Immer wieder interessant, wie anglozentristisch die IT-Welt ist. Wenn mal ein Franzose was entdeckt, geht das völlig unter. Der Aufbau der ScreenOS Passwort-Hashes ist seit mindestens 23. Juni 2008 allgemein bekannt. Samuel Monux hat an diesem Tag ein Python-Script veröffentlicht, das nach Eingabe von Login und Passwort einen korrekten ScreenOS-Hash erzeugt. Außerdem hat er gleich noch einen Patch für John the Ripper mitgeliefert.
Wichtig, das John the Ripper übergebene Passwort-File muss genau folgendes Format haben:
<username>:<username>$<cryptedpass>
sonst tut es nicht. Der Username wird bei ScreenOS als Salt verwendet, darum taucht er hier ein zweites Mal auf.
Vorsichtshalber lege ich mal Kopien auf meinen Server. Man weiß ja nie, wann die Tools wieder aus dem Internet verschwinden.
„During the last twenty years, many vulnerabilities have been identified in the TCP/IP stacks of a number of systems. Some of them were based on flaws in some protocol implementations, affecting only a reduced number of systems, while others were based in flaws in the protocols themselves, affecting virtually every existing implementation. Even in the last couple of years, researchers were still working on security problems in the core protocols.
For some reason, much of the effort of the security community on the Internet protocols did not result in official documents (RFCs) being issued by the IETF (Internet Engineering Task Force). This basically led to a situation in which ‚known‘ security problems have not always been addressed by all vendors. In addition, in many cases vendors have implemented quick ‚fixes‘ to the identified vulnerabilities without a careful analysis of their effectiveness and their impact on interoperability.“
Das sind 130 Seiten, die vom CPNI heruntergeladen werden können. Das ist ein „must read“ für alle Penetrationstester, die sich mit Portscans, Denial-of-Service Angriffen, TCP/IP Fingerprinting oder Session Injection Angriffen beschäftigen. Das Dokument enthält Beispiel-Source-Code, Erklärungen und Hintergrundinformationen die ich in dieser Form und Tiefe weder aus dem Stevens noch aus dem Comer kenne. Nehmt euch die Zeit, so zwei bis drei Stunden um das zu lesen und so gut wie möglich zu verstehen. Und wenn ihr weder den Stevens noch den Comer kennt, kauft euch einen von den beiden. Ich persönlich bevorzuge den Stevens aber das ist mehr so eine Geschmacksfrage.
Meiner Meinung nach sind Heribert Prantls Kommentare in der Süddeutschen Zeitung mit Abstand das beste, was die politisch aktiven Zeitungen in Deutschland aktuell zu bieten haben. In der Springer Presse (Welt bzw. Welt am Sonntag) findet sich leider seit geraumer Zeit kein einziger ernstzunehmender politischer Kommentator mehr und auch auf der anderen Seite des politischen Spektrums (TAZ, Freitag) ist kaum noch was zu finden. Auf dem Niveau Prantls findet sich meiner Meinung nach höchstens noch Hans Leyendecker, der ebenfalls überwiegend für die Süddeutsche Zeitung tätig ist.
Und weil es immer wieder hilfreich ist, im politischen Diskurs aus diesen Kommentaren zu zitieren, möchte ich ein paar für mich wichtige hier verlinken.
Unternehmen behandeln die Daten der Bürger, als handele es sich um Altpapier. Die Sensibilität für den Datenschutz ist verlorengegangen. Dabei bietet nur er Sicherheit in der digitalen Welt.
Das Phänomen der Wiedergeburt gibt es auch in der Innenpolitik: Vor 15 Jahren war das, was heute die Online-Durchsuchung ist, der „große Lauschangriff“. Und nach wie vor wird die Innere Sicherheit geschädigt.
Das sogenannte Terrorcamp-Gesetz verfolgt angebliche Täter, ohne dass es eine Straftat gibt. Gäbe es den Straftatbestand der Missachtung der Gerichte, dann wäre er mit diesem Gesetz verwirklicht.
Das Bundesverfassungsgericht präsentiert ein neues „Computer-Grundrecht“. Es lässt aber trotzdem Trojaner und Online-Durchsuchungen in Ausnahmefällen zu und stellt genaue Regeln dafür auf. Das Grundsatzurteil ist kein Freibrief, sondern eine Mahnung.
Der angebliche Kompromiss zum BKA-Gesetz ist kein Kompromiss, sondern ein Witz. Witze sollte man aber nicht machen, wenn es um die Balance von Freiheit und Sicherheit geht.
Die Möglichkeiten der Ermittler in Deutschland sind fast unerschöpflich. Sie reichen aus, um Straftaten jeglicher Art aufzuklären und zu verhindern – auch auf dem Gebiet des Terrorismus. Mit der Online-Durchsuchung würde erneut eine Schranke des Rechtsstaats fallen.
Die Karlsruher Entscheidung gegen die Online-Durchsuchung steht in einer Serie von wichtigen Urteilen, die gegen ein gefährliches Vorurteil ankämpfen: dass man Grundrechte klein machen müsse, um Straftaten wirksam zu bekämpfen.
Der Staat möchte elektronische Wanzen in Computern installieren dürfen. Dafür verlangt er von seinen Bürgern einen Vertrauensvorschuss. Warum die Diffamierung der Privatheit durch die Sicherheitsbehörden ein Ende haben muss.
War es tatsächlich nur die Suche nach undichten Stellen oder wurden bei der Telekom auch persönliche Rechnungen beglichen? Die Motive im Spitzel-Skandal werden immer rätselhafter.
Der Schlag gegen mutmaßliche Terroristen ist der Erfolg ganz normaler, akribischer Polizeiarbeit. Für Hysterie und politischen Alarmismus gibt es also keinen Anlass.
Das traurige ist, dass Politiker nicht lesen können.
Wie die informierten Zeitungsleser (also nicht die Bildleser) seit Mitte Januar wissen, darf US-Präsident Obama seinen Blackberry nicht weiter verwenden, weil das RIM-Zeugs dem Secret Service ein wenig zu unsicher ist. Statt dessen kommt ein Sectera Edge des Rüstungskonzerns General Dynamics zum Einsatz. Technische Details hat Intomobile veröffentlicht. Auf den „virensicheren Internet Explorer“ oder den „unhackbaren Windows Mediaplayer“ will ich jetzt gar nicht im Detail eingehen. Das hat Kevin Mitnick schon getan.
EDGUUSBC01 – Unclassified USB Cable for file transfer with Unclass PC & required for installing Unclassified Enclave Certificates – 75 USD
EDGCUSBC01 – Classified USB Cable for file transfer with Classified PC & required for installing Classified Enclave Certificates – 75 USD
Der Unterschied zwischen einem Unclassified USB-Kabel und einem Classified USB-Kabel ist mir jetzt nicht so ganz klar. Stellt das Classified Kabel sicher, dass keine Daten zwischen den Drähten hängen bleiben oder was? Naja, vermutlich ist das Classified USB Cable für die gleichen Pappnasen, die Ethernet-Kabel mit vergoldeten RJ45-Steckern kaufen, weil dann die MP3-Files besser klingen.
Chris Paget just did you a service by hacking your passport and stealing your identity. Using a $250 Motorola RFID reader and antenna connected to his laptop, Chris recently drove around San Francisco reading RFID tags from passports, driver licenses, and other identity documents. In just 20 minutes, he found and cloned the passports of two very unaware US citizens.
„Information spreads at the speed of light, while ignorance is instantaneous at all points in the known universe.“ (Quelle)
„The latest innovation [of the two US Capitalist parties] is the photo finish election, where each party buys 50% of the vote, and the result is pulled out of statistical noise, like a rabbit out of a hat.“ (Quelle)
Das Hauptproblem beim Online-Banking sehen die Bundesbürger in der Sicherheit. 64% der Bürger sind der Meinung, beim Online-Banking bestünde ein zu hohes Risiko. Und immer noch 41% sehen ein Problem darin, dass die Banken keine Haftung bei Schäden übernehmen.
Der letzte Punkt ist der, in dem ich die größten Probleme bei der Akzeptanz von Online-Banking sehe. Natürlich übernehmen einige Banken zur Zeit Schäden, die Kunden bei der Nutzung von Online-Banking entstehen. Aber nicht etwa, weil es für den Kunden einen vertraglichen Anspruch gäbe. Das geschieht allein aus dem Grund, Negativschlagzeilen über das Online-Banking zu vermeiden und ist reine Kulanz der Bank. Darauf verlassen kann sich leider niemand.
Ich habe vor einiger Zeit die AGB meiner Bank zum Online-Banking studiert. Frei übersetzt für Nichtjuristen steht da drin: „Online-Banking ist absolut sicher und wenn doch was passiert ist natürlich der Kunde schuld und trägt den Schaden. Der Kunde könne aber der Bank gerne ein Fehlverhalten nachweisen.“ Ich habe meine Hausbank dann freundlich nach einer Kopie ihres Sicherheitskonzepts zum Online-Banking gefragt, denn um das Fehlverhalten nachweisen zu können brauche ich natürlich die relevanten Unterlagen. Fehlanzeige. Ich vermute ja, das Sicherheitskonzept ist so schlecht, dass sich die Bank nicht traut es herauszugeben (und ja, ich habe etwa zwei Jahre in der IT-Sicherheit einer Bank gearbeitet, ich weiß wie da gepfuscht wird).
Praktisch stellt sich das Online-Banking daher für den Kunden als nicht zu durchschauender Komplex dar, der den Banken Kostenvorteile bringt bei gleichzeitiger Risikoabwälzung auf den Kunden. Wenn man gleichzeitig in der Zeitung lesen kann, dass sich viele Banken aus Kostengründen scheuen, Anti-Skimming-Module an ihren Geldautomaten anzubringen (weil das Risiko da trägt ja auch der Kunde), dann ist das Misstrauen gegenüber den Banken völlig gerechtfertigt.
Im Endeffekt brauchen wir deshalb einen verbindlichen, einklagbaren Rechtsanspruch der Kunden, dass Banken die ja auch den Kostenvorteil haben, die durch das Online-Banking entstehenden Risiken ebenfalls übernehmen müssen. Bei Kreditkarten funktioniert das ja auch. Aber das wird nicht ohne Gesetzesänderung über die Bühne gehen, die Rechtsprechung des BGH ist in Deutschland für eine Selbstregulierung viel zu bankenfreundlich.
„Neben einer Briefzustellung in Standard- und Premiumqualität gebe es ein weiteres Projekt. Dabei würden Briefe von Unternehmen zunächst an die Post gemailt und dann per Papierausdruck an den Empfänger weitergeschickt.“
Das soll dann gegenüber dem normalen Porto ein Drittel weniger kosten. Komisch, das machen viele Leute die ich kenne mit den E-Mails. Ausdrucken und Abheften. Aber dafür braucht es bestimmt nicht die Deutsche Post.
Der Wissenschaftliche Dienst des Bundestags hat ein recht ordentlich gemachtes Gutachten (PDF) zu den von der Leyen’schen Internetsperren erstellt. Die Geschichte und Struktur des Internets wird darin kurz zusammengefasst. Außerdem wird im Detail auf die unterschiedlichen Aspekte von Content-Provider (Inhaltsanbieter), Host-Provider (Hostinganbieter) und Access-Provider (Zugangsanbieter) eingegangen. Für mich wirkt das zwar etwas knapp aber korrekt und ordentlich. Von einem „unterirdischen“ Gutachten wie die beratungsresistente Blindgängerin von der Leyen behauptet, kann jedenfalls nicht die Rede sein.
Der zweite Teil des Gutachtens beschäftigt sich mit den rechtlichen Aspekten. Und weil nicht jeder Lust hat, die 27 Seiten zu lesen, hier ein paar Kernaussagen:
Eine Sperrungsverfügung ist nur dann rechtmäßig, wenn sie auch verhältnismäßig ist. Die Verhältnismäßigkeit ist dann gegeben, wenn die Maßnahme zur Erreichung des Zieles geeignet, erforderlich und angemessen ist.
Es gibt drei Möglichkeiten zur Sperrung:
Manipulation der DNS-Einträge am DNS-Server des Access-Providers
die Benutzung eines Proxy-Servers (wie in Großbritannien)
Sperren von IP-Adressen ist trotz Kollateralschaden prinzipiell zulässig.
Das VG Düsseldorf stellte dazu fest: „Dass mit der Sperrung einer IP-Adresse wegen Rechtswidrigkeit eines Angebots auch andere legale Angebote mit betroffen sein können, macht diese Methode nicht im Rechtssinne zur Gefahrenabwehr ungeeignet. […]“
Jede der drei aufgeführten Sperrtechniken kann mit einem vergleichsweise geringen Aufwand vom Nutzer oder den Anbietern der Inhalte umgangen werden.
Um im Internet Sperrverfügungen sinnvoll und effektiv umsetzen zu können, müsste die Struktur des Internets komplett neu gestaltet werden.
Hält man sich das große Missbrauchspotenzial, das gerade bei zentralen technischen Filtersystemen besteht, und die Bedeutung der Kommunikationsfreiheit für eine freiheitliche Demokratie vor Augen, so muss diese Gefahr als besonders schwerwiegend angesehen werden.
Was mir in dem Gutachten fehlt, ist eine kurze Analyse anderer Sperrsysteme. Die chinesische Internetsperre „Great Wall of China“ und das dahinter liegende technische Verfahren wird zwar kurz erwähnt, das umfangreiche Jugendschutz-Filtersystem in Großbritannien, das Proxy-basiert ist und erst kürzlich zu erheblichen Problemen bei britischen Zugriffen auf Wikipedia geführt hat, ist leider außen vor geblieben. Ist aber eigentlich auch egal, hätte Frau von der Leyen eh nicht verstanden.
Sehr schön finde ich auch den folgenden, wörtlich übernommenen Satz: „Bei der Betrachtung der Umgehbarkeit einer Maßnahme ist außerdem der Kenntnisstand der jeweiligen Zielgruppe nicht außer Acht zu lassen.“ Übersetzung: Nur weil Frau von der Leyen zu dumm ist, eine solche Sperre zu umgehen, gilt das nicht für den Rest der Bevölkerung! 🙂
