Mitternachtshacking

sehr interessant zu lesen

(via The Register)

Securityfocus hat eine Artikel von Symantec Research (äh … Symantec und Research ohne Negation in einem Satz?) veröffentlicht, in dem sie beschreiben, dass ein böser Hacker:

1. eine böse und eine harmlose Applikation programmiert
2. beide Applikationen so verändert, dass sie den gleichen MD5-Hash produzieren
3. die harmlose Applikation auf einen Webserver legt
4. wartet, bis der Hash dieser Applikation es in die Whitelist-Tabellen der Virenscanner geschafft hat
5. die böse Applikation auf den Webserver legt
6. den Schadcode ausführen kann, weil er per Whitelist erlaubt wird

Schön, dass Symantec das schon 2008 aufgefallen ist. Nur, das ist ja so etwas von … da muss ich lange nachdenken … 2004! Dan Kaminsky hat ein vergleichbares Problem bereits 2004 auf Doxpara als PDF veröffentlicht und in Folge in seinen BlackOps TCP/IP Präsentationen (PPT) live vorgeführt. Das Tool confoo.pl hat er damals bereits auf seiner Webseite bereitgestellt.

Aber gut, wir wissen ja, dass Symantecs Norton Antivirus manchmal auch nicht gerade der schnellste ist. 🙂

In diesem Zusammenhang verweise ich auf Privacy International, dort sind die USA, Russland, Großbritannien und China als führende Überwachungsstaaten aufgeführt, Deutschland hat in den letzten 12 Monaten dafür den größten Schritt „nach vorne“ gemacht.

Daten werden immer wichtiger. Insbesondere möglichst personalisierte Daten über die Nutzer eines Dienstes, egal ob Google, Facebook oder StudiVZ. Die Google Vizepräsidentin für Suchprodukte Marissa Mayer hat das jetzt gegenüber Tim O’Reilly zugegeben:

„When you type in „GM“ into Google, we know it’s „General Motors.“ If you type in „GM foods“ we answer with „genetically modified foods.“ Because we’re processing so much data, we have a lot of context around things like acronyms.“

Dabei bleibt der Datenschutz natürlich schnell mal auf der Strecke. Egal ob Facebook Beacon, bei dem alle Freunde automatisch mitgeteilt bekommen, welche Bücher ein Nutzer bei Amazon bestellt hat (was vielleicht noch egal wäre) oder welche sonstigen Artikel bei Dildoking.com (was vermutlich nicht mehr egal ist). Oder der Google RSS Reader, der alle abonnierten Feeds allen in der Google Kontaktliste mitteilt (in der sich vielleicht auch Geschäftspartner befinden die private Sachen nichts angehen). Und wir erinnern und auch daran, dass AOL ein paar Millionen Suchanfragen wissentlich und bewußt im Internet veröffentlicht hat, auch wenn die Spin-Doktoren heute gerne von einem „versehen“ reden. TechCrunch hat das schön zusammengefaßt:

„The most serious problem is the fact that many people often search on their own name, or those of their friends and family, to see what information is available about them on the net. Combine these ego searches with porn queries and you have a serious embarrassment.“

Google mag vielleicht nicht „evil“ sein, aber sobald die Daten existieren (siehe Vorratsdatenspeicherung) gibt es garantiert sofort einen neurotisch-paranoiden Schizophrenen im Rollstuhl (Ähnlichkeiten mit real existierenden Innenministern sind rein zufällig) der sich per Gesetzesänderung Zugriff auf die Daten sichern will.

Ich frage mich ja, was macht jemand der Zugriff auf alle diese Daten hat?

von hier, inzwischen sind zwei dazugekommen. Aktuelle Liste:

• Adblock (nicht Adblock Plus)
• Add N Edit Cookies
• DOM Inspector
• Exif Viewer
• Fasterfox
• FlashGot
• FoxTorrent
• NoScript
• Neu: Objection (um Flash-Cookies zu lösche, siehe Fukami)
• SEO For Firefox
• Server Spy
• ShowIP
• Tamper Data
• Neu: User Agent Switcher

Es gibt noch ein paar weitere Extensions aus FireCAT, die ich mal testen möchte aber bisher nicht dazugekommen bin.

Ich habe ja früher selbst mal (mehr oder weniger erfolgreich) ein wenig C++ programmiert aber so richtig anfreunden konnte ich mich mit der Programmiersprache nie. Ein besonderer C++ Basher ist bekanntlich Fefe, der dazu schon einen fiesen Vortrag (PDF) gehalten hat.

Und nun finde ich passend dazu die C++ Frequently Questioned Answers (FQA). Ei paar Auszüge:

• Operator overloading provides strong source code encryption (the time needed to figure out what a+b actually means is an exponential function of the number of types, implicit conversions, template specializations and overloaded operator version involved).
• One thing is always true: where you can use C++, you can use C. In particular, if someone gave you C++ interfaces, a thin layer of wrappers will hide them. Using C instead of C++ has several practical benefits: faster development cycle, reduced complexity, better support by tools such as debuggers, higher portability and interoperability. When C++ is an option, C is probably a better option.
• Empirical studies indicate that 20% of the people drink 80% of the beer. With C++ developers, the rule is that 80% of the developers understand at most 20% of the language. It is not the same 20% for different people, so don’t count on them to understand each other’s code.

Wunderbar 🙂

Nachtrag: 

Ein paar schöne Irrtümer gibt es auch bei Cay Horstmann.

Wir haben auf dem 24C3 ja im Vortrag über Relay Angriffe das Video gesehen, wie auf einem britischen Chip&PIN-Terminal Tetris gespielt wird:

Hier gibt es ein anderes Beispiel wie ein Banking-Terminal der EasyCredit TeamBank AG:

Und wenn ich mir dann überlege wie einfach Skimming-Angriffe erst funktionieren, wenn man auf solchen Terminals einen Trojaner installieren kann … da ist der Hack der SEB-Bank ein Kinderstreich dagegen.

TV-Browser.org muss die Sender von ProSiebenSat.1 und RTL aus dem kostenlosen Programmguide nehmen, weil die Sender für die Veröffentlichung ihrer Programmdaten neuerdings Geld wollen. Dazu haben die beiden Sender extra die VG Media (PDF) gegründet, an dem ProSiebenSat1 und RTL zu je 50% beteiligt sind.

So ist das eben mit der freien Marktwirtschaft dem Turbokapitalismus für den insbesondere Bertelsmann als Haupteigentümer von RTL und die Bertelsmann-Stiftung stehen. Die Stiftung steht oft in der Kritik, ähnlich umstritten ist wohl nur noch die INSM. Und im Kapitalismus hilft nur eines … die kompletten Programme von ProSiebenSat.1 und RTL aus dem Programmguide herausnehmen. Einfach die Sender komplett ignorieren. Statt dessen lieber die Highlights anderer Sender bewerben. Am besten mit Bild und Text auf der Startseite. Ich wette es dauert nicht lange bis die beiden Senderfamilien bereit sind Werbung zu kaufen, nur um auch wieder auf der Startseite aufzutauchen.

(via Basicthinking)

Red Hat bietet eine LiveCD mit dem OLPC ISO-Image zum Download an. Kann man das eigentlich auf einem Asus EEE installieren? 😉

Auf meinem Server hier ist Logging ja weitgehend abgeschaltet (zumindest das Access-Log, nicht jedoch das Error-Log). Das hat den Vorteil, Daten die nicht vorhanden sind, muss (und kann) man im Zweifel nicht rausrücken. Der Apache schreibt die Logfiles standardmäßig sowieso nur in eine Datei und die kann man auch gut auf /dev/null verlinken. Dann ist das Log so zuverlässig weg wie die Daten auf einem Windows Home Server.

Manche machen das ja ein wenig anders. Der TÜV Rheinland zum Beispiel. Für den sind die Logfiles offensichtlich so wichtig, dass er sie direkt in eine SQL-Datenbank schreibt. Nicht ganz sauber programmiert zwar, aber das fällt meistens eh nicht nicht auf. Dieser Link (aus dem 24C3 Hacks-Wiki) zeigt das Problem auf. Als PHPSESSIONID einfach „‚UNION‘„übergeben und schon kackt das Logging ab. Ein wundervolles Beispiel für SQL-Injection. Wenn man sich den Sourcecode der Webseite direkt anschaut sieht man ganz unten das Problem:

„You have an error in your SQL syntax near ‚UNION“)‘ at line 1<br>INSERT INTO accesslog (mandantid, mapid, sprachid, arbeitsbezeichnung, userip, userhost, useragent, referer, zeit, session)VALUES (1, 26, 1, ‚Impressum‘, ‚xx.xx.xx.xx‘, ‚dslb-xxx-xxx-xxx-xxx.pools.arcor-ip.net‘, ‚Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11‘, ‚http://events.ccc.de/congress/2007/Hacks‘, ‚2008-01-06 23:04:33‘, “UNION“)<br>“

Das muss nicht nur die PHPSESSIONID sein, das kann jeder andere Parameter auch sein. SQL-Injection durch einen modifizierten User-Agent beispielsweise 🙂

Der TÜV Rheinland offeriert seinen Kunden übrigens auch Penetrationstests und Software Entwicklung an. Ich würde mich ja schämen, meine eigenen Seiten nicht im Griff zu haben. Und noch peinlicher, das Problem ist mindestens seit einer Woche auf dem Wiki veröffentlicht. Kuckt denn beim TÜV Rheinland niemand in irgendwelche Logfiles?

Aber keine Sorge: wir bieten gerne jedem einen Sonderpreis auf unsere eigenen Penetrationstests an, der vorher den TÜV Rheinland beauftragt hatte und sich nun nicht mehr ganz sicher fühlt. Einfach eine Mail an mich mit dem Hinweis „TÜV Rheinland“ und es gibt 10% auf alle Leistungen 😉