6. April 2011
Side-Channel Attacks (auf deutsch Seitenkanalattacke) definiert Wikipedia als kryptoanalytischen Angriff gegen die Implementierung eines kryptographischen Verfahrens, also in der Regel die konkrete Hardware/Software die eine Verschlüsselung durchführt. Informationen über die Verschlüsselung können dabei z.B. aus der Laufzeit des Algorithmus, der Stromaufnahme des Prozessors oder elektromagnetischer Abstrahlung gewonnen werden. Vor ein paar Jahren waren Side-Channel Angriffe noch so obskur, dass sich kaum jemand damit beschäftigte. Inzwischen sind sie Mainstream und Programmierer und Entwickler sollten sich daher Gedanken machen wie eine konkrete Implementierung vor diesen Angriffen geschützt werden kann.
Harko Robroch hält auf der kommenden RSA Conference dazu einen Vortrag der sich mit genau diesen Themen beschäftigt, schreibt The Register:
One simple trick is to vary password verification routines. „When you do a string compare to check a password, for example, to make it efficient you usually start with the first character and work through in sequence. If you hit a wrong character you throw it out. By measuring the time taken to do the check, a side-channel scan can identify which characters have been accepted. So you can protect the password by not checking it in sequence,“ he said.
Besonders betroffen sind immer noch schlüssellose Systeme wie wir seit geraumer Zeit wissen.
Apropos: Verwendet tatsächlich irgendjemand den Begriff Seitenkanalattacke? Ich musste in meinem Studium, das war so ca. 1998 mal eine Präsentation über Threaded Programming und Stack-Konflikte komplett in deutsche Begriffe übersetzen. Interessanterweise konnten die Zuhörer mit „nebenläufiger Programmierung“ und „Kellerspeicher“ damals schon so wenig damit anfangen wie ich heute mit der Seitenkanalattacke.
8. August 2010
Bisher war ich ja immer der Meinung, nein, nicht die Chinesen, Symantec sei die gelbe Gefahr. Ich zitiere da immer gerne unsere Systemadministratoren die meine geschenkte Symantec Norton AV-Lizenz mit den Worten „Geh weg mit dem Zeug!“ kommentierte.
Aber, wir haben jetzt eine neue gelbe Gefahr: Den E-Postbrief.
Richard Gutjahr hat sich zusammen mit den Anwälten Thomas Stadler und Udo Vetter die AGB angekuckt und ist entsetzt. Da stehen so Gemeinheiten drin wie: man muss täglich seinen Posteingang prüfen (sonst kann man Fristen versäumen), die Post hebt gelöschte Briefe eventuell noch eine Weile auf (was vermutlich hauptsächlich technisch bedingt ist) und verkauft die Adressen munter weiter (weil sich das Angebot sonst wohl nicht rechnen würde). Und dann ist die Post auch noch so arrogant und beantwortet die Fragen des Bloggers nicht.
Ich verstehe zwar das Problem aber die dahinterliegende Aufregung nicht. Niemand verwendet den Postbrief. Außer ein paar Doofen und den Mitarbeitern der Post selbst, die sicher dazu „verpflichtet“ werden. Insofern finde ich auch die „gelbe Gefahr“ völlig übertrieben. Ich rede doch auch nicht von der „blauen Gefahr“, weil mir mal ein blauer Audi die Vorfahrt genommen hat. Übrigens fällt mir auf, dass die Rowdies die vor 10 Jahren im BMW unterwegs waren heute alle Audi fahren. „Ingolstädter Gefahr“ also.
Also kein Problem. Einfach Finger weg vom E-Postbrief und vom Audi und schon kann nichts mehr passieren.
15. Juli 2010
Die ersten großen Provider haben den Run auf handliche De-Mail-Adressen eröffnet. Wobei ich ehrlich gesagt glaube, dass es (außer für manche Firmen) primär eine gemütliche Volkswanderung einzelner unverzagter wird.
Und man sieht auch direkt wieder, warum das mit De-Mail so problematisch wird:
1. Kosten – Teil I
1&1 (GMX, Web.de) plant nach verschiedenen Quellen mit De-Mail Preisen von etwa 15 Cent pro verschickter E-Mail. Gegenüber normaler Post immerhin eine Ersparnis von ca. 40 Cent, wobei mir noch nicht klar ist ob die Sonderleistungen wie Zustellbestätigung extra kosten. Aber wann rechnet sich das? Wir verschicken im Jahr vielleicht ein paar Hundert Rechnungen im Unternehmen. Die Kostenersparnis ist da nicht so gigantisch. Ein vereinfachtes e-Rechnungsverfahren würde vielleicht helfen aber selbst dann stellt sich die Frage, ab wann sich das denn wirklich lohnt. Wir kommunizieren vielleicht 3-4 mal im Jahr mit Behörden. Da kann ich gerade noch ein paar Euro für das Porto aufbringen. Kurz für ein kleines Unternehmen ist da kein echter finanzieller Mehrwert. Für Privatpersonen sowieso nicht.
2. Kosten – Teil II
Die Deutsche Post plant sogar, für De-Mail die gleichen Preise anzusetzen wie für normale Post, nämlich fette 55 Cent. Und nach meinen Informationen sind da die Mehrwertleistungen noch gar nicht enthalten, eine Zustellbestätigung kostet also extra. Da kann ich genausogut bei der normalen Briefpost bleiben. Ich persönliche glaube ja, bei denen hackt es.
3. Rechtsfolgen
Die Rechtsfolgen sind mir noch nicht so ganz klar. Wie löse ich das denn, wenn ich drei Wochen im Urlaub bin? Kann ich da meine Nachbarn den De-Mail Briefkasten leeren lassen wie bei normaler Post auch? Das Reizzentrum hat in die allgemeinen Geschäftsbedingungen der Post bezüglich De-Mail reingeschaut und hanebüchene Forderungen entdeckt. Auch hier kann man nur empfehlen, die Finger von De-Mail wegzulassen. Ich geh doch auch nicht 8x am Tag an meinen Briefkasten.
Eigentlich kann man nur hoffen, das folgende Aussage: „Die Teilnahme an De-Mail ist freiwillig und kostenpflichtig. Bürger wie Behörden dürfen durch keine Verordnungen gezwungen werden, dem De-Mail-System beizutreten.“ aus dem Referentenentwurf es später auch in das De-Mail-Gesetz schafft.
Nachtrag/Korrektur:
Wie Martin in den Kommentaren korrekterweise bemerkt hat: Ich habe im obigen Beitrag leider schlampig geschrieben und nicht zwischen dem De-Mail-Angebot von 1&1, der Dt. Telekom, etc. und dem e-Post-Angebot der Dt. Post unterschieden, das genaugenommen mit De-Mail (erstmal) überhaupt nichts zu tun hat. Ich gehe zwar davon aus, dass e-Post irgendwann die De-Mail-Anforderungen erfüllen wird, das ist heute jedoch nicht der Fall. Unabhängig davon sehe ich jedoch die oben beschriebenen Nachteile weiterhin sowohl für De-Mail als auch e-Post zutreffen, also unnötig hoher Preis für nicht benötigte Leistungen und einseitige Abwälzung möglicher nachteiliger Rechtsfolgen auf den Nutzer.
14. Juli 2010
Die Black Hat Asia findet dieses Jahr Anfang November in Abu Dhabi statt. Wer da schon immer mal hinwollte, der Call for Paper ist bis 1. September offen.
10. Juli 2010
Symantec ist irgendwie auch eine lustige Firma.
Auf der einen Seite weiß ich nie, wie man den Laden eigentlich aussprechen soll. „Sümantek“ oder „Simantek“ oder „Seimantek“ oder wie sonst? Auf der anderen Seite weiß ich nicht, womit die eigentlich ihr Geld verdienen. Security kann es jedenfalls nicht sein. Ok, Symantec hat da einen sogenannten Virenscanner im Angebot. Der bei uns intern „die gelbe Gefahr“ heißt. Und angeblich soll der so viele Ressourcen benötigen, dass man alleine deshalb vor Viren und Schadprogrammen geschützt ist, weil man mit dem Rechner eh nicht mehr arbeiten kann. Aus dem Firewall-Markt (SGS, kennt die noch jemand?) hat sich Symantec auch verabschiedet, vermutlich weil die Software-Firma keine Hardware-Logistik stemmen wollte oder konnte. Statt dessen wird halt zugekauft, erst SecurityFocus (platt), dann PGP (mal sehen), jetzt Verisign (oh Gott). Der aktuelle tolle Marketingslogan von Symantec: „The last word in online trust“ würde ich jetzt ganz spontan mit „die letzten, denen ich online vertraue“ übersetzen.
Gründe dafür gibt es jedenfalls genug. Beispielsweise das von Symantec zur WM 2010 gestartete Portal 2010NetThreats, in dem Besucher kommentieren konnten und praktisch jeder Link in den Kommentaren zu Spam und anderen potentiellen Malware-Seiten zeigt.
Aber vielleicht haben wir das auch einfach nur falsch verstanden und 2010NetThreats ist eine Seite bei der die Bösen im Internet ihre Malware-Seiten registrieren können, damit die nächste Version des Norton 360% CPU-Auslastung Virenscanners sie auch zuverlässig erkennt.Wer weiß das schon.
2. Juli 2010
Seltsam, seltsam. Mal wieder ist einer dieser genialen, hochsicheren, unknackbaren, mit 256-Bit AES-Verschlüsselung werbenden USB-Sticks gehackt worden. Genaugenommen wurde mal wieder der PIN-Schutz umgangen und die Daten direkt aus dem Flash-Speicher ausgelesen.
Wobei sich mir direkt die Frage stellt, was denn da genau mit 256-Bit AES verschlüsselt worden ist. Die Daten können es ja nicht sein, wenn man sie einfach so auslesen kann. Die PIN vielleicht.
Mann-oh-mann, bei verschlüsselten USB-Sticks ist ja noch mehr Snake Oil auf dem Markt als bei Virenscannern!
23. Juni 2010
Zumindest ein ganz klein wenig Virenschutz gibt es inzwischen auch in Mac OS X. Apple hat offensichtlich gelernt, dass eine exotische Plattform nur solange vor Viren und Schadprogrammen schützt solange sie so exotisch ist, dass sie für Malware-Autoren nicht lukrativ genug ist. Inzwischen hat Apple einen ausreichend hohen Marktanteil um Schadprogramme lukrativ werden zu lassen. Dazu kommt, dass der typische Apple-User inzwischen den Ruf weghat, etwas minderbemittelter zu sein, sich gerne gängeln zu lassen, dafür aber über ausreichend finanzielle Mittel verfügt. Also das ideale Phishing und Social Engineering-Ziel.
Jedenfalls schreibt der Inquirer, dass ein paar Leute von Insecurity Signaturen des Trojaners „HellRTS“ in einem Apple-Update gefunden haben. Natürlich still und heimlich installiert.
Stellt sich nur die Frage, wann Apple die Selbstverleugnung aufgibt und sich selbst endlich eingesteht, dass es auch für Mac OS X inzwischen diverse Schadprogramme und Trojaner gibt und ein Virenscanner mit regelmäßigen Updates deshalb vielleicht eine gute Idee sein könnte. Aber ich fürchte, da müssen wir bei Apple noch so 5-8 Jahre warten. Bei Microsoft ging es damals auch nicht schneller aber inzwischen gehört Microsoft ja fast schon zu den guten. Zumindest im Vergleich zu Apple.
Gibt es eigentlich brauchbare Virenscanner für Mac OS X? Ich habe zum Glück nichts von Apple, ich kenne mich da nicht so aus.
20. Juni 2010
Wie üblich wird bei Apple zensiert, was das Zeug hält. Diesmal hat es ein Schwulencomic erwischt. Und wie üblich ist sich Apple keiner Schuld und keines Fehler bewusst lenkt aber nach erheblicher schlechter Presse ein.
Langsam frage ich mich echt, welche Idioten das Zeug von Apple noch kaufen. iFail!
14. Juni 2010
Ich hatte erst vor ein paar Tagen hier einen Beitrag zu Vulnerability Disclosure veröffentlicht. Die gängige Diskussion ist dabei vor allem, was ist ein „Responsible“ Disclosure also eine verantwortunsbewußte Veröffentlichung von Sicherheitslücken. Hier wird in der IT-Security Branche bekanntlich heftig gestritten. Die eine Front verlangt ausreichend (notfalls beliebig) Zeit für die Hersteller um Sicherheitslücken zu beheben, die andere Front will Lücken so schnell wie möglich veröffentlichen um Hersteller zu zwingen, auf bekannte Lücken auch tatsächlich zügig mit einem Patch zu reagieren. In der Praxis lassen viele Leute dem Hersteller zwischen 30 und 90 Tagen Zeit um einen Patch zu entwickeln und veröffentlichen dann Details zu einer Lücke, auch wenn der Hersteller nach dieser Zeit noch keinen Patch veröffentlicht hat. Das ist ein relativ guter Kompromiss zwischen beiden Lagern.
Aktuell gibt es jetzt einen Fall in dem der Entdecker einer Lücke dem Hersteller nur wenige Tage gelassen hat und schon sind wieder alle am Streiten.
Tavis Ormandy, ein Entwickler bei Google hat eine technisch interessante (weil recht komplexe) Sicherheitslücke im Hilfe- und Support-Center von Microsoft Windows entdeckt. Details zur Lücke und einen Demo-Exploit hat Tavis am 10.06. auf der Full-Disclosure Mailingliste veröffentlicht. Die Mailingliste kann jeder abonnieren und bekommt automatisch alles zugeschickt was dorthin geschickt wird. Leider ist auch viel Schrott auf der Liste, weil sie kaum moderiert wird. Microsoft wurde am 05.06. von Tavis über diese Lücke informiert und hat den Eingang am gleichen Tag bestätigt.
Tavis wirft Microsoft jetzt vor, seit 05.06. nichts mehr gehört zu haben, nimmt deshalb an, es kümmert sich keiner um die Lücke und veröffentlicht 5 Tage später den Exploit mit dem dezenten Hinweis:
„Those of you with large support contracts are encouraged to tell your support representatives that you would like to see Microsoft invest in developing processes for faster responses to external security reports.“
Und das ausgerechnet von einem Mitarbeiter von Google, der Firma die vor wenigen Wochen großmäulig Microsoft-Betriebssysteme in die Tonne getreten hat. Das hat schon ein „Geschmäckle“. Tavis begründet sein schnelles Disclosure zwar unter anderem damit, dass er vermutet die bösen Hacker würden diese Lücke bereits ausnutzen. Dafür fehlen jedoch die nötigen Beweise. Außerdem hat Tavis einen Workaround mitgeliefert, der den Angriff verhindern sollte bei dem sich jedoch herausgestellt hat, dass der Schutz nicht richtig wirksam ist.
Und nun stellt sich die berechtigte Frage, ob das Vorgehen von Tavis noch von „Responsible Disclosure“ gedeckt ist oder ob ein Google-Mitarbeiter die gute Gelegenheit genutzt hat, mit einer neuen Sicherheitslücke Microsoft eins auszuwischen und den Konzern vielleicht sogar dazu zu nötigen, einen Patch außerhalb der normalen Update-Sequenz herauszubringen. Und damit quasi als Kollateralschaden Millionen von Windows-Anwendern gefährdet. Ich weiß es nicht. Aber als Administrator bin ich über „aus der Reihe Patches“ nie besonders glücklich. Vermutlich hätte man die Kommunikation über diese Lücke klüger handhaben könne.
10. Juni 2010
Eigentlich weiß ich gar nicht, was ich heute so schreiben will. Naja, dann halt irgendwas buntes durcheinander:
Apple macht sich weiter unbeliebt
Apple zensiert munter weiter im App-Store. Der Bewertungsmaßstab scheint der durchschnittliche Hillbilly-Farmer im religiösen Mittleren Westen zu sein. Was der nicht gut findet, wird von Apple auch gesperrt. Inzwischen scheint sich sogar Fanboy und Springer-Chef Döpfner unsicher zu werden. Jedenfalls wird auf allen Kanälen um Hilfe gerufen. Apple schert das gar nicht, jetzt wird mittels iAd-Zensur gegen Google und Microsoft geschossen. Langsam hat man das gesamte IT-Lager (Adobe, Microsoft, Google, …) gegen sich. Und zu aller Freude verliert Partner AT&T auch noch jede Menge Daten.
Adobe macht sich weiter unbeliebt
Zumindest gibt es schon wieder einen Zero-Day Exploit für Flash. Ich verstehe ja manchmal Steve Jobs wenn er Flash nicht auf dem iPfusch haben will. Zusätzlich zu den Fantastilliarden (Enzyklopädie, my ass) an Safari-Lücken auch noch die Flash-Lücken auf seinen Geräten? Dabei gibt’s einen simplen Workaround. Einfach die ganze Adobe-Software deinstallieren. Schon ist Ruhe. Lustig ist nur, dass laut Advisory die Lücke gleichzeitig Flash, Reader und Acrobat betrifft. Da wird anscheinend heftig Code wiederverwendet.
Facebook macht sich weiter unbeliebt
Und zwar durch fleißig aus dem iPhone abgegriffenen Telefonkontaktdaten. Löschen der Daten ist nicht vorgesehen. Auskunft was mit den Daten passiert: keine. Auskunft, wie die Daten geschützt werden: keine. Reaktion vom Bundesdatenschutzbeauftragten Peter Schaar: keine (der wird sich notfalls einfach für „nicht zuständig“ erklären). Da kann man nur hoffen, dass man keine „Freunde“ hat, die gleichzeitig iPhone- und Facebookaccount-Besitzer sind.
Offtopic: Grätzel gewinnt Millenium-Preis (und macht sich nicht unbeliebt)
Da geht es um organische Solarzellen. Allerdings scheint die Versiegelung des Elektrolyt noch ein Problem zu sein (falls man Wikipedia trauen kann). Das Genie unserer Familie arbeitet in Dresden ebenfalls an organischen Solarzellen und kommentiert das mit: „Das Gute daran ist, dass der optische Anregungszustand durch das TiO2 schnell in Ladungen getrennt wird. Aber das Problem ist der Elektrolyt und das andere reine organische Solarzellen wie unsere und Polymer-basierte in der Effizienz aufholen und jetzt bei 8% sind (Anmerkung: Grätzel-Zellen sind bei 11%). Ich denke das sich unsere Technologie oder Polymersolarzellen durchsetzen werden.“
Nachtrag:
Fefe hat die wichtigsten aktuellen Lücken in Flash aufbereitet. Langsam machen CVE-Nummern für Adobe gar keinen Sinn mehr. Die brauchen eine eigene Datenbank nur für Adobe-Lücken.
