18. April 2009

VMware anfällig

Category: Hacking — Christian @ 00:19

Was ich immer schreibe, jetzt auch bei The Inquirer:

    A bug in VMware’s Fusion could be used to run malicious code on another operating system by exploiting Windows in a virtual machine.

Oder anders:

Wenn man in einem virtuellen System privilegierte Rechte (Administrator, LocalSystem oder Root) hat, führt jeder Fehler im Hypervisor der Virtualisierungsschicht dazu, dass beliebiger Schadcode in allen anderen virtuellen Systemen ausgeführt werden kann, egal wie diese virtuellen Systeme eingerichtet sind. Lokale Sicherheitsmaßnahmen wie ASLR oder DEP kann man dann vergessen.

Nichts neues. Außer, dass mit Immunity jemand erstmals einen Exploit veröffentlicht hat.

9. April 2009

Spione im US-Stromnetz?

Category: Hacking,Work — Christian @ 12:21

Das Wall Street Journal hat einen Bericht veröffentlicht, nach dem vermutlich staatlich finanzierte Angreifer aus China und Russland in die Steuerungssysteme des US-Stromnetzes eingedrungen und die Infrastruktur ausgespäht haben. Konkrete Angriffe und Störungen wurden nicht beobachtet, anscheinend ging es (erstmal?) lediglich darum, den Aufbau Infrastruktur zu ermitteln. Ob tatsächliche Angriffe geplant sind bzw. waren, ist natürlich nicht bekannt. Die Verantwortlichen dementieren natürlich.

Generell halte ich solche Angriffe für realistisch durchführbar. Es gibt bekannte Sicherheitslücken in diverser SCADA-Software und noch viel mehr Lücken, die gar nicht öffentlich bekannt werden. Insbesondere in den USA ist die Veröffentlichung solcher Probleme legal praktisch unmöglich geworden. Klar, der Aufwand für solche Angriffe ist gewaltig und vieles davon lässt sich nicht über das Internet ausführen. Man wird zumindest Anfangs lokal vor Ort sein müssen, um direkt über Datenleitungen und Funknetze Zugang zu bekommen, bevor sich die Systeme dann auch fernsteuern lassen. Aber gerade die staatlich finanzierten Angreifer haben da fast unbegrenzte Ressourcen, wenn man beispielsweise den Militärhaushalt Chinas oder Russlands betrachtet.

In diesem Zusammenhang ist auch eine ISS-Präsentation (PDF) auf der Black Hat Federal 2006 Konferenz zu erwähnen, die viele der bekannten Lücken und Zugangsmöglichkeiten aufzeigt. Und das NERC (North American Electric Reliability Corporation), ein Zusammenschluss der Energieerzeuger und  Grid-Betreiber, warnt seit Jahren regelmäßig vor möglichen Angriffen und fordert zur Verbesserung der Cybersecurity auf. Nicht zuletzt, nachdem 2003 der Slammer Wurm in ein Kernkraftwerk in Ohio eingedrungen ist.

(via Teltarif, nach Hinweis von Sören)

Fotos zwingen Terrorfahnder zum Rücktritt

Category: Offtopic,Politik — Christian @ 11:40

Ich veröffentliche ja selbst gerne Fotos wie das hier in meinem Blog. Bisher hat so ein Foto aber noch nie zu spannenden Konsequenzen geführt. Vermutlich hätte ich mehr Fotos in Großbritannien schießen sollen. Dort ist nämlich jetzt der oberste britische Terrorfahnder zurückgetreten, weil er geheime Dokumente auf der Straße so gehalten hat, dass Fotografen ihn mit diesen Dokumenten fotografieren und sogar die Texte lesen konnten. Gibt es in Großbritannien eigentlich keine Schutzhüllen mehr oder müssen die wegen der Terrorgefahr da alle durchsichtig sein?

Jedenfalls zeigt dieses Beispiel wiedermal sehr schön, dass Sicherheit im Kopf jedes einzelnen beginnt.

8. April 2009

BSI-Chef geht zu ENISA nach Kreta

Category: Politik — Christian @ 23:21

Der BSI-Chef Udo Helmbrecht soll neuer Chef der Europäischen Sicherheitsagentur ENISA in Kreta werden. Soso. Die ersten Jahre waren die Jungs eigentlich nur mit „konstituieren“ beschäftigt, inzwischen gibt es aber gerade im Awareness-Bereich ein paar interessante Veröffentlichungen. Insbesondere war die ENISA bisher das höchste Gremium auf EU-Ebene, das in einer Studie (PDF) eine Haftung für Software-Mängel fordert.

Meine Frage ist eigentlich eine andere … ist der Sitz in Kreta das „Setz dich gemütlich im warmen zur Ruhe“-Geschenk an Herrn Helmbrecht und will er selbst da hin oder wird er abgeschoben, damit der GröIaZ Schäuble das BSI ungestört und in Ruhe zu einem Reichsinformationssicherheitshauptamt umbauen kann?

Ich bin ja gespannt, wer dann der Nachfolger von Helmbrecht werden soll.

7. April 2009

Killermonopoly

Category: Offtopic — Christian @ 21:59

Wenn es gegen Amokläufer helfen soll, „Killerspiele“ zu verbieten, hilft es dann gegen die Finanzkrise, Monopoly zu verbieten?

Die Idee kam von Klaus Stuttmann!

6. April 2009

Nützlicher RBL Checker

Category: Internet,Tipps & Tricks — Christian @ 23:08

Kostenloses RBL Monitoring & Quick-RBL-Check von Anexia.

http://rbl-check.org/

Könnte man sich trivial auch selber skripten aber ich bin ja faul.

All your email are belong to us

Category: Politik,Reisen — Christian @ 15:38

also … to the government. Die Briten haben heute ebenfalls ihre landesweite Vorratsdatenspeicherung in Kraft gesetzt. Oder wie The Inquirer schreibt:

    „This is because the Government thinks you might be a criminal or terrorist. Criminals and terrorists are increasingly just people who simply disagree with the Government.“

Wie traurig aber wahr. Kann man eigentlich noch guten Gewissens zu den Inselaffen fahren?

5. April 2009

Berliner Realitätsabgleich

Category: Offtopic — Christian @ 21:28

Eines muss man den Berlinern ja lassen … sie haben ihre Polizei im richtigen Kontext eingeordnet:

Berlin Polizei

Wenigstens etwas, für das die Polizei offensichtlich qualifiziert ist. Ob da jetzt allerdings eine Führerscheinkontrolle oder eine Hausdurchsuchung gemeint ist, erschließt sich mir nicht ganz.

Oh, und man warnt rechtzeitig vor Überwachung. Das folgende Bild zeigt die Eingangstüre eines Berliner Altersheims nahe Ku’Damm.

Berlin überwacht

Die sollten da mal lieber die austretenden Rentner erfassen. Das sind nämlich die, die immer noch die CDU wählen und sich Abends im Park verlaufen.

4. April 2009

Berlin ist immer ein Foto wert

Category: Offtopic — Christian @ 22:10

Ein paar Impressionen aus Berlin … mit der Rechtschreibung, das ist bei den Berlinern so eine Sache. Die reden da nicht nur frei Schnauze, die schreiben auch so:

Berlin1Berlin2

Snak’s und Drink’s nahe des Joach(i)msthaler Bio Supermarkts

Berlin3Berlin4

Wir sind geöffnet und es gibt leckere Aubergien

Und nein, ich war nicht auf der Re:publica! Darauf lege ich Wert!

1. April 2009

Klaus Stuttmann zu Wahlcomputern

Category: Offtopic — Christian @ 19:54

Klaus Stuttmann ist einer der bekannteren Karikaturisten in Deutschland. Wie mir leider erst heute aufgefallen ist, hat er sich auch grafisch zur Entscheidung des Bundesverfassungsgerichts zu Wahlcomputern geäußert. Sehr schön.