10. März 2008
Ich weiß ja nicht mehr so recht, welcher Behörde man denn in Deutschland überhaupt noch vertrauen kann. Das Bundesamt für Sicherheit in der Informationstechnik hat eigentlich immer einen recht seriösen Eindruck gemacht (auch wenn es Vermutungen und Gerüchte gibt, dass es da auch eine „Schwarze Kammer“ gibt, die z.B. Verschlüsselung bricht und für die BRD spioniert). Inzwischen bin ich mir da aber auch nicht mehr sicher.
Der konkrete Anlass sind die Vorträge des BSI auf der CeBIT zum neuen elektronischen Reisepaß. Die Kernaussage des BSI ist dabei, trotz RFID ist alles gut und sicher und da kann überhaupt nichts passieren. Immerhin habe man ja die Entropie (das ist sowas wie die Schlüssellänge bei der Verschlüsselung) von 35 auf 45 Bit erhöht.
Der Präsident des Bundeskriminalamts Jörg Ziercke, von dem ich ja glaube, dass er sich in der Bundestrojanerdiskussion dümmer stellt als er ist und der bezüglich Reisepass bestimmt sehr gut informiert ist, sieht das jedenfalls anders. Immerhin führt Ziercke seinen Pass nur in einer Schutzhülle mit, die elektromagnetische Abstrahlung z.B. von einem RFID-Chip verhindert.
Ebenfalls sehr seltsam ist, dass Diplomatenpässe, angeblich wegen der besonderen Gefährdungslage (ich frage mich ja, wieso ein Diplomat z.B. in Brüssel besonders gefährdet sein soll … und warum ein Soldat in Afghanistan das nicht sein soll …) ohne RFID-Chip ausgestellt werden. Auch hier gehe ich davon aus, dass das Auswärtige Amt nicht unnötig Panik verbreiten will sondern von einer konkreten Gefährdung weiß.
Entweder … ist BKA-Präsident Ziercke ein paranoider Spinner der sich unnötig Gedanken um Bürgerrechte macht und das Auswärtige Amt beteiligt sich an unsinniger Panikverbreitung … oder das BSI lügt.
Ihr könnt es Euch aussuchen.
Weil’s gerade durch ein paar Blogs geht und so schön hier rein passt, eine nette Satire von 2001(!) auf der Webseite Adequacy (News for Grown-ups). Die Webseite selbst ist nur noch aus historischen Gründen online, neue Artikel werden nicht geschrieben. Anscheinend richtete sich die Seite damals an Erwachsene, die dem munteren Online-Treiben ihrer Kinder hilflos zusehen mussten.
Is Your Son a Computer Hacker?
Die Anhaltspunkte sind dramatisch:
1. Hat ihr Sohn verlangt, den Provider zu wechseln?
Die meisten guten ehrlichen Amerikaner sind bei AOL, die eine strickte „No Hacker“-Policy vertreten. Wenn ihr Sohn anfängt zu hacken, wird er als erstes den Provider wechseln wollen!
2. Gibt es auf ihrem Computer Programme die sie nicht installiert haben?
Ein untrügliches Zeichen, dass ihr Sohn böses im Sinn hat sind Hacking-Tools wie Flash, die plötzlich auf der Festplatte auftauchen!
3. Fragt ihr Kind nach neuer Hardware?
Insbesondere Prozessoren der bösen Firma AMD sind ein deutlicher Hinweis. Kaufen sie nur gute amerikanische CPUs der Firma Intel mit eingebauten Sicherheitsfunktionen!
4. Liest ihr Kind Hacker-Anleitungen?
In den Buchhandlungen gibt es unzählige Hackeranleitungen die dringend verboten gehören, z.B. „Snow Crash“ von Neil Stephenson oder „Programming with Perl“ von Tim O’Reilly. Beschlagnahmen sie die Bücher sofort, falls sie sie bei ihrem Sohn finden!
5. Wie viel Zeit verbringt ihr Kind am Computer?
Mehr als 30 Minuten online am Tag können ein Hinweis darauf sein, dass ihr Sohn versucht, fremde Systeme mittels DoS-Angriffen lahmzulegen!
6. Besitzt ihr Sohn Quake?
Quake ist eine beliebte Software, in deren virtueller Realität Hacker den Umgang mit Feuerwaffen üben. Machen sie ihrem Sohn klar, dass dieses Verhalten nicht akzeptiert wird!
7. Wird ihr Sohn mürrisch und streitsüchtig?
Das ist ein klares Zeichen, dass er zu viel Zeit online verbringt. Geben sie nicht auf sondern helfen sie ihrem Sohn, auch wenn der Meinung ist, es gäbe kein Problem. Sie sind seine einzige Chance!
8. Ist ihr Sohn von Lunix begeistert?
Lunix, egal ob Debian oder Mandrak aber auch BSD sind illegale Hackerbetriebssysteme des sowjetischen Hackers Linyos Torovoltos. Sie basieren auf geklautem Code von Xenix, das Microsoft für die US-Regierung entwickelt hat. Lunix ist extrem gefährliche Software, ein Hinweis auf Lunix ist beispielsweise, wenn beim Booten des Computers die Zeichenfolge „LILO“ erscheint!
9. Hat ihr Sohn seinen Stil verändert?
Hacker ziehen sich anders an, als normale Menschen. Wenn ihr Sohn plötzlich auf Baggy Pants, bunte T-Shirts mit Slogans oder gefärbte Haare steht ist das ein sicheres Zeichen, dass er sich in schlechter Gesellschaft befindet!
10. Werden die schulischen Leistungen schlechter?
Wahrscheinlich verbringt ihr Sohn zu viel Zeit mit gefährlichen Hackergruppen und findet daher nicht mehr zum Lernen. Durch die viele Zeit am Computer kann er schizophren oder sogar fett werden!
Ich kann alle Eltern nur aufrufen, diese Warnhinweise ernst zu nehmen. Hacken ist ein illegaler und gefährlicher Zeitvertreib und führt häufig zu Festnahmen und Knast. Potentielle Hacker können gar nicht früh genug bekämpft werden!
9. März 2008
Google Hacking wird offensichtlich immer wichtiger. Viele angreifbare Webseiten lassen sich mit trivialen Google-Anfragen finden und auch vertrauliche Informationen tauchen gerne mal bei Google auf. Bisher war die Standardreferenz die Webseite I Hack Stuff von Johnny Long sowie sein Vortrag auf der Black Hat Europe 2005 (PDF). Von ihm stammt auch die Original Google Hacking Database.
Inzwischen gibt es auch Interfaces zur Google Hacking Database:
Das „offizielle“ Online-Portal scheint Gnucitizen zusammengestellt zu haben. Dort nennt sich die Seite GHDB v1.0a mit dem Untertitel „The online Google Hacking, Ethical Penetration Testing Tool (v1.0a)“. In der linken Menüleiste tauchen immer die neuesten Google Dorks auf. Allerdings kann man hier auch nicht mehr machen als direkt mit der Google-Webseite.
Einen anderen Ansatz verfolgt die Cult of the Dead Cow (cDc), von denen vor Jahren auch BackOrifice entwickelt wurde. Mit dem Goolag-Scanner den man sich auf der Seite Goolag.org herunterladen kann besteht die Möglichkeit, direkt Anfragen an Google zu schicken und auswerten zu lassen. Sogar Bruce Schneier ist beeindruckt.
Ebenfalls von Johnny Long gibt es Gooscan für Linux. Johnny bezeichnet das Programm als „cgi-scanner“, der jedoch nie im Logfile des untersuchten Webservers auftaucht sondern alle Anfragen via Google schickt.
Heise UK geht inzwischen sogar der Frage nach ob Google Scanning legal ist. Insbesondere das US-Recht hat gelegentlich seltsame Vorstellungen von „Trespassing“, so wurde David Ritz in North Dakota verurteilt, der unerlaubt einen DNS Zonentransfer durchgeführt hat. In Deutschland stellt sich die Frage in dieser Form nicht, der relevante § 202a StGB „Ausspähen von Daten“ verlangt, dass die Daten geschützt sind.
Die erste Runde im Kampf gegen den § 202c StGB ist offensichtlich vorbei, allerdings ist für keine Seite ein Punktsieg, geschweige denn ein K.O. ersichtlich. Da es inzwischen in der Presse recht ruhig geworden ist, möchte ich hier kurz zusammenfassen wie der Stand zur Zeit ist.
Unverbindliche Meinung des Bundesjustizministeriums
Das Bundesjustizministerium, insbesondere Frau Zypries bestätigt jedem, der es gar nicht wissen will, dass Security-Programme natürlich weiterhin legal sind und eingesetzt werden dürfen. Ich habe hier einerseits das Schreiben des Bundesministeriums der Justiz an EC-Council vertreten durch Herrn Kistemaker zur Legalität des Certified Ethical Hacker Seminars, das SSR-I für EC-Council in Europa anbietet (PDF-Schreiben, 50 KB). Außerdem bestätigt Frau Zypries persönlich dem Dachverband der IT-Revisoren in Deutschland ISACA (PDF-Schreiben, 1,5 MB), dass bei der Nutzung von Hacking-Tools zur Sicherheitsüberprüfung kein Problem vorliegt. Das klingt ja alles ganz gut, berücksichtigt aber zwei mögliche Probleme nicht.
1. Wollen wir dem BMJ wirklich vertrauen?
Hat das Bundesjustizministerium und im besonderen Frau „ich habe keine Ahnung“ Zypries überhaupt Ahnung wovon sie reden? Ich möchte hier nur mal das Beispiel der Widerrufsbelehrung bei Online-Verkäufen nennen. Da gibt es sogar eine offizielle amtliche, vom Bundesjustizministerium herausgegebene angeblich rechtssichere Widerrufsbelehrung. Aber nur angeblich rechtssicher. Das Landgericht Halle (Az. 1 S 28/05) hat geurteilt, die amtliche Widerrufsbelehrung genügt nicht den gesetzlichen Vorgaben. Oder anders ausgedrückt, das BMJ ist nicht einmal in der Lage, die eigenen Gesetze richtig zu verstehen und anzuwenden. In die Abmahnfalle ist insbesondere die Staatsanwaltschaft Magdeburg getappt. Selbst die beamteten Juristen verstehen die Gesetze nicht mehr. Und da sollen wir der unverbindlichen Aussage von Frau Zypries vertrauen? Persönliche Amtshaftung für Falschaussagen wäre hier sinnvoll und notwendig. Ein zweites Beispiel ist die Anwendung des Bundesdatenschutzgesetzes im Bundesjustizministerium. Auch hier hat das BMJ den Inhalt des selbst geschriebenen Gesetzes nicht verstanden und konnte (oder wollte) es nicht richtig anwenden. Erst nach Androhung von Haft und Ordnungsgeld sah sich das BMJ veranlasst, Gesetze einzuhalten. Wundert sich hier eigentlich noch irgendjemand über Steuerhinterzieher?
2. Ungelöste Rechtsfragen
Der § 202c StGB sieht insbesondere auch Strafen für denjenigen vor, der anderen die Tools zur Verfügung stellt (wörtlich: „einem anderen überlässt“). Ich kann leider die Gesinnung der Schulungsteilnehmer meiner Hacking-Seminare nicht überprüfen. Was ist, wenn ein Teilnehmer bereit ist, ein paar Tausend Euro zu investieren um später damit illegale Handlungen durchzuführen? Sozusagen den Kurs im Wissen bucht, die dadurch erlernten Techniken und die erhaltenen Programme zu illegalen Zwecken einsetzen zu wollen. Klar, jeder Teilnehmer muss unterschreiben, dass er das nicht tut aber who cares. Leider treffen die Schreiben des BMJ hierzu keine Aussage, die Rechtsunsicherheit bleibt.
Tecchannel Anzeige gegen das BSI
Die Zeitschrift Tecchannel hatte im September Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnik wegen Verbreitung von Hackingtools (Verstoß gegen § 202c StGB) gestellt, insbesondere wird (immer noch) das Programm „John the Ripper“ auf der Webseite des BSI zum Download angeboten. Die Staatsanwaltschaft Bonn will die Anzeige gegen das BSI jedoch nicht weiter verfolgen. Die Begründung erscheint etwas hanebüchen, die Staatsanwaltschaft schreibt, dass das Setzen eines Links nicht strafbar sei. Offensichtlich verkennen die Beamten, dass das BSI nicht nur einen Link setzt sondern direkt die Software auf der eigenen Webseite vorhält und zum Download anbietet. Alternativ könnte man den Bonner Beamten auch unterstellen, dass sie sich nicht trauen, sich mit dem mächtigen BSI anzulegen. Tecchannel hat daher Beschwerde beim Leitenden Oberstaatsanwalt am Landgericht Bonn eingelegt. Bisher gab es keine weiteren Neuigkeiten.
Selbstanzeige von Michael Kubert
Der Informatiker Michael Kubert hat sich selbst wegen Verstoß gegen § 202c angezeigt, da er auf seiner Homepage „Hackertools“ veröffentlicht und verbreitet. Die Anzeige wurde von der Staatsanwaltschaft Mannheim mit Bescheid vom 13. Februar 2008 eingestellt. Als Begründung wurde angegeben, das Programm sei „lediglich zum Zwecke der Tests durch Administratoren geeignet […]“. Auch hier lässt die Begründung nach Ansicht von Michael Kubert zu wünschen übrig. Insbesondere bedauert Kubert, „dass die Einstellung mehr mit den Erkenntnissen der Kripo begründet wurde als mit dem § 202c StGB“.
Verfassungsbeschwerde der VisuKom
Die VisuKom GmbH hat Verfassungsbeschwerde (Aktenzeichen BVR 2233/07) gegen den § 202c eingelegt (PDF der Pressemitteilung). Ob sich die Firma davon wirklich was verspricht oder es sich dabei hauptsächlich um eine Marketingaktion handelt ist mir nicht ganz klar. Pressewirksam war die Aktion auf jeden Fall. Ob was sinnvolles herauskommt wage ich zu bezweifeln. In der Liste der geplanten Urteile für 2008 des BVG ist das Aktenzeichen jedenfalls nicht enthalten. Hier passiert offensichtlich in absehbarer Zeit auch nichts.
EICAR Gutachten zum § 202c
Die EICAR European Expert Group for IT-Security, die u.a. den EICAR-Testvirus entwickelte, hat auf ihrer Webseite ein Gutachten zu den Konsequenzen des § 202c (PDF, 226 KB) für Sicherheits- und Penetrationstestunternehmen veröffentlicht. Eine Rechtssicherheit kann ein solches Gutachten natürlich auch nicht herstellen, es liefert jedoch ein paar Anhaltspunkte, wie man aus der möglichen Strafbarkeit herauskommt:
- Sorgfalt: „Im Umgang mit Hackertools und Malware, die zu Testzwecken beschafft oder erstellt wird, ist besondere Sorgfalt geboten. Solche Software sollte an niemanden weitergegeben werden, bei dem nicht sicher ist, dass er die Software zu gutartigen Testzwecken einsetzen will.“
- Dokumentation: „Wenn ein Hackertool oder Malware beschafft – gleichgültig, ob kostenlos oder kommerziell – oder erstellt wird, sollte nachvollziehbar protokolliert werden, für welche Test- und Sicherheitszwecke das Programm beschafft wird und welche Verwendung des Programms vorgesehen ist. Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben.“
- Einwilligung: „Liegt von dem jeweils Berechtigten, auf dessen Computersysteme oder Daten zu Testzwecken Angriffe verübt werden sollen, eine Einwilligung in die Maßnahmen vor, so entfällt die Strafbarkeit der vorbereiteten Tat und mithin auch die Strafbarkeit der Vorbereitung. Die Einwilligung sollte möglichst schriftlich erfolgen und hinreichend konkret die Maßnahmen nennen, in die eingewilligt wird.“
Bei einer Beachtung dieser Punkte scheint eine konkrete Strafbarkeit weitestgehend ausgeschlossen.
KES-Artikel von Thomas Feil
[wird nachgetragen, ich habe die KES gerade nicht zur Hand]
Zusammenfassung
Offensichtlich handeln die Staatsanwaltschaften in Deutschland mit mehr Augenmaß und Sachverstand als das Bundesjustizministerium beim Schreiben der Gesetze. Im Moment sieht es jedenfalls nicht so aus, als würde die befürchtete massive Überkriminalisierung der Administratoren und IT-Sicherheitsdienstleister stattfinden. Das kann sich jedoch schnell ändern, beispielsweise falls massive Hackerangriffe auf kritische Infrastrukturen stattfinden sollten. Die benötigte Rechtssicherheit ist leider weiterhin nicht in Sicht.
Falls ich wichtige Informationen zum § 202c übersehen haben sollte, bitte ich um kurze Mitteilung in den Kommentaren, ich werden die Infos dann nachtragen.
8. März 2008
Im Google Security Blog ist ein Whitepaper zu Drive-by Downloads (PDF) erschienen. Andreas mit dem rauchenden Colt hat es zuerst gesehen und schön zusammengefaßt. Ich wiederhole daher hier nur sein Fazit:
„Antiviren-Programme schützen nur mangelhaft gegen Drive-by-Downloads. [… Man sollte] nicht mehr mit dem Internet Explorer surfen, sondern mit Firefox und außerdem die Erweiterungen Noscript sowie Adblock Plus verwenden.“
Dem ist nichts hinzuzufügen.
(via Smoking Gun und im Google Blog)
7. März 2008
Es gibt manchmal noch Webportale, die dürfte es eigentlich gar nicht mehr geben. Nicht, weil sie verboten schlimm aussehen sondern eher weil man sich wundert, dass die Seite noch nicht gehackt wurde. Oder, der Anbieter hat es nur noch nicht gemerkt. Die folgende Seite, ein Teilnehmer eines Security Workshops von mir hat sie (während einer Google Hacking Übung) gefunden, ist so ein Beispiel:
Für mich sieht das wie eine alte Version von Horde aus. Da gab es ein paar nette Möglichkeiten, weitere Informationen herauszufinden. Insbesondere mittels test.php kann man sehen, was auf dem Server installiert ist (wenn das File nicht umbenannt wurde).
IMP 3.2.6 ist nicht gerade neu. PHP 4.3.10 sieht auch schon etwas schimmlig aus. Oh, ein Link zu phpinfo wird auch direkt angeboten.
Ich bin begeistert. Insbesondere die Option register_globals, die auf On gesetzt ist freut mich.
Naja, wenn man auf www.all.de nachschaut, wer für den Server verantwortlich ist, dann stößt man auf die D-Hosting GmbH in Berlin, die auf diesem Server anscheinend noch Kunden der insolventen LogiVision hat. So seit 01.05.2005. Aber als Provider hätte man das Webmail-Portal doch inzwischen mal von einem Praktikanten auf einen aktuellen Stand bringen können, oder? Ich kann nur hoffen, dieses Horde ist keine „Mission Critical-Anwendung“, denn die will D-Hosting ja laut Homepage anbieten. Seufz.
Nachtrag:
Heise berichtet heute (08.03.2008), dass alle Horde-Versionen vor 3.1.7 (nicht IMP) eine Sicherheitslücke enthalten. Proof of Concept Exploit ist enthalten.
Ich weiß nicht … will ich das wirklich in meinen Rechnern haben?
Heise berichtet von einem Verfahren „Ending Piracy of Integrated Circuits“, mit dem CPUs sich bei der ersten Inbetriebnahme beim Hersteller registrieren müssen, bevor sie richtig aktiv werden. Quasi CPU-Aktivierung zusätzlich zur Software-Aktivierung. Die Entwickler selbst kürzen das Verfahren mit EPIC ab. Das erinnert mich an den Itanium-Prozessor, der auch ein gewaltiger Fehlschlag war.
Ich finde ja schon Software-Aktivierung über das Internet krank. Das Modell ausgedehnt auf Hardware ist aber noch viel perverser. Der Heise-Autor scheint das ähnlich zu sehen, wie der böse letzte Satz „inwieweit sich EPIC zur Einschränkung von Verbraucherrechte einsetzen lässt“ beweist. Die Kommentatoren glauben zwar, das Verfahren wird nur zum Schutz der Chipentwickler eingesetzt, ich bin mir aber sicher, wenn die Technik sich erstmal etabliert hat, kommen findige Musik-und-Film-Mafia-Manager bestimmt auch auf kreative Ideen wie der Endnutzer gegängelt werden kann.
6. März 2008
E-Mail Wegwerfadressen sind inzwischen ein sehr probates Mittel gegen die Spamflut und die Datensammelwut der diversen Webseitenanbieter geworden. Bei vielen Angeboten insbesondere aus dem amerikanischen Raum ist der Zugang nur nach Anmeldung möglich und hier müssen oft umfangreiche Daten wie Vorname, Nachname, E-Mail, Anschrift, etc. angegeben werden. Die Antwort des Gepeinigten ist daher gerne mal die Nutzung einer Wegwerfadresse sowie Angabe falscher Daten. Emaildienst.de ist beispielsweise ein bekannter Anbieter.
Man sollte allerdings mit diesen offenen Mailservern ein wenig aufpassen. Mit der simplen Eingabe eines Benutzernamens, z.B. Michael oder Andreas kommt man in die Mailbox dieses Users … was vom Prinzip ja auch so gedacht ist, aber ab und an interessante Einblicke enthält. Beispielsweise war anhand einer dieser Spam-Mails ersichtlich, dass john@emaildienst.de sich an der Webseite The Code Project angemeldet hat. Freundlicherweise erlaubt es diese Webseite, sich das „vergessene“ Passwort zuschicken zu lassen.
Also lassen wir das Passwort an john@emaildienst.de schicken, in dessen Postfach können wir ja freundlicherweise hineinsehen.
- Login email: john@emaildienst.de
- Password: frosch
Gut, das ist jetzt kein besonders gutes Passwort aber es funktioniert.
Mein Fazit: Wegwerfadressen sind ja ganz nett, aber man sollte bei der Nutzung doch bitte ein klein wenig aufpassen wofür man sie verwendet. Wenn der Account lediglich zum reinkucken oder Download verwendet wird ist es vermutlich egal ob jemand Zugang zum Passwort hat. Bei anderen Seiten die z.B. auch private E-Mail-Kommunikation erlauben kann die Verwendung solcher Adressen jedoch zum Sicherheitsrisiko werden. Man bleibt dann doch länger angemeldet als gedacht, tauscht private vertrauliche Infos aus und ein Fremder erhält jederzeit Zugriff auf die Kommunikation.
Sehr witzig finde ich in diesem Zusammenhang den Schluss der Mail: „If you received this email but did not yourself request the information, then rest assured that the person making the request did not gain access to any of your information“. Leider falsch.
Nachtrag:
Vielleicht bin ich ja paranoid aber ich stelle mir gerade vor, der Rollstuhlfahrer im Innenministerium hätte gerne Zugriff auf so einen Account von mir. Dann könnte er doch ganz einfach die Datenkommunikation zu meinem Mailserver abhören, mir mein Passwort zuschicken lassen und hat damit auch mein Passwort für den Account.
5. März 2008
So, etwa 24 Stunden Ausfall war das insgesamt. Jetzt braucht es noch ein wenig, bis sich die DNS-Daten im Internet aktualisiert haben, ich konnte die neue IP-Adresse erst mittags eintragen und die alte Lebenszeit lag ebenfalls bei 24 Stunden. Naja … wird schon.
