Mitternachtshacking

Lesenswerter und kompetenter Artikel in der TAZ zum Datenschutz und Datenklau in der Cloud.

Äh ja. Danke für die Warnung, Heise:

Für Ciscos Router-Modelle Linksys EA 2700, 3500 und 4500 steht jetzt ein Firmware-Update bereit, das die Fernsteuerung des heimischen Netzwerks über die Connect Cloud ermöglicht. […] Nachdem wir einen EA4500 mit der Cloud-fähigen Firmware 2.1.38 ausstatteten, ließ sich das Gerät nur noch nach Erstellen eines Connect-Cloud-Kontos in allen Funktionen konfigurieren.

Ich kann verstehen was aus Unternehmenssicht dahintersteckt. Zum einen kann man über die Cloud eine Menge Daten sammeln, beispielsweise wie die Kunden das Interface benutzen, welche Parameter und Optionen eingestellt werden, wo es Probleme gibt usw. Das bietet natürlich die Möglichkeit, einerseits den Kunden bessere Lösungen anzubieten, andererseits kann man den Support verbessern weil sich möglicherweise auch Support-Mitarbeiter auf das Cloud-Interface aufschalten können. Und natürlich kann man die Daten ggf. weiterverkaufen, im Cloud-Interface Werbung einblenden usw. und hat nette Nebeneinnahmen.

Nur, aus Kundensicht geht das gar nicht. Und zwangsweise wie Cisco das macht sowieso nicht. Ok, Cisco hatte 2011 ein schlechtes Jahr und die diversen Umstrukturierungen schlagen auch zu. Aber für das zweite Quartal 2012 gab es schon wieder Rekordzahlen, also hätte Cisco so verzweifelte „wir grabschen uns noch schnell jeden Cent bevor wir Pleite sind und scheiß auf den Ruf“-Aktionen eigentlich nicht nötig. Entweder ist bei Cisco jemand weit oben extrem dumm oder das Management hat jeden Bezug zur Realität verloren. Ich habe ja keine Cisco-Aktion aber wenn, hätte ich John Chambers schon länger mal ausgetauscht. Und mit der Meinung bin ich nicht alleine.

So ein PHP-Source-Viewer ist eine tolle Sache. Da kann man über die Weboberfläche direkt den Source Code einer PHP-Datei ankucken.

Beispielsweise kann man kontrollieren ob Benutzername und Passwort der Datenbank korrekt eingetragen sind.

 46     $dbtype     = 'mysqli';     // db-Server-Typ        
 47     $host       = 'localhost';     // Server                
 48     $user       = 'root';        // Benutzer             
 49     $password   = '';            // Passwort             
 50     $dbase      = 'cms';        // db-Name

Oder ob noch alle User in der Passwort-Datei stehen.

  1 root:x:0:0:root:/root:/bin/bash
  2 bin:x:1:1:bin:/bin:/sbin/nologin
  3 daemon:x:2:2:daemon:/sbin:/sbin/nologin
  4 adm:x:3:4:adm:/var/adm:/sbin/nologin
  5 lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
  6 sync:x:5:0:sync:/sbin:/bin/sync

226 michae2:x:10288:2524::/home/httpd/vhosts/michaelster.ch:/bin/false

Die Passwörter selbst stehen leider in der Shadow, die der Webserver-Prozess nicht lesen darf. Spannend ist natürlich wenn man anhand der Passwort-Datei erkennen kann, welche Domänen auf dem Server gehostet werden.

Ich hab dem Provider eine Mail geschickt. Mal sehen wie schnell das geschlossen wird.

Aber das scheint öfter vorzukommen.

Nachtrag: In zwei Stunden war die Lücke zu.

Bei Nerd6 gibt es es einen schönen Artikel „Deiner USB-Schnittstelle kannst du nicht vertrauen!„. Ich möchte zwei Sätze daraus zitieren:

„Ein gefundener USB-Stick reicht aus. Sobald dieser an den PC angeschlossen wird, kann alles vorbei sein. Die Autostartfunktion von Windows ist dafür nicht notwendig, sollte aus Sicherheitsgründen aber dennoch immer deaktiviert sein.“

und

„Auch der elektronische Personalausweis, kann nur so sicher sein, wie sein Lesegerät, das per USB angeschlossen wird. Von der Regierung ist es mehr als naiv zu erwarten, der Bürger könne ein sicheres System betreiben, auf dem er dann den neuen Personalausweis einsetzt.“

Zum einen ist natürlich richtig, dass Computersysteme gerne über USB-Sticks infiziert werden. Andererseits ist es nicht ganz so schlimm wie es sich anhört. USB unterscheidet zwischen dem Host (das ist der PC) und dem Device (das ist der USB-Stick). Ein Device kann nicht einfach auf den RAM des Hosts zugreifen (was USB z.B. von Firewire unterscheidet) sondern muss durch das USB-System des Hosts hindurch. Das kann auf zwei Wegen passieren. Zum einen kann der USB-Stick einen Fehler in der USB-Implementierung des Hosts ausnützen. Das ist ein Exploit der eine Schwachstelle angreift und die muss erstmal bekannt sein. Ich bin mir recht sicher, dass nicht nur Microsoft sondern auch alle anderen Betriebssystementwickler sich nach Stuxnet ihre USB-Implementierung nochmal angeschaut haben. Klar können immer noch Fehler gefunden werden aber die verbrät man nicht für einen popeligen Virus. Das ist gut bezahlte Industriespionage vom feinsten. Ein USB-Device kann sich natürlich fälschlicherweise auch als Human Interface Device (HID) ausgeben und irgendwelche Tastatureingaben vornehmen. Ein programmierbares Teensy-Board in einem USB-Stick-Gehäuse reicht dafür. Aber das ist dann kein Virus mehr sondern extra gebastelte Hardware. Und die verwendet man ebenfalls eher in der Industriespionage als um mal so einen Benutzer zu infizieren. Insofern sehe ich das USB-Problem nicht so kritisch. Allerdings habe ich Firewire im BIOS meines Notebooks deaktiviert, damit mir keiner die Keys meiner Festplattenverschlüsselung aus dem RAM auslesen kann.

Das andere Problem ist der elektronische Personalausweis. Mit den Daten darauf kann man schon viel anstellen und es ist wirklich nur eine Frage der Zeit, bis diese geklaut werden und der Identitätsdiebstahl hier ein ebensogroßes Problem wird wie in den USA. Aber das wird noch länger dauern denn erstens verbreitet sich der neue Ausweis relativ langsam (mein alter Personalausweis gilt noch bis 2015) und die neuen Funktionen lassen sich bevorzugt die Leute freischalten die wissen was sie damit anfangen können. Und die fallen hoffentlich auch nicht so leicht auf den Identitätsdiebstahl rein. Aber vielleicht bin ich auch zu optimistisch und es wird alles noch viel schlimmer. Wir werden es ja sehen.

Wieso weiß Minecraft mein Passwort?

🙂

98% der Hacker tragen gar keine Skimasken, hat der Postillon festgestellt. Und CDs mit Raubkopien sind vermutlich auch nicht mit „Raubkopie“ beschriftet. Erschreckend. Ich glaube die Tagesschau hat mich die ganze Zeit angelogen.

Das Problem ist seit Jahren bekannt: Egal von welcher der vielen Download-Seiten man ein kostenloses Programm runterlädt, bei der Installation wird man bei jedem zweiten Programm gefragt ob man eine dieser vielen ekeligen Toolbars für den Browser mitinstallieren möchte, die keinerlei nützliche Funktionen für den Anwender haben aber die Startseite und die Suchmaschine verändern, das Surfverhalten des Benutzers ausspionieren und ansonsten bei jeder Gelegenheit mit Werbung nerven. Der erfahrene Computernutzer weiß das inzwischen aber ich habe mindestens schon zehn mal bei meinen Eltern die Google-Toolbar, dioe Yahoo-Toolbar, die Ask-Toolbar und ich weiß nicht was noch alles für Dreck deinstallieren müssen. In der Regel bekommen die Softwareentwickler Geld von den Toolbar-Herstellern aber manchmal steckt das Geld auch der Downloadseiten-Betreiber ein und der Softwareentwickler weiß gar nichts davon.

Fyodor, dem Entwickler von Nmap ging es jetzt so. Er hat Beschwerden von Nutzern bekommen die Nmap von C|Net heruntergeladen haben anstatt direkt von nmap.org und sich dabei eine StartNow-Toolbar eingefangen haben die ihre Startseite austauscht und Microsoft Bing als Suchmaschine einstellt. Fyodor ist entsprechend sauer:

„We’ve long known that malicious parties might try to distribute a trojan Nmap installer, but we never thought it would be C|Net’s Download.com, which is owned by CBS! And we never thought Microsoft would be sponsoring this activity!“

Um echte „Malware“ im Sinne der meisten Virenscanner handelt es sich bei der Toolbar natürlich nicht auch wenn Panda, McAfee und F-Secure Alarm schlagen. (Ich vermute wegen einer Heuristik die einen Binary-Wrapper erkennt). Aber unfreundlich ist das eben schon. Nicht umsonst verbietet beispielsweise Microsoft, Patches auf anderen Webseiten zum Download anzubieten. Und wie Fyodor meint ist das auch ein Verstoß gegen seine Markenrechte an Nmap.

Ich rate sowieso jedem, Dateien immer möglichst vom Originalanbieter herunterzuladen. Und auf keinen Fall irgendwelche Toolbars zu installieren. Nmap good. Toolbar bad.

Darauf hat mich eben ein Kollege aufmerksam gemacht:

Im aktuellen Gartner Magic Quadrant for Enterprise Network Firewalls ist Juniper Networks aus dem Leader Quadranten rechts oben rausgefallen und nur noch Check Point und Palo Alto übrig. Fortinet hat Juniper fast überholt und SonicWall und Stonesoft sind auch wieder nahe am Leader.

Ich bin ja ein wenig überrascht. Weniger, dass Juniper rausgeflogen ist als dass Palo Alto da jetzt alleine mit Check Point drinsteht. Juniper hat noch ein paar Probleme mit der SRX, die ist noch nicht so schön bedienbar wie man das von einer Firewall erwartet und vor allem beim zentralen Management vieler Firewalls muss noch was passieren. Ich glaube mit dem NSM ist niemand so wirklich glücklich. Mein persönlicher Eindruck von Palo Alto wiederum ist zwar, dass man da ein sehr sehr mächtiges Produkt hat, das aber so komplex ist, dass das höchstens ein Full-Time Administrator bedienen kann. Und den haben halt nicht alle Unternehmen. Aber vielleicht ist die Gartner-Meinung ja, für Enterprise Firewalls gibt es immer einen dedizierten Administrator. Oder Palo Alto ist eigentlich doch ganz einfach zu konfigurieren und ich habe das nur falsch eingeschätzt. Die Erfahrung mit Palo Alto fehlt mir leider.

Interessant, auf welche Ideen manche Hacker kommen. Die Jungs von Foofus haben mit der Printer Pass-Back Attacke einen Angriff entwickelt, bei dem ein Drucker dazu gebracht wird, LDAP oder SMB Zugangsdaten an den Angreifer zurückzusenden. Mit diesen Daten kann man dann gegebenenfalls auf andere Ressourcen zugreifen.

Der Trick besteht im Kern darin, bei einem Drucker dessen Benutzer sich gegen einen LDAP-Server oder eine Windows Domäne authentisieren müssen, eine Konfigurationsänderung unterzujubeln bei der die Authentisierungsparameter erhalten bleiben, jedoch an einen anderen (unseren) Server geschickt werden. Voraussetzung ist, dass die Administrationsseiten des Druckers nicht geschützt sind oder die Zugangsdaten erraten oder abgehört werden können. Ob das ein realistischer Angriff ist bleibt dahingestellt, vermutlich sind deutsche Administratoren paranoider als amerikansiche und setzen deshalb mehr Passwörter. Aber probieren kann man das ja.

Details bei Foofus

Anmerkung: Einige Drucker erlauben es sogar, LDAP- und SMB-Konfigurationen mittels SNMP auszulesen. Auch das ist eigentlich immer einen Versuch wert.

Ein paar Links auf Veröffentlichungen der Medien zum Staatstrojaner, wie das böse Teil jetzt offiziell heißt.

Heise

• CCC knackt Staatstrojaner
• CCC entlarvt Bundestrojaner und Sicherheitspolitik

Zeit

• CCC enttarnt Bundestrojaner
• Überwachungstrojaner kommt aus Bayern
• Denn die Behörden wissen nicht, was sie tun

Frankfurter Allgemeine

• Der deutsche Staatstrojaner wurde geknackt
• Code ist Gesetz
• Anatomie eines digitalen Ungeziefers
• Hauptsache wir können überwachen?
• Außer Kontrolle

Süddeutsche Zeitung

• Hacker knacken den Bundestrojaner
• Hacker entlarven Staatstrojaner als gefährlich und dilettantisch
• Staatstrojaner ist ein Bayer

Spiegel Online

• Programmierter Verfassungsbruch
• CCC findet Sicherheitslücken in Bundestrojaner

Wenn ich Zeit finde wird die Liste gerne noch erweitert.