24. Februar 2010

Böse, böse

Category: Hacking,Internet,Work — Christian @ 21:25

„Don’t just shorten your URL, make it suspicious and frightening.“ 🙂

Beispielsweise diese:

Und wenn diese URL nicht funktioniert, dann vielleicht diese?

oder doch besser was harmloseres?

Passende URLs gibt’s bei http://www.shadyurl.com/. Klingt lustig, hat aber durchaus einen ernsten Hintergrund.

Die Beutelschneider von Verisign sind wieder da

Category: Produkte — Christian @ 00:18

Ich lache mich schlapp. Die Beutelschneider von Verisign haben ein neues Geschäftsmodell gefunden. Musste ja kommen, weil Jamba (die mit den Klingeltonabos für kleine Kinder) im Oktober 2008 an Rupert Murdoch verkauft wurde.

Zur Wiederholung, das Geschäftsmodell von Verisign basiert neben der überteuerten Domainverwaltung von .com und .net vor allem darauf, überteuerte Zertifikate für SSL-Server zu verkaufen. Am besten gleich die mit Extended Verification, was bei mir den Eindruck erweckt als würde Verisign bei den anderen SSL-Zertifikaten gar nicht richtig prüfen. (Naja, tun sie ab und zu auch nicht wie die fehlerhaft auf den Namen Microsoft ausgestellten Zertifikate zeigen.) Aber gut, man braucht ja nicht unbedingt ein Zertifikat von Verisign. Es gibt auch günstige seriöse Anbieter.

Verisign hat jetzt aber entdeckt, dass es ja gaaaanz viele Webseiten gibt, die gar kein SSL haben. Und den gaaaanz vielen Webseiten ohne SSL kann man gar kein SSL-Zertifikat verkaufen. Was verkauft man denen dann? Genau, ein Webseiten-Siegel. Sowas wie es der TÜV (die anderen Beutelschneider) auch im Angebot hat. Bei Verisign heißt das „VeriSign Trusted“ (nur 299 USD, umgerechnet 220 Euro) und beinhaltet laut Heise die Identitätsprüfung des Seitenbetreibers. Ein SSL-Zertifikat ist nicht enthalten, das ist nämlich dann „VeriSign Secured“ und kostet natürlich mehr. Nebenbei ist noch ein Malware-Scanner für die Webseite enthalten. Ich persönlich halte das ja für Quatsch, aber es gibt sicher genug Webseitenbetreiber die drauf reinfallen. Und vielleicht gibt es das Siegel irgendwann sogar im Verisign-Sparabo.

Nachtrag:

Ganz sachlich: ein normales Verisign-SSL-Zertifikat kostet umgerechnet 440 Euro (599 USD) für ein Jahr, ein Verisign-SSL-Zertifikat mit Extended Validation kostet umgerechnet 1250 Euro (1699 USD) für einen Server außerhalb der USA/Kanada. Ein vergleichbares SSL-Zertifikat z.B. von TC Trustcenter kostet 159 Euro (aktuelle Promo 143 Euro) zzgl. MwSt., von der Deutschen Telekom kostet es 150 Euro zzgl. MwSt. Aber da Verisign keine Zwangslage ausnutzt darf man nicht von Wucher sprechen.

23. Februar 2010

Apple vs Larry Flynt?

Category: Produkte — Christian @ 20:30

Tja, Apple braucht offensichtlich einen Larry Flynt. Und vielleicht ist gerade ein umstrittener Konzern wie Springer mit seinem zwielichtigen Produkt „Bild“ genau richtig. Immerhin war Larry Flynt auch nicht gerade unumstritten.

Naja, bevor ich mir von Steve Jobs vorschreiben lasse, welche Medien ich auf meinem iPod/iPhone/iPad/iPfusch anschauen (nur Fox News!) darf, schau ich mir lieber mal ein HP Slate an.

One exploit should never ruin your day … but it often does

Category: Hacking,Work — Christian @ 19:09

Eben gelesen:

    „Isn’t that why we build DMZ networks with firewalls in front and behind them?  The point of doing that is so that it requires more than one server-side exploit to get into your organization.  Thanks to rich Internet client applications, it now only requires one client-side exploit to get into your organization.“

Die Bedrohungssituation hat sich für viele Firmen fast unbemerkt verschoben. Die Angriffe richten sich seltener gegen ihre Web-, Mail- und DNS-Server (obwohl Webapplikationen immer noch gerne kompromittiert werden) und statt dessen verstärkt gegen Clients, die im Internet surfen. Ein Client-Exploit im Browser eines Benutzers der mit lokalen Administratorrechten surft genügt, um die Sicherheit eines kompletten Unternehmens zu gefährden.

(von Dino A. Dai Zovi)

22. Februar 2010

Die Chinesen warens … und der Mossad

Category: Offtopic — Christian @ 18:35

Angeblich verdichten sich die Hinweise, dass tatsächlich staatlich gelenkte chinesische Hacker hinter den Angriffen auf Google standen. Das ist im Grunde nichts neues, überraschend wäre lediglich, wenn sich das tatsächlich beweisen lässt. Dann hat irgendwer beim Spuren verwischen massiv geschlampt. Im Gegensatz zur realen Welt sollte das digitale verstecken eigentlich leicht möglich sein.

Apropos reale Welt. In Dubai spricht wohl auch alles dafür, dass der israelische Geheimdienst Mossad seine Finger in der Ermordung des Hamas-Funktionärs Mahmud al-Mabhuh hat. Einmal kurz nach Israel gereist und schon wird der Pass kopiert. Ob das noch zu den üblichen diplomatischen Gepflogenheiten gehört? Ich frage mich ja, was unser allerliebster Verfassungsfeind, der Ex-Bundesinnenminister Schäuble darüber so wusste? Ging es bei den biometrischen Pässen gar nicht um die Kopieraktionen von Kriminellen sondern um die Kopieraktionen der angeblich befreundeten Geheimdienste? Und … machen unsere Geheimdienste das auch so?

Spannend ist auch noch, wie detailliert Dubai die Aktionen von insgesamt 11 Personen auf öffentlichen Straßen und innerhalb der Hotels mit scharfen Fotos nachvollziehen kann. Die Überwachungstechnik dahinter möchte ich nicht in Deutschland haben. Angeblich war es entweder Technik von Siemens oder aus Israel. Wobei das letzte schon sehr ironisch wäre. Und, wusste der israelische Geheimdienst von der Überwachung und es war ihm egal oder sind die Agenten selbst davon überrascht worden?

Ach ja, der anscheinend vom israelischen Geheimdienst verwendete deutsche Pass ist übrigens echt gewesen. Nur hat ihn der echte Michael Bodenheimer gar nicht beantragt. Die deutschen Behörden haben wie üblich geschlampt und den Pass für eine falsche Person ausgestellt. Nur helfen dann biometrische Pässe auch nicht weiter. Das könnte sich übrigens gut mit der Auskunft decken, dass in fünf Jahren nur sechs deutsche Pässe gefälscht wurden. Die anderen falschen Dokumente wurden von den Behörden also offensichtlich regulär ausgegeben.

21. Februar 2010

Random Stuff – 2

Category: Datenschutz,Hacking,Internet — Christian @ 17:32

Please Rob Me

Die Webseite Please Rob Me zeigt mir Hilfe einfacher Suchanfragen an Twitter und Foursquare die Nachrichten der Nutzer analysiert. Dabei wird nach Lokations- und Abwesenheitsmeldungen gesucht, die z.B. einem Einbrecher Hinweise geben könnten, wo ein Benutzer wohnt und wann er unterwegs ist. Damit soll u.a. auf die Gefahr von Social Networks aufmerksam gemacht werden, in denen Benutzer zu viele Informationen über sich preis geben. Und wir haben uns vor 15 Jahren über die Abwesenheitsnotizen in E-Mails aufgeregt …

Panopticlick

Panopticlick der Electronic Frontier Foundation (EFF) führt vor, wie eindeutig sich ein Browser durch Javascript und diverse Plugin-Kombinationen identifizieren lässt. Mit abgeschaltetem Javascript (NoScript sei Dank) komme ich auf 1 von ca. 32.000 Usern, mit eingeschaltetem Javascript bin ich mit meiner Plugin-Kombination eindeutig identifizierbar. Wobei ich mich frage, warum Javascript z.B. die installierten Systemfonts an den Server übermitteln muss.

Amazon EC2 Passwort-Cracker

Cloud-Dienste lassen sich nicht zur für Virenscanner oder Datenspeicherung nutzen sondern können (wenn viel Rechenleistung für wenig Geld angeboten wird) auch für Passwortcracker nutzen. Da Amazon der Rechenleistung Kosten verpasst, ergibt sich eine einfach nutzbare Metrik, um Passwort-Cracking mit echten Kosten zu versehen. David Campbell hat das tabellarisch aufbereitet. Interessant ist, dass die Passwortlänge wichtiger ist als die Passwortkomplexität. Ein 12-Zeichen Passwort nur aus Kleinbuchstaben kostet nach seiner Rechnung über 1,5 Millionen USD, ein komplexes Passwort mit Sonderzeichen aber nur 8-Zeichen Länge kostet günstige 106.000 USD. Erst mit 10-Zeichen Länge ist ein komplexes Passwort besser als ein simples 12-Zeichen Passwort.

20. Februar 2010

Whitelisting mit der NSRL

Category: Produkte,Work — Christian @ 17:32

Ich schreibe schon seit geraumer Zeit davon, dass die Erkennungsraten der Virenscanner langsam aber sicher schlechter werden und wir irgendwann einen Paradigmenwechsel weg vom Blockieren von Schadsoftware hin zum Erlauben von guter Software benötigen. Vielleicht wird es jetzt langsam soweit. Immerhin scheinen die False Positives der diversen Virenscanner so schmerzhaft zu werden, dass das Internet Storm Center (ISC) eine National Software Reference Library (NSRL) mit rund 40 Millionen Programmen und ihren Hash-Werten zusammengestellt hat.

Und jetzt könnte Cloud-Scanning plötzlich Sinn machen. Vor jedem Aufruf eines Programms oder einer ausführbaren Datei verifiziert das Betriebssystem das Programm gegen die NSRL und wenn das Programm enthalten ist, dann wird es ausgeführt (und das Ergebnis gecacht). Wenn nicht, prüft eine einfache Heuristik ob das Programm möglicherweise Schadcode enthält. Ich könnte mir vorstellen, dass damit die Abhängigkeit der Virenscanner von Patternupdates sinkt. Allerdings enthält dieser Entwurf noch viele ungelöste Probleme, beispielsweise wie eine manipulationssichere Kommunikation mit der NSRL möglich ist (DNS kann leicht manipuliert werden, HTTPS ist sehr aufwendig) und wie verfahren werden soll, wenn die NSRL nicht verfügbar ist. Außerdem halte ich die teilweise verwendeten MD5-Hashes für nicht gerade vertrauenerweckend. Und natürlich hilft das ganze Verfahren nicht gegen Schadprogramme die sich z.B. in Office-Dokumenten oder PDF verstecken.

Aber mein Eindruck ist, Whitelisting kommt, wenn wohl auch erst in einigen Jahren. Für die nahe Zukunft wünsche ich mir jedenfalls, dass die NSRL direkt in das Betriebssystem integriert wird und von verschiedenen Virenscannern einfach genutzt werden kann. Für Linux sollte sich sowas einfach realisieren lassen. Und wenn die NSRL (digital signiert) auf dem System vorhanden ist, kann ClamAV oder jeder andere Scanner auf diese Daten zurückgreifen.

(via Heise)

19. Februar 2010

Was sich Leute aus P2P runterladen

Category: Offtopic — Christian @ 23:46

wie wahr …

funny graphsandcharts

Ich habe einen Teil meiner Virensammlung auch aus Peer to Peer Netzen 😉

18. Februar 2010

Top 25 Most Dangerous Programming Errors 2010

Category: Offtopic,Work — Christian @ 22:41

Mir sind zufällig zwei Links sehr zeitnah in die Hände gefallen: die Top 25 Programmierfehler und die Top 25 Ausreden der Programmierer. Da lag es irgendwie nahe, aus diesen beiden Tabellen eine gemeinsame zu machen 😉

Rank Score ID Name Excuse
[1] 346 CWE-79 Failure to Preserve Web Page Structure (‚Cross-site Scripting‘) Of course, I just have to do these small fixes.
[2] 330 CWE-89 Improper Sanitization of Special Elements used in an SQL Command (‚SQL Injection‘) It will be done in no time at all.
[3] 273 CWE-120 Buffer Copy without Checking Size of Input (‚Classic Buffer Overflow‘) Didn’t I fix it already?
[4] 261 CWE-352 Cross-Site Request Forgery (CSRF) How is this possible?
[5] 219 CWE-285 Improper Access Control (Authorization) Well, the program needs some fixing.
[6] 202 CWE-807 Reliance on Untrusted Inputs in a Security Decision It’s already there, but it has not been tested.
[7] 197 CWE-22 Improper Limitation of a Pathname to a Restricted Directory (‚Path Traversal‘) I’m almost ready.
[8] 194 CWE-434 Unrestricted Upload of File with Dangerous Type The user has made an error again.
[9] 188 CWE-78 Improper Sanitization of Special Elements used in an OS Command (‚OS Command Injection‘) There is something wrong in your test data.
[10] 188 CWE-311 Missing Encryption of Sensitive Data Yes yes, it will be ready in time.
[11] 176 CWE-798 Use of Hard-coded Credentials You must have the wrong executable.
[12] 158 CWE-805 Buffer Access with Incorrect Length Value I can’t test everything!
[13] 157 CWE-98 Improper Control of Filename for Include/Require Statement in PHP Program (‚PHP File Inclusion‘) I have not touched that module!
[14] 156 CWE-129 Improper Validation of Array Index I’ve never heard about that.
[15] 155 CWE-754 Improper Check for Unusual or Exceptional Conditions It did work yesterday.
[16] 154 CWE-209 Information Exposure Through an Error Message Strange…
[17] 154 CWE-190 Integer Overflow or Wraparound The machine seems to be broken.
[18] 153 CWE-131 Incorrect Calculation of Buffer Size Somebody must have changed my code.
[19] 147 CWE-306 Missing Authentication for Critical Function It works, but it’s not been tested.
[20] 146 CWE-494 Download of Code Without Integrity Check There must be a virus in the application software.
[21] 145 CWE-732 Incorrect Permission Assignment for Critical Resource Has the operating system been updated?
[22] 145 CWE-770 Allocation of Resources Without Limits or Throttling Even though it does not work, how does it feel?
[23] 142 CWE-601 URL Redirection to Untrusted Site (‚Open Redirect‘) THIS can’t do THAT.
[24] 141 CWE-327 Use of a Broken or Risky Cryptographic Algorithm Oh, it’s just a feature.
[25] 138 CWE-362 Race Condition It’s just some unlucky coincidense.

Und meine Vorhersage für 2010, 2011 und 2012: das wird sich nicht bessern!

17. Februar 2010

Zensursula-Gesetz kann in Kraft treten

Category: Internet,Politik — Christian @ 22:41

So ist das in Berlin … erst macht man das schlechteste aller möglichen Gesetze zur Internet-Zensur, dann sind praktisch alle Parteien dafür, das nicht anzuwenden und schließlich wird das Gesetz doch vom Bundespräsidenten unterzeichnet und kann jetzt in Kraft treten.

Verloren haben im Grunde alle. Zuallererst der Bürger in Deutschland, dem mal wieder deutlich klargemacht wurde, dass Petitionen für den Arsch sind. Die interessieren doch eh keinen Bundestagsabgeordneten. Am wenigsten die, die sich hinterher aufregen über mangelnde Beteiligung an Wahlen, den Zulauf der Rechts- und Linksextremen sowie das generelle Misstrauen gegenüber Politikern.

Verloren haben die Parteien im Bundestag, die alle (inklusive der ehemals treibenden CDU) davon reden, wie schlecht dieses Gesetz doch ist aber nichts dagegen tun. Im besonderen die angebliche Bürgerrechts- und tatsächliche Klientelpartei FDP mit ihrer blassen Justizministerin, die genau gar nichts von dem erreicht hat, was sie vorher großspurig angekündigt hat. Das letzte mal (Großer Lauschangriff) ist die Justizministerin Leutheusser-Schnarrenberger noch zurückgetreten. Jetzt (Große Internetzensur) geht die Justizministerin Leutheusser-Schnarrenberger langsam auf die Rente zu und da ist ihr die Ministerpension natürlich näher als das Grundgesetz.

Verloren hat auch der Bundespräsident, der angeblich monatelang prüfen musste, ob sich das Gesetz mit dem Grundgesetz vereinbaren lässt in Wirklichkeit jedoch nur warten wollte, bis sich nach der Bundestagswahl die Wogen geglättet haben. Ein typischer Präsident nach Merkel Gnaden. Im Grunde können wir auf diesen rückgratlosen Köhler genauso gut verzichten. Bei von Weizsäcker oder dem ehemaligen Verfassungsrichter Herzog hätte es dieses Gesetz nicht gegeben.

Verlieren wird auch der Kinderschutz. Spätestens wenn die Sperrliste wie alle anderen Listen auch bei Wikileaks oder woanders auftaucht und die echten Pädophilen freien Zugriff darauf bekommen. Und verlieren wird das BKA, wenn sich herausstellt, dass nicht nur Kinderpornoseiten gesperrt wurden sondern (natürlich nur versehentlich) die Webseite der Piratenpartei und von Wikileaks gleich mit.

Nachdem die OECD bei der letzten Bundestagswahl bereits Wahlbeobachter nach Deutschland geschickt hat (übrigens das erste mal nach dem 2. Weltkrieg) und wir damit bereits den offiziellen Stand einer Bananenrepublik erreicht haben, nähern wir uns nun konkret chinesischen Verhältnissen an. Interessant übrigens, dass der Bundestag gleichzeitig mehr Einsatz gegen Internet-Zensur fordert. So schizophren können auch nur Politiker sein.