Mitternachtshacking

behauptet The Inquirer. Ich weiß noch nicht, ob das eine gute Idee ist. Egal, ich muss es ja erst einmal nicht installieren …

Heise hat auch schon mit einer Woche Verspätung gemerkt, dass Reisen in die UK keine gute Idee mehr sind. Immerhin liefern sie den Link zum Gesetz sowie die Empfehlung TrueCrypt mit.

TecChannel hat das BSI angezeigt, da auf der Webseite des BSI die BOSS-CD u.a. mit Nmap und Nessus zum Download angeboten wird.

Die Staatsanwaltschaft in Bonn (Sitz des BSI) hat nun zwei Möglichkeiten:

• Der Anzeige wird NICHT stattgegeben, weil das BSI nach Meinung der Staatsanwaltschaft keine strafbare Handlung begeht

• Der Anzeige wird STATTGEGEBEN, und die Ermittlungen gegen Unbekannt werden aufgenommen, weil der Verdacht besteht, dass hier eine strafbare Handlung vorliegt.

Sehr schön.

(via Fukami)

Der spanische Sicherheitsexperte Hugo Vazquez Carames hat eine Dokumentation (PDF) veröffentlicht die zeigt, dass in einigen Command-Line-Tools von Check Point auf SecurePlatform (Linux) Buffer Overflows existieren. Die Bewertung der Lücken ist jedoch nicht so ganz klar.

Zum einen wird die Gefahr dieser Exploits stark überschätzt. Um den Pufferüberlauf nutzen zu können, muss man bereits auf SecurePlatform angemeldet und Firewall-Administrator sein! Die Firewall selbst lässt sich daher auch ohne den Exploit kompromittieren. Der einzige Gewinn den der Exploit bringt ist, dass man aus der beschränkten Umgebung der Check Point Restricted Shell (cpsh) in die freie Umgebung der Bash fällt. Ok, die Kompromittierung ist dann noch etwas heftiger und subtiler aber der Schaden war vorher schon da. Und gut, wenn es Unternehmen geben sollte die einzelnen Administratoren nur den beschränkten Zugang gibt und nicht die Bash, dann könnte tatsächlich ein potentielles Risiko bestehen.

Andererseits stellen die Spanier durchaus berechtigt die Frage, wie es bei solchen Problemen zu einer Common Criteria EAL 4+ Zertifizierung kommen konnte. EAL 4+ sieht eine Reihe von Vorkehrungen, z.B. einen verifizierten Entwicklungsprozess und detaillierte Sicherheitsüberprüfungen vor, die eigentlich eine große Zahl dieser Fehler hätten verhindern sollen. Leider ist das nicht passiert.

Gut, die Spanier sind jetzt auch nicht so die Profis. Die konnten nicht beurteilen, ob es einen Weg gibt die Lücke auch Remote auszunutzen. SecurePlatform implementiert immerhin diverse Schutzfunktionen wie nicht ausführbarer Stack und Heap, Address Space Layout Randomization sowie ASCII Armor.

Check Point hat weiter Informationen zum Problem in SK33639  hinterlegt, aus meiner Sicht handelt es sich jedoch erst einmal um ein Non-Issue.

Bei Securityfocus ist die Lücke als BID 25886 registriert. Heise hat auch eine Meldung.

Der Storm Worm bildet inzwischen das größte globale Botnetz aller Zeiten mit 1,8 Millionen kompromittierten Maschinen. Peter Gutman (ja, der mit der Vista-Kritik) hat errechnet, dass die Leistung des Botnetzes locker die der größten Supercomputer übertrifft.

Bruce Schneier hat eine Analyse des Storm Worm zusammengefasst. Er spricht von der Zukunft des Schadcodes.

1. Der Wurm ist geduldig. Er greift nicht permanent an sondern führt einige Angriffe durch und versteckt sich dann wieder um nicht erkannt zu werden.
2. Der Wurm verwendet Aufgabenteilung wie in einem Ameisenhaufen. Einige Instanzen verbreiten den Wurm weiter, andere dienen als Kontrollzentren, die restlichen warten auf Anweisung. Dadurch wird der Wurm immun gegen das Abschalten einzelner Systeme.
3. Storm verursacht keine spürbaren Schäden an komprimittierten Systemen. Die Anwender merken keine Änderung im Verhalten, das einen Administrator alarmieren könnte.
4. Der Storm Wurm verwendet zur Kommunikation Peer-to-Peer Funktionen statt eines zentralen Servers. Auch dadurch wird es fast unmöglich, den Wurm auszuschalten.
5. Die Kontrollsysteme sind nicht nur durch Peer-to-Peer Techniken geschützt, sie verstecken sich auch im DNS durch „Fast Flux“, d.h. ständig wechselnde DNS-Einträge.
6. Die Schadroutinen von Storm verändern sich durch Code-Morphing automatisch, was eine Erkennung durch Virenscanner erschwert, da feste Signaturen nicht verwendet werden können.
7. Die Verbreitungsverfahren des Wurms werden auch ständig angepaßt. Per Mail, als Einladung zu einer Webseite, über Lücken im Browser … sobald eine Lücke geschlossen wird, greift der Wurm auf eine andere zu.
8. Die zur Verbreitung verwendeten E-Mails, sowohl Subject als auch Inhalt werden ständig an aktuelle Ereignisse angepasst. Wenn die NFL eröffnet werden Tickets angeboten, bei schweren Stürmen Wetterinformationen, etc.
9. Der Wurm greift gezielt Anti-Spam-Seiten an, die seine Verbreitung behindern sowie Forscher, die ihn analysieren. Damit soll das Wissen über den Wurm beschränkt werden, um die Ausbreitung nicht weiter zu gefährden.

Eigentlich bestätigt das nur, was ich seit geraumer Zeit in meinen Vorträgen erzähle. Schadprogramme werden von organisierten Banden geschrieben und nicht mehr von gelangweilten Jugendlichen im elterlichen Kinderzimmer.

Nur F-Secure ist anderer Meinung.

ohne weitere Worte

Das in Blu-Ray verwendete Digitale Restriktionsmanagement (DRM) rüstet auf. Während gleichzeitig Apple im iTunes-Store anfängt, MP3 ohne Kopierschutz zu verkaufen, glaubt also die Hollywood-Filmindustrie immer noch, dass sie mit kastrierten Medien Nutzer ködern können.

Die technische Umsetzung ist unabhängig davon jedoch recht interessant.

BD+ verwendet weiterhin die inzwischen bekannten und u.a. von Slysoft gehackten Verschlüsselungsverfahren, ergänzt es jedoch um eine interessante Komponente. Alle BD+-Player müssen eine Virtual Maschine implementieren, die gestartet wird wenn ein Medium eingelegt wird. Die Virtual Maschine kann 100 Befehle und lädt weiteren Code direkt von der BD+-Disk. Und jetzt wird es spannend, denn der zusätzliche Programmcode kann mehrere Funktionen erfüllen:

1. Der Programmcode kann weitere Funktionen zur Dekodierung des Videostroms enthalten, z.B. eine weitere Form der Verschlüsselung oder auch nur eine Kodierung die das direkte Auslesen erschwert. Da der Programmcode mit der Disk mitgeliefert wird, kann jede Disk mit einem anderen Algorithmus kodiert werden. Außerdem können Wasserzeichen eingefügt werden, um die Herkunft von Raubkopien im Internet zu ermitteln.
2. Das Programm kann die Integrität des Players verifizieren und bei einer gehackten oder nicht autorisierten Firmware das Abspielen verhindern. Der HD-DVD-Player der XBox 360 wurde beispielsweise durch ein Firmware-Update gehackt, solche Verfahren wären zukünftig wirkungslos.
3. Nativer Programmcode kann in das System des Players geladen werden und damit die komplette Kontrolle über den Player außerhalb der Virtual Maschine übernehmen. Damit ist praktisch alles möglich.

Das traurige ist, dass eigentlich jedem längst bewusst ist, dass diese Maßnahmen scheitern werden. Kultur lässt sich nicht in verschlüsselte Flaschen wegsperren, ansonsten entsteht einfach eine neue Form der Kultur. Längst wären neue Geschäftsmodelle und ein neuer Ausgleich der Rechte von Kulturschaffenden, Rechteverwertern und Nutzern notwendig, leider haben die Rechteverwerter, das sind die, die im Schaffungsprozess am wenigsten beitragen, die stärkste Lobby.

Die weiteren Details findet man bei Ars Technica.

In Großbritannien ist Anfang Oktober ein neues Gesetz in Kraft getreten, dass es alle Verdächtige verpflichtet, ihre Verschlüsselungskeys den Strafverfolgungsbehörden auszuhändigen.

Oder, wie The Inquirer schreibt: „Under part three, Section 49 of the Regulation of Investigatory Powers Act (RIPA) if Inspector Knacker of the Yard knocks on your door and wants to have a snuffle on your hard drive and finds a blob of encrypted code he can make you decode it.“

Für das Verweigern droht bis zu 5 Jahren Haft. Userfriendly.org stellt die möglichen Konsequenzen in einem Comic dar.

Wir brauchen dringend wirksame Deniable Encryption.

… oder so ähnlich.

Das US Department of Homeland Security hat jedenfalls auf CNN.com ein Video veröffentlicht, das die Zerstörung eines Stromgenerators durch einen Hackerangriff zeigt. Angeblich sei es auch möglich, vergleichbare Angriffe gegen große Anlagen und Umspannwerke durchzuführen.

Über die Sicherheit von wichtigen Anlagen, sogenannter kritischer Infrastruktur gibt es seit längerem große Diskussionen. Auf der einen Seite zeigen Penetrationstests z.B. von ISS, dass Angriffe sehr wohl möglich sind und mit einfachsten Mitteln durchgeführt werden können. Gerade in den komplexen SCADA-Protokollen wie OPC werden immer wieder Sicherheitslücken gefunden. Andererseits halten Forscher wie Bruce Schneider die Gefahr für übertrieben.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bekanntlich einen Leitfaden für kritische Infrastrukturen veröffentlicht, das Bundesinnenministerium (BMI) hat sogar ein Sicherheitskonzept beigesteuert.

Ich fürchte jedoch, so richtig ins Bewusstsein der Bevölkerung und der Verantwortlichen treten die Risiken und notwendigen Maßnahmen erst, wenn die ersten richtig großen Schäden aufgetreten sind. Eon, RWE, Vattenfall und EnBW sind zur Zeit zu sehr damit beschäftigt, die Bevölkerung auszunehmen als sich konsequent mit den diversen Risiken, angefangen mit Thomasstahl (RWE) über die Kernkraftwerke (Vattenfall) bis hin zur Ausfallsicherheit im Transport (Eon) zu beschäftigen.

Von 21.-23.11. ist die 6. IT-Security Tagung der CBT Training und Consulting in Garmisch-Partenkirchen. Ein Tag davon wird komplett auf der Zugspitze verbracht.

Kollege Matthias zeigt in etwa 90 Minuten Live-Hacking eindrucksvoll, was der aktuelle Stand beim Hacken von Voice-over-IP, Instant Messaging und anderen weit verbreiteten Kommunikationsprotokollen ist. Neben den üblichen Themen wie Abhören von Telefongesprächen und Umleitung der Anrufe zeigt er auch Man-in-the-Middle Angriffe und ein paar weitere Schmankerl. Am besten einfach überraschen lassen.

Ich selbst bin mit einem Praxisbericht über die Sicherheit in Produktionsanlagen, Vorgehensweisen zur Risikoanalyse, Gefahren von Penetrationstests etc. dabei. Das Thema ist natürlich etwas theoretischer und bietet weniger Showeffekte, wird jedoch durch die zunehmende Vernetzung für viele Unternehmen immer wichtiger.

Außerdem hält Robert Bursy von Neupart, einer Firma die sich auf Tools zur Entwicklung von Sicherheitskonzepten nach ISO 27001 sowie Awarenessprogrammen spezialisiert hat einen sehr interessanten Vortrag zur Einführung eines toolgestützten Sicherheitskonzepts in Unternehmen.

Agenda und Anmeldung ist alles online.