15. Februar 2011

So sieht das also aus

Category: Internet — Christian @ 18:51

NICHT KLICKEN: http://81.63.144.199/


Tags:
16. August 2010

I Can Stalk You

Category: Datenschutz,Internet — Christian @ 12:00

Nach Please Rob Me, die Daten aus Twitter und Facebook verknüpft um festzustellen welche Leute gerade im Urlaub sind und wo diese wohnen gibt es nun auch noch ICanStalkU.com, eine Webseite die Metadaten wie GPS-Positionen aus Bildern ausliest die irgendwelche Nutzer im Internet hochgeladen haben. Technisch nicht besonders anspruchsvoll aber durchaus interessant.

Nur, wie bei Please Rob Me geht das drei Tage durch die Medien und verschwindet dann wieder. Leider.

(via Basic Thinking)

 


Tags: , ,
17. Juli 2010

DNSSEC in der Rootzone

Category: Internet,Politik — Christian @ 11:53

Soso, in der DNS-Rootzone gibt es also jetzt DNSSEC.

Ich muss mal darüber nachdenken ob das schon direkte Auswirkungen auf die von-der-Laienschen-Stoppschilder hat. Digital signierte DNS-Antworten sollten sich ja nicht mehr fälschen lassen. Oder kann/darf der DNS-Server meines Providers on-the-fly Signaturen fälschen, wenn er die Antwort manipuliert?


Tags: ,
11. Juli 2010

Skype Verschlüsselung Reverse Engineered

Category: Datenschutz,Hacking,Internet — Christian @ 20:32

Die Verschlüsselung von Skype wurde mittels Reverse Engineering aufgedeckt. Auf Details müssen wir noch etwas warten. Die gibt es erst auf dem 27C3 im Dezember in Berlin. Als Basis dient ein recht gewöhnlicher RC4, den Skype ein wenig angepasst hat.

Und jetzt gehen direkt die gegenseitigen Vorwürfe los. Skype wirft O’Neil vor, durch seine Veröffentlichung sei das Spam-Aufkommen massiv angestiegen. O’Neil wiederum behauptet, erst das gestiegene Spam-Aufkommen habe ihn zur Veröffentlichung veranlasst, damit Sicherheitsforscher sich mit der Thematik beschäftigen können.

Und ich sage weiterhin: Finger weg von Skype!


Tags: , ,

Perfect Citizen

Category: Internet,Politik — Christian @ 11:54

Die Bezeichnung „Perfect Citizen“ der NSA für ein Bürgerüberwachungs- und -bespitzelungsprogramm (die NSA bezeichnet es als „Forschungsprogramm“) ist behördlicher Neusprech allererster Güte. Der „Perfekte Bürger“ ist aus Sicht der Behörden schließlich der obrigkeitshörige, verdummte, kritiklos alles mit sich machen lassende Bürger. George Orwell wäre stolz auf diese Verwendung.

Anscheinend bastelt die NSA zusammen mit Raytheon an einem Programm, das potentielle Cyberkriminelle erkennen kann. Der Nachteil: offensichtlich muss man dafür viele Bürger und deren gesamte Kommunikation überwachen, um die Bösen zu finden. Oder wie Raytheon das in einer internen E-Mail bezeichnet: „Perfect Citizen ist Big Brother“. Basic Thinking hat einen ganz netten Artikel zum Thema.

Ich versuche mal ein paar Links zum Thema zusammenzustellen:

Ich kann die Bedenken der Leute gut verstehen. Die NSA möchte zur Erkennung und Abwendung von Cyberangriffen Sensoren in den privaten Netzwerken der Unternehmen installieren. Die befinden sich normalerweise hinter Firewalls und sind daher für die NSA nicht direkt zugänglich. Im Gegensatz zum restlichen Internet, das bei den Providern gut überwacht werden kann. Im ersten Schritt ist die Teilnahme freiwillig und vermutlich werden tatsächlich nur Angriffe wie mit einem IDS analysiert. Aber was ist im zweiten Schritt? Ich kann mit gut vorstellen, dass für alle Anbieter von „kritischer Infrastruktur“ die Teilnahme irgendwann verpflichtend wird und dass spätestens nach dem nächsten Terrorangriff nicht mehr nur Cyberangriffe sondern alle möglichen Daten abgehört und ausgewertet werden.

Und irgendwie erinnert mich das ganze an die Überwachung der Behördenkommunikation durch das BSI.


Tags: , ,
9. Juli 2010

Public Proxy Server

Category: Internet — Christian @ 11:02

Link für mich zur Erinnerung:

Public Proxy Servers

Ich habe keine Ahnung, ob die Server dort vertrauenswürdig sind, die Daten unverändert weiterleiten, von irgendwelchen 3-Buchstaben-Agencies abgehört werden oder was auch immer. Der Link stellt keine irgendwie geartete Empfehlung dar!

Und natürlich würde niemand über einen unverschlüsselten Web- oder Tor-Proxy ein Passwort eingeben, hoffe ich.


Tags:
6. Juli 2010

Auch vorsichtige Surfer surfen gefährlich

Category: Hacking,Internet — Christian @ 22:15

Eine Studie des Antivirensoftware-Herstellers Avast hat ergeben, dass die meisten Webseiten die versuchen, Benutzer mit Schadprogrammen zu infizieren ganz normale Webseiten und keine obskuren Adult- oder Hacker-Seiten sind. Angeblich kommen 99% der Angriffe von eigentlich legitimen aber infizierten Webseiten:

    „HTML files from sub-domain blackberry.vodafone.co.uk still contain malicious code at the time of writing but point to a site containing the attack payload site that has been pulled offline.“

Ich kann mir das gut vorstellen. Immerhin gibt es in vielen Unternehmen URL-Filter die bestimmte Seiten generell blockieren. Dazu gehören eben viele Adult- und Hacker-Seiten. Die Zielgruppe wäre deshalb recht gering wenn sich die Angreifer nur auf solche Seiten stürzen würden. Viel lukrativer sind doch infizierte Werbeserver wie erst vor einigen Monaten wieder bei Holtzbrinck passiert. Damit erwischt man auf einen Schlag tausende nichtsahnender Anwender und hat (weil u.a. genug Firmen noch den Internet Explorer 6 einsetzen) auch eine gute Ergebnisquote.


Tags: , , , ,
18. Juni 2010

ICQ geht doch nicht an die Russen

Category: Internet,Recht — Christian @ 18:48

US-Behörden haben den Verkauf von ICQ durch AOL an ein russisches Konsortium verhindert. Mit der Begründung, das würde die Verfolgung von Straftaten einschränken. Oder wie The Register schreibt:

    „But ICQ is popular in Russia, the Czech Republic and Germany, especially among eastern European criminal gangs. One investigator said „Every bad guy known to man is on ICQ“, according to the Financial Times.“

Sehr schön 🙂

Die ICQ-Server stehen übrigens in Israel. Da haben also gleich mehrere Geheimdienste die Augen drauf.

 

 


Tags: , ,
16. Juni 2010

UnrealIRCd mit Hintertür

Category: Hacking,Internet — Christian @ 19:02

Ich war ein paar Tage beruflich unterwegs und muss deshalb noch ein paar Beiträge nachschreiben. Aber keine Sorge, alles was sich so auf meiner Liste für das Blog angesammelt hat, wird hier die Tage auch nachgetragen.

Der UnrealIRCd hat eine Backdoor. Na gut, das kann ja mal passieren. Interessant in diesem Zusammenhang sehe ich vor allem drei Punkte:

1. Die Lücke wurde erst nach Monaten entdeckt. Das zeigt erstens wieder, dass eine Software nur weil sie Quelloffen ist, nicht automatisch sicherer sein muss. Insbesondere Source Code Audits sind gar nicht so einfach. Für PHP, Perl, Python und so traue ich das mir und meinen Kollegen hier noch gut zu. Bei C und Java wird es schon eng. Spätestens bei C++ und exzessivem Einsatz von Templates hört jedoch jedes Verständnis des Source Codes auf.

2. Jetzt kann man natürlich noch diskutieren, was für eine Source Code Verwaltung da eingesetzt wurde und warum die auch nichts bemerkt hat. Ist die so schlecht oder hat keiner aufgepasst oder wurde die Verwaltung gleich mitgehackt?

3. Und zu guter Letzt, warum wird Software nicht digital signiert. In dem Zusammenhang schreibt Heise: „Damit dieser Vorfall sich nicht wiederholt, wollen die Entwickler ihre Releases wieder mittels PGP/GPG signieren“. Also wurde wohl schon mal signiert. Warum jetzt nicht mehr? Faulheit oder Nachlässigkeit?

Tja, so wird das nichts mit der Open Source Security. Das haben kommerzielle Anbieter wie Microsoft schon lange gelernt. Da müssen die freien Entwickler noch nachziehen. Und so teuer ist eine digitale Signatur auch nicht. Genau genommen kostenlos weil alle benötigten Programme bei Linux schon vorhanden sind.

Ach ja, und für die Freunde von The Register: Nicht alles was mit „Unreal“ anfängt ist auch ein Shooter 🙂


Tags: , ,
11. Juni 2010

IP-Adressen und das Routing im Internet

Category: Internet,Recht — Christian @ 14:18

Das Routing im Internet ist gar nicht so einfach. Zumindest in der Praxis. In der Theorie funktioniert das so, dass jeder Provider und jedes Unternehmen das providerunabhängige IP-Adressen hat über ein Autonomes System (AS) verfügt und mittels Border Gateway Protocol (BGP) anderen bekannten Routern die eigenen Netze und das eigene Autonome System mitteilt.

Für diesen Webserver mit der aktuellen IP-Adresse 88.217.143.204 kann man den Eigentümer (meist der Provider) und das Autonome System bei RIPE anfragen. Man findet dann schnell heraus, die IP-Adresse gehört M“Net (meinem Provider) und befindet sich im AS8767. Und natürlich darf ein Provider mittels BGP nur die Routen verteilen die entweder zu seinem Autonomen System gehören oder die er von anderen Autonomen Systemen gelernt und deshalb weiter verteilt.

Theoretisch kann man Filter einsetzen, die regeln welche Routen man von anderen AS lernen will. In so einer ACL kann man dann festlegen, dass man vom AS8767 nur das Netz 88.217/16 lernen will, nicht aber das Netz 88.220/16 (weil das nicht zu diesem AS gehören kann). Das dumme ist, solche Listen zu pflegen und aktuell zu halten erfordert eine Menge Arbeit und deshalb lassen die meisten Provider das einfach sein. Man vertraut sich gegenseitig, dass kein Provider Routen ankündigt, die ihm nicht gehören. Meistens geht das auch gut.

Meistens. Es gibt ein paar recht bekannte Beispiele wo das schief ging. Beispielsweise hat 2008 der pakistanische Provider Pakistan Telecom mit dem AS17557 IP-Adresse angekündigt und verteilt, die eigentlich YouTube mit dem AS36561 gehören. Pakistan Telecom wollte für diese IP-Adressen ein Null-Routing erreichen (d.h. Pakete an diese Netze einfach wegwerfen), damit deren Kunden nicht mehr auf YouTube zugreifen können. Eine klassische Zensurmaßnahme also. Dummerweise (ein kleiner Konfigurationsfehler, kann ja mal vorkommen) hat Pakistan Telecom die Null-Route nicht nur auf dem eigenen Router eingetragen sondern auch anderen Netzwerken bekanntgegeben und der Upstream-Provider PCCW Global (AS3491) hat sie in der ganzen Welt verteilt.

Wenn ein Router jetzt von verschiedenen Seiten IP-Adressen angekündigt bekommt, schaut er erstmal, wo die längste (d.h. am besten passende) Netzmaske verwendet wird. YouTube hat die eigenen Netze mit einer /22-Maske verteilt, Pakistan Telecom hat eine /24-Maske verwendet. Der meiste YouTube-Datenverkehr wird deshalb nach Pakistan geroutet und dort verworfen.

RIPE hat die Ereignisse mit einer Zeitachse detailliert zusammengefasst. Interessanterweise tritt das Problem gar nicht so selten auf.

Womit wir beim Anlass für diesen Beitrag sind. Heise hat schon vor einiger Zeit die Verläßlichkeit von ermittelten IP-Adressen als Beweismittel in Zweifel gezogen. Was ist, wenn die eigene IP-Adresse in Teilen des Internets gerade von einem fremden Provider „entführt“ wurde und deshalb falsche Beweisdaten erhoben werden?

Klar, das taugt erstmal nicht als Ausrede für illegales Filesharing aber man könnte sich überlegen mit einem guten Anwalt ein Verfahren anzufechten, das diesen Umstand nicht geprüft hat.


Tags: , ,