Mitternachtshacking

Die Firma Passware hat mit der Software Passware Kit Forensic in der Version 9.7 eine kommerzielle Software im Angebot, die es Strafverfolgungsbehörden (und wer immer sonst die Software in die Finger bekommt) erlaubt, den Hauptspeicher über die Firewire-Schnittschnelle ausliest, die Verschlüsselungskeys herausfindet und es somit ermöglicht, die danach ausgebaute Festplatte auszulesen. Einzige Bedingung: der Rechner muss dafür eingeschaltet sein. Auf einem zweiten Rechner startet man die Passware-Software von einem USB-Stick und verbindet beide Rechner über das Firewire-Kabel.

Da viele Leute ihre Rechner aber nur in Standby herunterfahren und der Rechner nach dem Einschalten automatisch wieder hochfährt und lediglich der angemeldete Benutzer gesperrt ist, können diese Angriffe sehr schnell recht erfolgreich werden.

Über einen USB-Anschluß funktioniert der Angriff übrigens nicht, da USB kein Direct Memory Access (DMA) erlaubt.

via Golem

Wenn man mit einem frisch installierten Firefox beispielsweise die Webseite des CCC aufruft, bekommt man diesen lustigen Zertifikatsfehler:

Der Grund ist bekanntlich, dass die Zertifizierungsstelle CACert im Browser nicht als vertrauenswürdige CA enthalten ist.

Einige Browserhersteller liefern deshalb auch CA-Aktualisierungen aus. Microsoft beispielsweise stellt immer wieder mal über Microsoft Update eine Aktualisierung der Zertifizierungsstellen („Update der Stammzertifizierungsstellen“) bereit. Ich kucke meistens dann auch, wer da alles neu drin steht.

Meines Wissens (ich lasse mich aber gerne eines besseren belehren) verlangt Microsoft, um in die Liste der vertrauenswürdigen Zertifizierungsstellen aufgenommen zu werden, die Erfüllung mehrerer Voraussetzungen:

• Eine Vereinbarung mit Microsoft (Microsoft CA Agreement)
• Mind. 2048 Bit Schlüssellänge, mind. SHA-1 Hashalgorithmus, min. 8 Jahre gültig, höchstens bis 2030
• CRL Distribution Point Extension, d.h. eine CRL muss bereitgestellt werden
• Eine dokumentierte Policy (Certificate Practice Statement, CPS)
• Ein erfolgreich bestandenes Audit, typischerweise nach
  • WebTrust for Certificate Authorities v1.0 or later, durch einen lizensierten WebTrust for CAs Auditor
  • ETSI TS 101 456 v1.2.1 or later
  • ETSI TS 102 042 V1.1.1 or later
  • ISO 21188:2006, “Public key infrastructure for financial services — Practices and policy framework”, ebenfalls durch einen lizenzierten Auditor
• Außerdem habe ich mal gehört, dass Microsoft dann noch so ca. 50.000 USD haben möchte, für den ganzen Aufwand

In den Auditregeln stehen insgesamt ganz schön viele  Anforderungen drin. CACert beispielsweise wird von Microsoft nicht aufgenommen, alleine weil die vermutlich die geforderten Kosten für Audit und RootCA-Zertifikatsverteilung nicht bezahlen können. Bei einigen Antragstellern scheint es Microsoft mit den Regeln auch nicht ganz so genau zu nehmen. Beispielsweise muss man das CPS der Cisco Root CA im Internet suchen. Im Zertifikat ist der Link dahin leider nicht enthalten.

Was mir aber langsam Sorgen macht, sind die vielen Regierungs-CAs die als vertrauenswürdige Zertifizierungsstellen im Internet Explorer (und anderen Browsern mit Verzögerung) auftauchen. Hier beispielsweise die Liste cer CAs die mir beim Durchsehen des aktuellen IEs aufgefallen sind:

• CN = AC RAIZ DNIE, OU = DNIE, O = DIRECCION GENERAL DE LA POLICIA, C = ES
• OU = Application CA G2, O = LGPKI, C = JP (Japanese Local Government)
• OU = ApplicationCA, O = Japanese Government, C = JP
• CN = Common Policy, OU = FBCA, O = U.S. Government, C = us
• CN = ComSign, O = ComSign CA, C = IL
• O = Government Root Certification Authority, C = TW
• CN = GPKIRootCA, OU = GPKI, O = Government of Korea, C = KR
• CN = IGC/A, OU = DCSSI, O = PM/SGDN, L = Paris, S = France, C = FR (Secrétariat Général de la Défense Nationale)
• OU = MPHPT Certification Authority, OU = MPHPT, O = Japanese Government, C = JP
• CN = Root CA, OU = GPKI, O = Government of Korea, C = KR
• CN = Root CA Generalitat Valenciana, OU = PKIGVA, O = Generalitat Valenciana, C = ES
• OU = sigov-ca, O = state-institutions, C = si
• CN = Staat der Nederlanden Root CA, O = Staat der Nederlanden, C = NL
• CN = VRK Gov. Root CA, OU = Varmennepalvelut, OU = Certification Authority Services, O = Vaestorekisterikeskus CA, S = Finland, C = FI

Bei Firefox ist das nicht anders. Mozilla (Kathleen Wilson) selbst sagt dazu:

„Mozilla has included many root certificates that are operated either by actual government agencies or by organizations that are government sponsored. We do not have a policy against accepting government sponsored CAs into our program.“

Bei der Aufnahme bzw. dem späteren Rauswurf von CNNIC, einer (möglicherweise staatlich kontrollierten) chinesischen Zertifizierungsstelle gab es bei Mozilla riesige Diskussionen. Die spanische Polizei kann aber inzwischen genauso Man-in-the-Middle Angriffe mit gültigen Zertifikaten auf beliebige SSL-Verbindungen durchführen. Und ich bin sicher, die eine oder andere scheinbar harmlose Organisation im Browser die nicht auf meiner Liste steht, wird von irgendeinem Geheimdienst kontrolliert.

Im Ergebnis habe ich folglich im Browser inzwischen fast 300 RootCA-Zertifikate von rund 100 Zertifizierungsstellen. Welche davon staatlich kontrolliert sind, welche davon tatsächlich vertrauenswürdig sind und welche böse, ist für mich nicht mehr überschaubar. Die Regeln Microsoft, Mozilla und Co. helfen wie oben gesehen leider nicht weiter. Ich denke, ich werde demnächst meine eigene Liste „Mitternachtshacking traut diesen CAs“ veröffentlichen und alle anderen aus meinem Browser rauswerfen. Tatsächlich stammen alle SSL-Zertifikate der von mir genutzten verschlüsselten Verbindungen aus den letzten drei Monaten von lediglich 8 Zertifizierungsstellen, sagt Certificate Patrol. Die anderen 92 können folglich raus.

Schöpfungshöhe und Pornos

Die Taiwanesen stehen auf japanische Pornos. Zumindest die dortige Behörde für geistiges Eigentum: „Die taiwanesische Behörde für geistiges Eigentum reagierte darauf mit dem Stellungnahme, wonach man die Frage, ob ein Porno als schöpferisches Werk gelte, nur von Fall zu Fall entscheiden könne.“ Auf Deutsch: von Fall zu Fall wollen die alle Pornos erstmal ankucken. Mal kucken ob man sich da bewerben kann 🙂

VolksPad

St. Steve erlaubt nicht mehr beliebige Programme und Entwicklungswerkzeuge auf dem iPhone und iPad. Das ist inzwischen wohl allgemein bekannt. Ich verstehe auch nicht, welcher Depp denn überhaupt noch für das iPad entwickelt. Egal. Nach dem iPad, dem WePad, dem MyPad und dem MeTooPad gibt es demnächst bei Bild im Online-Shop: das VolksPad.

Noch ne App

Und weil wir gerade beim iPhone und Karikaturen sind: Das ist ne App.

89 Taxis

Warum 89 wird erst am Ende aufgelöst. Aber das Video bei Annalist zeigt sehr schön den Sicherheitsirrsinn, dem unsere Innenpolitikerknallköpfe verfallen sind. Erst sprengen, dann fragen.

Satire

Die Bundesregierung zieht laut Heise ein positives Fazit des De-Mail-Test in Friedrichshafen. Insgesamt 812 Einwohner der Testregion haben sich für eine völlig nutzlose und teure De-Mail-Adresse registriert und dafür vermutlich sogar Geld ausgegeben. Das alles nur um später ihren Kindern und Enkelkindern erzählen zu können: „Ja, wir waren dabei!“. Diese 812 Einwohner entsprechen 2,75% der mögliche Nutzer der Testregion. Das sind deutlich mehr als die 2% sich anmeldenden Deppen mit den die Bundesregierung gerechnet hat aber immer noch weniger als die Hartz4-Quote der Region.

Auch andere Gruppen und Organisationen ziehen ein positives Fazit. Gieter Horny, der Chef des Bundesverbands irgendeiner Industrie erklärte, dass De-Mail seinen Unternehmen endlich eine Möglichkeit gibt, unschuldige Internetnutzer kostengünstig abzumahnen und so die Gewinne der Abmahnanwälte zu steigern. Allen 812 Testnutzern würde in den nächsten Tagen eine solche  Abmahnung zugehen. Ähnliche Kommentare waren von  diversen Betreibern von Abzockseiten zu erfahren.

Kritische Töne waren lediglich von Datenschützern und der Deutschen Post zu erhalten. Datenschützer kritisieren, dass die Abhörschnittstelle des De-Mail-Dienstes noch nicht standardisiert sei und außerdem eine gesetzliche Regelung fehle, welcher der vielen Interessenten (LKAs, BKA, MAD, BND, Verfassungsschutz, NSA,CIA, Mossad, etc.) Zugriff auf welche Daten erhalten solle. So könne beispielsweise das Bayrische LKA bereits in De-Mail Postfächern virtuell Streife gehen und nach illegal verschickten Zensursula-Schablonen suchen während das Hamburger LKA noch auf die virtuellen Streifenwagen warte. Die Deutsche Post wiederum kritisierte, dass De-Mail im Gegensatz zu ihrem Briefdienst keine flächendeckende Versorgung der Bürger sicherstellen könne, da beispielsweise in der ehemaligen Ostzone keine schnellen Internetverbindungen existieren. Der mit überhöhter Geschwindigkeit durch die Ortschaften rasende und regelmäßig falsch parkende Postbote sei hier wesentlich zuverlässiger. Außerdem wären den Bürgern die Risiken der rasenden Postdienstleister durch die vielen Unfälle inzwischen vertraut.

Die Bundesregierung erklärte, sie könne die Kritik mangels Fachkenntnis nicht nachvollziehen, werde aber gegebenenfalls geeignete Stoppschilder aufstellen. Außerdem sei geplant, die Bevölkerung weiter zu verblöden um 4% Teilnahmequote zu erreichen.

Weil’s so schön ist:

Das „Security“ steht offensichtlich nicht nur zufällig in Anführungszeichen, wenn man sich die nette Meldung bei Fefe anschaut. 88 Sicherheitslücken! Code Execution in Rechtschreibprüfung! Wenn man bei AFP den Gastzugang abschaltet, ist er noch an, und man kann auf Dateien außerhalb der Share zugreifen! Nice.

Heute nicht ganz so zufällig, die Themen haben das gemeinsame Leitmotiv des Urheberrechts und geistigen Eigentums und wie man sich eine gewisse Unabhängigkeit schaffen kann.

All Your Apps Are Belong to Apple

Die Electronic Frontier Foundation (EFF) hat sich von der NASA den Lizenzvertrag der Software-Entwickler mit Apple erklagt und erschreckendes zu Tage gefördert:

„If Apple’s mobile devices are the future of computing, you can expect that future to be one with more limits on innovation and competition than the PC era that came before. It’s frustrating to see Apple, the original pioneer in generative computing, putting shackles on the market it (for now) leads.“

Erstaunlich, dass bei diesen Lizenzbedingungen überhaupt jemand für Apple Software schreibt. Aber Gier frisst bekanntlich Hirn.

Dein Twitter gehört dir nicht!

„Viele, die munter Fotos hochladen, anderen Applikationen Zugriff auf ihre Social Media gewähren oder sonstwo etwas posten, haben noch nie wirklich nachgelesen, welche umfassenden Rechte sich viele Betreiber auf das geistige Eigentum der Teilnehmer vorbehalten.“

Wovon schreib ich eigentlich die ganze Zeit?

Jetzt backe ich sie mir selbst

„Micro blogging wird immer poulärer. Doch Dienste wie Twitter haben ein 140-Zeichen-Limit für die Nachrichten. In der Kürze liegt die Würze, ja, doch wenn manchmal die halbe Nachricht für lange URLs draufgeht, macht es keinen Spaß mehr. […] Aber wer weiß, wann so ein kostenloser URL-Kürzer seinen Laden dicht macht – und dann sind alle Short-URLs futsch! Nicht so, wenn ich meinen eigenen Dienst nutze.“

Sehr schöne Anleitung 😉

Ich habe nicht die geringste Ahnung wie gut oder wie schlecht der Victorinox Secure USB-im-Taschenmesser-Stick abgesichert ist. Als regelmäßiger Flugpassagier habe ich für Taschenmesser auch nicht mehr so viel Verwendungszweck. Die Fummler am Flughafen nehmen einem die gerne mal ab. Und zu guter Letzt muss ich bei Victorinox immer an das Bild aus Asterix und der Arvernerschild denken, in dem Vercingetorix seine Waffen Cäsar auf die Füße knallt.

Was ich aber bei Bruce Schneier gelernt habe ist, dass ein Crypto-Wettbewerb mit der Aufgabe für eine Summe x (bei Victorinox sind das immerhin 100.000 Pfund) eine Verschlüsselung zu brechen kein Hinweis für gute Verschlüsselung sondern viel häufiger ein Hinweis auf Snake Oil Cryptography ist:

Warning Sign #9: Cracking contests: Contests are a terrible way to demonstrate security. A product/system/protocol/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products/systems/protocols/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don’t produce useful data.

Ob das alles jetzt für oder gegen Victorinox spricht, kann ich leider nicht beurteilen. Vielleicht wurde Victorinox auch nur von einer schlechten Marketingagentur beraten.

Foto: AskDaveTaylor, Lizenz: CC

Und was für das iPhone gilt, gilt auch für das iPad. Gleiches OS!

Soso, Apple hat die ganzen Wifi-Scanner aus dem iTunes Store verbannt. Weil die Scanner um auf Wireless LAN Signale z.B. von offenen Hotspots in der Nähe zugreifen zu können, ein paar private APIs benötigt haben, die Apple nicht für die gemeinen Plebs-Entwickler freigegeben hat. Für das iPhone ist mir das im Grunde ja egal, für ein iPad keinen Wifi-Scanner mehr zu haben ist … typisch Apple halt.

Wann gibt’s eigentlich endlich das HP Slate mit Windows 7 und Back Track Linux?

Ich lache mich schlapp. Die Beutelschneider von Verisign haben ein neues Geschäftsmodell gefunden. Musste ja kommen, weil Jamba (die mit den Klingeltonabos für kleine Kinder) im Oktober 2008 an Rupert Murdoch verkauft wurde.

Zur Wiederholung, das Geschäftsmodell von Verisign basiert neben der überteuerten Domainverwaltung von .com und .net vor allem darauf, überteuerte Zertifikate für SSL-Server zu verkaufen. Am besten gleich die mit Extended Verification, was bei mir den Eindruck erweckt als würde Verisign bei den anderen SSL-Zertifikaten gar nicht richtig prüfen. (Naja, tun sie ab und zu auch nicht wie die fehlerhaft auf den Namen Microsoft ausgestellten Zertifikate zeigen.) Aber gut, man braucht ja nicht unbedingt ein Zertifikat von Verisign. Es gibt auch günstige seriöse Anbieter.

Verisign hat jetzt aber entdeckt, dass es ja gaaaanz viele Webseiten gibt, die gar kein SSL haben. Und den gaaaanz vielen Webseiten ohne SSL kann man gar kein SSL-Zertifikat verkaufen. Was verkauft man denen dann? Genau, ein Webseiten-Siegel. Sowas wie es der TÜV (die anderen Beutelschneider) auch im Angebot hat. Bei Verisign heißt das „VeriSign Trusted“ (nur 299 USD, umgerechnet 220 Euro) und beinhaltet laut Heise die Identitätsprüfung des Seitenbetreibers. Ein SSL-Zertifikat ist nicht enthalten, das ist nämlich dann „VeriSign Secured“ und kostet natürlich mehr. Nebenbei ist noch ein Malware-Scanner für die Webseite enthalten. Ich persönlich halte das ja für Quatsch, aber es gibt sicher genug Webseitenbetreiber die drauf reinfallen. Und vielleicht gibt es das Siegel irgendwann sogar im Verisign-Sparabo.

Nachtrag:

Ganz sachlich: ein normales Verisign-SSL-Zertifikat kostet umgerechnet 440 Euro (599 USD) für ein Jahr, ein Verisign-SSL-Zertifikat mit Extended Validation kostet umgerechnet 1250 Euro (1699 USD) für einen Server außerhalb der USA/Kanada. Ein vergleichbares SSL-Zertifikat z.B. von TC Trustcenter kostet 159 Euro (aktuelle Promo 143 Euro) zzgl. MwSt., von der Deutschen Telekom kostet es 150 Euro zzgl. MwSt. Aber da Verisign keine Zwangslage ausnutzt darf man nicht von Wucher sprechen.

Tja, Apple braucht offensichtlich einen Larry Flynt. Und vielleicht ist gerade ein umstrittener Konzern wie Springer mit seinem zwielichtigen Produkt „Bild“ genau richtig. Immerhin war Larry Flynt auch nicht gerade unumstritten.

Naja, bevor ich mir von Steve Jobs vorschreiben lasse, welche Medien ich auf meinem iPod/iPhone/iPad/iPfusch anschauen (nur Fox News!) darf, schau ich mir lieber mal ein HP Slate an.