Mitternachtshacking

Das SANS Institute hat unter dem Stichwort SANS Software Security Institute eine Reihe von Ressourcen zur sicheren Programmentwicklung zusammengestellt. Dazu gehören einerseits allgemeine Daten wie die häufigsten Programmierfehler (PDF):

• Error 1. Accepting input from users without validating and sanitizing the input
  • remote file include,
  • remote command execution, and
  • SQL injection
  • cross site scripting (XSS)
• Error 2. Allowing data placed in buffers to exceed the length of the buffer
• Error 3. Handling Integers Incorrectly

Das scheint mir jetzt nichts neues zu sein. Andererseits gibt es darüber auch die Möglichkeit, kostenlose Tests zur sicheren Programmierung der GIAC durchzuführen. Aktuell sind C und Java Tests online.

Es lohnt sich meiner Meinung nach, da kurz reinzuschauen.

Ein kurzer Link zum Beitrag auf The Register. WarmTouch ist eine Software zur Analyse von E-Mails, die in den USA sehr oft zur Analyse von E-Mails bei Verbrechen eingesetzt wird. Die Software erzeugt ein Profil des Autors vergleichbar der Profiler bei normalen Verbrechen anhand von Worthäufigkeit, Fremdwörtern, etc.

Man lernt daraus, wenn man schon Mails zur Erpressung verwenden will dann sollte man sie durch den Google-Übersetzer jagen. Von Deutsch in Französisch, weiter in Englisch und zurück in Deutsch. Das sollte jegliche durch Bildung oder Region übliche Worthäufigkeit aussschalten.

Original: Ich erwarte die Zahlung von 100.000 Euro innerhalb der nächsten 24 Stunden.

Französisch: J’attends le paiement de 100.000 euros dans les prochaines 24 heures.

Englisch: I expect the payment of 100,000 euros in the next 24 hours.

Deutsch: Ich erwarte von der Zahlung von 100000 Euro in den nächsten 24 Stunden.

geht doch 🙂

Die Schweizer Forscher Stefan Frei, Bernard Tellenbach und Bernhard Plattner der ETH Zürich haben auf der Black Hat Europe in Amsterdam eine neue Metrik zur Bewertung der Sicherheit von Betriebssystemen vorgestellt, bei der sie insbesondere auf die 0-Day Problematik eingehen.

Fairerweise werden nur proprietäre geschlossene Betriebssysteme von Microsoft und Apple verglichen und dabei zeigt sich wenig überraschend, dass Microsoft deutlich besser abschneidet. Interessant finde ich jedoch auch die Begrifflichkeiten, die gefunden werden.

Grundsätzlich werden mehrere Meilensteine im Lebenszyklus definiert:

• Discovery, die Entdeckung einer Sicherheitslücke
• Exploit, die Entwicklung und Verfügbarkeit eines nicht-öffentlichen Exploits
• Disclosure, die Veröffentlichung der Sicherheitslücke (mit oder ohne Exploit ist grundsätzlich egal)
• Patch available, die Veröffentlichung bzw. Verfügbarkeit eines Patches vom Hersteller
• Patch installed, der Patch wurde vom Anwender installiert und das System ist bzgl. dieser Lücke wieder sicher.

Die Zeitspanne zwischen Discovery und Disclosure wird als Black Risk bezeichnet, da nur im Untergrund bei Black Hat Hackern die Lücke bekannt ist. Die Zeit von der Veröffentlichung (Disclosure) bis zur Patchverfügbarkeit wird als Gray Risk bezeichnet. Das ist das sogenannte Windows of Exposure, d.h. die Lücke ist allgemein bekannt aber der Anwender kann nichts dagegen tun, da er keinen Patch hat. Hier wird von einem sogenannten 0-Day gesprochen. Sobald der Patch verfügbar aber noch nicht installiert ist, beginnt das White Risk. Sämtliche Gefährdungen sind bekannt, es liegt in der Verantwortung der Anwender zu entscheiden, welche Patches sie installieren oder nicht.

Die Begriffsdefinitionen erscheinen mir alle sehr sinnvoll, man sollte sie allgemein übernehmen.

In Großbritannien, dem Mutterland der Überwachung bildet sich jetzt auch eine starke Opposition gegen Fingerabdrücke. Primär geht es natürlich gegen die dort geplante Einführung einer ID-Karte, vergleichbar unseres Personalausweises. Allerdings sammelt kein Land der Welt so viele Fingerabdrücke wie Großbritannien. Es gibt sogar Forderungen, dass alle Fingerabdrücke von Schulkindern in eine zentrale Datenbank aufgenommen werden sollen. Eigentlich Zeichen eines totalitären Staates. Aktivisten fordern daher vergleichbar der Aktion des CCC die Fingerabdrücke von Gordon Brown:

Man kann nur hoffen, dass die Fingerabdrücke bald veröffentlicht werden. Anscheinend bringt nur das die Überwachungsfaschisten Politiker zum Nachdenken.

Der UK Banking Code, eine Richtlinie der British Bankers‘ Association (BBA) der von praktisch allen britischen Banken befolgt wird, legt in der neuesten Fassung explizit fest, dass Kunden beim Internet Banking alleine für die Sicherheit ihrer PCs verantwortlich sind:

„If you act without reasonable care, and this causes losses, you may be responsible for them. This may apply, for example, if you do not follow section 12.5 or 12.9.“

Section 12.5 beschäftigt sich mit EC-Karten und PINs. In Section 12.9 steht:

„Online banking is safe and convenient as long as you take a number of simple precautions. Please make sure ou follow the advice given below.

• Keep your PC secure. Use up-to-date anti-virus and spyware software and a personal firewall.
• Keep your passwords and PINs secret.
• We (or the police) will never contact you to ask you for your online banking or payment card PINs, or your password information.
• Treat e-mails you receive from senders claiming to be from your bank or building society with caution and be wary of e-mails or calls asking you for any personal security details.
• Always access internet banking sites by typing the bank or building society’s address into your web browser. Never go to an internet banking site from a link in an e-mail and then enter personal details.
• Follow our advice – our websites are usually a good place to get help and guidance on how to stay safe online.
• Visit www.banksafeonline.org.uk for useful information.“

Klar, dass die britische Bankenvereinigung sich so schön bankenfreundliche Regelungen ausdenkt. Das traurige ist, dass sich die Banker selbst sowas verordnen können und das auch noch vom Gesetzgeber akzeptiert wird anstatt einer richtigen verbraucherfreundlichen Regelung. Aber wir sehen ja gerade, dass für die Banken die normalen Regeln des Marktes nicht gelten. Je mehr eine Bank verspekuliert, egal ob IKB, WestLB, SachsenLB, BayernLB oder international Bear Stearns, da springt doch gerne der Steuerzahler ein.

(via The Register)

Soso, der GröIaZ Schäuble will offensichtlich zumindest wissen ob der Fingerabdruck den der CCC da hat auch wirklich von ihm ist.

Ich persönlich denke ja, Schäuble hat recht, dass ihm nicht passieren kann. Wenn sein Fingerabdruck in Zusammenhang mit einem Mordfall im Rotlichtmilieu auftaucht, glaubt ihm der Staatsanwalt sicher, dass er das nicht war. Wenn jedoch mein Fingerabdruck da auftaucht, der leider aus meinem unsicheren biometrischen Schily-Pass geklaut wurde, glaubt Ihr ernsthaft, der Staatsanwalt würde mir glauben?

In  dem Zusammenhang ist es kein Wunder, dass die Hersteller biometrischer Geräte ein wenig nervös werden. Wenn sich die Risiken im Zusammenhang mit biometrischen Verfahren herumsprechen, wird die Akzeptanz vermutlich in den Keller gehen. Hoffentlich.

Und noch ein paar Bilder, die sonst nirgendwo reinpassen … Linux

… und wer von den Lesern weiß, was es in diesem Museum in Groningen zu sehen gibt?

🙂

Eigentlich ist das Foto nur ein lustiges Beispiel dafür wie man Physical Security übertreiben kann wenn man kein richtiges Konzept hat. Weil der Eingang aber zu einem EU-Büro in Brüssel gehört, ist das meines Erachtens auch ein schönes Symbol für die Angst der EU vor dem Bürger.

Man erkennt das verschlossene Stahltor, zusätzlich gesichert mit einer Extrakette, einen versenkbaren Betonblock, die Ampel und das eigentliche Garagentor.

In Belgien wird das Problem fehlender Akzeptanz der Überwachung dafür in schönstem Neusprech angegangen. Statt mit Hinweisschildern die vor Kameraüberwachung warnt wird man aufgefordert in die Kameras zu lächeln.

Ich finde das ja krass perfide, weil gerade Kinder die gerade anfangen zu lesen, das Lächeln mit etwas positivem assoziieren und besonders subtil auf die angeblich so positiven Auswirkungen der Überwachung eingeschworen werden.

Wo keine Schilder an den Wänden hängen hilft man sich notfalls auch anders.

Ich habe dann immer versucht, besonders böse zu kucken 🙂

Nachtrag:

Auch hier gilt, falls irgendjemand aus einer Bürgerrechtsgruppe Interesse an oder Nutzen von den Fotos hat bitte kurze Mail an mich, ich schicke dann gerne auch Bilder in hoher Auflösung zu.

Die Holländer filmen auch gerne alles und jeden, den sie sehen. Das ist zwar insgesamt noch nicht ganz so schlimm wie in Großbritannien aber beispielsweise in Den Haag werden komplette Straßenzüge mit Hilfe von Kameras überwacht. Die Überwachung wird weitgehend mit Hinweisschildern (hier ein Foto aus Amsterdam) angekündigt aber man kann ja leider nicht überall fernbleiben:

Auf den Straßen sieht es dann so aus. Deutsche Qualitätsware, man erkennt (hier eine Straße in Den Haag) das Siemens-Logo an den Kamerasystemen.

Der Nutzen? Naja, ich denke solche pösen Verbrecher die hier ihr Fahrrad an der falschen Stelle abgestellt haben wird man sicher erwischen:

Man beachte den wichtigen Hinweis: „verboden fietsen te plaatsen“. Das verstehe sogar ich als Bayer. Auf die Kriminalität insgesamt scheint das jedoch keinen großen Effekt zu haben. Jedenfalls könnte ich mir anders nicht erklären, dass man reihenweise in den Autos diese Hinweise findet:

„Keine Wertsachen im Auto, es lohnt sich nicht, den Waagen aufzubrechen“. Das P-im-@ ist übrigens das lokale Symbol für Anwohnerparker in Den Haag.

Für mich scheint erstmal kein besonderer Nutzen der Kameraüberwachung sichtbar. Allerdings werden zumindest ein paar Kameras offensichtlich tatsächlich in Echtzeit ausgewertet. Im Den Haager Diplomatenviertel kam bei meiner wilden Knipserei tatsächlich ein Gorilla aus einer Botschaft (Herkunftsland wird nicht veröffentlicht um die Unschuldigen zu schützen) gehüpft und wollte mich anschnauzen, was ich da fotografiere.

Nachtrag:

Falls irgendjemand aus einer Bürgerrechtsgruppe Interesse an oder Nutzen von den Fotos hat bitte kurze Mail an mich, ich schicke dann gerne auch Bilder in hoher Auflösung zu.