Mitternachtshacking

ich kommentiere das gar nicht mehr. Hier ist der Link zu Heise. Schlimm ist, die lernen gar nix. Das gleiche gab es schon mal 2006.

und zwar Computerviren, keine echten!

Einige Laptops auf der ISS sind von einem Wurm befallen worden, der eigentlich Zugangsdaten zu Online-Spielen spielt. Die NASA weiß nicht so genau, wie das passieren konnte.

Ich bin mir jetzt nicht ganz sicher, was das bedeuten soll. Ist die ISS ein gewaltiger Schwindel wie die angeblichen Mondlandungen? Quasi ein Live-Computerspiel für die NASA mit lustigen computergenerierten Bildern für uns ahnungslose Zuschauer? Und wer hat jetzt die Zugangsdaten zu diesem Spiel? David L. Lightman? Dr. Stephen Falken?

Oder sitzen die Astronauten da oben im Weltall und wenn ihnen langweilig ist zocken sie eine Runde World of Warcraft? Muss die NASA jetzt neue WoW-CDs ins All schicken weil die geklauten Zugangsdaten gesperrt wurden? Fragen über Fragen.

Was ich dagegen verstehe ist, wenn auf den Rechnern im All kein Virenscanner läuft. Das ist in Produktionsumgebungen nicht so einfach und gerüchteweise soll ab und an auch nicht die neueste Hardware zum Einsatz kommen.

(via Wired)

Ich habe eine Weile überlegt, ob ich zu den aktuellen Datenschutzskandalen überhaupt viel schreiben soll. Einerseits war so ein Skandal längst überfällig, gerade im Hinblick auf die vielen Identitätsdiebstähle in den USA und in Großbritannien. Auf der anderen Seite war vielleicht noch ein wenig die Hoffnung, im Land der Seeligen zu leben.  Zum aktuellen Stand gibt es unten eine kleine Presseschau. Ich selbst will nur zwei Punkte loswerden, die mir persönlich wichtig sind.

1. die Politik 

Wo sind denn unsere heroischen Kämpfer gegen die Kriminalität, wenn die Bürger tatsächlich real durch echte Verbrecher bedroht werden und nicht nur durch terroristische Phantasiespinnereien im Kopf eines Rollstuhlfahrers? Wo ist der GröIaZ Schäuble? Warum fordert er nicht die Todesstrafe, Guantanamo Bay und 150 Jahre verschärfte Einzelhaft? Statt dessen schafft er es gerade mal, zu einem „Kriesengespräch“ ins Bundesinnenministerium einzuladen. Das klingt ganz nach Kohlscher Aussitzungstradition.

Wo ist der bayrische Scharfmacher Beckstein, der geistig Innenminister geblieben ist und nie zum Landesvater reifen wird? Warum genügt es ihm, im Wahlkampfbus durch die bayrische Provinz zu touren und über einzelne kriminelle Ausländer zu referieren statt die echten Probleme der ständigen Erosion des Datenschutzes anzusprechen? Ganz zu Recht wurde er in Freising während seiner gesamten Rede über zwei Stunden ausgepfiffen (ok, es ging mehr um die dritte Startbahn am Münchner Flughafen aber schön fand ich das trotzdem. Ich bin extra hin um mir das anzukucken).

Immerhin spät aber trotzdem peinlich auch der Bundesbeauftragte für den Datenschutz Herr Schaar. Höhere Bußgelder, ist das alles was ihnen dazu einfällt, Herr Schaar? Wie wäre es, die Banken in die Pflicht zu nehmen und bei widerrechtlicher Abbuchung die Rückforderungsfrist auf 12 Monate zu verlängern?

Wenigstens konnte sich der Leiter des Unabhängigen Landesdatenschutzzentrums Schleswig-Holstein, Dr. Thilo Weichert zu konkreten Aktionen aufraffen. Als (soweit ich weiß) einziger Datenschützer stellte er Strafanzeige gegen einzelne Unternehmen bzw. unbekannt. In einer detaillierten Stellungnahme äußert er sich auch zu möglichen Konsequenzen. Voraussichtlich wird von der Politik keine einzige seiner Forderungen umgesetzt.

2. die Datensammelwut des Staates

Eigentlich sollte inzwischen auch die letzte Oma kapiert haben, dass einmal vorliegende Daten auch missbraucht werden. Dabei ist es völlig egal, ob es sich um die Autobahnmautdaten, die biometrischen Reisepässe, die Gesundheitskarte oder die neue Steuerzahleridentifikationsnummer (TIN, Taxpayer Identification Number, welcher Bundesdepp hat sich eigentlich den Anglizismus ausgedacht?)  geht.

Gerade die Steuerzahleridentifikationsnummer ist auf dem besten Weg zum bundeseinheitlichen Personenkennzeichen zu werden. Aber auch die zukünftig auf der Gesundheitskarte gespeicherten Daten die eventuell vielleicht mit der Arzt-PIN ohne Wissen des Patienten abgefragt werden können, weil der Patient ja zu doof ist, seine PIN einzugeben, werden viele Begehrlichkeiten wecken.

Vielleicht kam der Skandal gerade noch rechtzeitig und der „mündige Bürger“ wacht auf und sieht, in welche Richtung sich unser Staat gerade entwickelt.

Begeben Sie sich direkt nach 1984. Gehen Sie nicht über Los. Ziehen Sie nicht 4000 Euro ein. 

Harhar. Ein 15-jähriger „Superhacker“ hat die Homepage der Stadt Ansbach gelöscht. Nur leider hat der Junge das 11. Hackergebot vergessen („laß dich nicht erwischen!“). Und nun hängt ihm die Polizei im Nacken, das ist schließlich ein klarer Verstoß gegen StGB 303a (Datenveränderung).

Zum Glück leben wir nicht in den USA, der britische Hacker Gary McKinnon kämpft gerade vor dem Europäischen Menschenrechtsgerichtshof gegen seine Auslieferung in die USA. Dort drohen ihm für ein bisschen Ausspähen von Daten (er war auf der Suche nach UFO-Beweisen) rund 70 Jahre Haft. Die US-Terrorgesetze machen’s möglich.

Aber zurück zu den Ansbachern, ich frage mich ja wie weit die selber dran schuld sind. Richtig kompetent scheint die Webdesign-Firma nicht zu sein. Alleine die Kommentare und Fehler in den HTML-Seiten sind schon sehr aufschlußreich:

• Installationspfad auf dem Server: „Content-Template /home/ansbaebj/www3.ansbach.eu/tpls/cont61b.php„
• Undefinierte Funktionen: „Fatal error: Call to undefined function: query2pool() in /home/ansbaebj/www3.ansbach.eu/lc/ecards/uebersicht.php3 on line 8„
• Formularversand mittels GET statt POST: „<form action=“showpage.php“ method=get>„

Und schließlich gibt es genug Möglichkeiten, PHP-Seiten abzusichern, angefangen von mod_security über PHPIDS gibt es jede Menge Schutzmaßnahmen.

Lustig finde ich auch die Fehlermeldung nach dem Hack, die sich noch in den Kommentaren befindet:

„Sehr geehrter Nutzer, es gab ein technisches Problem auf dem Internet-Server der Stadt Ansbach. Daher finden Sie unsere Seiten vorübergehend in einem anderen Layout vor! Momentan sind wir dabei die technischen Probleme zu beheben. Vielen Dank für Ihr Verständnis!“

Aha.

Bei dieser Gelegenheit habe ich gleich mal den Security Kalender 2009 angefangen. Wer ergänzende Termine, Daten, Informationen etc. hat, wird hiermit aufgerufen mit per Mail oder hier in den Kommentaren Bescheid zu geben.

Ich bin mir übrigens nicht ganz schlüssig, ob es Sinn macht Veranstaltungen wie die IT-Security 2008 in den Kalender mit aufzunehmen. Aus meiner Sicht ist das eine reine Werbeveranstaltung die von ein paar Herstellern und Distributoren gesponsert wird, damit sie da ihre Vorträge unterbringen können. Für Systemhäuser mag das ganz interessant sein (ich geh z.B. auch gerne auf die CL University) aber meiner Meinung nach passen so „Hausmessen“ nicht ganz zur Idee meines Security Kalenders.  Andererseits bin ich anderslautenden Meinungen durchaus aufgeschlossen.

Freitickets bitte direkt an meine Mailadresse schicken 🙂
Vielen Dank.

Die IT Underground ist die wichtigste osteuropäische Security-Konferenz und fand im Februar in Prag und findet im Oktober in Warschau statt.

Im Januar wird es erstmalig eine Veranstaltung in Deutschland geben:

• IT Underground, Frankfurt/Main, 27.-29. Januar 2009

Langsam wird der Security Konferenzkalender in Deutschland eng. Neben der IT Underground im Januar drängeln sich noch im Dezember die Chaos Communication Conference, die IT-Defense dann im Februar, die Troopers 2009 (falls sie wieder stattfindet), die Black Hat in Amsterdam und die Infosecurity in London im April um die gleichen Referenten und Interessenten. Mal sehen, wen es davon 2010 nicht mehr gibt.

Die IT Underground in Warschau kostet (nur die Konferenz) 1090 Zloty, umgerechnet gerademal 330 Euro. Mit dem Preisniveau hätte die IT Underground einen echten Wettbewerbsvorteil. Mal sehen.

(Der Hinweis kam per Mail vom Veranstalter, ein werblicher Charakter ist daher nicht auszuschließen)

Googling around Passwords

The Register hat ein uraltes fast verschimmeltes Fass wieder aufgemacht, den Google Cache. Spätestens seit Johnny Long wissen wir, dass Google sensible Daten nicht nur indiziert sondern möglicherweise auch laaaaaange in seinem Cache vorhält. Das ist praktisch für uns, wenn eine Webseite versehentlich veröffentlichte Informationen schnell beseitigen will. Und natürlich doof für den Webseitenbetreiber.

The Register ist nun aufgefallen, dass man damit teilweise auch ohne Zugangsdaten auf das „Dark Web“ zugreifen kann, jeden Teil des Internets der durch Login und Passwort geschützt ist und deshalb von Suchmaschinen kaum erfasst wird. Einige Anbieter haben dieses Problem erkannt und versuchen Interessenten auf ihre Seiten zu locken, indem Suchmaschinen die kompletten Inhalte passwortfrei präsentiert werden, der normale User sich aber weiterhin anmelden muss.

Jedem ist klar, dass das nicht funktioniert. Entweder ändert der geneigte User seinen Browserstring und mimikriert eine Suchmaschine oder er holt sich die Daten direkt aus dem Cache.  Dank Oxy weiß das nun auch jedes Skriptkiddie:

1. Find a protected forum.
2. Type cache:[http://www.protectedsite.com] into Google. There is also a variation of this which involves disguising your browser as a Google Bot. I am aware that there is a plugin for Firefox that can do this for you.

Na dann … Happy Hacking und beachtet das 11. Gebot!

Security in VMware scheint immer wichtiger zu werden. VMsafe von VMware selbst gibt es ja schon länger (wobei ich mich frage, warum man einen großen Teil dieser Techniken nicht von Anfang an implementiert hat).

Auf den Zug ist jetzt auch Check Point aufgesprungen und bietet VPN-1 VE als „virtualisierte Firewall“ auf VMware an. Das wird langsam witzig, mit virtuellen Switches und Firewalls zwischen den virtuellen Servern kann man sich eine virtuelle Infrastruktur entwerfen die komplett virtualisiert auf nur einem realen Server läuft. Oder man virtualisiert den auch noch mittels Cloud Computing.

Jetzt gibt es nur noch zwei Probleme:

1. Wo kriegen wir den virtualisierten Administrator her, der nur virtuelles Geld will und keine echten Euro.

2. Was tun wenn reale Hacker den Hypervisor übernehmen weil sooo toll und sicher ist VMware ja auch nicht, wenn man sich die Liste der Bugfixes ankuckt.

Naja. vielleicht lassen sich die Hacker ja auch irgendwann virtualisieren … VMhack sozusagen.

Sophos hat ein Übernahmeangebot für Utimaco abgegeben. Ich weiß nicht ob ich mich darüber freuen soll.

Utimaco SafeGuard Easy ist die von mir bevorzugte Festplattenverschlüsselung. Das war die erste, die mit Dualboot Windows/Linux zurecht kam, auch wenn es leider noch keine Verschlüsselung für Linux gibt. Auch die Integration von USB-Token zur Entschlüsselung der Systemplatte fand ich nett. Nur das ASCII-Oldschool-Bootmenü war ein klein wenig abschreckend. Mit Sophos habe ich so durchwachsene Erfahrungen. Einerseits gut, dass es einen Virenscanner auf Linux gibt, andererseits hatte ich da einige Probleme mit, wie eingefrorene Prozesse etc. Im Ergebnis hat es Sophos bei mir nie wirklich in eine Produktivumgebung geschafft.

Meine Sorge ist jetzt, dass Sophos die Plattenverschlüsselung mit Virenscanner und Personal Firewall in so ein „Total Client Security“ Paket bündelt. Check Point macht das ja gerade mit der Integration von SecureClient (VPN), Integrity (ehemals Zone Alarm, Personal Firewall) und Pointsec (Plattenverschlüsselung) vor.

Wie gut funktioniert eigentlich die komplette Verschlüsselung der Systempartition mit TrueCrypt?

Hihi, Probleme mit Skype (einer Ebay-Tochter) haben offensichtlich nicht nur Normalsterbliche sondern auch Staranwälte. Meiner Meinung nach lässt sich gerade beim Service eine rote Linie von Ebay über Paypal zu Skype ziehen.  Und zu Skype und Ebay/Paypal habe ich mich denke ich ausreichend geäußert.