Mitternachtshacking

Bing ist online. Soso. Mit Bing will Microsoft angeblich die Vormachtstellung von Google im Bereich der Internetsuche angreifen (schreibt Golem). Soso. In der Version für Deutschland bietet Bing aber keine Möglichkeit, den Jugenschutzfilter abzuschalten (schreibt Heise). Soso.

Ich hab dann mal ein wenig rumgespielt.

Tatsächlich, genau wie Heise schreibt kommt mir doch da der Jugendschutzfilter dazwischen und ich finde auch keinen Menüpunkt den abzuschalten (ok, ich habe mich jetzt nicht angemeldet aber wer würde das für eine simple Suche auch tun?).

Egal, Sex ist eh langweilig. Es geht schließlich auch konkreter:

Und schon kommen die Ergebnisse. Geiler Sex ist nämlich besser als langweiliger Blümchensex (der übrigens auch nicht gesperrt wird). Da fällt mir nur noch “Idioten” ein:

“Sie suchen Idioten? Kaufen.eBay.de/jetzt-bestellen”. War mir aber eigentlich auch vorher klar, daß sich die Idioten bei Ebay rumtreiben. Schauen wir mal, was die Politik so macht:

“Suchen Sie Spd? www.Shopping.com”. Auch logisch. Die SPD hat sich ja schon unter Schröder verkauft. Mal sehen ob das die Piratenpartei besser macht:

Ich glaube, die Piratenpartei hat da noch ein Profilproblem. Jedenfalls zeigt die Werbung auf “Piratenparty” und nicht auf die Partei. Ich hoffe zwar, daß die Piratenpartei nach der Europawahl einen Grund zur Piratenparty hat aber so war das nicht gedacht.

Spannende Frage: Wo kommen eigentlich die “falschen” Werbebegriffe her? Passt Bing die automatisch an, um bei Tippfehlern mehr Werbung verkaufen zu können? Hier ein weiteres Indiz:

Bei der Suche nach “ebay” wird in der zweiten Werbezeile auch Shopping.com mit dem Begriff “ebbay” eingeblendet. Sehr clever. Weil Bing mehr Werbung einblenden will um mehr Werbung verkaufen zu können, werden auch ähnliche Begriffe verwendet und Shopping.com vermeidet es so, den geschützten Begriff ebay zu verwenden.

Allerdings geht mir das automatische korrigieren von Bing ein wenig zu weit. Wenn man beispielsweise nach “bsi” sucht:

Dann wird aus dem zweiten Link “BSI für Bürger” bei Bing ein “BSI für Bürgen” und Bürger sind dann doch noch etwas anderes als Bürgen. Ich konnte übrigens nirgends auf der BSI-Seite den Begriff “Bürgen” finden, den muß Bing da reingepfuscht haben.

Und jetzt wird es für mich schwierig. Eine Suchmaschine darf meinetwegen ihre Ergebnisse nach diversen undurchsichtigen Kriterien gewichten. Entweder sie zeigt an was ich suche oder nicht, dann suche ich woanders. Eine Suchmaschine darf meinetwegen auch noch bestimmte Ergebnisse filtern die nicht jugendfrei sind. Ich fühle mich dann zwar nicht mehr zur Zielgruppe gehörig aber das muß der Betreiber der Suchmaschine für sich entscheiden, ich suche dann halt woanders. Eine Suchmaschine darf meinetwegen auch Werbung mit falschen Stichwörtern einblenden. Das ist mir egal, wird eh meistens ausgeblendet. Oder ich suche eben woanders.

Wenn aber eine Suchmaschine anfängt, nicht mehr die Originalinhalte der Webseite auszugeben sondern intern irgendwas interpretiert und dann eindeutig fehlerhafte Ergebnisse rauskommen … dann ist das keine Suchmaschine mehr, noch nicht einmal Beta, das erinnert mich schon sehr an einen Zensurfilter.

Ich weiß nicht, was die Verantwortlichen bei Microsoft sich da gedacht oder zusammenprogrammiert haben, aber so wird’s nun wirklich nichts mit einer Suchmaschine!

Frage: Weiß eigentlich jemand, was aus folgenden abstrusen Patentideen geworden ist?

• Microsoft patentiert proaktiven Virenschutz
• US-Start-up will Patches patentieren

und wie ist eigentlich der Stand bei Sender ID, dem Anti-Spam Standard, den Microsoft mit der unterschwelligen Drohung von Patenklagen vorsätzlich an die Wand fahren hat lassen? Da habe ich auch schon ewig nichts mehr gehört.

Irgendwie scheint das alles in der Versenkung verschwunden zu sein. Oder warten alle, ob es dem Europäischen Patentamt (EPA) doch noch gelingt, Softwarepatente in der EU einzuführen? Schade eigentlich, daß man diese ganzen staatlichen Organisationen die sich nicht an geltendes Recht halten nicht als kriminelle Vereinigung einstufen kann. Dann wären das EPA aber beispielsweise auch das BKA schnell verboten.

Microsoft verklagt TomTom wegen der Verwendung des FAT-Filesystems (das Microsoft mit Trivialpatenten aus der untersten Schublade in den USA hat schützen lassen) im Linux-Kernel.

Natürlich geht es nicht um TomTom. Das ist lediglich ein europäisches Unternehmen, das Linux einsetzt und gerade rote Zahlen schreibt. Daher dürfte eine Einigung recht schnell erledigt sein. Eine Lizenzierung der FAT-Patente ist für TomTom billiger als ein gewonnener Rechtstreit, weil der Anwalt nicht umsonst arbeitet und so oder so nur ein Teil der Kosten vom Gegner ersetzt werden müssen. Praktisch geht es Microsoft ganz offensichtlich darum, in einer Reihe von einfachen und billigen Prozessen die Anerkennung ihrer Patente zu erreichen. Und wenn das geschehen ist, kann man zum Rundumschlag gegen Linux, Free-/Open-/NetBSD und alle anderen freien Betriebssysteme ausholen (ausgenommen vielleicht Minix, aber das hat eh keinen praktischen Nutzen).

Ich hatte ja schon auf etwas ähnliches gewartet, nachdem die Taktik von Microsoft, den Strohmann SCO vorzuschicken gescheitert ist.

Gartner erzählt uns, was Microsoft gerade alles falsch macht, mit Vista und allgemein:

• Durch die große Komplexität von Windows, auch bedingt durch die Abwärtskompatibilität lassen sich Neuerungen nur schwer implementieren (z.B. Datenbankfilesystem)
• Windows (Vista) benötigt einfach zu viele Ressourcen und ist ineffizient, z.B. auf kleinen Surfstationen wie dem Asus EEE
• Der Trend zu Webanwendungen läßt weniger Nutzer tatsächlich komplette Office-Suiten benötigen

dafür berichtet IDC, was Linux alles richtig macht:

• Linux hat bisher alte Unix-Systeme verdrängt und sich als stabil erwiesen
• In der Folge hat sich Linux als geeignet für Geschäftsanwendungen erwiesen
• Die Linux-Entwickler denken inzwischen auch mehr über die Nutzung von Linux außerhalb ihres Elfenbeinturms nach

Oder wie der Inquirer schreibt: sie müssen nur noch auf die wirren Namen wie Gutsy Gibbon und Loquacious Lemur verzichten.

Ich bin ja gespannt, wie lange es noch dauert bis die großen kriminellen Hackergruppen sich intensiv um Betriebssysteme wie Linux oder diverse xBSD kümmern.

Eben auf SecurityFocus gesehen:

Schon krass …

Die Süddeutsche Zeitung hat gerade ein Internet-Quiz, mit lustigen Fragen und einfachen Antworten. Dadurch wird zwar keine Personal Firewall installiert und der Rechner auch nicht auto-magisch gepatcht aber man fühlt sich doch gleich viel besser. Und die Antworten sind wirklich so einfach, da muß man einfach alles richtig haben.

1. Was sind Trojaner?
2. Was sind Script Kiddies?
3. Hacker greifen missliebige Gegner gerne mal mit DoS-Attacken an. Was steckt dahinter?
4. Klauen Cyberkriminelle über gefälschte WWW-Adressen Kontodaten, nennt man das?
5. Was ist eine Salami-Attacke?
6. Welche einprägsame E-Mail-Betreffzeile hatte der Computerwurm, der 2000 weltweit Schäden in Milliardenhöhe anrichtete?
7. Die drei beliebtesten Passwörter der Deutschen sind?
8. Was ist ein Betatest?
9. Woran erkennt man eine nach dem Sicherheitsstandard SSL (”Secure Socket Layer”) verschlüsselte Website?
10. Was Spam-Mails sind, wissen inzwischen alle. Aber was sind Junk-Mails?

Ok, wenn es keine drei Antworten zur Auswahl gäbe, müsste man gelegentlich ein wenig darüber nachdenken. Aber so … eigentlich sollte man eher sowas fragen:

1. Wie sieht ein sicheres Passwort aus?
2. Wie stellt man als Anwender sicher, daß man immer die neusten Patches und Updates auf seinen Rechner bekommt?
3. Wie installiert und konfiguriert man einen Virenscanner um sich vor Schadprogrammen zu schützen?
4. Wie richtet man seine Personal Firewall so ein, daß Angriffe aus dem Internet zuverlässig abgewehrt werde?
5. Wie identifiziert und entfernt man Adware und Spionagesoftware vom Rechner?
6. Wie installiert man Firefox und wichtige Add-ons wie NoScript und Adblock Plus?
7. Wie konfiguriert man den Webbrowser so, daß man gefahrlos im Internet surfen kann?
8. Woran erkennt man Phishing-Webseiten im Internet?
9. Wie schützt man sich vor Spam und anderen unerwünschten Mails?
10. Wie schützt man seine persönlichen Daten und seine Privatsphäre bei der Nutzung des Internets?

Das würde dann auch die Überschrift rechtfertigen. Aber so viel wie man für das Quiz klicken muß, da geht es nur noch darum, die Klickzahlen hochzutreiben und nicht darum, wertvolle Informationen zu liefern. Eigentlich traurig bei einem Qualitätsmedium wie die Süddeutsche Zeitung.

Nachtrag:

Wenigstens ist für ein wenig Microsoft-”Vista ist ganz sicher”-Propaganda und die “klick Dich durch die Microsoft-Flops”-Liste noch Zeit.

Hihi, entgegen der eigenen Policy hat Microsoft sich geweigert, den Entdecker der MS08-011 Lücke im Advisory namentlich zu erwähnen.

Zum Hintergrund, für IT-Security-Forscher ist es recht interessant, in solchen Advisories erwähnt zu werden, da dadurch die eigene Bekanntheit und so der Marktwert steigt. Allerdings beschränkt Microsoft die Nennung auf Forscher, die sich dem “Responsible Disclosure” Programm von Microsoft angeschlossen haben. Daran halten sich jedoch nicht alle Unternehmen, da Microsoft sich dann gerne mal mehrere Monate Zeit läßt, eine kritische Lücke zu schließen.

Jedenfalls hat sich der Entdecker von MS08-011 an alle Prozeduren gehalten und via iDefense die Lücke an Microsoft berichtet (via iDefense weil dann kriegt man noch etwas Geld dafür). Und die Antwort:

“Unfortunately, Microsoft has refused to credit you using the name you requested.”

Tja, wenn man sich auch chujwamwdupe nennt

Ich sag ja … responsible disclosure lohnt sich nicht. Einfach den Exploit veröffentlichen und gut ist. HD Moore ist so auch bekannt geworden.

Microsoft hat den Windows Home Server verkackt. Das Problem tritt anscheinend auf, wenn Dateien durch eine der folgenden Anwendungen auf dem Windows Home Server abgespeichert werden:

• Windows Vista Photo Gallery
• Windows Live Photo Gallery
• Microsoft Office OneNote 2007
• Microsoft Office OneNote 2003
• Microsoft Office Outlook 2007
• Microsoft Money 2007
• SyncToy 2.0 Beta

Nun gut, daß sich Microsoft Windows mit nichts anderem verträgt ist ja nichts neues, aber das sich Microsoft Windows mit dem eigenen Microsoft Office nicht mehr verträgt ist besorgniserregend. Angeblich ist nur der Windows Home Server betroffen aber da der wiederum stark auf Windows Server 2003 basiert muß man sich doch Gedanken machen. Und nein, wer seine Daten freiwillig einem Microsoft Betriebssystem überläßt ist nicht automatisch selber schuld. Die Jungs aus Redmond nehmen eine Schweinekohle für ihre Software, da sollte man zumindest die Qualität eines OpenSource-Betriebssystems erwarten können.

Ich habe ja so den Verdacht, daß die Code Qualität bei Microsoft aktuell ganz stark nachläßt. Aber da hilft vermutlich nur warten:

40 Jahre 114 Tage 5 Stunden 44 Minuten 47 Sekunden … cool

Microsoft läßt keine Schweinerei aus, um diesen völlig unbrauchbaren und nicht implementierbaren Scheinstandard OOXML doch noch mit Gewalt zum Standard zu erklären. Aktuell fährt Microsoft offensichtlich zweigleisig. Einerseits versucht der Konzern die strittigen Fragen in OOXML gar nicht zu beseitigen sondern lediglich in einen “optionalen” Anhang zu verfrachten, was das Implementierungschaos nur vergrößern würde. Gleichzeitig versucht Microsoft die ISO durch massive Lobbyarbeit so umzugestalten, daß statt einer internationalen Standardisierungsorganisation nur noch ein Herstellerkonsortium für wichtige Standards verantwortlich wäre. Beides dient nur den kommerziellen Interessen eines Fast-Monopolisten und schadet uns allen.

Ich wünsche mir ja für Deutschland die gleiche Konsequenz wie in Norwegen:

• HTML should be the primary format for publication of public information on the Internet.
• PDF (1.4 or newer, or PDF/A - ISO 19005-1) is compulsory when you wish to preserve the original layout of a document.
• ODF (ISO/IEC 26300) must be used when publishing documents that are meant to be changed after downloading, eg. forms that are to be filled in by the user.

Das gibt jedem Bürger die Möglichkeit, mit kostenfreien einfach zu bedienenden Programmen (z.B. OpenOffice auf Knoppix) am Internet und am eGovernment zu partizipieren. eGovernment darf nicht nur für “Vermögende” möglich sein, die sich Microsoft Vista und Office leisten können und wollen. Aber … mal ehrlich … kann man eine so bürgernahe, nützliche und ungeschmierte Entscheidung von unseren Politikern erwarten?

Deshalb hier der Aufruf: Unterstützt NoOOXML mit dieser Petition!

Post-Exploitation, d.h. die effiziente Datensammlung von gehackten Systemen wird immer wichtiger, da in den nächsten Jahren insbesondere bei Windows weniger Lücken und Exploits zu erwarten sind. Luke Jennings hat sich in seinem Vortrag (bereits auf der Defcon 15 gehalten (PDF)) daher mit Windows Access Token beschäftigt. Diese Token werden von Windows für praktisch alles verwendet, angefangen von Zugriffsrechten auf Dateien bis hin zu den Rechten mit denen Prozesse gestartet werden und ob sich ein Benutzer anmelden darf.

Mit einem fremden Token sind daher interessante Angriffe möglich, vom Datendiebstahl über Impersonation bis zur lokalen und domainweiten Rechteeskalationen. In älteren (nicht gepatchten) Windows Systemen gibt es darüber hinaus einen Fehler, daß solche Token nicht komplett gelöscht werden wenn sich ein Benutzer abmeldet. Dieses Token kann mit speziellen Tools wiedergefunden und genutzt werden.

Die Programme find_user und incognito sind von Luke veröffentlicht worden und kann entweder von der Milwaukee Area Defcon Group oder von SourceForge heruntergeladen werden.