Mitternachtshacking

Der Ziercke mal wieder. Die wandelnde Inkompetenz des BKA. Wenn er eine Frau wäre, würde man sich fragen, wie er sich hochgeschlafen hat. Jetzt hat er der Neuen Osnabrücker Zeitung ein Interview gegeben, dass u.a. die Sueddeutsche Zeitung abgedruckt hat.

Das BKA stellt darin fest, dass es immer mehr Angriffe auf PCs gibt und immer mehr Rechner in Deutschland von Schadprogrammen infiziert sind. Ob es wirklich eine Million Rechner alleine in Deutschland sind, weiß ich nicht. Davon 350.000, die von Kriminellen ferngesteuert werden.

Und? Was nun, Herr Ziercke? Mehr Online-Durchsuchungen? Mehr Hausdurchsuchungen? Mehr Internet-Sperren und mehr Zensur?

Kein Konzept, keine Ideen, keine Ahnung und keine Kompetenz. Aber die Klappe weit aufreißen.

Ich habe aus gegebenem Anlass heute die Übersichtsseite Hackingtools ein wenig erweitert. Zwar steht immer noch lange nicht so viel drin, wie ich gerne hätte aber so ganz langsam dürfte das was werden. Für Tipps, Ideen und Programme bin ich immer aufgeschlossen.

Sehr lustig …

(von hier, danke Valentin)

Oh mein Gott. Ich sollte im Hotel nicht fernsehen.

Es gibt tatsächlich einen „Wireless PC Lock“. Das Ding besteht aus einem USB-Stick und einem Taster, die schnurlos, also per Funk miteinander kommunizieren. Den USB-Stick muss man einstecken, eine Software installieren und dann kann man per Knopfdruck den PC sperren. Für nur etwa 30 Euro inkl. Versand. Wie dumm ist das denn?

Sehr schön ist auch die Kritik auf Ciao dazu. Ich zitiere mal ein paar Schmankerl:

• „Durch drücken der altbekannten Affengriff-Kombi STRG + ALT + ENTF ist es mit ein bisschen Geduld kein Problem den Taskmanager zu starten und in den Vordergrund zu holen. Darüber lässt sich die gesamte PC Lock Software mit wenigen Mausklicks lahm legen und der Rechner ist ungeschützt.“
• „Immer mehr Grafikkarten unterstützen sog. Dual-Monitor-Systeme, sprich man kann mit einer Grafikkarte mehrere Desktops auf mehreren Bildschirmen ansprechen. Wird nun an so einem System das PC Lock aktiv, wird nur der Hauptbildschirm mit der Maske gesperrt, die anderen sind jedoch uneingeschränkt zugänglich und der Schutz ist gleich Null.“
• „Ich für meinen Teil verzichte gerne wieder auf den Stick und bediene mit der einfachen Windows Funktion Windowstaste + L. Damit wird das System mindestens genau so gut ohne weiteren Schnickschnack gesperrt.“

Argl. Danke für die Kaufwarnung. 😉

Google Checkout

Ich zitiere mal den entscheidenden Absatz:

• they did not try to contact us to resolve any issue
• there’s no way to find out why they closed our account, due to „security reasons“
• there was no notice (we found out by accident, when we tried to pay for something with Google Checkout)
• they kept over $200 of our money
• there is no appeal
• there is no one we can contact
• we cannot open a new account
• our money is gone, even though people have received their products

Ich kann mir kaum vorstellen, dass das in Deutschland legal ist. Aber ich könnte wetten, Google findet wie Ebay/Paypal den Trick, die Geschäfte von außerhalb der EU durchzuführen.

Mir ist aufgefallen, dass es immer mal wieder Exploits z.B. auf Securityfocus oder Milw0rm gibt, die als Metasploit Modul geschrieben sind. Sowohl alte Perl Module, z.B.

• WordPress <= 1.5.1.3 Remote Code Execution eXploit
• vBulletin <= 3.0.6 (Add Template Name in HTML Comments = Yes) command execution eXploit

aber auch viele neue in Ruby, z.B.

• DECT Base Station Scanner
• DECT Call Scanner
• Solaris ypupdated Command Execution
• FlipViewer FViewerLoading ActiveX Control Buffer Overflow

Nur scheint es weder ein zentrales Repository für die diversen Module zu geben, noch werden sie bei Metasploit aufgeführt. Oder sehe ich das falsch?

Kennt jemand ein Verzeichnis der diversen von dritten erstellen Metasploit Module? Wenn nicht, würde ich eines anlegen und pflegen, wenn mich auch ein paar andere mit Links zu Module versorgen würden.

Ich habe mal angefangen, ein paar Dokumente zu sammeln, die sich mit dem § 202c beschäftigen:

• Bitkom: Leitfaden zum Umgang mit Hackertools (PDF, 523 KB)
• EICAR: IT-Sicherheit und § 202c (PDF, 226 KB)
• IT-Sicherheit und der 202c StGB (PDF, 47 KB)
• Die Überkriminalisierung der IT-Sicherheitsbranchen in Deutschland (PDF, 21 KB)

Außerdem gibt es von Dennis Jlussi, der den Eicar-Beitrag geschrieben hat noch ein paar Präsentationen zum Thema. Mehr habe ich bisher nicht gefunden. Kennt noch jemand ein paar Diplomarbeiten von angehenden Rechtsverdrehern oder so, die sich ebenfalls kompetent mit dem Thema beschäftigen?

Ich denke es ist ausreichend bewiesen, dass die Theorie, dass Virenscannerhersteller selbst Viren programmieren würden um den Absatz ihrer Programme zu fördern reiner Blödsinn ist. Es gibt genug Russische oder sonstige Gruppen, die mit Schadprogrammen gut Geld verdienen. Da braucht es keine Schadprogramme der Virenscannerhersteller mehr.

Ich frage mich allerdings, wie gut könnten Heuristiken sein und haben Virenscannerhersteller ein Interesse an 100%iger Erkennungsrate?

Eine Erkennungsrate von 100% mit Pattern ist meines Erachtens sowieso nicht möglich. So schlecht sind die Virenprogrammierer auch nicht. Wenn aber die Heuristik alles erkennen würde, würde der Kunde auf Patternupdates verzichten, die Hersteller würden weniger verkaufen.

Lohnt es sich folglich für einen Virenscannerhersteller die Heuristik schlechter zu implementieren als technisch möglich wäre, um mehr Geld mit den Patternupdates zu verdienen? Ist es für einen Hersteller deshalb ideal, wenn die Erkennungsrate so bei 98% liegt? Liegen deshalb die meisten Hersteller recht genau so um diesen Wert herum?

Von Fefe.

Hier ein paar Gründe, warum die Hausdurchsuchung und dann auch noch wegen „Gefahr im Verzug“ völlig sinnlos ist:

1. Wikileaks betreibt Server im Internet. Wem die Domain tatsächlich gehört, spielt dabei im Grunde gar keine Rolle. Der Eigentümer einer Domain hat die Server-Daten normalerweise auch nicht zuhause liegen. Und wenn, dann sind sie verschlüsselt. Alleine deshalb wird die Durchsuchung sinnlos sein.
2. Wikileaks veröffentlicht Informationen, sie löschen keine, wie Fefe schreibt. Und ich bin sicher, die Informanten von Wikileaks sind schlau genug ihre Informationen anonym zu schicken. Da gibt es keine Rückschlüsse auf die Informanten.
3. Als Begründung für die Hausdurchsuchung müssen scheinbar die Zensurlisten aus Dänemark oder Australien herhalten. Da ist keine Gefahr im Verzug, die Listen sind auf hunderten Servern gespiegelt.

Das ist eine so offensichtlich illegale Hausdurchsuchung und damit ein Verstoß gegen elementare Grundrechte (Art. 13 GG), da ist ein „Versehen“ des Untersuchungsrichters nicht mehr denkbar. Das hat andere Gründe. Erinnert ihr euch noch an den TOR-Exit-Node Betreiber, der durchsucht worden ist und daraufhin den Betrieb des Nodes eingestellt hat?

Gerade die Zensurdiskussion der letzten Wochen und Monate hat gezeigt, dass die geplanten Maßnahmen zum Filtern des Internets ihr Ziel nicht erreichen können. Die Verbreitung von Kinderpornographie lässt sich so nicht eindämmen. Ganz im Gegenteil stehen viele der in Skandinavien gesperrten Server in Deutschland und können unbehelligt von der Polizei ihr Schmutzmaterial vertreiben. Ich wette deshalb ein Snickers, dass die Hausdurchsuchung lediglich den Zweck hat, Repressionen zu erzeugen und die freie Meinungsäußerung in Deutschland zu unterdrücken.

Und das traurige ist, es gibt praktisch keine rechtliche Handhabe, diesen Verfassungsbrechern im Staatsamt das Handwerk zu legen.

Ich habe wieder ein paar Termine auf meinem Security Kalender 2009 nachgetragen. Falls jemand weitere Security Konferenzen (bitte nur in Europa) oder konkrete Termine kennt, bitte mitteilen.