Mitternachtshacking

Microsoft beispielsweise. Erst mault der Softwarehersteller ständig über Full Disclosure, d.h. wenn Sicherheitslücken komplett für jeden zugänglich veröffentlicht werden (weil die bösen Hacker die Informationen ja auch lesen können), jetzt mault der Softwarehersteller über “Null Disclosure”, d.h. über Firmen die auf gefundenen Sicherheitslücken sitzenbleiben und Details nur gegen bares rausrücken.

Tja liebes Microsoft. Wer auf soviel Cash sitzt wie ihr muß vielleicht selbst mal ein vernünftiges Bounty-Programm (”Prämien für gefundene Sicherheitslücken”) aufsetzen. Dann klappt es auch wieder mit dem “Responsible Disclosure”, d.h. außer dem Hersteller erfährt sonst niemand von der Lücke. Denn ganz ehrlich, Fehlersuche ist harte Arbeit geworden. Die Zeiten als man mit einem billigen selbstgebastelten Fuzzer noch wahre Exploitorgien finden konnte sind lange vorbei. Viele dieser Tests machen die Softwarehersteller inzwischen selbst.

Ob der Weg von VUPEN allerdings richtig ist, erst nach Lücken zu suchen und dann den Softwareanbieter unter Druck zu setzen entweder er zahlt oder die Lücken werden anderweitig veröffentlicht, muß ich allerdings bezweifeln. Und da kann ich wiederum Microsoft gut verstehen, die sich in diesem Fall vermutlich direkt erpresst vorkommen und fürchten für umfangreiche weitere Erpressungen die Tür zu öffnen.

Auf jeden Fall bleibt es spannend.

Und mal wieder ist eine fehlerhafte Implementierung von RC4 dran schuld. Wie bei WEP. Eigentlich spannend, dass man mit einem popligen Verschlüsselungsalgorithmus den Bruce Schneier schon in Applied Cryptography abgedruckt hat so viel falsch machen kann.

Wenn man mit einem frisch installierten Firefox beispielsweise die Webseite des CCC aufruft, bekommt man diesen lustigen Zertifikatsfehler:

Der Grund ist bekanntlich, daß die Zertifizierungsstelle CACert im Browser nicht als vertrauenswürdige CA enthalten ist.

Einige Browserhersteller liefern deshalb auch CA-Aktualisierungen aus. Microsoft beispielsweise stellt immer wieder mal über Microsoft Update eine Aktualisierung der Zertifizierungsstellen (”Update der Stammzertifizierungsstellen”) bereit. Ich kucke meistens dann auch, wer da alles neu drin steht.

Meines Wissens (ich lasse mich aber gerne eines besseren belehren) verlangt Microsoft, um in die Liste der vertrauenswürdigen Zertifizierungsstellen aufgenommen zu werden, die Erfüllung mehrerer Voraussetzungen:

• Eine Vereinbarung mit Microsoft (Microsoft CA Agreement)
• Mind. 2048 Bit Schlüssellänge, mind. SHA-1 Hashalgorithmus, min. 8 Jahre gültig, höchstens bis 2030
• CRL Distribution Point Extension, d.h. eine CRL muß bereitgestellt werden
• Eine dokumentierte Policy (Certificate Practice Statement, CPS)
• Ein erfolgreich bestandenes Audit, typischerweise nach
  • WebTrust for Certificate Authorities v1.0 or later, durch einen lizensierten WebTrust for CAs Auditor
  • ETSI TS 101 456 v1.2.1 or later
  • ETSI TS 102 042 V1.1.1 or later
  • ISO 21188:2006, “Public key infrastructure for financial services — Practices and policy framework”, ebenfalls durch einen lizenzierten Auditor
• Außerdem habe ich mal gehört, daß Microsoft dann noch so ca. 50.000 USD haben möchte, für den ganzen Aufwand

In den Auditregeln stehen insgesamt ganz schön viele  Anforderungen drin. CACert beispielsweise wird von Microsoft nicht aufgenommen, alleine weil die vermutlich die geforderten Kosten für Audit und RootCA-Zertifikatsverteilung nicht bezahlen können. Bei einigen Antragstellern scheint es Microsoft mit den Regeln auch nicht ganz so genau zu nehmen. Beispielsweise muß man das CPS der Cisco Root CA im Internet suchen. Im Zertifikat ist der Link dahin leider nicht enthalten.

Was mir aber langsam Sorgen macht, sind die vielen Regierungs-CAs die als vertrauenswürdige Zertifizierungsstellen im Internet Explorer (und anderen Browsern mit Verzögerung) auftauchen. Hier beispielsweise die Liste cer CAs die mir beim Durchsehen des aktuellen IEs aufgefallen sind:

• CN = AC RAIZ DNIE, OU = DNIE, O = DIRECCION GENERAL DE LA POLICIA, C = ES
• OU = Application CA G2, O = LGPKI, C = JP (Japanese Local Government)
• OU = ApplicationCA, O = Japanese Government, C = JP
• CN = Common Policy, OU = FBCA, O = U.S. Government, C = us
• CN = ComSign, O = ComSign CA, C = IL
• O = Government Root Certification Authority, C = TW
• CN = GPKIRootCA, OU = GPKI, O = Government of Korea, C = KR
• CN = IGC/A, OU = DCSSI, O = PM/SGDN, L = Paris, S = France, C = FR (Secrétariat Général de la Défense Nationale)
• OU = MPHPT Certification Authority, OU = MPHPT, O = Japanese Government, C = JP
• CN = Root CA, OU = GPKI, O = Government of Korea, C = KR
• CN = Root CA Generalitat Valenciana, OU = PKIGVA, O = Generalitat Valenciana, C = ES
• OU = sigov-ca, O = state-institutions, C = si
• CN = Staat der Nederlanden Root CA, O = Staat der Nederlanden, C = NL
• CN = VRK Gov. Root CA, OU = Varmennepalvelut, OU = Certification Authority Services, O = Vaestorekisterikeskus CA, S = Finland, C = FI

Bei Firefox ist das nicht anders. Mozilla (Kathleen Wilson) selbst sagt dazu:

“Mozilla has included many root certificates that are operated either by actual government agencies or by organizations that are government sponsored. We do not have a policy against accepting government sponsored CAs into our program.”

Bei der Aufnahme bzw. dem späteren Rauswurf von CNNIC, einer (möglicherweise staatlich kontrollierten) chinesischen Zertifizierungsstelle gab es bei Mozilla riesige Diskussionen. Die spanische Polizei kann aber inzwischen genauso Man-in-the-Middle Angriffe mit gültigen Zertifikaten auf beliebige SSL-Verbindungen durchführen. Und ich bin sicher, die eine oder andere scheinbar harmlose Organisation im Browser die nicht auf meiner Liste steht, wird von irgendeinem Geheimdienst kontrolliert.

Im Ergebnis habe ich folglich im Browser inzwischen fast 300 RootCA-Zertifikate von rund 100 Zertifizierungsstellen. Welche davon staatlich kontrolliert sind, welche davon tatsächlich vertrauenswürdig sind und welche böse, ist für mich nicht mehr überschaubar. Die Regeln Microsoft, Mozilla und Co. helfen wie oben gesehen leider nicht weiter. Ich denke, ich werde demnächst meine eigene Liste “Mitternachtshacking traut diesen CAs” veröffentlichen und alle anderen aus meinem Browser rauswerfen. Tatsächlich stammen alle SSL-Zertifikate der von mir genutzten verschlüsselten Verbindungen aus den letzten drei Monaten von lediglich 8 Zertifizierungsstellen, sagt Certificate Patrol. Die anderen 92 können folglich raus.

Ich mag das iPhone ja auch nicht, aber das ist wirklich lächerlich.

“Zur selben Zeit beschränkte Microsoft seine Bestimmung für die Übernahme der Netzwerkbetreibergebühren für Mitarbeiterhandys ausdrücklich auf Endgeräte mit Windows Mobile beziehungsweise das Nachfolgerprodukt.”

Ich frage mich ob das nach deutschem Recht überhaupt zulässig ist …

Patenttrolle? Bill Gates und Steve Jobs!

“Gates claimed right off that Microsoft “owned the office productivity market” and Openoffice needed to pay the Vole lots of cash in royalties. Bill told Schwartz that he was happy to “get you under license” so Sun would have to pay Microsoft for every download of Openoffice. However Schwartz was apparently ready for this and pointed out that .NET was clearly trampling all over a lot of Java patents.”

Die Rückkehr der Datenleichen

“Seit einigen Wochen geistert die Idee eines Datenbriefs durchs Internet und durch die Presse. Jeder Bürger soll einmal im Jahr von Behörden und Unternehmen informiert werden, welche Daten dort über ihn gespeichert sind.” Und das kann unter Umständen interessante Folgen haben.

Der Bund der Deutschen Kriminalbeamten ist konsterniert

“Bemerkenswert an der Pressemeldung ist aber nicht nur die Schadenfreude, die sie erzeugt. Bemerkenswert ist die ehrliche Furcht ihres Autors, daß sich etwas ändert in Sachen Grundrechte, daß man der Polizei eben nicht mehr jeglichen erdenklichen Kredit schenkt. Es ist nicht nur Pressemeldungsbefindlichkeitsanzeige: Man ist wirklich konsterniert.“

schreibt u.a. Golem.

Alle 90 Tage lädt das Microsoft-SWAT-Team (für Secure Windows Activation Technologies) ein neues Patternupdate und wen dem was an der Windows-Installation nicht gefällt, dann ist die boooom nicht mehr aktiviert. Ich bin sicher, das mit den Pattern funktioniert genauso zuverlässig wie die Patternupdates bei McGorilla, Bierdefender oder GehtDaten. Aber das deckt sich mit dem amerikanischen Rechtsverständnis. Erst tasern, dann fragen.

Ich wünsche mir ja, daß irgendein Virenautor so einen Exploit auf die Systeme bringt um damit großflächig das Internet abzuschießen. Wie früher der AOL Hoax. Hat auch viele Deppen vom Internet ferngehalten. Ich würde sogar dafür bezahlen! Aber leider ist ein kaputter Rechner kein guter Botnet-Rechner. Darum mache ich mir wenig Hoffnung, daß die Russenmafia so eine Schadprogramm unter die Windows-User bringt.

Ach ja, der kluge Mensch lehnt die Installation natürlich ab. Sie ist im Grunde freiwillig. Nur erzählt einem Microsoft gerne was vom Pferd und dem Weltuntergang, wenn man das Zeug nicht installiert. Ich bin ja gespannt, ob man die wieder deinstallieren kann. Microsoft behauptet ja. Bei WGA und der Windows Genuine Notification ging’s nicht. Wahrscheinlich lügt der Microsoft-Pressesprecher und redet sich hinterher mit Fehlinformation raus.

Also nichts neues. Seufz.

Wir haben einen neuen Toaster in der Firma bekommen. Und was schreibt die Kollegin:

Bitte aktiviere SNMP, damit ich den Toaster remote managen kann.
Community string = verkohlt

http://msdn.microsoft.com/en-us/library/aa914975.aspx

Bill Gates findet, die chinesische Zensur ist doch ganz ok. Microsoft löscht aus Bing natürlich alles, was die Chinesen da nicht drin haben wollen. Immerhin sei die Zensur ja umgehbar. Hauptsache das Internet floriert (und Microsoft kann ganz viel Geld verdienen). Ok, das in Klammern hat er jetzt im Interview nicht gesagt aber ich ich konnte den Gedanken in seinem Hirn förmlich hören.

Man muß sich eben entscheiden, ob man in einem Land wie China Geschäfte machen will oder lieber seinen Grundsätzen und seiner Moral treu bleibt. Aber ok, es macht keinen Sinn das einem Herrn Gates erklären zu wollen. Gier frisst meistens das Hirn.

Viel spannender finde ich ja die Frage, warum Google so einen Aufstand veranstaltet. Der Grundsatz “do no evil” kann’s jedenfalls nicht sein. Eher dürfte die Ursache sein, daß Google in China kein Geld verdient aber einen eleganteren Grund sucht, das Verlustgeschäft dort aufzugeben. Und da kommt die Zensur natürlich ganz recht. Wenn die Chinesen das Büro von Google in China zumachen, sind die Chinesen die bösen, nicht Google. Und im günstigsten Fall braucht Google nicht mal eine Abfindung zu zahlen. Sie waren’s ja schließlich nicht.

Ich bin mal gespannt, was da noch rauskommt.

AV-Test.org die Firma von Andreas Marx sagt, Morro, der neue Virenscanner von Microsoft schlägt sich besser als erwartet:

“Our set included 3,194 common virus, bot and worm samples from the most recent WildList 05/2009, released about one week ago. All files were properly detected and treated by the product. […] We’ve also tested the product against a large set of false positives, but none of the clean files were flagged as being malicious - very good.”

Na mal sehen. Immerhin ist das nach dem Virenscanner in MS-DOS 5.5 und dem inzwischen aufgegebenen OneCare schon mindestens der dritte Versuch von Microsoft, in den AV-Markt einzusteigen.

Ich denke, ich bleibe privat lieber bei meinem bewährten Avira AntiVir. Da kenn ich die Stärken und Schwächen und vor allem, es ist keine Microsoft Software die mein Microsoft System schützt.

(via The Register)

Microsoft nutzt die Early Adopter von Windows 7, um damit auch das Verteilen von automatischen Updates zu testen. Im Grunde ist dagegen nicht viel einzuwenden. Wer sich eine Windows 7 Beta installiert und die Lizenzbedingungen gelesen hat, weiß das. Außerdem weißt Microsoft im eigenen Blog darauf hin.

Interessant finde ich allerdings folgenden Satz:

“Many of the updates will install automatically, and a few will not.”

Zu deutsch: Die Updates installieren sich völlig automatisch, der Anwender wird gar nicht mehr gefragt, egal wie er Windows Update eingestellt hat. Und wenn das ein Test für das ist, was Microsoft mit den Updates in Zukunft vor hat, kann man damit rechnen, daß viele Anwender die Updates lieber wieder komplett deaktivieren oder gar blockieren.

Und da verstehe ich Hersteller wie Microsoft nicht mehr. Wie kann man eigentlich so doof sein, das Vertrauen in eine derart wichtige und kritische Infrastruktur durch solche Maßnahmen zu untergraben? Vor allem, wenn das nicht zum ersten Mal für Kritik sorgt.

(via The Inquirer)