11. Juni 2010
Das Routing im Internet ist gar nicht so einfach. Zumindest in der Praxis. In der Theorie funktioniert das so, dass jeder Provider und jedes Unternehmen das providerunabhängige IP-Adressen hat über ein Autonomes System (AS) verfügt und mittels Border Gateway Protocol (BGP) anderen bekannten Routern die eigenen Netze und das eigene Autonome System mitteilt.
Für diesen Webserver mit der aktuellen IP-Adresse 88.217.143.204 kann man den Eigentümer (meist der Provider) und das Autonome System bei RIPE anfragen. Man findet dann schnell heraus, die IP-Adresse gehört M“Net (meinem Provider) und befindet sich im AS8767. Und natürlich darf ein Provider mittels BGP nur die Routen verteilen die entweder zu seinem Autonomen System gehören oder die er von anderen Autonomen Systemen gelernt und deshalb weiter verteilt.
Theoretisch kann man Filter einsetzen, die regeln welche Routen man von anderen AS lernen will. In so einer ACL kann man dann festlegen, dass man vom AS8767 nur das Netz 88.217/16 lernen will, nicht aber das Netz 88.220/16 (weil das nicht zu diesem AS gehören kann). Das dumme ist, solche Listen zu pflegen und aktuell zu halten erfordert eine Menge Arbeit und deshalb lassen die meisten Provider das einfach sein. Man vertraut sich gegenseitig, dass kein Provider Routen ankündigt, die ihm nicht gehören. Meistens geht das auch gut.
Meistens. Es gibt ein paar recht bekannte Beispiele wo das schief ging. Beispielsweise hat 2008 der pakistanische Provider Pakistan Telecom mit dem AS17557 IP-Adresse angekündigt und verteilt, die eigentlich YouTube mit dem AS36561 gehören. Pakistan Telecom wollte für diese IP-Adressen ein Null-Routing erreichen (d.h. Pakete an diese Netze einfach wegwerfen), damit deren Kunden nicht mehr auf YouTube zugreifen können. Eine klassische Zensurmaßnahme also. Dummerweise (ein kleiner Konfigurationsfehler, kann ja mal vorkommen) hat Pakistan Telecom die Null-Route nicht nur auf dem eigenen Router eingetragen sondern auch anderen Netzwerken bekanntgegeben und der Upstream-Provider PCCW Global (AS3491) hat sie in der ganzen Welt verteilt.
Wenn ein Router jetzt von verschiedenen Seiten IP-Adressen angekündigt bekommt, schaut er erstmal, wo die längste (d.h. am besten passende) Netzmaske verwendet wird. YouTube hat die eigenen Netze mit einer /22-Maske verteilt, Pakistan Telecom hat eine /24-Maske verwendet. Der meiste YouTube-Datenverkehr wird deshalb nach Pakistan geroutet und dort verworfen.
RIPE hat die Ereignisse mit einer Zeitachse detailliert zusammengefasst. Interessanterweise tritt das Problem gar nicht so selten auf.
Womit wir beim Anlass für diesen Beitrag sind. Heise hat schon vor einiger Zeit die Verläßlichkeit von ermittelten IP-Adressen als Beweismittel in Zweifel gezogen. Was ist, wenn die eigene IP-Adresse in Teilen des Internets gerade von einem fremden Provider „entführt“ wurde und deshalb falsche Beweisdaten erhoben werden?
Klar, das taugt erstmal nicht als Ausrede für illegales Filesharing aber man könnte sich überlegen mit einem guten Anwalt ein Verfahren anzufechten, das diesen Umstand nicht geprüft hat.
10. Juni 2010
Auf Golem.de gibt es gerade einen sehr schönen Artikel über eine Studie, die die Passwortsicherheit auf Webseiten untersucht hat:
„Das Ergebnis ihrer Untersuchungen zeigt, dass Webseiten im Umgang mit Passwörtern große Schwachstellen haben. So unterlassen es beispielsweise 57 Prozent der untersuchten Websites, Passwörter per TLS verschlüsselt zu übertragen. Knapp ein Drittel der Websites verschickte Passwörter im Klartext per E-Mail und über 80 Prozent der Websites setzten einem Brute-Force-Angriff praktisch keinen Widerstand entgegen.“
Dabei scheinen größere Webseiten prinzipiell besser zu sein als kleine und Webseiten mit Zahlungsfunktion besser als sonstige.
Ich persönlich sehe das größte Risiko ja immer noch darin, dass die Nutzer auf allen Webseiten das gleiche Passwort verwenden. Wenn dann eine Webseite kompromittiert wird und die Kombination aus Login/Passwort/E-Mail einem Angreifer bekannt geworden ist, kann sich der Angreifer oft direkt auf vielen verschiedenen anderen Seiten anmelden.
Aber das ist nichts neues. Ich empfehle mal wieder die OSCON 2005 Keynote von Dick Hardt. Schade, dass es immer noch keine vertrauenswürdige und verlässliche Identity 2.0 gibt.
6. Juni 2010
Aus einer Empfehlung via Full-Disclosure:
SecTechno (http://www.sectechno.com/) the excellent blog that publishes articles and whitepapers on a variety of IT security topics
Gefällt mir aktuell ganz gut und ist am rechten Rand jetzt dauerhaft verlinkt.
5. Juni 2010
Sehr schön. Für das angeblich so versehentliche und durch einen dummen Programmierfehler erfolgte umfangreiche Mitsniffen von Paketen hat Google sogar eine Patentanmeldung eingereicht, berichtet The Register.
Man beachte insbesondere Claim 10-13:
- 10. A computer-implemented method of estimating confidence in a status of a wireless device, the method comprising:obtaining one or more packets of data transmitted from a first wireless device to a second wireless device;evaluating the one or more transmitted data packets to identify a frame type for each respective data packet;identifying the first wireless device or the second wireless device as a wireless access point based upon the identified frame type for at least one of the data packets; andassigning a confidence value to the identification of the wireless access point.
- 11. The method of claim 10, wherein:if the frame type of at least one of the respective data packets is a management frame, then identifying the first wireless device as a wireless access point; andsetting the confidence value for the identification of the wireless access point to a maximum confidence value.
- 12. The method of claim 11, wherein:if the frame type of at least one of the respective data packets is not the management frame, then evaluating whether the frame type of any of the respective data packets is a control frame;if the frame type of at least one of the respective data packets is the control frame, then identifying the first wireless device as the wireless access point; andsetting the confidence value for the identification of the wireless access point to a value between the maximum confidence value and a minimum confidence value.
- 13. The method of claim 10, wherein identifying the first wireless device or the second wireless device as the wireless access point further includes analyzing a number of frames transmitted or received by each device.
Auf Deutsch: wir hören Datenpakete ab, analysieren die Inhalte und bestimmen damit wer Client und wer Access Point ist. Yup, hört sich für mich völlig illegal an. In den USA und in Europa sind auch schon diverse Klagen anhängig.
Aber das passiert halt, wenn man völlig amoralische Techniker an so eine Thematik heranlässt. Gemacht wird, was technisch machbar ist. Ob das legal oder moralisch in Ordnung ist, wird nicht mehr hinterfragt. Und irgendein naiver Fanboy findet sich garantiert auch, der so ein Verhalten verteidigt.
3. Juni 2010
Kommunikation mit der Bank wird immer gefährlicher. Weder Internetbanking noch Geldautomaten sind noch ausreichend sicher. Aber egal, das Risiko trägt ja bekanntlich der Kunde.
BSI-zertifizierter Kobil Kartenleser gehackt
Tja, si eine BSI-Zertifizierung ist auch nicht mehr das, was sie nie war. Der Kobil SecOVID Reader III, der vom BSI für den Einsatz nach dem strengen deutschen Signaturgesetz (SigG) zugelassen wurde, kann mit einer fremden nicht signierten Firmware geflasht werden. Und schon hat sich die Sicherheit erledigt. Und sehr schön, das Problem wurde nicht allgemein bekannt gemacht, weil es sich um „eine überschaubare Kundengruppe“ handeln soll und die die Anwendungen für Geldkarte, HBCI und Secoder nicht von der Lücke betroffen seien. Stimmt zwar nicht aber klingt besser und beruhigt die Homebanking-Kunden die ja für den Schaden haften, wenn was schiefgeht.
Mehr Geldautomaten werden manipuliert
Das Abheben von Geld am Geldautomat wird dafür auch immer unsicherer. Das BKA warnt mal wieder vor Skimming, d.h. manipulierten Geldautomaten um Kartendaten und PIN abzugreifen. „Als normaler Kunde kann man eine Manipulation im Grunde nicht erkennen“, sagte BKA-Präsident Jörg Ziercke. Und: „Viele Banken würden die Manipulationen nicht melden, weil sie sonst um ihre Reputation fürchteten“. Na toll. Aber laut AGB haftet eh der Kunde.
OCSP rettet uns auch nicht
Und für das gewöhnliche Internet-Banking gibt es auch beruhigende Nachrichten für den bösen Hacker. Das Online Certificate Status Protocol (OCSP), das vom Browser verwendet wird um die Gültigkeit von SSL-Zertifikaten zu verifizieren kann geschickt manipuliert werden. Dazu erklärt man dem Browser über eine OCSP-Statusmeldung einfach, der Server sei überlastet und der Browser solle es später nochmal probieren. Das Standardverhalten der Browser ist dann, das Zertifikat halt solange anzuerkennen.
Mobile Banking bedroht
Und für die Freunde von Mobile Banking oder Mobile TANs gibt es zum Schluß noch den Hinweis, dass zumindest im Android Market bereits eine Applikation aufgetaucht ist, die Bankzugangsdaten ausspähen sollte. Ich denke wir werden noch viel mehr in diese Richtung erleben.
Ich sollte mir mein Gehalt vielleicht wieder bar auszahlen lassen 🙂
2. Juni 2010
dem kann ich nichts hinzufügen.
Naja, hat sich ja hoffentlich erledigt.
Ich habe meine persönliche Filterliste im Adblock Plus mal überarbeitet und neu strukturiert. Ich bin sicher, man kann die Filter noch optimieren für meine Zwecke sind sie jedoch schnell und effizient genug.
Filterliste allgemeine Webbugs
Filterliste Google Analytics / Urchin
- .google-analytics.com/* (Google Analytics)
- */__utm.js (das Original Urchin Tracker Modul, Urchin 5)
- */__utm.gif?* (Urchin Tracker Modul ??)
- */urchin.js (das um Google Analytics erweiterte Modul, Urchin 6)
- */ga.js (das neue Google Analytics Javascript)
- */__ga.js (das neue Google Analytics Javascript)
- ||ajax.googleapis.com/ajax/libs/jquery/*
- ||ajax.googleapis.com/ajax/libs/jqueryui/*
Filterliste IVW / SZM
Filterliste Facebook / Like und andere Social Networks
- ||facebook.com/plugins/like.php
- ||facebook.com/plugins/likebox.php
- ||facebook.com/connect.php
- ||facebook.com/connect/connect.php
- ||facebook.com/widgets/recommendations.php
- ||static.ak.fbcdn.net/rsrc.php
- ||static.ak.fbcdn.net/connect.php
- ||badge.facebook.com/badge/
- ||api.tweetmeme.com/button.js
Filterliste Yahoo Web Analytics Tracking
Filterliste Flattr (vermutlich mache ich mich damit unbeliebt)
Spezialfilter für nervende Social Network Bookmark Links
- sueddeutsche.de##div[class^=“articlefooter“]
- sueddeutsche.de##div[id^=“bookmarking“]
- sueddeutsche.de##li[class^=“social“]
- welt.de##div[class^=“advertising“]
- welt.de##div[id^=“footerContainer“]
- welt.de##div[id^=“stickySocialBookmarks“]
- spiegel.de##div[id^=“spSocialBookmark“]
- 20min.ch##div[class^=“social_bookmarks“]
Anmerkung am Rande
Die einzige mir bekannte Webseite eines Medienunternehmens auf dem meine Filter nichts, aber auch gar nichts blockieren ist die Webseite des Titanic Magazins.
Nachtrag:
Und ja, ich habe ein (bezahltes) Titanic Abo. Das hat mir mein Bruder zu Weihnachten geschenkt 😉
Nachtrag 2:
Ich habe noch ein paar Facebook-Blockierregeln ergänzt. Das entwickelt sich echt zur Seuche. Ich denke ich werde die Liste mal komplett überarbeiten und optimieren müssen. Dann kann ich die auch als Import-Filter zur Verfügung stellen, wenn das jemand interessiert.
1. Juni 2010
Google trifft eine interessante und meiner Ansicht nach recht kurzsichtige Entscheidung, auf Windows im Firmennetz komplett verzichten zu wollen.
Alleine die Überlegung, statt Windows bevorzugt MacOS X mit dem ganz toll sicheren Safari Browser zu präferieren ist natürlich für jeden vom Fach sofort verständlich. Ich glaube es geht in der Thematik um zwei andere Punkte die für Google viel wichtiger sind:
1. Der symbolische Schuß gegen Microsoft. Natürlich spart Google ein paar Dollar für Windows-Lizenzen aber das ist kein Kriterium. Außerdem ist bekannt, dass MacOS X mindestens genauso viele Sicherheitslücken hat, die meisten die ich kenne halten MacOS X sicherheitstechnisch sogar für deutlich schlechter als Windows 7. Aber der Zeitpunkt ist gut gewählt um dem alten Gegner Microsoft, der Google in einigen Ländern mit Bing gerade Marktanteile abnimmt eins vor den Bug zu knallen.
2. Die Kontrolle und Überwachung der Mitarbeiter. Bei den E-Mails die in meinem privaten Outlook liegen habe ich weitgehende Kontrolle darüber. Sofern ich auf Software wie Google Desktop Search oder was es da aktuell gibt verzichten kann. Bei E-Mails, die in einem Google Mail Account liegen, bei Dokumenten die in Google Apps liegen, bei Nachrichten in Google Buzz habe ich die Kontrolle nicht mehr. Die hat Google.
Aber es klingt natürlich viel besser, wenn man die Änderung mit „Sicherheitsbedenken“ begründen kann.
24. Mai 2010
Heute mit Links von den Inseln …
Komplettausschluss aller Haftungsregeln in Software-Lizenzen ist unfair
In Großbritannien hat der High Court (also keine kleine Amtsgerichtsklitsche) entschieden, dass bestimmte Klauseln in Software Lizenzen unfair und damit unwirksam sind. Im speziellen Fall ging es um eine Hotelsoftware, die wohl nicht ganz den Vorgaben entsprochen hat. In den Lizenzbedingungen stand jedoch, der Kunde könne bei Problemen nur auf den Supportvertrag zurückgreifen und keine Rückerstattung verlangen, egal wie schlecht die Software ist. Diese Klausel hat das Gericht als unwirksam verworfen. Ich hoffe ja, dass wir in Deutschland auch irgendwann stärker entweder Produkthaftungsregeln für Software anwenden oder, wenn das nicht möglich oder praktikabel ist, Lizenzbedingungen zumindest wie AGB einer Inhaltskontrolle unterliegen. Naja, abwarten.
Large-Scale Cyber-Attacks
Ebenfalls in Großbritannien wurde vom House of Lords der 5. Bericht zum Schutz der EU vor Large-Scale Cyber-Attacks veröffentlicht. Dabei wurden insbesondere die (vermutlich aus Russland durchgeführten) Angriffe gegen Estland im April/Mai 2007 und die chinesischen Angriffe gegen Systeme des Dalai Lama vor den olympischen Spielen im August 2008 als Beispiele herausgegriffen. Und die ENISA bei der sich Udo Helmbrecht auf seine Pension vorbereitet hat auch einen Seitenhieb bekommen, da sie in Kreta in der Sonne weit ab vom Schuss ist.
UK will Big Brother (ein wenig) zurückfahren
Schreibt Heise. Also, eigentlich ja nicht, aber es ist einfach nicht mehr genug Geld für alles da. Vorratsdatenspeicherung kostet den Staat erst mal Geld und ob es was bringt, weiß eigentlich keiner. Ein paar Überwachungskameras (CCTV) werden vielleicht abgeschaltet. Ein klein wenig weniger DNA- und Fingerabdruckdatenbanken (an Stellen an denen der EUGH schon hinschauen wollte). Und das Auskunftsrecht bei Behörden „wie in Deutschland“ klingt eher wie eine Drohung als eine Verheißung. Auf Deutsch, ich bin extrem pessimistisch. Das hört sich an wie das Dialogangebot von Herrn de Maiziere und in Folge wird dann eben auch getrickst, getäuscht und verarscht.
Three Strikes in Irland
Die irren Iren sind da schon einen Schritt weiter. Der (noch) größte irische Provider Eircom hat inzwischen auf Druck der Contentmafia ein System der „abgestuften Erwiderung“ eingerichtet. Die IRMA droht schon mal, Eircom „jede Woche mit tausenden IP-Adressen von Copyright-Sündern versorgen zu können“. Wenn das stimmt, hat Eircom in einem Jahr nicht mehr 750.000 Kunden sondern nur noch die Hälfte. Und zu wünschen ist es dem Laden ja auch.
16. Mai 2010
Inzwischen kann die Gleichsetzung von Google mit Datenschutzverbrechern gar nicht mehr strafbar sein. Nach allem was man liest und was Google so zugibt handelt es sich um eine wahre Tatsachenbehauptung.
Wenn Google also (wie inzwischen zugegeben) mit Autos durch die Gegend fährt und Datenpakete aus unverschlüsselten WLANs mitsnifft, dann ist das meiner Ansicht nach ein Verstoß gegen § 202b StGB. Auch wenn die Datenübertragung unverschlüsselt ist, waren die Daten garantiert nicht für Google bestimmt. Ich kenne auch niemanden der Google dazu befugen würde. Komplizierter ist es nur mit der Öffentlichkeit. Nur weil die Daten unverschlüsselte Funkdaten sind, kann man jedoch noch nicht von Öffentlichkeit ausgehen. Eine unverschlüsselte Übertragung von E-Mails von mir zu einem anderen mittels SMTP abzuhören fällt explizit nämlich auch unter den § 202b StGB. Inzwischen gibt es für solche Fälle sogar Sekunderliteratur und ein wenig Rechtsprechung. Allerdings braucht es für eine Anzeige einen Betroffenen und der wird nicht zu ermitteln sein. Ich persönlich habe (leider) kein offenes Funknetz und müsste dann auch noch wissen, wann Google bei mir vorbeigefahren ist.
Die Frage ist: glaubt irgendjemand, dass der Vorfall „versehentlich“ erfolgt ist? Merkt Google nicht, wenn mehrere hundert Gigabyte Daten (laut Süddeutsche Zeitung 600 GB) gesammelt werden, weil statt nur der Positionsdaten auch Paketdaten mitgesnifft werden? Oder werden wir einfach nur belogen und betrogen?
Und zuletzt: Wo belügt uns Google eigentlich noch überall?
Nachtrag:
Der Clou ist jetzt, dass Google behauptet die Daten nicht mehr einfach löschen zu dürfen, weil sie ja Beweismittel in einem Kriminalfall sein könnten. Ich denke, Google hebt die Daten einfach mal auf bis Gras drüber gewachsen ist. Das wäre zumindest typisch für das bisherige Verhalten der Datenkrake.
Nachtrag 2:
Kris Köhntopp schreibt, dass das ein normales Verhalten einer Bibliothek wäre, dass im Monitor Mode einer Netzwerkkarte halt Pakete mitgeschrieben werden. Deshalb wäre das ein lässlicher Fehler und Spiegel und Co. übertreiben da alle (und ich natürlich auch). Naja, wenn man wie Kris grundsätzlich alles in eine MySQL-Datenbank schreibt und dann erst analysiert muss man wohl zu diesem Ergebniss kommen. Ich habe allerdings selbst schon WLAN-Sniffing Software programmiert. Und ja, natürlich liest die Bibliothek im Monitor Mode alle Pakete mit, aber nein, die landen nicht alle auf der Festplatte. Die werden in Echtzeit von der Software analysiert und die interessanten Pakete schreibe ich mit. Das darf Kris gerne mal mit seiner Aircrack Suite probieren. Die kann nämlich auch z.B. nur IVs mitschreiben und den Rest nicht. Und zwar OHNE, dass alle Daten auf einer Festplatte gespeichert werden müssen.
Ich glaube immer noch, jeder der von Anfang an so ein Projekt entwirft, überlegt sich welche Daten er braucht und schreibt genau diese Daten mit. Und wenn Google mehr Daten mitgeschrieben hat, dann nicht, weil das ein versehen war sondern weil von Anfang an geplant war, alle Daten mitzuschreiben. Warum, ist mir dann eigentlich auch völlig egal.
