Mitternachtshacking

Man hört ja immer wieder davon, dass der US Zoll sich Notebooks von einreisenden Touristen oder Geschäftsleuten unter den Nagel reißt und heimlich die Daten kopiert. Insbesondere für europäische Manager ist das inzwischen ein reales Risiko und Industriespionage weit verbreitet. Das Problem ist inzwischen so weit verbreitet, dass sich die Electronic Frontier Foundation damit beschäftigt:

„The Supreme Court has ruled that customs and border agents may perform „routine“ searches at the border without a warrant or even reasonable suspicion, but EFF and ACTE argue that inspections of computers are far more invasive than flipping through a briefcase.“

Ich hätte ja bis vor wenigen Minuten gesagt, in den USA löst Festplattenverschlüsselung das Problem noch. In Großbritannien jedoch muss man inzwischen die Verschlüsselungskeys rausrücken, wenn man nicht ins Gefängnis will. Heute taugt nicht mal mehr die Festplattenverschlüsselung (außer man macht das in spezieller Hardware, aber dazu im nächsten Beitrag mehr.

Irgendwie bleibt mir da nur noch eine Idee … das relevante System als VMware-Image auf einen schnellen Webserver legen (z.B. auf Amazon S3), mit dem leeren Rechner in die USA einreisen und von dort das Image verschlüsselt nachziehen.

Wir haben ab sofort eine offene Stelle. Gesucht wird ein/e Junior Tainer/in für Firewall-Schulungen, insbesondere Check Point. TCP/IP-Grundlagen sowie sicheres Auftreten und freies Sprechen vor Publikum wird vorausgesetzt, den Rest bringen wir bei.

Außerdem gibt es ab Herbst zwei Ausbildungsstellen zur/zum Fachinformatiker/in.

Details folgen.

Ich suche gerade einen Internet-Provider, bevorzugt im europäischen Ausland gerne aber auch weiter weg. Nicht jedoch USA, China, Russland, Japan oder Schweiz. Der Provider soll einen Linux-Root-Server bereitstellen, den wir z.B. für Penetrationstests etc. nutzen können.

Das soll natürlich am liebsten ein Provider sein, der nicht sofort abschaltet, wenn jemand mit einer Abuse-Mail, einem DMCA oder sonst irgendwas in der Richtung fuchtelt und der nicht so viele Fragen stellt und noch weniger protokolliert. Deutschland fällt ja schon wegen der Vorratsdatenspeicherung aus.

Im Moment tendiere ich zu PRQ.

Hat jemand bessere Vorschläge?

Ist das Bundesdatenschutzgesetz bzw. die vergleichbaren Regelungen der Bundesländer in den jeweiligen Landesdatenschutzgesetzen eigentlich noch ein richtiges, relevantes und zu befolgendes Gesetz oder längst zur reinen Verarsche verkommen? Sozusagen ein Feigenblatt der Scham zur Beruhigung besorgter Bürger über dem hemmungslosen Missbrauch der Daten durch die Unternehmen?

Aktueller Anlass: der Fall der Stuttgarter Volksbank

Die baden-württemberger Datenschützer wollten sich den Fall ja genauer anschauen. Dazu schreibt Heise heute, die Datenschützer attestieren tatsächlich ein Fehlverhalten. Und die Konsequenz:

„Obwohl die Datenschützer der Bank damit ein klares Fehlverhalten bescheinigen, hat der Vorgang keine weiterreichenden Konsequenzen für das Geldinstitut: Die unzulässige Nutzung von Videoaufzeichnungen und Kontodaten erfülle keinen Bußgeldtatbestand“

Keine. Wenn der normale Bundesbürger auch nur 10 km/h zu schnell auf der Straße unterwegs ist, dann gibt es einen ausgefeilten Bußgeldkatalog. Wenn die Unternehmen private Daten verschludern, passiert nichts. Ich habe noch mehr Beispiele:

Peter Huth ist auch so ein Fall. Das ist der angebliche „Sicherheitsexperte“ von Sat.1 und Pro7. In dessen Webseite wurde wegen eines schlampig programmierten PHP-Skripts eingebrochen und Kunden- sowie Kreditkartendaten geklaut. Was passiert? Nichts. Die Staatsanwaltschaft Berlin hat das Verfahren eingestellt, weil die Daten nicht gemäß den Anforderungen des § 202a StGB gesichert waren. Also ein klarer Verstoß gegen das Bundesdatenschutzgesetz. Und dazu sagt die Staatsanwaltschaft:

„Es gebe zudem keine strafrechtlichen Ermittlungen gegen Huth: Wie dieser mit seinen Kunden umgeht beziehungsweise diese über die Problematik unterrichtet, bestimmt sich allein aus dem zivilrechtlichen Innenverhältnis.“

Gut zu wissen … wenn das nächste mal die Datenschutzbehörde prüft, ob wir den vorgeschriebenen Datenschutzbeauftragten im Unternehmen haben, kann ich denen ganz trocken mitteilen, das bestimmt sich allein aus dem zivilrechtlichen Innenverhältnis und geht die gar nichts an. Aber in Bayern haben die eh andere Probleme. Ich kenne keine einzige Firma aus meinem Umfeld bei der sich schon jemals eine Datenschutzbehörde gemeldet hätte.

In der Praxis hält sich nicht einmal das Bundesjustizministerium an seine eigenen Gesetze. Das Amtsgericht Berlin hat dem Budesjustizminsterium in Person von Frau „ich habe gar keine Ahnung“ Zypries inzwischen eine Geldstrafe von 250.000 Euro, alternativ bis zu 6 Monate Ordnungshaft angedroht, wenn die illegale Sammlung von Webserver-Logfiles nicht aufhört.

Weitere Fälle gewünscht (gerne auch Ergänzungen in den Kommentaren)?

• Das BKA sammelt auch gerne IP-Adressen harmloser Besucher
• Der Bundesbeauftragte für den Datenschutz Peter Schaar hält das Sammeln von Daten bei Flatrates für legal (im Gegensatz zu den Gerichten übrigens). Eigentlich können wir den Schaar auch abschaffen, der blubbert eh nur.
• Bei Swift wird von der Politik auch lieber beschwichtigt anstatt geklärt.
• Was das Postgeheimnis noch Wert ist, erklärt uns gerade die Deutsche Post.

Eigentlich kann man das Datenschutzgesetz auch gleich ganz abschaffen.

Die Süddeutsche Zeitung hat gerade ein Internet-Quiz, mit lustigen Fragen und einfachen Antworten. Dadurch wird zwar keine Personal Firewall installiert und der Rechner auch nicht auto-magisch gepatcht aber man fühlt sich doch gleich viel besser. Und die Antworten sind wirklich so einfach, da muss man einfach alles richtig haben.

1. Was sind Trojaner?
2. Was sind Script Kiddies?
3. Hacker greifen missliebige Gegner gerne mal mit DoS-Attacken an. Was steckt dahinter?
4. Klauen Cyberkriminelle über gefälschte WWW-Adressen Kontodaten, nennt man das?
5. Was ist eine Salami-Attacke?
6. Welche einprägsame E-Mail-Betreffzeile hatte der Computerwurm, der 2000 weltweit Schäden in Milliardenhöhe anrichtete?
7. Die drei beliebtesten Passwörter der Deutschen sind?
8. Was ist ein Betatest?
9. Woran erkennt man eine nach dem Sicherheitsstandard SSL („Secure Socket Layer“) verschlüsselte Website?
10. Was Spam-Mails sind, wissen inzwischen alle. Aber was sind Junk-Mails?

Ok, wenn es keine drei Antworten zur Auswahl gäbe, müsste man gelegentlich ein wenig darüber nachdenken. Aber so … eigentlich sollte man eher sowas fragen:

1. Wie sieht ein sicheres Passwort aus?
2. Wie stellt man als Anwender sicher, dass man immer die neusten Patches und Updates auf seinen Rechner bekommt?
3. Wie installiert und konfiguriert man einen Virenscanner um sich vor Schadprogrammen zu schützen?
4. Wie richtet man seine Personal Firewall so ein, dass Angriffe aus dem Internet zuverlässig abgewehrt werde?
5. Wie identifiziert und entfernt man Adware und Spionagesoftware vom Rechner?
6. Wie installiert man Firefox und wichtige Add-ons wie NoScript und Adblock Plus?
7. Wie konfiguriert man den Webbrowser so, dass man gefahrlos im Internet surfen kann?
8. Woran erkennt man Phishing-Webseiten im Internet?
9. Wie schützt man sich vor Spam und anderen unerwünschten Mails?
10. Wie schützt man seine persönlichen Daten und seine Privatsphäre bei der Nutzung des Internets?

Das würde dann auch die Überschrift rechtfertigen. Aber so viel wie man für das Quiz klicken muss, da geht es nur noch darum, die Klickzahlen hochzutreiben und nicht darum, wertvolle Informationen zu liefern. Eigentlich traurig bei einem Qualitätsmedium wie die Süddeutsche Zeitung.

Nachtrag:

Wenigstens ist für ein wenig Microsoft-„Vista ist ganz sicher“-Propaganda und die „klick Dich durch die Microsoft-Flops“-Liste noch Zeit.

Dan Geer, ehemals @stake CTO und gefeuert, weil er sich kritisch über den wichtigen @stake-Kunden Microsoft geäußert hat, hat sich die Mühe gemacht, eine Übersicht der Ursache von Identitätsdiebstahl zusammenzustellen (kompletter Datensatz hier).

Interessant finde ich, dass gerade die Finanzinstitute praktisch nur Insider-Probleme haben. Entweder ist die äußere IT-Sicherheit hier besonders groß oder die Mitarbeiter sind extrem skrupellos (vermutlich beides). Dafür hat das (US-)Militär vermehrt mit Datenträger- und Laptop-Verlusten zu kämpfen. Anscheinend hat sich hier die Datenverschlüsselung noch nicht durchgesetzt. Hackingangriffe passieren wiederum vermehrt im Hochschulumfeld, dort können die Systeme gar nicht so restriktiv abgesichert werden wie es manchmal nötig wäre.

<Bullshit-Speak>Für Drücker Vertriebsmitarbeiter Customer Account Representatives könnte so eine etwas detailliertere Übersicht interessant sein, um für vertikale Segmente angepasste Angebotspakete zu kreieren</Bullshit-Speak>

Ach nee, falsch. Der bayrische Innenminister warnt vor wachsender Internet-Kriminalität.

Aber man kann die feine Ironie zwischen den Zeilen lesen:

„Eine Etage höher werden Steuern in Milliardenhöhe durch geschicktes Umleiten von Gelddatenströmen in kleine Alpen- oder Karibikstaaten hinterzogen […] im Museum für Kommunikation in Nürnberg, das unter anderem von der Deutschen Post finanziert wird.“

Herr Zumwinkel lässt grüßen.

„Allein im Jahr 2006 seien in Bayern 670 Fälle des sogenannten Phishings bei der Polizei angezeigt worden.“

Das wird noch viel krasser, wenn die Vorratsdatenspeicherung erst richtig greift. Dann brauchen die Betrüger nicht mehr viele kleine Rechner angreifen, es reichen die dicken Datenbanken der großen Provider.

Das traurige ist, entweder ist Herr Herrmann komplett ahnungslos (übrigens ein sehr schönes XSS der CSU Landtagsfraktion) und damit ungeeignet für sein Amt oder er unterstützt wider besseres Wissen die Politik seines Vorgängers und gehört dann auch nicht in sein Amt.

Liest zufällig jemand die ComputerZeitung? Mir ist beim Aufräumen meines Schreibtisches zufällig die Ausgabe vom 8. Januar 2008 in die Finger gefallen, mit einem interessanten Artikel auf Seite 19.

Das Herzzentrum Lahr hat dort auf Basis von Astaro und VMware die Firewalls virtualisiert. Meines Wissens bastelt Phion an einer ähnlichen Idee und Check Point SecurePlatform hab ich auch schon erfolgreich auf VMware installiert. Ich überlege jetzt schon seit einiger Zeit ob virtuelle Firewalls wirklich eine sichere Lösung darstellen können.

Meine Datenbasis:

1. Die Secunia-Statistik zum VMware ESX Server 3.0

• 08.01.2008, highly critical, VMware ESX Server Multiple Security Updates, CVE-2007-4572, CVE-2007-5116, CVE-2007-5135, CVE-2007-5191, CVE-2007-5360, CVE-2007-5398
• 08.01.2008, highly critical, VMware ESX Server and VirtualCenter Multiple Security Updates, CVE-2005-2090, CVE-2006-7195, CVE-2007-0450, CVE-2007-2788
• 20.09.2007, highly critical, VMware ESX Server Multiple Security Updates, CVE-2004-0813, CVE-2006-1174, CVE-2006-3619, CVE-2006-4146, CVE-2006-4600, CVE-2007-0494, CVE-2007-1716, CVE-2007-1856, CVE-2007-2442, CVE-2007-2443, CVE-2007-2446, CVE-2007-2447, CVE-2007-2798
• 20.09.2007, moderately critical, VMWare Products Multiple Vulnerabilities, CVE-2007-0061, CVE-2007-0062, CVE-2007-0063, CVE-2007-4496, CVE-2007-4497, CVE-2007-5023, CVE-2007-5024, CVE-2007-5025, CVE-2007-5617, CVE-2007-5618, CVE-2007-5619
• 01.05.2007, moderately critical, VMware Products Multiple Vulnerabilities, CVE-2007-1069, CVE-2007-1337, CVE-2007-1744, CVE-2007-1876, CVE-2007-1877
• 05.04.2007, moderately critical, VMware ESX Server Multiple Vulnerabilities, CVE-2003-0107, CVE-2005-1704, CVE-2005-1849, CVE-2005-2096, CVE-2005-3011, CVE-2006-4810, CVE-2007-1270, CVE-2007-1271
• 30.03.2007, moderately critical, VMware ESX Server Multiple Security Updates, CVE-2006-3739, CVE-2006-3740, CVE-2006-4334, CVE-2006-4338, CVE-2006-4335, CVE-2006-4336, CVE-2006-4337, CVE-2006-6097
• 09.01.2007, highly critical, VMWare ESX Server Multiple Vulnerabilities, CVE-2003-0386, CVE-2004-2069, CVE-2006-0225, CVE-2006-2937, CVE-2006-2940, CVE-2006-3738, CVE-2006-4339, CVE-2006-4343, CVE-2006-4924, CVE-2006-4980, CVE-2006-5051, CVE-2006-5794

Vielleicht bin ja nur ich paranoid, aber für meinen persönlichen Geschmack sind das ein paar CVEs zuviel für ein Device, das direkt im Internet steht (nein, man kann die Firewall nicht in die DMZ stellen!). Auch wenn viele der Probleme nicht remote ausnutzbar sein werden habe ich insgesamt kein so gutes Gefühl dabei. Und hat jemand am 05.04. den CVE-Eintrag von 2003 gesehen? Da hat sich hemand viel Zeit beim Beheben des Fehlers gelassen. Aber weiter im Text.

2. VMware ESX kann ja auch nicht grad alles, was man von einer Firewall benötigt (ich kenne Firmen die mit 64 Interfaces nicht auskommen):

„Nachteilig wirkt sich die notwendige Komplexitätssteigerung im Switching-Bereich aus. Weil unter ESX maximal vier virtuelle Netzwerkkarten möglich sind, musste Hussy (der IT-Leiter, Anm.) mittels VLA-Tagging und einer komplexen Switchkonfiguration samt Verkabelung nachhelfen.“

Anders ausgedrückt, diverse früher physikalisch getrennte Sicherheitszonen sind jetzt in VLANs auf den Switchen zusammengefaßt und man hofft, die Switch-Konfiguration im Griff zu haben. Ok, laut beiligender Zeichnung war man klug genug, für „Outside“ ein dediziertes Netzwerkinterface mit dem virtuellen Firewall-System zu verbinden.

Trotzdem … ein kleiner billiger NetScreen 5GT HA Cluster kostet nur 3000 Euro (und damit weniger als eine einzelne Astaro-Lizenz) und ich habe eine dedizierte Hardware. Für den Astaro-Preis kann ich auch fast schon Check Point kaufen und wenn das Gerät unterdimensioniert ist, einfach eine andere Hardware unter die SecurePlatform schieben. Oder ist das eine saucoole Lösung und ich bin nur zu blöd, das zu sehen?
Nachtrag: 

Und wenn ich sowas schon installiere, ist es dann klug, daraus eine „Success Story“ zu machen, damit auch jeder im Internet weiß, wo er potentiell angreifbare Firewalls auf VMware-Basis findet, die beim nächsten VMware ESX Remote Exploit dem verantwortlichen IT-Leiter um die Ohren fliegen. Oder ist das saucool weil man sooo viel Geld damit spart und ich bin nur zu blöd …

Offensichtlich ist dem BKA die Miete des Bayern-Trojaners zu teuer. Immerhin will der Anbieter, die Firma DigiTask GmbH vom Freistaat für die Miete der Skype-Abhörsoftware 3500,- Euro pro Monat und Abhörmaßnahme sowie 2500,- Euro pro Monat für die SSL-Verschlüsselung (Preise hier im PDF). Das kann ich gut verstehen. Im aktuellen Liechtensteiner Steuerskandal sind alleine in Nordrhein-Westfalen angeblich inzwischen 150 Ermittlungsverfahren eingeleitet worden. Wenn man die alle mit so einem Trojaner überwachen wollte, würde sich kaum noch ein Steuergewinn ergeben. Außer Bayern (und vielleicht noch Baden-Württemberg) kann sich den DigiTask-Trojaner kein Bundesland leisten.

Konsequenterweise will das BKA seinen Trojaner nun selbst entwickeln und wenn man das nötige Wissen nicht hat, dann muss man das kaufen. Diesmal können jedoch wohl weder T-Systems (die mit der LKW-Maut) noch Accenture (die mit dem Arbeitsamt-Webportal) und auch nicht McKinsey (die das renommierte Goethe-Institut beinahe ruiniert hätten) weiterhelfen. Ich fürchte, in einschlägigen Kreisen in Russland will das BKA auch nicht auf Einkaufstour gehen. Also bleibt nur selber basteln.

Auf der Job-Seite der FAZ hat das BKA eine Stellenausschreibung für eine/n Entwickler/in Programmierer/in geschaltet. Eigentlich klingt das ganz spannend:

• Ein vielfältiges Aufgabenspektrum, das Kreativität, Vision und ein hohes Maß an Eigeninitiative erfordert
• Die Möglichkeit, einen neuen Arbeitsbereich aktiv mitzugestalten
• Die Mitarbeit in einem hoch motivierten Team
• Aufgabenbezogene Aus- und Fortbildung

Na gut, das ist Blabla, das in jeder Stellenanzeige steht.  Kucken wir mal weiter was gefordert wird:

• Sehr gute Kenntnisse im Bereich der Sicherheit von Computernetzwerken
• Fundierte Betriebssystemkenntnisse Unix/Linux und Windows
• Sehr gute Kenntnisse und mehrjährige Erfahrung in Programmierung (C, C++)

Die Kombination fällt für mich in den Bereich „knappes Gut“. Da kennen sich hier nicht mehr viele Leute aus, seit das Wissen um die Sicherheit von Computernetzwerken durch das Justizministerium in Person von Frau „ich habe keine Ahnung und keine Daten auf meinem geklauten Laptop“ Zypries durch Gesetze wie den § 202c in Deutschland massiv kriminalisiert wird. Ich denke mal, da wird das BKA zumindest ordentlich zahlen?

• Eine Bezahlung nach Entgeltgruppe 11 TVöD des Tarifvertrages für den öffentlichen Dienst (TVöD) für die/den Entwickler/in bzw. Programmierer/in

Hmm, mal hier kucken. Entgeltgruppe 11 TVöD sind brutto 2.430 Euro in der Stufe 1. Für so wenig Geld habe ich jedenfalls nicht Informatik studiert. Ok, das steigt nach einem Jahr auf 2.700 Euro und nach 10 Jahren sogar auf 3.635 Euro. Aber halt, die Stelle ist auf zwei Jahre befristet.

Zum Vergleich, wir bezahlen unserem gesuchten Firewall-Trainer anfangs brutto 2.200 Euro/Monat plus Bonus für gehaltene Schulungstage was im Schnitt pro Monat nochmal etwa 500 Euro ausmacht (natürlich saisonal bedingt schwankend). Also von Anfang an bereits 2.700 Euro, ein Hochschulstudium ist nicht erforderlich und die Stelle ist unbefristet.

Zwei Jahre, das scheint übrigens so die Zeit zu sein die das BKA dem Bundesverfassungsgericht gibt um festzustellen, dass der Einsatz eines Bundestrojaners gegen die Verfassung verstößt. Und dann will man den nicht mehr benötigten Entwickler natürlich elegant wieder los werden.

Naja … falls doch jemand Interesse hat, hier der Link zum Bewerben oder dieses PDF herunterladen. (Aber Vorsicht beim Klicken. Wenn das BKA nach Auswertung der Webserver-Logfiles eine Hausdurchsuchung startet, bin ich nicht schuld dran!)

(via Fefe)

Nichts neues bei Hans Reiser. Er steht immer noch unter Anklage, sein Frau Nina Reiser ermordet zu haben. Bei Wired wird das schön dokumentiert. Inzwischen sind 50 Zeugen gehört worden und die Verteidigung bereitet ihr Plädoyer vor.  Ich denke nicht, dass es mit ReiserFS nochmal weiter geht, egal wie die Jury entscheidet.

Nun stellt sich für mich die Frage, wie migriere ich meine SuSE-Server mit ReiserFS auf Ext3 oder Ext4? Gibt es da nette Tools oder muss man die Server neu installieren?