign-zertifizierten Shop und in Wirklichkeit stimmt das gar nicht. Dazu stellt er die Frage: „Wie viele der Siegel klickst DU vor einer Bestellung an? Prüfst DU einen Shop wirklich?“

Meine Antwort: KEINE. Das macht auch gar keinen Sinn.

Ich rege mich sonst nur wieder über solche Shops auf:

www.watchbizz.de

• Die URL an sich ist schon genial: http://www.watchbizz.de/ssl/shop/index.htm. Schön, dass SSL wenigstens in der URL vorkommt, wenn auch sonst von SSL nichts zu finden ist.
• Auch Klasse ist die Shopsoftware. Mit der Maus über einen [Bestellen]-Button fahren zeigt, was aufgerufen wird: ArtNr=902527&Bez=OmegaSportuhrenHardcover&Preis=69,00&Anz=1, eine URL in der der Artikel und Preis enthalten sind. Manipulation trivial möglich, und wenn vielleicht gerade Weihnachtsgeschäft und viel los ist und man die Bezeichnung um „Promotion“ ergänzt, fällt ein günstigerer Preis gar nicht wirklich auf.

www.handy-discount-shop.de

• Der Shop hat ein schönes „Trusted Shops„-Logo, wenn auch nicht von Verisign. Gut, der nette Verisign-Trick funktioniert bei dem Logo nicht, sind leider nicht alle so doof.
• Die Freunde haben jedoch ein ähnliches Problem mit der Preisübergabe in der URL: bestellen_o2_genion_duo.php?handy=Nokia N95 und Motorola F3&preis=39. Aber vermutlich sagt das Logo eh nur, dass der Shop ein wenig ehrlicher als die anderen im Internet ist. Und das mit den Preisen … ist doch egal, oder?

Ach ja .. Verisign. Das sind übrigens die, die in die .com-Zone Wildcard-DNS eingeführt hatten und Jamba gehört denen auch. Da brauch ich auf das Siegel gar nicht klicken, da weiß ich vorher schon, dass ich da lieber nicht einkaufen will.

Na nun ist es ja auch offiziell:

Polizei nutzt Handys als Wanzen

ob die Polizei auch diese kommerzielle Software hier einsetzt?