Mitternachtshacking

Ich bin ja der festen Meinung, dass Microsoft Vista und zukünftige Systeme mit der Online-Aktivierung und regelmäßigen Überprüfung eines der zentralen Risiken für den zukünftigen IT-Betrieb darstellen wird. Damit meine ich jetzt gar nicht die speziellen Probleme mit DRM sondern beispielsweise die Pleiten und Pannen mit der WGA-Prüfung in Windows. Aber von Microsoft sind wir ja viel Leid gewöhnt und geschäftskritische Systeme betreibe ich inzwischen nicht mehr auf Windows.

Womit ich allerdings nicht gerechnet hätte ist, dass die Online-Überprüfung von Lizenzen direkt die IT-Sicherheit von Unternehmen gefährden kann. Betroffen waren Kunden von SonicWall. Anscheinend hat SonicWall da was mit den Lizenzservern verbockt woraufhin Geräte mit eigentlich gültiger Lizenz, diese verworfen und wichtige Funktionen abgeschaltet haben. Firmen, die sich auf den Schutz und die Sicherheit von SonicWall verlassen haben, waren plötzlich verlassen. Funktionen wie Content Filter (hauptsächlich URL- und Spam-Filter), Intrusion Prevention und Antivirus der SonicWall ES Appliance waren laut Berichten ohne Vorwarnung nicht mehr verfügbar.

Die Kunden sind wohl auch entsprechend sauer:

„I’ll say it to whoever I need to say it to. This is unacceptable,“ wrote a customer using the handle „rhouseholder.“ „We are a 100 million dollar ‚technology‘ defense contractor with serious security considerations, and I can’t just have SPAM and VIRUSES pouring into my network for half a day because your license server went down.“

Ok, wenn die Mitarbeiter unerlaubt nach Pr0n surfen mag mir das vielleicht noch egal sein, dass sich aber ein gültig lizenzierter und bezahlter Virenscanner einfach so abschaltet ist absolut nicht in Ordnung. Wenn die Mailboxen der Mitarbeiter vor Spam und Schadprogrammen überquellen, weil SonicWall ihre Lizenzserver nicht richtig betreibt, dann kann das für die Unternehmen richtig teuer werden. Warum muss das überhaupt online verifiziert werden, alleine das sehe ich schon als gewaltiges Risiko.

Geschäftskritische Infrastruktur darf meiner Ansicht nach nicht mit Produkten aufgebaut werden, die online ihre Lizenzen verifizieren. Das ging schon mal bei Microsoft schief, das ging jetzt bei SonicWall schief und das wird bei anderen Herstellern auch schief gehen. Schade, damit hat sich SonicWall vermutlich aus der Liste ernsthafter IT-Security-Anbieter verabschiedet. Also wenn ich für einen 100 Millionen Dollar Defense Contractor verantwortlich wäre, die SonicWall-Kisten wären noch am selben Tag rausgeflogen!

Klare Empfehlung von mir:  Finger weg von SonicWall!

Frage: Weiß eigentlich jemand, wie das mit den Ironport-Appliances ist? Die kriegen meines Wissens ihre Lizenzen auch recht von alleine von irgendeinem Ironport-Server, potentiell mit dem gleichen Problem. Oder sehe ich das falsch?

Es hat mal wieder eine SnakeOil-Verschlüsselung erwischt, diesmal die Digittrade Security Festplatte, schreibt Heise. Schuld ist der Controller IM7206 des chinesischen Herstellers Innmax. Wer diese Chips aber noch einsetzt ist selber schuld. Die Sicherheitsdefizite hat Heise schon im Februar aufgedeckt. Übrigens ist der Hintergrundartikel schön zum Lesen und erklärt anschaulich, wie man besonders schlechte Verschlüsselung aufdecken kann.

Lustig finde ich den Kommentar des Herstellers: „Der IM7206 bietet nur einen einfachen Schutz und zielt auf den Durchschnittsanwender“

Wie ist das eigentlich zu verstehen? Der Durchschnittsanwender braucht keine sichere Verschlüsselung? Nur die Topterroristen der Al-Quaida? Dabei ist es inzwischen doch genau umgekehrt. Gerade der Durchschnittsbürger braucht starke Verschlüsselung um sich vor Schnüffel-Schäuble und seinen SPD-Komplizen zu schützen. Naja, ich bleibe bei meiner Komplettverschlüsselung mit Utimaco SafeGuard Easy und packe wichtige Dateien dann nochmal in einen eigenen TrueCrypt-Container. Das soll mir erstmal einer zerlegen.

Secunia hat die erste Statistik zur Aktualität von Software auf Windows-Rechnern veröffentlicht. Ganze 2% aller mit dem Personal Software Inspector untersuchten Systeme sind auf einem aktuellen und sicheren Stand.

Nuja, das sind im Grunde sogar noch 1,5% mehr als ich persönlich erwartet hätte und die Tendenz zeigt vermutlich, dass es zukünftig noch weniger Systeme werden.

Patchmanagement ist meiner Meinung nach ja die zweite Defense-in-Depth Technologie nach Antivirus, die uns in den nächsten Jahren um die Ohren fliegen wird.

Harhar, Google Chrome, der Browser den niemand in Vollbesitz seiner geistigen Kräfte verwenden würde, hat aufgedeckt, dass Facebook lediglich ein gigantischer Phishing-Scam ist. Von den armen Nutzern werden angeblich sensible private Daten abgefragt und in einer gewaltigen Datenbank zusammengefasst um Profile der Nutzer erstellen zu können.

Nachtrag:

Anscheinend war nicht nur Chrome betroffen sondern alle Browser die sich auf die Google Anti-Phishing Datenbank stützen, u.a. Firefox. Und vermutlich war Facebook selbst schuld, weil irgendein seltsamer Werbelink in die Seite eingebunden war, den Google angemeckert hat. Vielleicht sowas.

Zumindest sieht das Elcomsoft so, die russische Firma, die Passwort Recovery Programme (sprich: Hackingtools) für verschiedene verschlüsselte Dokumente u.a. eben auch Adobes Acrobat 9 anbieten.

Das Problem liegt dabei trivial in der Geschwindigkeit, wie die eingegebenen Passwörter zu Hashes verarbeitet werden, die dann als Verschlüsselungskeys eingesetzt werden. Man kann beispielsweise das Passwort nehmen und einen MD5-Hash daraus machen. Das ist sehr schnell aber man kann automatisiert dann eben auch sehr schnell sehr viele Passwörter ausprobieren. Umgekehrt macht es dem Anwender in der Regel nichts aus, wenn der Computer nach Eingabe des Passworts vielleicht 0,5 Sekunden rechnet. Matasano hatte dazu einen detaillierten Artikel geschrieben, den ich hier verlinkt hatte.

Laut Angabe von Elcomsoft lassen sich die Passwörter etwa um den Faktor 100 schneller ermitteln. Das klingt nicht dramatisch, in Kombination mit anderen Verfahren wie beispielsweise die GPUs der Grafikkarten für die Berechnung mit einzuspannen, was ebenfalls einen Faktor von etwa 100 bringt, wird es langsam etwas beängstigend.

Bei Adobe geht der Fehler einher mit dem Wechsel von MD5 auf SHA1 und von AES-128 auf AES-256. Im Ergebnis ist jedoch der Schutz mit Passwörtern bis etwa 8 Zeichen schlechter als in älteren Adobe Acrobat Versionen. Vermutlich hat der Junior Programmierer, der SHA1 implementiert hat, einfach nur keine Ahnung von sicheren Passwörtern gehabt. Für Adobe hat der dumme Fehler jetzt aber anscheinend auch den Vorteil, das teure Public Key Verschlüsselungsprodukt LiveCycle Rights zu vermarkten.

Naja, jetzt ist der Geist aus der Flasche, aktuell kann man wahrscheinlich am ehesten noch empfehlen, die alte 128-Bit Verschlüsselung zu verwenden. Das ist dann nämlich sicherer und gleichzeitig abwärtskompatibel.

ganz einfach … sie werden von den Verfassungsfeinden um Frau „ich-habe-gar-keine-Ahnung“ Zypries nicht mehr gegrüßt. Zumindest geht es dem Linken Wolfgang Nescovic so, der in einer fundierten und gut begründeten Kritik insbesondere am Verfassungsbruch durch die Vorratsdatenspeicherung, u.a. gesagt hat

Frau Zypries stehe „genauso wie Herr Steinmeier und Herr Steinbrück für die Generation der Technokraten und Politikbeamten in der SPD“, sei beliebig einsetzbar – im Innen- oder im Justizministerium – und habe keine eigenen rechtsstaatlichen Überzeugungen.

und jetzt von Frau „ich-habe-keine-Ahnung-und-bin-jetzt-auch-noch-beleidigt“ Zypries nicht mehr gegrüßt wird. Wann tritt die Frau eigentlich endlich zurück?

Ach ja, das Video im verlinken Artikel darf man sich ruhig anschauen.

Der erste Entwurf des Fahrplans zum 25. Chaos Communication Congress vom 27.-30.12.2008 wie immer im Berliner BCC ist online.

Ich habe mir folglich auch einen vorläufigen Plan der Themen die mich interessieren zusammengestellt:

27.12.2008

14:00 Uhr
Der Hackerparagraph 202c
Auswirkungen des Hackerparagraphen
von lexi, Jürgen Schmidt, Jan Münther, Felix von Leitner

14:00 Uhr
Security Failures in Smart Card Payment Systems
Tampering the Tamper-Proof
von Steven J. Murdoch

18:30 Uhr
Chip Reverse Engineering
von Karsten Nohl, starbug

20:30 Uhr
Beyond Asimov – Laws for Robots
Developing rules for autonomous systems
von Frank Rieger

21:45 Uhr
Locating Mobile Phones using SS7
von Tobias Engel

28.12.2008

12:45 Uhr
Full disk encryption internals
Everything to hide
von Juergen Pabel

14:00 Uhr
Attacking Rich Internet Applications
Not your mother’s XSS bugs
von kuza55, Stefano Di Paola

14:00 Uhr
Exploiting Symbian
Symbian Exploit and Shellcode Development
von collin

16:00 Uhr
Vulnerability discovery in encrypted closed source PHP applications
von Stefan Esser

17:15 Uhr
Security of MICA*-based wireless sensor networks
von Dan Cvrcek

20:30 Uhr
Banking Malware 101
Overview of Current Keylogger Threats
von Thorsten Holz

29.12.2008

14:00 Uhr
An introduction to new stream cipher designs
Turning data into line noise and back
von Tor E. Bjørstad

16:00 Uhr
Hacking into Botnets
Get the real challenge
von Felix Leder

17:15 Uhr
Security and anonymity vulnerabilities in Tor
Past, present, and future
von Roger Dingledine

18:30 Uhr
SWF and the Malware Tragedy
Hide and Seek in A Flash
von BeF, fukami

18:30 Uhr
Attacking NFC mobile phones
First look at the security of NFC mobile phones
von collin

20:30 Uhr
Methods for Understanding Targeted Attacks with Office Documents
von Bruce Dang

21:45 Uhr
Cisco IOS attack and defense
The State of the Art
von FX of Phenoelit

30.12.2008

14:00 Uhr
Security Nightmares 2009
Oder: worüber wir nächstes Jahr lachen werden
von Frank Rieger, Ron

Mir fällt auf, dass deutlich weniger spannende Vorträge dabei sind als in den letzten Jahren. Insbesondere fehlen (vielleicht nur bisher) die renommierten amerikanischen Referenten. Entweder trauen sich die nicht mehr nach Deutschland (wegen dem § 202c?) oder der Congress des CCC ist nicht spannend genug … jedenfalls schade. So ausgedünnt wie der Fahrplan zur Zeit (noch) ist, könnte man den Congress auch wieder auf 3 Tage verkürzen.

Eben im Bildblog diese Anzeige gesehen (ich war versehentlich ohne Adblock unterwegs):

Auf den ersten Blick habe ich das für Werbung für die Vorratsdatenspeicherung gehalten. In Wirklichkeit ist es aber nur Werbung für einen Festplatten-Videorekorder von T-Home.

Verizon-Mitarbeiter vergreifen sich sogar an den Daten des designierten US-Präsidenten Obama.

Das zeigt doch nur wieder, wenn Daten irgendwo erst einmal gesammelt werden, dann werden sie auch missbraucht.

Wenn es mir die Zeit erlaubt, spiele ich gerne ein wenig mit Virenscannern rum. Insbesondere die erschreckend schlechte Erkennungsquote bei trivialen Dateiveränderungen fasziniert mich immer wieder. Im Rahmen der Vorbereitung eines Vortrags habe ich ein paar Tests durchgeführt um zu sehen, wie es mit Virenscannern eigentlich so aussieht. Dafür habe ich ein bekanntes Schadprogramm verwendet, hier die Remote-Komponente von NetBus 1.70 und gekuckt, wie gut die Virenscanner diese Datei erkennen.

NetBus 1.70 ist zwar steinalt, im Kaspersky-Weblog (Viren-Almanach Nr. 8, September 2008)  stand jedoch, dass im September eine Variante von NetBus als bestgetarnter Schädling aufgetaucht ist, daher dachte ich, jeder Virenscannerhersteller müsste ein gesteigertes Interesse daran haben, dieses Programm zu erkennen.

Dazu habe ich die Patch.exe einmal direkt an Virustotal geschickt, einmal als UPX (UPX 3.03w, Optionen -f –ultra-brute) gepacktes Executable, einmal als Winzip-Archiv (Winzip Pro 10.0, bzip2-Archiv, maximale Kompression), und einmal als Winzip-gepacktes UPX.

Hier sind die Ergebnisse …

(more…)