31. Mai 2010

Phishing lohnt sich offensichtlich

Category: Allgemein — Christian @ 17:14

Symantec hat auf einem Server Zugangsdaten von 44 Millionen Online-Spielern aus 18 Spiele-Webseites gefunden. Insgesamt rund 17 GByte Daten, hauptsächlich wohl chinesische Seiten und Spieler, gesammelt durch den Trojaner Loginck.

Je nach Spielstufe und Charakter sei ein Account zwischen 6 und 28.000 US-Dollar wert.

Davon abgesehen, dass es mich immer wieder wundert, wie Symantec ganz zufällig auf diese Server draufkommt (klar, die analysieren den Trojaner aber berechtigt das zum Login/Einbruch auf so einen Server?) scheint das Abgreifen von Spielerdaten inzwischen extrem lukrativ zu sein. Ich bin echt überrascht.

30. Mai 2010

Tetra Association Members

Category: Allgemein — Christian @ 16:53

Tetra ist der Standard, nach dem in Deutschland das Funknetz für Behörden und Organisationen mit Sicherheitsaufgaben (Polizei, Feuerwehr, TWH, Rettungsdienste, etc.) aufgebaut wird.

Ein wenig erstaunt war ich schon, als ich durch die Liste der Tetra Association Members scrollte und diese „Firma“ dabei entdeckte:

THC Tetra

Aber cool 🙂

28. Mai 2010

Nochmal zu Victorinox

Category: Produkte — Christian @ 11:37

Die bisherige Diskussion lief auf Grund meines Beitrags mit dem Titel „Victorinox Snake Oil Crypto?„. Dort hatte ich Bruce Schneiers Warnsignal #9 vor schlechter Kryptographie zitiert:

    Warning Sign #9: Cracking contests: Contests are a terrible way to demonstrate security. A product/system/protocol/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products/systems/protocols/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don’t produce useful data.

Und ich hatte darauf hingewiesen, dass Victorinox schlecht beraten sei, die Sicherheit ihres Produkts durch zweifelhafte Wettbewerbe beweisen zu wollen. Insbesondere, wenn die Angreifer nur wenige Stunden zur Verfügung gestellt bekommen. Die echte Gefahr ist, dass man den Stick verliert (oder er geklaut wird) und der Angreifer beliebig viel Zeit hat an die Daten zu kommen. Ich schrieb damals in den Kommentaren auch, dass ich den Stick für ein eigentlich durchdachtes Produkt halte.

Diese Meinung möchte ich jetzt revidieren. Hier sind meine Indizien:

Victorinox Warning Sign #1: Falsche Testimonials

Steffen Müller, der scheinbar offiziell im Namen von Victorinox in allen möglichen Foren und Blogs kommentiert und auch Hilfestellungen im offiziellen Victorinox-Forum gibt, schrieb hier in den Kommentaren:

    Prof. Tom Wearbou (Security Head Engineer of NSA) wrote: “MKI’s new Schnuffi chipset: This is not only a chapter for itself, it’s also a new chapter in data history. We got some samples about 5 months ago. After 4 months working and almost 1 Million investment in new Hardware the chipset blows the whole device up before we had a real chance to get our hand on the data… This is not a normal chipset… this is a nasty bitch! “

Ich halte diese Behauptung für frei erfunden. Ich bin mir sehr sicher, dass es keinen Prof. Tom Wearbou gibt. Google findet für diesen Namen genau zwei Seiten und beide sind Kommentare zum Victorinox-Chip. Jeder Professor muss irgendwann ein paar wissenschaftliche Veröffentlichungen haben, sonst wird man nirgends auf der Welt Professor. Diese müsste man auch finden, selbst wenn der gute Mann bei einem Geheimniskrämerladen wie der NSA arbeiten sollte. Auch Varianten des Namens führen nicht weiter. Und Google ist sehr gut darin, mir bei Tippfehlern Alternativen vorzuschlagen.

Ich ziehe diese Behauptung natürlich sofort zurück, wenn mir irgendjemand einen Nachweis für diesen Professor bzw. ein solches Schreiben geben kann.

Victorinox Warning Sign #2: MKI Schnuffi Chip

Kryptographie ist schwierig. Siehe WEP. Selbst wenn man Kryptographie richtig versteht kann man sie immernoch falsch implementieren. Ich kann mir nicht wirklich vorstellen, dass eine (zugegebenermaßen gute) Messerschmiede einen tollen neuen Chip entwickelt, den niemand zerlegen kann. Haben sie wohl auch nicht.

Mein aktueller Wissensstand ist, dass die Technologie angeblich von Martin Kuster kommen soll, dem u. a. Parrot’s Consulting in Zug gehört. Parrot’s Consulting soll wiederum zu einer MKI Group (MKI = Martin Kuster International?) der MKI Enterprises gehören. Beide Webserver residieren auf der gleichen IP-Adresse. Das Anmeldefeld auf der Webseite von MKI sieht so aus als würde es nie verwendet. So wird bei der Eingabe das Passwort im Klartext angezeigt und der Anmeldeknopf führt direkt auf eine Fehlerseite. Auf Deutsch, die Webseite der MKI Enterprises, Rancho Bernardo, CA, USA sieht aus wie eine Alibiwebseite einer Firma die es gar nicht gibt. Domaintools behauptet, auf dem Server der Earthlink gehört (webhost.earthlink.net) werden 76.694 Webseiten gehostet.

Victorinox Warning Sign #3: USB Compliance

Der USB-Stick wurde nach meinen Informationen 2009 von NTS (National Technical Systems) auf Konformität mit dem USB-Standard getestet. Das Produkt hat den Text bestanden, kann jedoch nicht USB-IF zertifiziert werden, weil die Einschaltströme außerhalb der USB-Spezifikation liegen. Ich bin mir nicht mal sicher, ob Victorinox das „Certified USB High-Speed“-Logo das sich in den Datenblättern des Sticks befindet, überhaupt verwenden darf. Auf der Webseite des USB Implementation Forums gibt es eine Datenbank der zertifizierten Produkte. Ich kann da weder „Schnuffi“ noch „MKI“ und auch nicht „Victorinox“ finden. Ich habe aber vorsichtshalber mal eine Anfrage an das USB IF geschickt.

Ansprechpartner bei Victorinox für den Test war Martin Kuster. Hersteller des Chips laut Testbericht eine „MKI Electronics Division“, für die mir Google ein „Keine Ergebnisse für „mki electronics division“ gefunden“ ausspuckt. In der USB-Zertifizierung wird übrigens nur die Signalqualität gemessen, nicht die tatsächliche Übertragungsgeschwindigkeit des Gerätes. Ein High-Speed USB-Device muss deshalb noch keine High-Speed Übertragung anbieten.

Victorinox Warning Sign #4: Martin Kuster

Ich habe eine Weile überlegt ob ich diesen Abschnitt aufnehmen soll. Immerhin wird es jetzt etwas persönlich. Aber Martin Kuster behauptet, er habe den Snuffi Chip entwickelt und die Firma die den Chip baut, gehöre auch ihm. Außerdem behauptet auch Martin Kuster, die NSA hätte seinen Chip erfolglos versucht zu hacken.

Martin Kuster verwendet für die Kommunikation anscheinend gerne mal eine E-Mail-Adresse von MSN. Ich habe den Mailheader untersucht, die Mails gehen tatsächlich über hotmail.com. Auch die IP-Adressen im Header gehören alle Microsoft. Insofern finde ich wiederum den Footer in der Mail interessant, in dem steht:

    „For you safety this message and its attachments (if applicable) were scanned for virus on MKI’s main mail server in Atlanta, Georgia / USA. This may delay the mail for a view minutes. „

Ich bin mir nämlich sehr sicher, dass die Mails niemals über einen MKI-Server in Atlanta gegangen sind.

Und das Gesamtpaket mit falschen Testimonials und einem Chip von einer praktisch nicht existenten Firma sieht für meinen Geschmack nach meiner sehr persönlichen privaten Meinung nun einmal sehr komisch aus.

Oder?

Ach ja, wenn jemand einen solchen USB-Stick hat, jedes USB-Teil hat eine Vendor-ID. Ich würde gerne mal wissen, wer da wirklich als Hersteller dahintersteckt. Ich mag da ungern 70 (8 GB) bis 190 Euro (32 GB) zum Fenster rauswerfen.

25. Mai 2010

700.000 Euro

Category: Politik — Christian @ 21:44

Sozusagen meine Zahl des Tages. Soviel hat nämlich laut ARD und Angaben des BKA die Online-Durchsuchung von Rechnern bisher gekostet (davon 581.000 Euro Personalkosten, also etwa 8-10 Personen die sich damit beschäftigen, der Rest also 119.000 Euro dürften Lizenz- und Hardwarekosten, Büromiete, Reisekosten, allgemeiner Verwaltungsaufwand, etc. sein). Und das alles für bisher keine einzige durchgeführte Online-Durchsuchung. Na wir haben’s ja.

Blogroll-Update

Category: Allgemein — Christian @ 21:35

Ich bin ja generell recht knauserig was Links auf andere Blogs betrifft aber der folgende ist es Wert, aufgenommen zu werden:

Darknet – The Darkside

Und jetzt auch in diesem Kino rechts in der Blogroll-Spalte.

24. Mai 2010

Random Stuff – 9

Category: Datenschutz,Internet,Recht — Christian @ 21:31

Heute mit Links von den Inseln …

Komplettausschluss aller Haftungsregeln in Software-Lizenzen ist unfair

In Großbritannien hat der High Court (also keine kleine Amtsgerichtsklitsche) entschieden, dass bestimmte Klauseln in Software Lizenzen unfair und damit unwirksam sind. Im speziellen Fall ging es um eine Hotelsoftware, die wohl nicht ganz den Vorgaben entsprochen hat. In den Lizenzbedingungen stand jedoch, der Kunde könne bei Problemen nur auf den Supportvertrag zurückgreifen und keine Rückerstattung verlangen, egal wie schlecht die Software ist. Diese Klausel hat das Gericht als unwirksam verworfen. Ich hoffe ja, dass wir in Deutschland auch irgendwann stärker entweder Produkthaftungsregeln für Software anwenden oder, wenn das nicht möglich oder praktikabel ist, Lizenzbedingungen zumindest wie AGB einer Inhaltskontrolle unterliegen. Naja, abwarten.

Large-Scale Cyber-Attacks

Ebenfalls in Großbritannien wurde vom House of Lords der 5. Bericht zum Schutz der EU vor Large-Scale Cyber-Attacks veröffentlicht. Dabei wurden insbesondere die (vermutlich aus Russland durchgeführten) Angriffe gegen Estland im April/Mai 2007 und die chinesischen Angriffe gegen Systeme des Dalai Lama vor den olympischen Spielen im August 2008 als Beispiele herausgegriffen. Und die ENISA bei der sich Udo Helmbrecht auf seine Pension vorbereitet hat auch einen Seitenhieb bekommen, da sie in Kreta in der Sonne weit ab vom Schuss ist.

UK will Big Brother (ein wenig) zurückfahren

Schreibt Heise. Also, eigentlich ja nicht, aber es ist einfach nicht mehr genug Geld für alles da. Vorratsdatenspeicherung kostet den Staat erst mal Geld und ob es was bringt, weiß eigentlich keiner. Ein paar Überwachungskameras (CCTV) werden vielleicht abgeschaltet. Ein klein wenig weniger DNA- und Fingerabdruckdatenbanken (an Stellen an denen der EUGH schon hinschauen wollte). Und das Auskunftsrecht bei Behörden „wie in Deutschland“ klingt eher wie eine Drohung als eine Verheißung. Auf Deutsch, ich bin extrem pessimistisch. Das hört sich an wie das Dialogangebot von Herrn de Maiziere und in Folge wird dann eben auch getrickst, getäuscht und verarscht.

Three Strikes in Irland

Die irren Iren sind da schon einen Schritt weiter. Der (noch) größte irische Provider Eircom hat inzwischen auf Druck der Contentmafia ein System der „abgestuften Erwiderung“ eingerichtet. Die IRMA droht schon mal, Eircom „jede Woche mit tausenden IP-Adressen von Copyright-Sündern versorgen zu können“. Wenn das stimmt, hat Eircom in einem Jahr nicht mehr 750.000 Kunden sondern nur noch die Hälfte. Und zu wünschen ist es dem Laden ja auch.

Wem wurde Schaden zugefügt?

Category: Datenschutz — Christian @ 21:03

Eric Schmidt, der Evil Overlord CEO von Google findet, dass das Abfangen von WLAN-Daten straffrei sein muss mit der Begründung, es wurde ja niemandem (der nennbar wäre) Schaden zugefügt. Die offizielle Meinung von Google laut Eric Schmidt ist:

    „If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place.“

Auf deutsch: Wenn ihr nicht wollt, dass wir euer WLAN ausspionieren, dann nutzt einfach keines. Ausser, es betrifft ihn selbst.

Jens Ferner hat dazu auf Datenschutzbeauftragter-Online einen interessanten Kommentar (eine der wenigen Webseiten die ich ständig verlinke) veröffentlich.

22. Mai 2010

Geldautomaten-Social-Engineering

Category: Offtopic,Work — Christian @ 19:55

Mobile Bank Dispensernur das Bild und das Original bei Flicker (leider keine CC-Lizenz, deshalb nur verlinkt)

20. Mai 2010

Quantenkryptographie gehackt

Category: Hacking,Produkte — Christian @ 19:36

Ultracool, was für ein Hack … auf The Register:

    „Feihu Xu, Bing Qi and Hoi-Kwong Lo at the University of Toronto in Canada have developed a subtle „intercept and resend attack“ where they eavesdrop on some of the quantum bits sent during a quantum key exchange but not so many as push the error rate over the 20 per sent threshold. The boffins demonstrated such a „phase remapping“ attack against commercial quantum cryptography systems from ID Quantique.“

Um das zu verstehen, muss man wissen wie Quantenkryptographie funktioniert. Die Idee ist, man verschickt polarisierte Photonen (Lichtteilchen). Polarisierte Lichtteilchen haben den interessanten Effekt, dass sie durch einen identisch ausgerichteten Polarisationsfilter durchgehen, von einem anders ausgerichteten jedoch gefiltert werden. Einige 3D-Brillen basieren auf dem Prinzip, dass  ein Auge nur horizontal polarisiertes Licht erreicht, das andere Auge nur vertikal polarisiertes Licht und dadurch zwei Bilder dargestellt werden. Soweit so langweilig. Spannend ist jedoch, wenn man einen falsch ausgerichteten Polarisationsfilter verwendet, ist das Photon weg und man kann nachträglich auch nicht mehr feststellen, wie es richtig gedreht gewesen wäre. Für einen Man-in-the-Middle bringt das ein großes Problem mit sich. Ja, man kann im Prinzip die Übertragung abhören ABER der Empfänger bemerkt IMMER, wenn die Übertragung abgehört wird und kann entsprechend reagieren. Dieses Prinzip lässt sich physikalisch beweisen. Da gibt es in der modernen Physik auch keinen Weg drumherum.

Naja, fast. Das Prinzip stimmt nämlich genau genommen nur für EIN EINZELNES Photon. In der Praxis kann man aber keine einzelnen Photonen schicken, da treten viel zu viele Störungen auf. Deshalb schickt man z.B. mit einem Laser immer gleich ein ganzes Lichtbündel. Und schon stimmt die Annahme nicht mehr. Bei einem Lichtbündel ist es nämlich möglich, ein paar wenige Lichtteilchen abzuzweigen und auszulesen während der Rest unverändert weiter geschickt wird. Beispielweise mit einem halbdurchlässigen Spiegel. Die Quantenkryptographiesysteme wissen das und reagieren deshalb mit einem Fehler, wenn mehr als 20% der Photonen in einem Lichtbündel fehlen oder falsch sind.

Man kann sich das für meine Freundin Laien vielleicht so vorstellen, dass man Tischtennisbälle einen Fluss hinab schickt. Weil man nicht weiß, ob alle ankommen schickt man jeden Ball nicht einmal sondern 100 mal. Und Alarm geschlagen wird, wenn weniger als 80 Tischtennisbälle am Ziel ankommen. Der Trick ist also jetzt, weniger als 20 Bälle von jedem Schwung abzufangen und trotzdem die Nachricht zu analysieren.

Die Kanadier haben es jetzt geschafft, ihr Angriffssystem so genau einzustellen, dass es mit deutlich weniger als diesen 20% zurechtkommt.

    „The ID Quantique system is not broken, they say, but requires tweaking to get over the unsafe assumption that error rates of less than 20 per cent must be due to noise and can be safely disregarded.“

Im Prinzip haben sie damit recht. Nur muss in Zukunft wohl jedes Quantenkryptosystem dort wo es eingesetzt wird auch kalibriert werden, um die Grenze herauszufinden, bis zu der Fehler typischerweise auftreten. Die Pauschalannahme von 20% ist jedenfalls nicht mehr hilfreich. Mehr auch in Technology Review.

Mal sehen wie sich das weiterentwickelt.

19. Mai 2010

Autos hacken … für Anfänger

Category: Hacking,Work — Christian @ 19:21

In der Zeit bin ich auf einen Artikel gestossen: „Auch Autos kann man hacken„.

Da beschreiben also die leet haxor amerikanischen „Sicherheitsforscher“,  dass man über den Diagnose-Port des Autos Zugriff auf sensible Systeme bekommen und den Fahrer komplett abklemmen kann. Ach? Ich dachte immer, das sei die Funktion des Diagnose-Ports, Komplettzugriff auf die gesamte Elektronik/IT des Fahrzeugs zu bekommen. Und in meinem Auto versteckt sich der Diagnose-Port hinter einer Klappe unterhalb des Aschenbechers im Amaturenbrett.

Wenn ich mir jetzt vorstelle, mit sagen wir mal 180 km/h über eine deutsche Autobahn zu brettern und mitten während der Fahrt springt mir so ein amerikanischer Sicherheitsforscher durch die Tür auf den Beifahrersitz, klemmt seinen Computer an den Diagnose-Port an und übernimmt mein Fahrzeug … ja, das klingt wie eine reale Gefährdung. In Zukunft werde ich bei Geschwindigkeiten oberhalb 130 km/h vorsichtshalber die Türen verriegeln. Kann man in der Elektronik irgendwie automatisch einstellen, ist bei mir aber aktuell aus.

Sehr cool auch der Absatz: „Sie manipulierten den Testwagen auch drahtlos […]. Dafür musste das Opfer-Fahrzeug allerdings bereits mit einem entsprechenden Rechner zum Empfang der Signale verbunden sein.“ Fällt mir auch gar nicht auf, so ein Laptop auf dem Beifahrersitz. Höchstens, wenn kein Platz mehr für meinen eigenen ist.

Aber im Ernst … das ist, wie wenn man auf einem Unix-System dem amerikanischen Sicherheitsforscher das root-Passwort in die Hand drückt und der dann erstaunt feststellt, dass man damit das System kontrollieren und berechtigte Benutzer aussperren kann.

Also wenn der aktuelle Stand der IT-Sicherheitsforschung in Fahrzeugen ist, den Diagnose-Port zu entdecken, na dann gute Nacht. Das ist im Grunde schon wieder peinlich.