24. August 2007
via CCC:
Spread the word! Invite exciting people! Hand in amazing talks and workshops!The Chaos Commnunication Camp is over, so it’s time to announce the Call for Participation of the 24th Chaos Communication Congress 2007 (24C3). The Chaos Communication Congress is the annual four-day conference organized by the Chaos Computer Club (CCC) and taking place in Berlin, Germany. The 24C3s slogan is Volldampf voraus! — the German equivalent of “full steam ahead” – a particular request for talks and projects featuring forward looking hands-on topics. The Chaos Computer Club has always encouraged creative and unorthodox interaction with technology and society, in the good tradition of the real meaning of “hacking”.This year’s congress introduces a new category for talks called “Making”. This category is all about making and breaking things and the wonderful stuff you can build in your basement or garage. Most welcome are submissions dealing with the latest in electronics, 3D-fabbing, climate-change survival technology, robots and drones, steam machines, alternative transportation tools and guerilla-style knitting.
As always, the date of this event is December 27th to 30th.
23. August 2007
Eine interessante forensische Analyse zusammen mit den verwendeten Rootkits hat Lars Strand auf blog.gnist.org unter dem Titel Holliday Cracking zusammengestellt. Ist zwar schon von April aber trotzdem mit wertvollen Informationen.
22. August 2007
Wir kennen ja aus dem Fingerprinting der Webserver, dass Microsofts IIS gerne eine ASPSESSIONID mitschickt und Apache ein ETag. Das ist ganz praktisch, um den Webserver zu identifizieren, wenn kein brauchbarer Server-String mitgeschickt wird. (Alternativ kann man auch einfach Netcraft fragen.)
~> telnet www.mitternachtshacking.de 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Date: Sun, 26 Aug 2007 04:21:17 GMT
Server: Apache/2.2.0 (Linux/SUSE)
Last-Modified: Wed, 26 Apr 2006 15:56:38 GMT
ETag: "310f-2544-844df980"
Das ETag wird jedoch eigentlich verwendet, damit der Browser entscheiden kann, ob er ein Dokument bereits im Cache hat und nicht mehr neu laden muss oder ob er das Dokument neu anfordert.
Apache setzt das ETag normalerweise aus drei Informationen zusammen: aus der Inode-Nummer, dem Datum der letzten Dateiänderung und der Dateigröße. Das Datum und die Dateigröße sind bekannt. Kann man mit der Inode-Nummer nun etwas anfangen?
Einige Server setzen mit Hilfe der ETag-Direktive das ETag so, dass nur Änderungsdatum und Größe in das ETag einfließen. Das ist insbesondere dann relevant, wenn ein Reverse-Proxy Loadbalancing mehrerer Webserver anbietet. Wenn keine Inode-Nummer enthalten ist und Änderungsdatum und Größe bekannt sind, kann man dann mit dieser Information Cache-Informationen invalidieren?
Mal testen …
(via Joshua Schachter)
21. August 2007
Sehen muss man meiner Ansicht nach die Ausstellungen im Aue-Pavillion, im Fridericianum, in der Documenta Halle, in der neuen Galerie und im Schlachthof. Schloss Willhelmshöhe kann man sich m.E. sparen (allerdings kommt man mit der Documenta-Eintrittskarte auch in alle anderen Ausstellungen) und extra nach Roses in Spanien wird vermutlich kaum jemand fliegen.
Wenn man sich beeilt und pünktlich zur Öffnung um 10 Uhr da ist, kann man das Hauptprogramm gerade so an einem Tag schaffen. Ich hatte zwei Tage und konnte mir die Videoinstallationen im Schlachthof und der neuen Galerie daher komplett anschauen und den Aue-Pavillion zweimal besuchen. Das macht schon Spaß.
20. August 2007
Die Documenta 12 in Kassel geht noch bis 23.09.2007. Dann ist sie vorbei und die nächste ist erst wieder in 5 Jahren. Also hingehen.
19. August 2007
Sicherheit gibt es nicht umsonst. Sicherheit, insbesondere IT-Security hat immer auch mit Tradeoffs zu tun. Auf der einen Seite erreichen wir mehr Sicherheit, auf der anderen Seite werden System teurer und für die Benutzer unbequemer oder schlechter zu nutzen. Das fängt mit einfachen aber längst akzeptierten Maßnahmen wie Firewalls an. Durch die Implementierung einer Firewall im Netzwerk werden bestimmte Protokolle verboten. Je restriktiver die Firewall, umso weniger Dienste können für Angriffe verwendet werden aber umso weniger Möglichkeiten bleibt den Anwendern, Internet-Dienste zu nutzen.
Gleichzeitig ist der Mensch anscheinend unendlich schlecht, das Risiko von Sicherheitsvorfällen angemessen einzuschätzen. Unsere Risikobewertung scheint immernoch auf den Erfahrungen kleiner Familiengruppen etwa 500.000 vor Christus im Hochland von Ostafrika zu basieren. Insbesondere fällt es uns schwer, die notwendigen Basiswerte korrekt zu bewerten:
- die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen
- die Auswirkungen dieser Sicherheitsvorfälle
- die Kosten der Sicherheitsvorfälle und Gegenmaßnahmen
- die Wirksamkeit der Gegenmaßnahmen
- wir schlüssig Kosten aus Vorfällen und Gegenmaßnahmen verglichen werden können
Bruce Schneier hat in seinem Buch „Beyond Fear“ ein paar typische Probleme aufgeführt, die weitgehend psychologisch erklärt werden können:
- Menschen neigen dazu, spektakuläre aber seltene Risiken zu übertreiben und alltägliche Risiken herunterzuspielen, beispielsweise Flugzeugabstürze im Vergleich zu Verkehrsunfällen
- Menschen haben Probleme damit, Risiken in Bereichen einzuschätzen, die nicht ihrem typischen Erfahrungshorizont entsprechen, beispielsweise Risiken in der Raumfahrt
- Genau identifizierte und beschreibbare Risiken werden höher eingeschätzt als anonyme Risiken
- Menschen unterschätzen Risiken, die sie bereit sind einzugehen und übertreiben Risiken in Situationen, die sie nicht kontrollieren können
- Menschen überschätzen Risiken, die täglich in den Medien thematisiert werden, beispielsweise die Gefahr von Terroranschlägen
Dazu gibt es eine schöne Tabelle von Bruce Schneier:
| Menschen übertreiben Risiken die |
Menschen unterschätzen Risiken die |
| spektakulär sind |
gewöhnlich sind |
| selten auftreten |
häufig auftreten |
| personifizierbar sind |
anonym sind |
| außerhalb ihrer Kontrolle sind |
kontrollierbar sind bzw. bewußt gewählt werden |
| in den Medien diskutiert werden |
verschwiegen werden |
| absichtlich bzw. menschenverursacht sind |
natürliche Ursachen haben |
| sofort passieren |
langfristig passieren |
| plötzlich überraschend eintreten |
über einen langen Zeitraum eintreten |
| sie persönlich betreffen |
andere betreffen |
| für sie neu und ungewohnt sind |
sie gewohnt sind |
| sie nicht kennen |
sie gut verstehen |
| sich gegen ihre Kinder richten |
sich gegen sie selbst richten |
| moralisch verwerflich sind |
moralisch erwünscht sind |
| ohne Vorteil sind |
mit einem abstrakten Vorteil verbunden sind |
| nicht ihrem Bezugsfeld entsprechen |
typisch für ihr Bezugsfeld sind |
Wie viele Menschen erkranken aufgrund ihrer schlechten finanziellen Situation, weil sie sich keine gesunde Ernährung oder den Arztbesuch leisten können? Trotzdem scheint die Mehrheit der Bevölkerung in Deutschland lieber bereit, Geld für die Abwehr einer abstrakten Terrorgefahr auszugeben, anstatt die Situation der Menschen hier in Deutschland zu verbessern.
Vermutlich sollten wir den Entscheidungsträgern in Deutschland, sowohl in der Politik als auch in der IT-Sicherheit einen Psychologen als Hilfe beistellen.
18. August 2007
Das Zero For Owned eZine Nr. 3 ist da. Interessant, wer da alles wie gehackt wurde. Die SQL-Injection Sachen sind durchaus amüsant zu lesen.
17. August 2007
Die Konzentration im IT-Security-Markt geht also weiter, gleichzeitig die Konzentration im Open Source Markt. SourceFire ist der Anbieter von Snort, einem bekannten und gerade bei US-Behörden weit verbreitetem Intrusion Detection und Prevention System. So verbreitet, dass sogar der Kauf von SourceFire durch Check Point an der nationalen Sicherheit scheiterte. ClamAV ist ein Open Source Virenscanner und recht beliebt, weil schnell mit Updates der Pattern und starker Linux-Unterstützung.
Die Übernahme zeigt meines Erachtens zwei Trends:
1. Open Source Software wird in der IT-Security inzwischen von vielen Firmen kaum anders als behandelt als klassische kommerzielle Software. Das betrifft Snort, ClamAV, Nmap, Nessus (früher zumindest) und viele andere Produkte.
2. Nur wenige Anbieter mit komplettem Portfolio werden übrigbleiben. IBM hat ISS übernommen, Symantec kauft diverse Hersteller (und stellt die Firewall ein), EMC hat RSA gekauft und kauft weiter zu … am Ende wird ein kleiner Kreis von vielleicht 8-10 Komplettanbietern für IT-Sicherheitslösungen sowie diverse Nischenabieter übrigbleiben.
Ich lass mich überraschen.
16. August 2007
Skype-User hatten und haben gestern und heute anscheinend eine größere Zahl von Benutzern ein Problem mit der Anmeldung am Netzwerk. Im Skype-Blog gibt es dazu folgende Verlautbarung:
The Skype system has not crashed or been victim of a cyber attack. We love our customers too much to let that happen. This problem occurred because of a deficiency in an algorithm within Skype networking software. This controls the interaction between the user’s own Skype client and the rest of the Skype network.
Das spiegelt die häufigsten Kritikpunkte von Skype wieder:
- Keine geprüfte, bewährte Technologie, die seit Jahren im Einsatz ist und die Skalierbarkeit bereits unter Beweis gestellt hat
- Proprietäre Closed-Source Technologie, keiner weiß was die verwendeten Algorithmen oder das Verschlüsselungsverfahren wirklich taugen
- Die rechtlichen Risiken z.B. was das Eigentum der Skype-ID betrifft oder die geschäftliche Nutzung sind nicht geklärt
Anwender, die geschäftlich auf die Nutzung von Skype angewiesen sind, haben hier leider verloren. Es freut mich ja, dass Skype seine Kunden liebt. Aber leider besteht kein Anspruch auf Ersatz irgendwelcher Schäden und freiwillig wird Skype (wir erinnern uns, as Unternehmen gehört zu eBay) vermutlich nichts rausrücken.
Damit nicht genug. Spiegel Online berichtet über ein zweites Problem mit Skype, das insbesondere in Deutschland die Anwender zu quälen scheint:
Auch in Deutschland hat Skype ein peinliches, für die betroffenen Kunden höchst irritierendes Problem: Zahlreiche Kunden mit einem kostenpflichtigen SkypeIn/SkypeOut-Vertrag verloren in den letzten Wochen ihre Telefonnummer und waren nicht mehr zu erreichen – oftmals ohne es zu merken und ohne von Skype darüber informiert zu werden. Offenbar kommt es vor allem bei Vertragsverlängerungen zur Abschaltung der gemieteten Telefonnummern, die Gebühren werden aber kassiert.
Sehr amüsant, dass Anwender aufgefordert werden, ihre Beschwerde an die E-Mail Adresse support@skype.net zu richten. An dieser Adresse schlägt vermutlich alles auf, von Benutzern die ihre Software nicht mehr starten können, zu Problemen mit der Installation, Rechnungsfehlern, etc. Wie gut sich amerikanische Firmen um die E-Mail Anfragen deutscher Kunden kümmern … dazu möchte ich mich lieber nicht äußern. Bei der Deutschen Telekom bekomme ich wenigstens noch einen echten Menschen an das Telefon. Skype lässt sich nicht mal per Skype anrufen. Da ist man froh, wenn man auf so einen Dienst geschäftlich gerade nicht angewiesen ist.
Ich kann mich nur wiederholen: Skype ist im Unternehmen ein klares no-go!
15. August 2007
Joanna Rutkowska, die Autorin von Blue Pill, einer Software die ein laufendes Betriebssystem unbemerkt in eine virtuelle Umgebung verschiebt, hat den Source Code von Blue Pill auf der Webseite BluePillProject veröffentlicht. Damit kann der Streit in die nächste Runde gehen.
Joanna behauptet, mit einer solchen Virtualisierung lässt sich komplett unentdeckbarer Schadcode entwickeln, der vom Betriebssystem innerhalb der virtuellen Umgebung nicht mehr erkennbar ist. Der Hypervisor kann das innen laufende System kontrollieren, alle Tastatureingaben überwachen, den Netzwerkverkehr filtern und das ohne Gefahr der Entdeckung. Virenscanner scannen ja nur das eigene System und prüfen bisher nicht, ob ein Hypervisor vorhanden ist.
Thomas Ptacek von Matasano ist gänzlich anderer Meinung und beschreibt welche Ansätze Virtualisierung zu erkennen möglich sind und was davon in seinem Black Hat Vortrag bereits erzählt wurde.
Ich persönlich neige dazu, Thomas rechtzugeben.
