Mitternachtshacking

Fefe schrieb gestern:

Kleines Detail der neuen Ermächtigungsgesetzgebung:

1. § 129a, „Bildung terroristischer Vereinigungen“:
   (2) Ebenso wird bestraft, wer eine Vereinigung gründet, deren Zwecke oder deren Tätigkeit darauf gerichtet sind, […] 2. Straftaten nach den §§ 303b […]
2. Der neue § 303b sieht so aus:
   (1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt

   und

3. der neue § 202a liest sich so:
   (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft […]

Fassen wir also zusammen: der CCC ist ab übermorgen eine terroristische Vereinigung.

Schon etwas länger her, aber die Überschriften von The Register sind einfach zu gut …

Virus writers have girlfriends – official
And some don’t even need inflating

Aha.

Das erinnert mich an einen früheren Job in einer Bank. Da gab es zum Surfen im Internet einen sehr restriktiven URL-Filter. Alles was irgendwie anstößig war, wurde verboten. Hacking, Rotlichtseiten (um das böse P-Wort zu vermeiden), sogar die Seiten von anderen Banken wurden blockiert. Und nur der Vorstand durfte über Ausnahmen entscheiden.

Und dann geht Beate Uhse an die Börse …

Heute nur ein kurzer Link:

Convert Physical Windows Systems Into Virtual Machines

VMware ist schon was feines …

… wegen Geschäftsschädigung. Das gibt es auch nur bei den Amis.

Zango, laut Infoworld früher als 180solutions bekannt, hat PC Tools, den Hersteller von Spyware Doctor verklagt, da dieser die Zango Spyware Nutzsoftware als Spyware einstuft. Wenigstens schließt sich die US-amerikanische FTC der Meinung an, dass Zango Nutzsoftware Spyware ist.

Microsoft hat jetzt schwarz auf weiß veröffentlicht, welche Verbesserungen in Windows Vista enthalten sind. Erstaunlich, das Dokument (natürlich im proprietären Word-Format) kann auch von einem Nicht Genuine Windows (aka Linux) mit Nicht Genuine Internet Explorer (aka Firefox) heruntergeladen werden.

Zu den Inhalten:

Engineering a Secure Operating System: ein paar Informationen zum Windows Security Life-Cycle, viele bunte Bilder und ein Haufen Marketing Blabla

Under the Hood of Windows Vista: kurz NX und ASLR angesprochen, Kernel Patch Protection erklärt, Driver Signing, aber keinerlei echte Details

New User, Network, and Application Security Options: User Account Control wird angesprochen, außerdem Werbung für die Windows Firewall, Windows Defender, das Windows Security Center und Network Access Protection gemacht.

New Data Protection Options: Bitlocker ist dabei, außerdem EFS-Verbesserungen und das Digitale Restriktionsmanagement (Rights Management Services, RMS) wird lobend erwähnt.

Security Options in Internet Explorer 7: Der Microsoft Phishing Filter, der zwar recht effizient aber schweinelangsam ist, die SSL Zertifikatsvalidierung, die es richtig schwer macht, auf Server mit selbstgebastelten Zertifikaten zuzugreifen, außerdem der Protected Mode des Internet Explorers und ActiveX-OptIn, was der gleiche Schmarrn ist wie „Safe for Scripting“, weil der Entwickler und nicht der User entscheidet, was sicher ist.

Kurz, 19 Seiten die sich nicht wirklich lohnen, außer um einen Überblick der aktuellen Schlagwörter und Säue zu bekommen, die gerade durch’s Dorf getrieben werden. Ich hätte mir da mehr erwartet.

Ach ja, einen Verweis auf den Windows Vista Security Guide gibt es auch noch. Der wird aber nur als MSI angeboten, wahrscheinlich aus dem einzigen Grund, weil man dann unter Linux das File nicht einfach mit OpenOffice öffnen kann (naja, eine Fancy License ist auch noch dabei). Bei XP und Windows 2003 gab es das noch als ZIP-File.

F-Secure pusht mal wieder die Idee einer Toplevel-Domain .bank die nur für Banken zur Verfügung stehen soll. Auf den ersten Blick klingt das gar nicht so schlecht und F-Secure sucht wohl auch gerade einen Sponsor, der das Thema bei ICANN weitertreiben soll. Auf den zweiten Blick wird das insgesamt nicht viel bringen.

1. Die Leute klicken sowieso auf alles was sich bewegt, selbst wenn extra dabei steht, dass man sich damit seinen Rechner infiziert
2. Die Phisher basteln sich auch weiterhin lustige URLs wie www.postbank.bank.secure.hk und die Leute fallen auch weiterhin drauf rein
3. Weil es immer wieder Lücken im Browser gibt, mit denen z.B. durch JavaScript falsche URLs in der Kopfzeile angezeigt werden können
4. Weil sogar die Default-Einstellungen von Firefox nichts taugen

Das einzige, was eine solche Toplevel-Domain bringt ist, dass sich die Hersteller von Virenscannern und Personal Firewalls leichter tun. Wenn es nach .bank geht ist es ok, braucht man schon mal nicht mehr kontrollieren. Und irgendwann ist einfach alles andere suspekt und fertig.

Hey F-Secure, macht Eure Hausaufgaben 🙂

Ich bin gerade am Installieren eines Servers, das dauert wie üblich ein wenig. Daher kann ich mal kurz die Bedrohungsanalyse prüfen:

• Symantec ThreadCon: grün
• SANS/Dshield.org: grün
• IBM ISS AlertCon: grün

Ich verstehe das nicht … wollen die alle keine IT-Security Produkte mehr verkaufen? 🙂

a074b01b79207eaec03dbad343997c6c ist ein MD5-Hash von irgendwas, was ich weiß und vielleicht oder vielleicht auch nicht oder so eventuell mal hier oder woanders posten werde. Ich will aber jetzt schon mal festhalten, dass ich das, was ich noch poste, jetzt schon weiß, damit jeder weiß, dass ich das als erstes gefunden habe, aber nur nicht veröffentlicht habe oder schon oder woanders oder was weiß ich denn.

Dieses lustige MD5-Hash posten scheint der neueste Trend in der Veröffentlichung von Sicherheitslücken zu werden. Halvar Flake, Didier Stevens und Kai Hampelmann, alle veröffentlichen MD5-Hashes die keinen interessieren um irgendwann mal behaupten zu können: „Ich hab’s gewusst!“.

Im Prinzip ist mir das ja egal. Entweder man macht Full Disclosure, d.h. man veröffentlicht alle Details einer Sicherheitslücke oder nicht. Wenn nicht, dann sagt man nur dem Hersteller wo das Problem ist und wartet halt ein halbes Jahr oder länger auf die Patches. Microsoft und Oracle sind da so Spezialisten. Solange eine Lücke nicht öffentlich bekannt ist, passiert erst einmal gar nichts oder sehr wenig und ein Patch dauert dann halt gerne mal 300 Tage oder gerne auch mal länger. Die Advisories von eEye können da ein Lied von singen. Stand heute, 19.05.2007: EEYEB-20061024, Vendor Microsoft, Days sind initial report: 208!

Das Problem mit den MD5-Hashes ist nur, dass sich die Typen dann hinstellen und hinterher behaupten, sie hätten ja schon früh was veröffentlicht und sei es nur der MD5-Hash gewesen. Eine nette Pervertierung von Full Disclosure. Ich denke, die MD5-Poster sollte man am besten gar nicht mehr ernst nehmen.

Ach ja, und wer herauskriegt, was hinter dem obigen Hash steckt, bekommt ein Bier von mir 🙂

Hach ja … endlich hier bei Symantec eine universelle Lösung zur Problematik, Schadcode-Updates an der Personal Firewall vorbeizubringen.

Alle vernünftigen Firewalls (die Windows XP Firewall natürlich nicht) filtern auch ausgehenden Datenverkehr und lassen nicht jedes Programm mit dem Internet kommunizieren. Daher hat ein Schadprogramm das Problem, beim Nachladen der Module typischerweise einen Alarm auf der Firewall auszulösen. Für diese Beschränkung gibt es nun mehrere Standardverfahren:

• Starten eines Threads, der ständig „ok“ an den Firewall-Prozess schickt, so dass ein aufgehendes Fenster automatisch beantwortet wird. Das könnte ein aufmerksamer Benutzer allerdings bemerken.
• Shutdown der Firewall, allerdings würde das ein aufmerksamer Benutzer ebenfalls erkennen. Es gibt zwar einen weiteren Trick wie man die Warnung des Windows Security Center deaktiviert, aber das wird dann alles ein wenig aufwändiger.
• Die beliebteste Technik ist Code Injection in den Internet Explorer. Das funktioniert ganz ordentlich, diese Browser Helper Objects machen nichts anderes. Die Google Toolbar ist z.B. so etwas.

Und jetzt hat also endlich jemand den BITS Dienst von Windows Update entdeckt. Das ist ein Systemdienst, der darf durch die Personal Firewall, das gibt keinen Alarm und es laufen auch keine seltsamen Prozesse im Hintergrund. Sehr elegant.

Ein erster PoC ist auch schon aufgetaucht.

Soso, der böse Slammer-Wurm hat mal wieder zugeschlagen.

Der gleiche Wurm, der schon mal die Davis-Besse Nuklearanlage infiziert hat, hat sich nun mit den Wahlcomputern im Sarasota County, Florida angelegt. Das Ergebnis war zu erwarten: 1:0 für Slammer.

Wie üblich hat das erst einmal irgendwer versucht zu vertuschen und nun heißt es, dass die Wahl davon nicht betroffen war. Nur wenn man die Ergebnisse betrachtet, dann ist schon auffällig, dass bei dieser Wahl 9x so viele leere Stimmabgaben erfolgt sind als normal.

Ich fürchte ja, wenn die meisten Administratoren schon mit der Absicherung ihrer Windows-Server überfordert sind, dann brauchen wir mit Wahlmaschinen gar nicht erst anfangen. Eine Technologie zur Wahl verwenden, die 95% der Wähler nicht mehr richtig verstehen und durchschauen ist ein Problem. Da können wir die Wahl auch gleich komplett abschaffen.

Die Hersteller von Wahlcomputern haben leider kein echtes Interesse daran, sichere und zuverlässige Geräte zu entwickeln. Primär geht es darum, dass die Geräte billig sind und teuer verkauft werden können. Besonders krass war ja die Firma Diebold, wie BlackBoxVoting so schön gezeigt hat.

Obwohl, eine sichere Plattform scheint es zu geben: die XBox 360 von Microsoft. Da tun sich die Hacker mit Modifikationen schwer und wenn, wird es zumindest entdeckt. Vielleicht sollten wir in Zukunft unsere Wahl von Microsoft veranstalten lassen?