Mitternachtshacking

Ich schreibe schon seit geraumer Zeit davon, dass die Erkennungsraten der Virenscanner langsam aber sicher schlechter werden und wir irgendwann einen Paradigmenwechsel weg vom Blockieren von Schadsoftware hin zum Erlauben von guter Software benötigen. Vielleicht wird es jetzt langsam soweit. Immerhin scheinen die False Positives der diversen Virenscanner so schmerzhaft zu werden, dass das Internet Storm Center (ISC) eine National Software Reference Library (NSRL) mit rund 40 Millionen Programmen und ihren Hash-Werten zusammengestellt hat.

Und jetzt könnte Cloud-Scanning plötzlich Sinn machen. Vor jedem Aufruf eines Programms oder einer ausführbaren Datei verifiziert das Betriebssystem das Programm gegen die NSRL und wenn das Programm enthalten ist, dann wird es ausgeführt (und das Ergebnis gecacht). Wenn nicht, prüft eine einfache Heuristik ob das Programm möglicherweise Schadcode enthält. Ich könnte mir vorstellen, dass damit die Abhängigkeit der Virenscanner von Patternupdates sinkt. Allerdings enthält dieser Entwurf noch viele ungelöste Probleme, beispielsweise wie eine manipulationssichere Kommunikation mit der NSRL möglich ist (DNS kann leicht manipuliert werden, HTTPS ist sehr aufwendig) und wie verfahren werden soll, wenn die NSRL nicht verfügbar ist. Außerdem halte ich die teilweise verwendeten MD5-Hashes für nicht gerade vertrauenerweckend. Und natürlich hilft das ganze Verfahren nicht gegen Schadprogramme die sich z.B. in Office-Dokumenten oder PDF verstecken.

Aber mein Eindruck ist, Whitelisting kommt, wenn wohl auch erst in einigen Jahren. Für die nahe Zukunft wünsche ich mir jedenfalls, dass die NSRL direkt in das Betriebssystem integriert wird und von verschiedenen Virenscannern einfach genutzt werden kann. Für Linux sollte sich sowas einfach realisieren lassen. Und wenn die NSRL (digital signiert) auf dem System vorhanden ist, kann ClamAV oder jeder andere Scanner auf diese Daten zurückgreifen.

(via Heise)

schreibt u.a. Golem.

Alle 90 Tage lädt das Microsoft-SWAT-Team (für Secure Windows Activation Technologies) ein neues Patternupdate und wen dem was an der Windows-Installation nicht gefällt, dann ist die boooom nicht mehr aktiviert. Ich bin sicher, das mit den Pattern funktioniert genauso zuverlässig wie die Patternupdates bei McGorilla, Bierdefender oder GehtDaten. Aber das deckt sich mit dem amerikanischen Rechtsverständnis. Erst tasern, dann fragen.

Ich wünsche mir ja, dass irgendein Virenautor so einen Exploit auf die Systeme bringt um damit großflächig das Internet abzuschießen. Wie früher der AOL Hoax. Hat auch viele Deppen vom Internet ferngehalten. Ich würde sogar dafür bezahlen! Aber leider ist ein kaputter Rechner kein guter Botnet-Rechner. Darum mache ich mir wenig Hoffnung, dass die Russenmafia so eine Schadprogramm unter die Windows-User bringt.

Ach ja, der kluge Mensch lehnt die Installation natürlich ab. Sie ist im Grunde freiwillig. Nur erzählt einem Microsoft gerne was vom Pferd und dem Weltuntergang, wenn man das Zeug nicht installiert. Ich bin ja gespannt, ob man die wieder deinstallieren kann. Microsoft behauptet ja. Bei WGA und der Windows Genuine Notification ging’s nicht. Wahrscheinlich lügt der Microsoft-Pressesprecher und redet sich hinterher mit Fehlinformation raus.

Also nichts neues. Seufz.

Paypal zahlt in Indien kein Geld mehr aus. Nicht etwa nur bei einzelnen Accounts sondern bei allen!

Begründung: „to respond to enquiries from the Indian regulators“. Meine Interpretation auf Deutsch: Paypal hat gegen diverse indische Gesetze verstoßen und die Inder haben den Laden erstmal zugemacht.

Wie lange das dauert: „Personal payments to and from India will be suspended for at least a few months until we fully resolve the questions from the Indian regulators“. Auf Deutsch: Wir wissen nicht, ob wir die  Geschäftstätigkeit in Indien überhaupt wieder aufnehmen dürfen.

Klingt sehr vertrauenswürdig. Aber in Deutschland will Ebay die Händler zwingen, dieses Paypal zu verwenden. Ein wenig mehr im Paypal-Blog hier und hier. Und viel mehr hier.

Ab und zu gibt es so Geschichten die irgendwie schwer einzuordnen sind. Beispielsweise die seltsame Geschichte des Samba Zero-Day Exploits. Ich rekapituliere mal kurz die Ereignisse:

Fr, 05.02.: Kingcope veröffentlicht einen Exploit mit dem sich via Symlink Beschränkungen auf Samba-Freigaben aufheben lassen. Dazu hat er einen Sambaclient modifiziert um diese Symlinks anlegen zu können.

„A remote attacker can read, list and retrieve nearly all files on the System remotely.
Required is a valid samba account for a share which is writeable OR a writeable share which is configured to be a guest account share, in this case this is a preauth exploit.“

Die Samba-Entwickler sind relativ schnell mit einem Advisory zur Hand, das dieses Problem erklärt.

Mo, 08.02.: Paul Szabo weist den Fehler zurück es handle sich um eine Fehlkonfiguration wenn diese Symlinks vom Sambadienst berücksichtigt werden.

„Nothing breaks if the admin sets „wide links = no“ for that share: the link is not followed.“

Und dann driftet die Diskussion in das Verhalten von SMB auf Windows 2008 ab:

„Since Windows 2000 NTFS supports „junctions“, which pretty much resemble Unix symlinks, but only for directories. And at least since Vista, it also supports symlinks, which are designed to mimic Unix symlinks, and can point to files or directories. Junctions and symlinks can cross volumes; symlinks can also refer to files or directories on network filesystems.“

Ende der Diskussion. Was praktisch nicht zur Sprache kommt ist, ob z.B. die Defaultkonfiguration von Samba einfach schlecht ist und nicht das erwartet, was der typische Administrator erwartet. Zumindest kann man nicht von „Safe Defaults“ sprechen. Aber wenigstens soll die Standardeinstellung in der nächsten Version behoben werden:

„All future versions of Samba will have the parameter „wide links“ set to „no“ by default, and the manual pages will be updated to explain this issue.“

Und daraus kann man eine recht einfache Lehre ziehen. Wenn ein Programm in einer Konfiguration Defaulteinstellungen vornimmt, müssen diese der Erwartungshaltung der Administratoren entsprechen. Alles andere ist genauso ein Sicherheitsrisiko wie wenn es sich bei diesem Fehler um einen echten Zero-Day Exploit gehandelt hätte. Erstaunlich ist meiner Ansicht nach, dass es immer noch so viele Programme gibt, die sich nicht an diese Regel halten.

Aus Hackersicht sind die ganzen iPx von Apple alle zu nichts zu gebrauchen. Ok, man kann mit dem iPod Musik hören, mit dem iPhone telefonieren und mit dem iPad augenscheinlich eBooks lesen.

Aber was ist mit den wirklich relevanten Anwendungen? Wenn ich schon ein Gerät habe, das IP versteht, dann will ich da einen Portscanner drauf haben. Bevorzugt Nmap, notfalls auch was anderes. Wireshark könnte auch nützlich sein. Wenn das Gerät WLAN versteht, dann will ich da zumindest den Network Stumbler drauf haben. Kismet oder die komplette Aircrack Suite wäre natürlich besser. Einen einfachen Portscanner hatte ich vor 10 Jahren schon auf meinem HP iPaq mit Windows CE. Den Network Stumbler (MiniStumbler) gibt es auch für Windows CE. Technisch kann das also kein Problem sein.

Statt dessen haben wir hier es mit einer maximal verschlossenen Plattform zu tun. (Ok, es gibt Jailbreaks aber will ich mir bei einem so teuren Teil das selbst antun und das Risiko einzugehen mit dem nächsten Release einen teuren Ziegelstein zuhause zu haben?) Damit wird das Gerät für mich genauso nützlich wie ein Nintendo DS. Man kann ein bissi damit rumspielen aber ernsthafte Anwendungen fallen mir praktisch schon nicht mehr ein. Erstaunlich eigentlich, welche Rückschritte die letzten 10 Jahre hier passiert sind.

Also liebe Apple-Nasen: Es freut mich, dass ihr so viele IQ90-Träger findet, die sich zwar über DRM bei Musik aufregen aber trotzdem vergnügt ihr DRM-verseuchtes iPhone durch die Gegend schleppen. Mich jedenfalls kriegt ihr für das iPod/iPhone/iPad erst als Kunde, wenn Nmap im AppStore auftaucht.

Diesmal spamt mich M86 voll. Ich fürchte die haben meine Mailadresse durch die Übernahme von Finjan. Aber so schnell können die gar nicht gucken, wie sie bei mir auf der Sperrliste stehen.

Jedenfalls habe ich eine nette Mail bekommen auf der sich M86 berufen fühlt, Vorhersagen für das Jahr 2010 zu machen:

• Botnets Grow in Sophistication
• Continued Rise of Scareware
• Poisoning Search Engine Results
• Evolution of Web Site Infections
• Setting Sights on SaaS and Cloud Services
• Exploiting Third Party Applications
• International Domain Name Abuse
• Attacking Application Programming Interfaces
• URL Shortening Services Hide Nefarious Means

Das meiste davon ist 2009 schon da gewesen. Beispielsweise, dass Botnets immer cleverer werden. Einige nutzen bereits Social Websites oder Cloud Services um darüber das Botnet zu steuern. Scareware wird natürlich mehr, die Leute fallen schließlich auf jeden Blödsinn rein. Da gab es letztes Jahr auch genug Beispiele. Und so weiter, ich will das gar nicht alles kommentieren.

Im Grunde scheint es doch so zu sein: die Firmen die so Vorhersagen machen, gucken was wird den aktuell auf Security Konferenzen diskutiert und kann eventuell von eigenen Produkten eingedämmt werden und so macht man dann seine Vorhersagen. Ich würde z.B. auch vorhersagen können, dass Daten- und Identitätsdiebstahl in Social Networks zunehmen wird. Oder, dass die Britischen Behörden weiterhin Unmengen von Daten verlieren. Oder, dass Cloud-Serviceanbieter zukünftig vermehrt in den Fokus von DDoS-Schutzgelderpressern geraten. Aber für keine dieser drei Vorhersagen kann ich ein Produkt anbieten. Und schlechter als die Vorhersagen von Frank Rieger auf dem 26C3 sind die auch nicht.

Ich suche ein Stück Software, das folgende Anforderungen erfüllen sollte:

Required:

• SSL-Portforwarding, d.h. eine TCP-Verbindung (mind. SSHv2) über HTTPS
• muss mit Web-Proxys und Proxy-Authentisierung zurechtkommen
• muss im Kontext eines vorhandenen Apache Webservers laufen, weil nur eine IP-Adresse zur Verfügung steht und dort bereits ein Webserver läuft
• Darf Geld kosten, muss aber nicht 😉

Nice to have:

• SSL-VPN, d.h. eine echte IP-Verbindung über HTTPS
• Open Source

Die Software soll auf einem meiner Webserver installiert werden und das Problem lösen, dass ich ab und an in fremden Firmen sitze, eine SSH-Verbindung nach Hause brauche aber nur HTTP und HTTPS über den Proxy bekomme. Es gibt nur eine (dynamische) IP-Adresse und ich kann auch nicht einfach einen SSH-Dienst an 443 binden, weil da weiterhin ein normaler Webserver laufen muss.

Insbesondere die Anforderung, dass das im Kontext einen vorhandenen Webservers laufen muss, scheint ein Problem zu sein. Die diversen SSL-VPN Appliances wollen alle den Port 443 alleine haben. Das ließe sich bei nur einer IP-Adresse zwar mittels Port-Forwarding auf dem DSL-Router lösen, nur brauche ich an Port 443 trotzdem noch einen normalen HTTPS-Webserver. Eine zweite IP-Adresse geht leider auch nicht.

Ich habe jetzt mit Webtunnel rumgespielt, das macht aber nicht so ganz das was ich gern hätte. Außerdem habe ich HTTPTunnel gefunden, das eine Version enthält die das in PHP implementiert. Nur kriege ich über die PHP-Version kein SSHv2 zum Laufen. Da bricht mein SSH-Server immer mit einer Fehlermeldung ab. Außerdem können beide nur TCP-Forwarding, kein echtes IP-VPN. Die üblichen Verdächtigen wie OpenVPN oder GNU HTTPTunnel scheiden aus, weil sie nicht im Kontext meines Webservers laufen. Und PHP kann ich nicht so gut programmieren, dass ich den HTTPTunnel-Fehler beheben könnte.

Alternativ wäre auch ein PHP-SSH, also ein SSH-Server im Kontext des Webservers ok. Ich finde nur gar nix, das mein Problem lösen würde. Open Source Lösungen werden bevorzugt, was nicht heißt, dass es nichts kosten darf.

Ach ja, und welchen PHP-Proxy (mit ähnlichen Anforderungen wie oben, d.h. muss über HTTPS im Kontext eines Apache Webservers laufen) würdet Ihr mir empfehlen?

Wie sagt Fefe: Captain Obvious war auch schon da:

Secondary credit card security systems for online transactions such as Verified by Visa are all about shifting blame rather then curtailing fraud, Cambridge University security researchers argue.

schreibt The Register. Also wenn man mit so einer Aussage schon Wissenschaftler an der Cambridge University werden kann, dann wundert mich nicht mehr, dass da keine Nobelpreise mehr gewonnen werden. Bei der ganzen vorgeblichen Sicherheit von Kredit- und EC-Karten geht es nicht um Sicherheit sondern darum, wer am Ende der Dumme ist der für den Schaden aufkommen muss.

In Deutschland ist der Dumme fast immer der Kunde, weil die Richter am BGH nicht rechnen können. In Großbritannien haben sie intelligentere Richter (also nicht den typischen Alois Eschenberger, der bei uns in den meisten Gerichten Recht spricht). Deshalb gibt’s bei den Briten eben Chip&PIN, bei uns Magnetstreifen und Skimming.

Ich kenne viele Sicherheitssysteme deren Aufgabe nicht die höhere Sicherheit sondern lediglich das Verschieben des Schuldigen ist. Aber mal ehrlich, wundert das jemanden?

Heute habe ich ein wenig mit einem ASUS A7SV gespielt, weil das Gerät aus verschiedenen Gründen für ein bestimmtes Projekt möglichst gut abgesichert werden soll. Dazu gehört neben Festplattenverschlüsselung eben auch ein BIOS-Passwort, damit sich nicht ganz so trivial von CD booten lässt.

Dabei ist mir folgendes aufgefallen:

Wenn man auf den Power-Knopf rechts oben am Gerät drückt, startet das Gerät, es kommt das BIOS-Passwort und dann die Pre-Boot Authentisierung meiner Festplattenverschlüsselung. Startet man den Rechner jedoch über einen speziellen Hotkey, der auf dem Asus-Gerät mit einem Film-Symbol belegt ist, startet der Rechner direkt in die Pre-Boot Authentisierung. Das BIOS-Passwort wird nicht abgefragt.

Qualifiziert das nun für eine Sicherheitslücke?

Ab und zu habe ich ja den Eindruck, so ein Laden wie die Umbrella Corporation ist gar nicht so unwahrscheinlich. Mein Kandidat in Deutschland hierfür wäre die Fraunhofer Gesellschaft. Das ist eine der staatlich finanzierten Gesellschaften bei denen man immer wieder das Gefühl bekommen kann, da sitzen ein paar Forscher in ihren Glastürmen und haben jeden Bezug zur Realität verloren. Egal ob das Prof. Beyerer betrifft oder die Patentverwertungsstelle, die Fraunhofer Gesellschaft hat in viel zu vielen Dingen ihre Finger drin und oft genug ist das Ergebnis zumindest aus meiner Sicht zweifelhaft.

Ein typisches Beispiel ist das Weihnachtsgeschenk eines ehemaligen Arbeitskollegen, der jetzt bei Fraunhofer SIT beschäftigt ist. Ich bekam einen Gutschein im theoretischen Wert von 9,90 Euro für die von Fraunhofer entwickelte MobileSitter Software.

Im Grunde finde ich die Idee einer sicheren Software auf dem Mobiltelefon mit dem Passwörter gespeichert werden können ja gut. Sowas wie KeePass auf meinem Telefon hätte schon was. Aber der MobileSitter … das ist wenn man in die Lizenzbedingungen reinschaut quasi die Fraunhofer-Version des Jamba Sparabos. Ich zitiere mal einen kurzen Ausschnitt aus der Lizenz:

„Ohne gültige Lizenzdatei kann die MobileSitter-Software nicht mit gewünschter Funktionalität ausgeführt werden, z.B. ist die Entschlüsselung der sicher hinterlegten Daten dem Nutzer nicht möglich, wenn er über keine gültige Lizenzdatei verfügt. Die Entschlüsselung ist somit nur innerhalb des in der Lizenzdatei enthaltenen Gültigkeitszeitraums (siehe Ziffer 4.) möglich.“

und in Ziffer 4 steht dazu:

„Durch die Zahlung der jeweiligen Lizenzgebühr wird dem Nutzer ein befristetes Nutzungsrecht für einen Zeitraum von 12 Monaten eingeräumt. […] Der Gültigkeitszeitraum kann gegen Zahlung einer weiteren Lizenzgebühr verlängert werden.“

Auf Deutsch, für die, die das immer noch nicht kapiert haben: Wenn man in diese von Fraunhofer „verschenkte“ Lizenz tatsächlich seine Passwörter einträgt, darf man jedes Jahr wieder wie im Jamba Sparbo 10 Euro an die Umbrella Corporation Fraunhofer Gesellschaft abdrücken, weil man seine Passwörter sonst nicht mehr entschlüsseln kann.

Bei den Drogendealern hieß das früher mal anfixen.

Update:

Falls jemand möchte, den Gutschein-Code gebe ich gerne weiter. Bitte bei Nachfrage einen IQ < 70 nachweisen.

Update 2:

Unabhängig davon, über die Karte des Ex-Kollegen habe ich mich jedenfalls sehr gefreut.