15. Juli 2009

Blackberry Spyware in den VAE

Category: Hacking — Christian @ 16:06

In den Vereinigten Arabischen Emiraten hat nach einem Bericht von The Register die Telefongesellschaft Etisalat ein Update an netzeigene Blackberrys verteilt, das eine Anwendung enthält, mit der alle Daten des Blackberry ausspioniert werden können:

    „The update is labelled: „Etisalat network upgrade for BlackBerry service. Please download to ensure continuous service quality.“ The signed JAR file, when opened, reveals an application housed in a directory named „/com/ss8/interceptor/app“, which conforms to the Java standard for application trees to be named the reverse of the author’s URL. („Interceptor“ isn’t the subtlest name for spyware, though.)“

Das ist sozusagen die arabische Variante des Bundestrojaners. Aufgeflogen ist das anscheinend nur zufällig, weil die Server bei denen sich die Spyware anmelden sollte überlastet waren und die Spyware deshalb die Batterie leer gezogen hat. Weder von Etisalat noch von RIM oder SS8 war für The Register eine Auskunft zu diesem Vorfall erhältlich. Ich könnte mir gut vorstellen, dass man dort Toter Mann spielt und hofft, dass Gras über die Sache wächst.

Die Idee an sich ist natürlich clever. Provider-Updates vertrauen die meisten Anwender und wenn es sich auch noch um eine korrekt signierte Anwendung handelt, dann muss ja alles damit korrekt gelaufen sein. SS8 ist übrigens ein recht bekannter Anbieter von „lawful interception“, wobei das mit dem lawful also gesetzmäßig bekanntlich so eine Sache ist. Die CIA oder die NSA beispielsweise fängt gerne mal Nachrichten auch illegal ab, wie seit dem Abtritt von Bush allgemein bekannt ist.

Im Grunde erstaunt mich ja weniger, dass so ein Update überhaupt verteilt wird sondern mehr, dass der Benutzer tatsächlich noch gefragt wurde, ob er das installieren möchte. Soweit ich weiß, unterstützen alle modernen Symbian-Telefone Firmware over-the-Air Updates auch ohne, dass der Benutzer etwas davon merkt. Und dann kann man alles mögliche mit so einem Telefon anstellen. Vielleicht ist das mit dem Virenscanner auf dem Telefon doch keine so blöde Idee, WENN der Scanner so eine Sauerei überhaupt bemerken kann.

Ich hoffe ja, dass mein gutes altes Nokia 6310i gegen so einen Krempel immun ist 😉

10. Juli 2009

Backups sind für Feiglinge

Category: Internet,Politik — Christian @ 19:35

Ich gebe ja zu, Backups von Hardware Security Modulen sind nicht immer trivial. Da braucht man in der Regel verschiedene Karten und muss die Prozedur mit PIN-Eingabe und so weiter genau richtig machen. Und wenn man die Karten falsch bedient, dann ist vielleicht auch mal alles hinüber. Trotzdem sollte irgendjemand in so einem Projekt ein klein wenig Know-how von HSMs haben und vielleicht mal bei einer kurzen Kaffeepause ein Backup ziehen. Nach meiner Erfahrung mit HSMs dauert das höchstens ein paar Minuten und ist außerdem auch recht gut dokumentiert.

Nunja, die Schuldzuweisungen die Heise angibt, finde ich lustig:

    „Die Gematik hat entschieden, ‚Wir verzichten auf das Backup‘. Das haben wir als Dienstleister zu akzeptieren,“ erklärte Merx vom Dienstleister D-Trust.
    „Wir haben uns nicht gegen einen Backup-Dienst entschieden. Vielmehr ist es so, dass der Dienstleister den Betrieb des Testsystems übernommen und auch den fortlaufenden Betrieb zu gewährleisten hat. Wie er dieser Verpflichtung nachkommt, obliegt seiner Verantwortung.“, so Gematik-Sprecher Daniel Poeschkens.

Auf Deutsch heißt das, niemand der diversen beteiligten Luschen hat an Backup gedacht (vermutlich weil’s in keinem Konzept drin stand) und deshalb hat auch keiner eines gemacht. Ich würde ja nichts sagen, wenn die Daten wenigstens auf einem FTP-Server* liegen würden, aber selbst das scheint schon zu viel verlangt zu sein. Wenn ihr mich fragt, die sind beide nicht qualifiziert und zuverlässig genug, die Infrastruktur für die Gesundheitskarte zu betreiben. Sozusagen der Vattenfall der in der IT.

(via Heise)

* Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it (Linus Torvalds)

8. Juli 2009

Good Bye Milw0rm

Category: Hacking — Christian @ 19:48
    Well, this is my goodbye header for milw0rm. I wish I had the time I did in the past to post exploits, I just don’t :(. For the past 3 months I have actually done a pretty crappy job of getting peoples work out fast enough to be proud of, 0 to 72 hours (taking off weekends) isn’t fair to the authors on this site. I appreciate and thank everyone for their support in the past.
    Be safe, /str0ke

Schade. Jetzt bleiben nicht mehr viele. Mir fällt so spontan nur noch ein:

Weitere Exploit-Archive nehme ich (bitte verlinkt) gerne in den Kommentaren entgegen.

(via Heise)

Nachtrag:

Heute, 11.07. funktioniert Milw0rm wieder und es gibt Updates vom 10.07. Ich hoffe ja, es finden sich genügend Unterstützer für Milw0rm, die Str0ke ein wenig entlasten. Ich würde so ein Exploit-Archiv ja auch hosten, ich brauche nur noch einen geeigneten Server im Ausland 😉

Google Chrome OS

Category: Produkte — Christian @ 16:05

Google greift Microsoft mit einem eigenen „richtigen“ Betriebssystem basierend auf einem Linux-Kernel frontal an. Ich persönlich glaube nicht, dass das gut geht. Dafür gibt es viele Gründe:

  • Warum sollen sich die Leute freiwillig ein Google Chrome OS laden, wenn sie auch ein bewährtes Linux (z.B. von Asus) auf ihren Netbooks oder gleich ein Ubuntu installieren können. Das kann auch alles und eher mehr.
  • Die Leute wollen auch kein „abgespecktes“ Internet-Betriebssystem. Das hat Microsoft mit Windows 7 schon eingesehen, da sollte nur eine beschränkte Zahl von Anwendungen laufen können. So ein Quatsch. Auf einem Rechner, auch einem Netbook muss ein komplettes Betriebssystem laufen. Der Rechner ist im Gegensatz zum Mobiltelefon (Android) auch nicht ständig mit dem Netz verbunden.
  • Die bisherige Adaption des Google Chrome Browser verläuft schon extrem schleppend. Bei einem Chrome OS wird das eher noch langsamer laufen.
  • Die Zeiten in denen alles was von Google kam kritiklos als gut und toll und super eingeschätzt wurden sind lange vorbei. Google ist böse geworden! Es genügt schon, wenn mich Google mit der Suchmaschine versucht auszuspähen, da brauche ich das Betriebssystem schon mal gar nicht.
  • Der Zeitpunkt ist gerade extrem ungünstig, weil Microsoft mit Windows 7 anscheinend alles richtig gemacht hat. Das neue Betriebssystem ist schnell, effizient, läuft auf Netbooks und mit der Totgeburt Vista nicht zu vergleichen. Gegen Vista hätte Chrome OS eine Chance gehabt, gegen Windows 7 … no way.
  • Den Mund voll nehmen und behaupten, das Betriebssystem sei ganz toll sicher, das kann jeder. Das dann auch durchzuhalten ist extrem schwierig. Ich erinnere da nur an den „Unbreakable“ Slogan von Oracle oder an die diversen Sicherheitslücken im Chrome Browser. Ich fürchte, da steht Google noch eine heftige Lernkurve bevor.

Insgesamt denke ich … das wird nichts. Ganz im Gegenteil besteht die Gefahr, dass Google sich in zu vielen Bereichen verzettelt und dadurch das Kerngeschäft der Suchmaschine vernachlässigt. In den USA hat Bing erstaunlich gut eingeschlagen. Das dürften zwei interessante Jahre werden, die da vor uns liegen.

Nachtrag:

Sehr schöne Analyse des Competition-Fakes bei The Register.

7. Juli 2009

Captain Invincible und sein Präsident

Category: Offtopic,Politik — Christian @ 21:18

The Return of Captain Invincible ist eine 1983 veröffentlichte australische Parodie (mit Musik) auf die amerikanischen Superheldenfilme der gleichen Zeit, insbesondere Superman (1978) und Superman II (1980). In diesem Film gibt es eine wundervolle Szene, in der das Militär dem US-Präsendenten den Vorschlag macht, den Gegner Mr. Midnight mit einem Nuklearschlag zu beseitigen:

    „Let’s nuke the rusty sons of bitches“
    „blast them all to hell of god“
    „submarine missiles Mr. President“
    „B 52, shot to reason, penetration!“

Die Reaktion des Präsidenten ist für mich der absolute Klassiker. Eigentlich sollte man diesen Ausschnitt den ganzen Politikern vorspielen, die Internet-Zensur einführen, Killerspiele verbieten und Vorratsdaten speichern wollen.

Ach ja, und es ist einer der Lieblingsfilme von Terry Pratchett 🙂

6. Juli 2009

„Erstmal“ kein Phorm bei der British Telecom

Category: Allgemein — Christian @ 22:58

Soso, BT möchte die Datenkrake Phorm erstmal nicht im eigenen Netz loslassen. Großbritannien ist von der EU dank Phorm ja bereits wegen Verletzung des EU-Vertrags (Datenschutz und so) eine Klage angedroht worden. Da wird sich die British Telecom sicher nicht nach vorne wagen. Allerdings kann das mehrere Gründe haben:

  1. BT hat mit Phorm bereits einen Vertrag und kann ohne Vertragsstrafe nicht komplett drauf verzichten. Dann sagt man „erstmal“ und schiebt das auf den Sankt-Nimmerleinstag
  2. BT möchte Phorm eigentlich schon einsetzen aber traut sich im aktuellen politischen Umfeld nicht. Dann sagt man „erstmal“ und hofft, dass sich der Staub irgendwann legt.

Naja, die Kunden haben ja die Hoffnung, dass Phorm bis dahin pleite ist. Der Aktienkurs ist um 40 Prozent gefallen und Phorm schreibt heftige Verluste.

5. Juli 2009

McAfee zerstört (mal wieder) Rechner

Category: Produkte — Christian @ 16:31

Die Kombination aus geringfügig veralteter Such-Engine und aktuellen Pattern hat beim McAfee-Virenscanner dazu geführt, dass die Engine diverse kritische Systemdateien mit Viren verseucht erkannt und gelöscht bzw. in die Quarantäne gestellt hat. Und das nicht zum ersten Mal.

Zugegeben, die Engine war nicht mehr neuester Stand und wohl nicht mehr von McAfee supported, trotzdem wäre es schon nett vom Hersteller ein bissi was zu testen. Jedenfalls für nicht betroffene recht lustig, den Thread im McAfee-Forum zu lesen.

Ich weiß schon, warum ich mit SnakeOil Virenschutz recht vorsichtig bin und auf meinem Mailserver lieber komplett drauf verzichte. Ich habe ja langsam den Verdacht, die Kosten durch Virenscannerlizenzen und durch den Virenscanner verursachte Schäden übersteigen die Kosten durch Virenausbrüche bei weitem.

4. Juli 2009

AES wackelt mal wieder

Category: Hacking — Christian @ 21:40

Es gibt neue Angriffe gegen AES-256. Noch nichts, das praktisch umsetzbar wäre, aber wie Bruce Schneier immer sagt: Die Angriffe werden nur besser, nie schlechter.

Die Angriffe basieren auf Fortschritten beim Brechen von Hash-Funktionen. Ich bin mal gespannt, wie sich das auf den Hash-Cryptowettbewerb des NIST auswirkt. Ron Rivest hat seinen Algorithmus MD6 bereits zurückgezogen, obwohl es bisher keinen wirksamen Angriff gibt.

1. Juli 2009

Belgien hat eine eigene Security Konferenz

Category: Hacking,Work — Christian @ 23:03

In Belgien, genaugenommen in Evere, findet vom 18.-19.09. die erste BruCON, eine belgische Securitykonferenz statt. Bisher konnte man die Belgier immer auf der Hack.Lu in Luxemburg treffen, das scheint erstmal vorbei zu sein. Ich bin gespannt, wie sich die BruCON als Konkurrenz für die Luxemburger auswirkt. Immerhin findet sie einen Monat vorher statt und kann daher schon ein paar Interessenten abziehen.