Mitternachtshacking

Symantec ist irgendwie auch eine lustige Firma.

Auf der einen Seite weiß ich nie, wie man den Laden eigentlich aussprechen soll. “Sümantek” oder “Simantek” oder “Seimantek” oder wie sonst? Auf der anderen Seite weiß ich nicht, womit die eigentlich ihr Geld verdienen. Security kann es jedenfalls nicht sein. Ok, Symantec hat da einen sogenannten Virenscanner im Angebot. Der bei uns intern “die gelbe Gefahr” heißt. Und angeblich soll der so viele Ressourcen benötigen, dass man alleine deshalb vor Viren und Schadprogrammen geschützt ist, weil man mit dem Rechner eh nicht mehr arbeiten kann. Aus dem Firewall-Markt (SGS, kennt die noch jemand?) hat sich Symantec auch verabschiedet, vermutlich weil die Software-Firma keine Hardware-Logistik stemmen wollte oder konnte. Statt dessen wird halt zugekauft, erst SecurityFocus (platt), dann PGP (mal sehen), jetzt Verisign (oh Gott). Der aktuelle tolle Marketingslogan von Symantec: “The last word in online trust” würde ich jetzt ganz spontan mit “die letzten, denen ich online vertraue” übersetzen.

Gründe dafür gibt es jedenfalls genug. Beispielsweise das von Symantec zur WM 2010 gestartete Portal 2010NetThreats, in dem Besucher kommentieren konnten und praktisch jeder Link in den Kommentaren zu Spam und anderen potentiellen Malware-Seiten zeigt.

Aber vielleicht haben wir das auch einfach nur falsch verstanden und 2010NetThreats ist eine Seite bei der die Bösen im Internet ihre Malware-Seiten registrieren können, damit die nächste Version des Norton 360% CPU-Auslastung Virenscanners sie auch zuverlässig erkennt.Wer weiß das schon.

Ich habe diese Woche am Dienstag in Düsseldorf auf der Hausmesse der Infinigate (IT-Security Distributor) die Keynote gehalten. Mit Wiederholung am 8. Juli in München.

Der Titel ist etwas provokant, im Hinblick auf die vielen Hersteller von IT-Security-Lösungen, die auf dieser Hausmesse ausstellen:

“Der Kampf gegen Hacker, Spam und Viren ist verloren! Das Spamaufkommen steigt seit Jahren kontinuierliche an, neue Spamfilter werden schneller überlistet als sie entwickelt werden können. Die Anzahl und Variabilität von Schadprogrammen wächst ebenso rapide. Gezielt für ein Opfer entwickelte Trojaner überlisten gängige Virenscanner, ganz im Gegenteil werden Scanner selbst Angriffsziel von Hackern. Insgesamt nehmen die Angriffe gegen IT-System weiter zu, die Schäden durch Angriffe und Industriespionage steigen. Die Sensibilisierung von Anwendern kostet immense Summen, der Nutzen bleibt zweifelhaft. In jeder Firma findet sich irgendwo ein Genie, das auf jedes Attachment klickt und sei es noch so verdächtig. Ein Plädoyer für einen neuen Umgang mit Sicherheitsrisiken.”

Im Kern geht es aber um zwei Aussagen, die sich in diesen zwei Schlüsselfolien der Präsentation wiederfinden:

In den meisten Firmen gibt es verschiedene Abteilungen und Gruppen, die neue IT-Systeme in das Firmennetz einbringen. Für Server ist meistens die IT-Abteilung zuständig, für mobile Rechner jedoch oft einzelne Abteilungen die dann Systeme einsetzen die von der IT nicht gewartet werden können (z.B. Mac OS X). Genauso schlimm sind Blackberry oder iPhone, wenn der Betrieb von der Geschäftsleitung verordnet wird ohne sich vorher um Sicherheitsthemen Gedanken zu machen. Warum ist eine Risikobewertung vor Einführung in der großen EU möglich, in einer kleinen/mittleren/großen Firma jedoch nicht?

Die zweite Folie stellt die Frage was zu tun ist, wenn es mal kracht. Jedes Auto hat heute einen Airbag (den ich noch nie gebracht habe). Solange nichts passiert ist der völlig unnötig. Erst nach dem Unfall wird der Airbag notwendig und verringert den Schaden. Seltsamerweise gehen fast alle Unternehmen davon aus, dass in ihren Netzen niemals ein Schaden auftritt, als wäre noch nie irgendwo ein Hacker eingebrochen. Obwohl uns z.B. Hannaford, Google und das Bundeskanzleramt das Gegenteil beweisen. Aber kein einziges Unternehmen das ich kenne hat einen brauchbaren “Airbag” für die IT, also geeignete Maßnahmen zur Schadensbegrenzung.

Ich bin ja mal gespannt, wer sich davon angesprochen fühlt.

Disclaimer: Ich berate beruflich Firmen zu Sicherheitskonzepten, Risikoanalyse und Schadensbegrenzung

Spam für das Social Network

Mit Ping.fm gibt es eine tolle neue Spam-Plattform. Golem schreibt dazu “mit 100 Eingabemöglichkeiten 45 Plattformen ansteuern”. Da kann es nicht mehr lange dauern bis die alle vollgespammt werden. Was für ein Glück, daß ich mich aus diesen asozialen Netzwerken bisher weitgehend fernhalten konnte.

Wer klaut schon Viren?

Anscheinend gar nicht so wenige, wenn man dem Artikel auf The Register glauben darf. Das Trojaner-Bastelkit Zeus kommt inzwischen mit einer hardware-basierten Lizenzverwaltung die ähnlich wie Windows auf einem Activation Key basiert. Damit sollen die teuren Funktionen wie Botnet-Fernsteuerung ($ 4000), Echtzeit-Plünderung mittels Jabber ($ 500), Formulareingaben auslesen in Firefox ($ 2000) und Komplettfernsteuerung des fremden Rechners ($ 10000) geschützt werden. Nice.

Schadsoftware direkt vom Hersteller

Weil wir gerade beim Thema sind: in Spanien hat Vodafone Mobiltelefone mit einer Speicherkarte verkauft, auf dem der Conficker-Wurm schon vorinstalliert war. Zum Glück hat das Telefon eine Mitarbeiterin von Panda Security gekauft. Und zum ganz großen Glück hat der Panda-Scanner das Schadprogramm erkannt und ist nicht in den Wolken steckengeblieben.

Audio Captchas für Schwerhörige

Microsoft hat auch gerade ein Problem mit einem Botnetz, in diesem Fall ist es das Pushdo Spam-Botnetz. Das hat nämlich eine recht effiziente Methode gefunden, die Audio Captchas der Microsoft Live Dienste zu zerlegen. Eine Antwortzeit von nur 10 Sekunden bei 50% Erfolgsquote ist schon krass gut für einen automatischen Dienst, der Postfächer nur anlegt um darüber Spam zu verschicken. Ich finde ja, man sollte das Internet für Blinde verbieten. Dann braucht’s auch keine Audio Captchas mehr.

Frage: Weiß eigentlich jemand, was aus folgenden abstrusen Patentideen geworden ist?

• Microsoft patentiert proaktiven Virenschutz
• US-Start-up will Patches patentieren

und wie ist eigentlich der Stand bei Sender ID, dem Anti-Spam Standard, den Microsoft mit der unterschwelligen Drohung von Patenklagen vorsätzlich an die Wand fahren hat lassen? Da habe ich auch schon ewig nichts mehr gehört.

Irgendwie scheint das alles in der Versenkung verschwunden zu sein. Oder warten alle, ob es dem Europäischen Patentamt (EPA) doch noch gelingt, Softwarepatente in der EU einzuführen? Schade eigentlich, daß man diese ganzen staatlichen Organisationen die sich nicht an geltendes Recht halten nicht als kriminelle Vereinigung einstufen kann. Dann wären das EPA aber beispielsweise auch das BKA schnell verboten.

Kostenloses RBL Monitoring & Quick-RBL-Check von Anexia.

http://rbl-check.org/

Könnte man sich trivial auch selber skripten aber ich bin ja faul.

Ist das nur normaler Spam mit einer Redirection, damit der unbedarfte Leser meint, es handelt sich um eine Google-Seite oder ist das schon Adwords Kilck-Betrug?

Man beachte die URL:

http://www.google.it/pagead/iclk?sa=…&adurl=http://DZLp.holesteam.com?..

Die Seite will mir jedenfalls ganz normal Viagra, Cialis & Co. andrehen. Ich habe keinen Schadcode oder so finden können. Kennt sich zufällig jemand mit Google Adwords aus? Ist da irgendwo ein kleiner Nebenverdienst mit drin?

Ich schrieb schon ein paar mal über Captchas, unter anderem wie man Mathe-Captchas knackt und warum Captchas auf Dauer nicht funktionieren werden. Das war am 8. Februar. Inzwischen sind wir von der Realität überholt worden.

Anscheinend ist auch die letzte Antispam-Bastion gefallen, die Captchas die Google Mail vor den Spammern schützen. Moderne Spambots können inzwischen 20-30% der Captchas korrekt erkennen. Das reicht leicht, um flächendeckend Google Mail Spamaccounts anzulegen. Der Vorteil eines Spammers bei Google Mail ist insbesondere, daß diese Domains noch kaum blockiert werden, da bisher das Spamaufkommen relativ niedrig war. Ganz im Gegensatz z.B. zu Yahoo Mail oder Hotmail. In meinem direkten Bekanntenkreis findet sich niemand, der noch Yahoo Mail oder Hotmail verwendet. Alles was von dort kommt, ist 100% Spam. Beide Domains werden daher von mir inzwischen komplett blockiert.

Interessanterweise scheint sich das Problem noch nicht rumgesprochen zu haben. Da gibt es die Seite PWNtcha, die diverse Captchas dekodieren kann (aber keinen Source Code veröffentlich). Dort ist man immer noch der Meinung, daß es gute Captchas geben kann, die auch in Zukunft funktionieren. Ich widerspreche dieser Ansicht ganz entschieden. Moderne Captchas wie sie z.B. Yahoo einsetzt sind so kompliziert, daß die Erkennungsrate echter Menschen teilweise unter der von Captcha-Dekodern liegt. Da läßt man den Schutz besser ganz weg.

Komplett vernachlässigt wird in der ganzen Diskussion die Barrierefreiheit. Was macht denn ein Anwender, der leider nicht sehen kann? Arschkarte gezogen? Das sollte eigentlich nicht sein. Ich frage mich ja, wann in Amerika die ersten Blindendiskriminierungsprozesse stattfinden, weil sich Blinde bei Google Mail nicht anmelden können.

Ein paar Wirrköpfe glauben zwar noch, das Gelbe vom Ei erfunden zu haben, praktisch steckt aber nur heiße Luft dahinter. Ein Beispiel ist dieser Programmierer, der glaubt durch geschickt benannte Eingabefelder das Spam-Problem zu lösen. Wenn man sich den daraus resultierenden HTML-Code anschaut, dann sind zwar die Formularfeldnamen kodiert, irgendwo muß aber noch eine verständliche Beschreibung stehen denn Menschen müssen die ja auch richtig ausfüllen können.

<tr><td>Name:</td><td><input name=“7f0f3f86b0bcd308584728af6ab2335d” 
style=“width: 200px;” type=“text”></td></tr>
<tr><td>E-Mail:</td><td><input name=“dc7b8fd4bf5bc84ea95ce39b7b625bc5″ 
style=“width: 200px;” type=“text”></td></tr>
<tr><td>Betreff:</td><td><input name=“2d9f7da47a267ae7d2e69e535ec9315a”
style=“width: 200px;” type=“text”></td></tr>

Ich schätze, in etwa drei Minuten kann ich einen kleinen Parser schreiben, der die Texte neben den Eingabefeldern richtig den Formularfeldnamen zuordnet.

Der Autor schreibt übrigens ganz stolz, daß noch niemand sein geniales Verfahren überlistet hat und er seither keinerlei Spamprobleme hat. Das hat einen einfachen Grund. Die Seiten auf denen dieses Verfahren eingesetzt wird sind so unwichtig, daß sich kein einziger Spammer bisher die Mühe gemacht hat, drei Minuten in einen Parser zu investieren. Sobald sich das Verfahren jedoch auf mehr Seiten durchsetzen sollte wird es sofort gebrochen und ist auch gleich wieder verschwunden.

Ich persönlich tendiere ja zu mathematischen Rechenaufgaben. “Berechnen Sie den Cosinus des zweiten Logarithmus der vierten Nullstelle der Riemannfunktion!” oder so wäre z.B. eine Aufgabe die zwei Probleme mit einem Streich löst. Zum einen bleiben die Spammer draußen, zum anderen steigt das Niveau der Kommentare denn die Flachmaten dürften mit dieser Aufgabe leicht überfordert sein.

Aber mal im Ernst … gerade bei Angeboten die sich an die breite Masse richten werden Captchas in Zukunft nicht mehr funktionieren. Für die muß das Captcha so trivial sein, daß es irgendwie noch richtig eingegeben werden kann und das bedeutet, irgendeine Software kann garantiert das gleiche.

Das Problem: Ich sehe keine echte Alternative. Audio-Captchas sind zwar nett aber helfen nicht bei Schwerhörigen, JavaScript-Gelumpe wird mittelfristig auch überlistet, sobald es weiter verbreitet ist (oder die Spammer steuern einfach einen Browser fern). Und dann darf nicht vergessen werden, daß es in China eine Menge Leute gibt die den ganzen Tag vor dem Computer sitzen, World of Warcraft spielen und die gewonnenen Artikel in der realen Welt verkaufen. Die könnten genausogut auch Captchas eingeben.

Ich fürchte wir haben zumindest technisch den Kampf gegen Spam verloren.

dann lohnt sich der Spam nicht.

Eigentlich interessant. Ich krieg vielleicht im Monat eine Spam-SMS auf mein Handy und gelgentlich faxe ich die dann auch an die Bundesnetzagentur. Mehr SMS-Spam scheint sich nicht zu lohnen, eine SMS kostet Geld und die Antwortquote ist garantiert bescheiden.

Hier steht, in China kriegt der durchschnittliche Nutzer 10 Spam-SMS pro Tag. Ich glaube, ich würde den Telefonanbieter verklagen. Vielleicht ist die Idee, ein paar Cent pro Mail zu bezahlen gar nicht so blöd. Oder man läßt sich für das Spam-lesen bezahlen.

Das Anmelden hier und da und dort auf diversen Portalen im Internet ist manchmal eine mühsame Angelegenheit. Da gibt es die einen, z.B. Hotmail, Yahoo Mail aber auch diverse Kommentarfunktionen von Blogs, die mit Captchas arbeiten. Captcha ist die Abkürzung für “Completely Automated Public Turing test to tell Computers and Humans Apart”, auf Deutsch etwa “Vollautomatischer, öffentlicher Turingtest um Computer und Menschen unterscheiden zu können”. Ein Turingtest ist wiederum ein Test der der von Alan Turing aufgeworfenen Frage nachgeht, ob Computer intelligent sein können. Vereinfacht unterhält sich dabei ein Mensch mit einem Computer und wenn die Maschine nicht als Maschine identifiziert werden kann, dann ist der Computer intelligent genug. Die Idee eines Captchas ist also, anhand irgendeines Rätsels automatisiert unterscheiden zu können, ob sich am anderen Ende eines Webinterfaces tatsächlich ein Mensch oder eine Programmroutine befindet. In der Praxis ist der Turingtest eigentlich nicht aussagekräftig aber egal.[*] Und Alan Turing kennen wir, denn das war der geniale Mathematiker, der viele Grundlagen der Computertechnik geschaffen sowie im 2. Weltkrieg die deutsche Enigma geknackt hat.

Zurück zu den Captchas. Hotmail, Yahoo Mail und Co. erlauben es echten Menschen, sich dort anzumelden und eine beliebige Mailadresse zu generieren. Außerdem werden solche Mails von vielen Mailservern angenommen und nicht pauschal verworfen, da sehr viele Leute solche Adressen haben. Für Spammer ist das sehr sehr interessant. Über so große Mailer kann man in kurzer Zeit eine Vielzahl von Spam verschicken wenn man einen Mailaccount hat. Der wird zwar relativ schnell wieder geschlossen, aber dann macht man eben den nächsten auf. Nur dumm, daß die Captchas das verhindern sollen.

Dafür werden die Spammer immer kreativer. Es gib inzwischen eine Vielzahl von Programmen, die Captchas automatisch mittels OCR und diversen Algorithmen erkennen können. Die Seite PWNtcha gibt einen guten Überblick des aktuellen Stands. Die meisten auch für Menschen relativ leicht lesbaren Captchas sind längst berechenbar und die, die nicht berechenbar sind, kriegen die meisten Menschen auch nicht auf die Reihe. Von Barrierefreiheit will ich gar nicht erst reden.

The Register berichtet zur Zeit von einem Trojaner, der sich auf Windows-Systemen einnistet und versucht, einen Windows Live Account anzulegen. Das Captcha wird an einen von den Spammern kontrollierten Server geschickt, dort berechnet und der nötige Eingabetext zurückgeschickt. So werden die Live Accounts unauffällig von vielen verschiedenen IP-Adressen angelegt. Klug ist auch, den Algorithmus zum Captcha-Dekodieren nicht in den Trojaner einzubauen, die Captchas könnten sonst zu leicht angepaßt werden.

Eine andere Variante ist bei Golem zu finden. Dort haben die Spammer ein Strip-Programm geschrieben, das die Captchas lädt, den gierig lechzenden Spanner an der Tastatur das Captcha dekodieren läßt und anschließend damit einen Spamaccount erzeugt. Sehr cool, sowas.

Alles in allem bieten Captchas daher längst nicht mehr den benötigten Schutz und nerven statt dessen immer mehr die Anwender, die Captchas oft erst nach dem dritten oder vierten Versuch richtig entziffern können.

Ãœber den Unsinn von Rechenaufgaben schreibe ich nicht schon wieder.

[*] In der Praxis fallen Menschen sogar auf die dümmsten automatisierten Programme wie Eliza herein. Ich erinnere mich dunkel an ein automatisches Chatprogramm, daß Leute sogar dazu gebracht hat, persönliche Daten bis hin zu Kreditkartennummern und Kontodaten herauszurücken. Es gibt zwar keinen Computer der intelligenter als alle Menschen sind, aber es gibt immer einen Menschen der noch dümmer als ein Computer ist.

Ich geh jetzt Blade Runner kucken, da kommt auch so eine Art Turingtest zur Identifizierung der Replikanten vor

Viele Blogs, insbesondere die mit vielen Kommentierenden und viel Spam benötigen gute Verfahren wie Captchas, um die Spammer außen vor zu halten. Reine Spamfilter wie Akismet, die bei mir und meinem geringen Aufkommen gut funktionieren sind für große Seiten kaum zu gebrauchen, weil das Reporting jedes Spams die Datenbank voll belastet. Robert Basic kann da ein Lied von singen.

Die einfachen und billigen Verfahren funktionieren jedoch auch nicht ganz sauber. So gibt es ein Math-Plugin für Wordpress, das bei der Eingabe eine simple Frage wie “sum of 9+9″ stellt. Die Jungs von Webmaster-Verzeichnis haben sich dazu ein paar Gedanken gemacht. Hier das Ergebnis, 60% der Blogs lassen sich so überlisten.

Grafischen Captchas geht es übrigens nur selten besser.

Ich bleibe erstmal bei Akismet