13. Mai 2008
Festplattenverschlüsselung ist im Grunde eine gute Sache (von den Problemen mit dem Zwang zur Herausgabe der Schlüssel in Großbritannien mal abgesehen). Die Verschlüsselung schützt bei Diebstahl des Geräts denn oft sind die Daten sensibler und wertvoller als der eigentliche Rechner. Die Verschlüsselung schützt auch vor US-Zollbehörden, die gerne mal nachkucken, was sich auf ausländischen Festplatten befindet.
Das neue HP-Notebook meiner Freundin kommt bereits werksseitig mit einer HP-Software zur Plattenverschlüsselung. Nennt sich HP ProtectTools, ist bei Windows XP vorinstalliert und enthält einen netten kleine Wizard, der durch die Konfiguration der Verschlüsselungsparameter und der Auswahl der Festplatte führt. Eigentlich ganz einfach.
Bis zu diesem Bildschirm:
Dort hat mir HP den „Wiederaufnahme Service für Frieden des Verstandes“ angeboten und ganz ehrlich, ich bin erst 35. Ich brauche noch keinen Frieden des Verstandes. Vielleicht wenn ich mal 95 bin, danke.
Wir haben dann vorsichtshalber auf „Abbrechen“ geklickt und kaufen lieber eine Utimaco-Lizenz.
Ich weiß ja, dass HP die Übernahme von Compaq bis heute nicht richtig verdaut hat und sich jetzt trotzdem schon wieder an einer Großübernahme (diesmal EDS) versucht. Aber so eine Übersetzung ist sogar für HP peinlich. Setzen, 6!
10. Mai 2008
In der IEEE Spectrum, der Hauszeitung der IEEE wurde eine interessante Frage aufgeworfen:
„Are chip makers building electronic trapdoors in key military hardware? The Pentagon is making its biggest effort yet to find out“
Das Problem für die USA ist, dass zwar viele Entwicklungen in den USA gemacht, aber in China gefertigt werden und China ist nuja nicht der beste Freund der USA. Jedenfalls gibt es nun massive Bestrebungen, den amerikanischen Militärisch-Industriellen Komplex mit sicherer getesteter Hardware zu versorgen. Das ist gar nicht so einfach denn die ersten Outsourcing-Unternehmungen stammen aus den 60er Jahren und heute betreiben nur noch Intel und vielleicht IBM genug eigene Fabriken um alle Chips selbst fertigen zu können. In den 80er Jahren betrieb das US DoD sogar eine eigene Chipfertigung die jedoch aus Kostengründen eingestellt werden musste.
Und nun fürchtet man, die Chinesen könnten ihnen modifizierte Hardware unterschieben, die z.B. auf ein bestimmtes Signal hin den Geist aufgibt. Ein einem zukünftigen militärischen Konflikt wäre das ein unendlich großer Vorteil.
9. Mai 2008
8. Mai 2008
Manchmal hat da jemand eine große Klappe und in Wirklichkeit steckt nicht viel dahinter. Aber im Detail:
Die Augsburger Polizei rühmt sich in einer Presseerklärung, die Internetseite „Hacksector“ zerschlagen zu haben. Es handelt sich dabei um ein Forum mit 30.000 Usern und 700.000 Beiträgen. In diesem Forum beschäftigten sich die Nutzer angeblich hauptsächlich mit illegalen Praktiken, wie beispielsweise dem Austausch von Benutzerdaten, dem Kauf von Kreditkarteninformationen oder Anleitungen zum Knacken von Passwörtern. Mit einem speziellen Programm war es angeblich sogar möglich, innerhalb von Minuten einen gefälschten Bundespersonalausweis herzustellen.
Ich finde, das ist eine gewaltige Leistung der Augsburger Polizei. Eine offensichtlich international tätige (das Internet ist ja universell) kriminelle Bande mit 30.000 Mitgliedern, da ist die Mafia ein Blumenzüchterverein. Und die Sache mit dem Ausweis, die ja bekanntlich schwer zu fälschen sind. Ich bin echt beeindruckt.
Im Detail sieht es jedoch ganz anders aus.
- aktuell wird gegen 11 Beschuldigte (15-22 Jahre, das sind Kinder!) ermittelt. 11! Nicht 30.000, nicht 1.000 nicht 100, nur 11. Und Kinder. Oder wie Fefe schreiben würde „!!11elfelf“.
- ermittelt wird wegen Vorbereitens des Ausspähens und Abfangens von Daten (§ 202c StGB). Also nicht einmal wegen konkreten Straftaten sondern lediglich wegen umstrittenen Vorbereitungshandlungen.
- Anleitungen zum Knacken von Passwörtern gibt es überall, sogar in diversen Schulungsunterlagen von Betriebssystemherstellern. Das Bundesamt für Sicherheit in der Informationstechnik, eine Behörde des Bundesinnenministeriums bietet den Passwort-Cracker John the Ripper sogar zum Download an. Gegen das BSI wurde das Ermittlungsverfahren wegen § 202c übrigens eingestellt.
- Die Software zur Erstellung eines gefälschten Personalausweises ist weiterhin online. Die Seite Onlinewahn.de bietet sie beispielsweise an. Aber gut, als Polizeibeamter darf man schon mal einen in Kunststoff eingeschweißten Bundespersonalausweis mit einem grünen Pappendeckel mit Homer Simpson Bild verwechseln. Die nötigen Informationen, um beispielsweise die Ziffercodes auf einem Ausweis korrekt zu ermitteln findet man bei Prüfziffern.de. Und natürlich beim CCC.
Praktisch ist der angeblich so tolle Ermittlungserfolg der Augsburger Polizei ein Sturm im Wasserglas. Jede Vorstellung der Augsburger Puppenkiste ist aufregender. Das einzige wirklich relevante Ergebnis sind ein paar sichergestellte Kreditkartendaten die über dieses Forum getauscht wurden. Aber ein paar Kreditkartenbetrüger rechtfertigen natürlich nicht ein halbes Jahr Ermittlung. Vermutlich hat es drei Monate davon schon gedauert, bis es dem ermittelnden Beamten gelungen ist sich mit einer GMX-Adresse am Forum anzumelden.
Und dann kommt natürlich so eine Pressemitteilung dabei heraus.
7. Mai 2008
Ich habe heute Mittag ein Telefongespräch mit meiner Mutter gehabt:
Ich: „Hallo?“
Sie: „Hallo Christian. Du hast mir doch mal gesagt, bei Wikipedia kann man was suchen!“
Ich: zweifelnde Tonlage „Ja?“
Sie: „Ich suche eine Ferienwohnung in Dresden!“
Ich: „…“
Sie: „Wir wollen da Urlaub machen!“
Ich: „Wikipedia ist ein Lexikon, da findet man die Antworten zu Fragen vom Jauch aber keine Ferienwohnungen.“
Sie: enttäuscht „Ach so. Wo finde ich dann im Internet Ferienwohnungen?“
Ich: „Ferienwohnungen kann man nicht so gut suchen, nur Hotels.“
Sie: „…“
Ich: „Warum rufst Du nicht einfach bei der Touristen-Information in Dresden an?“
Sie: „Ach so … ja. Ich dachte halt, das macht man jetzt über’s Internet.“
*seufz*
(mit Dank an das Kopfschüttel-Blog)
1. Mai 2008
Zumindest in Südafrika. Da wurde lt. Spiegel einer Frau der Reisepass verweigert, denn wer keine Arme hat, kann auch keine Fingerabdrücke abliefern und darum gibt’s keinen Pass.
Schade eigentlich, dass es bei uns keine ähnlichen Regelungen gibt. Wer nicht zu Fuß ins Amt kommen kann, sollte auch keinen Reisepass bekommen. Zumindest nicht, wenn er Schäuble heißt und notorischer Verfassungsbrecher ist.
Nachtrag:
Fefe hat’s beim Saturday Star gefunden.
30. April 2008
Die Vorträge von der Troopers ’08 sind verfügbar. Ein paar Sachen sehen auf den ersten Blick ganz interessant aus aber vieles ist einfach wieder aufgekocht ohne neue Erkenntnisse.
Raoul Chiesa („SCADA and national critical infrastructures“) beispielsweise bringt überhaupt keine neuen Erkenntnisse. Ein paar altbekannte Hüte wie der Wurm im Kernkraftwerk oder das Schmutzwasser in Queensland und ein wenig Blabla über die Vielzahl an Problemen (Mitarbeiter, Hersteller, Kunden, Techniken, …). Und wo ist das Fazit? Wo ist die Hilfestellung was nun zu tun wäre? Im Grunde ist das so ein „Es gibt viele Probleme und ich mach dann noch Werbung für meine Firma“-Vortrag. Na danke, da kann ich drauf verzichten.
Andrej Belenko („Faster Password Recovery with modern GPUs“) berichtet über die Fortschritte die Elcomsoft gemacht hat, um MD5-Cracker auf GPUs zu parallelisieren. Anscheinend war das gar kein besonders großer Aufwand, dafür sind die GPUs fast 10x so schnell wie normale CPUs. Für mich ist das ja eher ein Vortag für eine Hardware-Konferenz. Ein Faktor 10 bei der Hash-Berechnung ist jetzt auch noch nicht so spektakulär. Das ist in den meisten Passwort-Hashverfahren schon mit integriert. Ab etwa 10.000 würde ich anfangen mir Gedanken zu machen.
Horst Speichert („Criminal Hackertools“) hat einen Vortrag über den §202c gehalten. Ich halte Hr. Speichert ja für einen guten Anwalt aber zu dem Thema ist eigentlich alles gesagt worden.
Wirklich gut und neu waren meines Erachtens nur zwei Präsentationen: die von Roger Klose zu ESX-Security und Problemen in der Sicherheit von Virtualisierungslösungen allgemein (DoS durch Fuzzer ist ein beliebtes Problem) und die Vorträge von Michael Thumann. Nur sind beide von ERNW und eine Konferenz von ERNW um die eigenen Vorträge zu promoten ist jetzt doch ein wenig übertrieben.
Kurz, wenn nächstes Jahr nicht deutlich mehr an Neuigkeiten und nicht nur aufgewärmte Vorträge von der Blackhat präsentiert werden, wird sich die Konferenz vermutlich nicht dauerhaft etablieren können.
29. April 2008
Irgendwann musste es ja soweit sein …
Russische Hacker haben ihre Viren und Schadprogramme mit einem „License Agreement“ versehen. Die Jungs von Symantec haben das mal übersetzt:
- Does not have the right to distribute the product in any business or commercial purposes not connected with this sale.
- May not disassemble / study the binary code of the bot builder.
- Has no right to use the control panel as a means to control other bot nets or use it for any other purpose.
- Does not have the right to deliberately send any portion of the product to anti-virus companies and other such institutions.
- Commits to give the seller a fee for any update to the product that is not connected with errors in the work, as well as for adding additional functionality.
Gut, das ist in Deutschland natürlich nicht bindend. Erstens stand das da in Russisch und wenn es sich an deutsche Kunden richtet, muss es natürlich verständlich sein. Zweitens fehlt bei so installierter Software natürlich das Einverständnis des Kunden.
Aber die Idee ist natürlich nicht schlecht. Nur nicht neu. Ich hatte sie schon letztes Jahr, hätte allerdings zwecks Verbreitung der Schadprogramme die GPL empfohlen. 🙂
Nachtrag:
Ob die Defcon-Viren auch einen Copyright-Hinweis bekommen?
28. April 2008
… geplant auf der Defcon und natürlich maulen die Virenscanner-Hersteller.
Und wer mault am lautesten? Sophos natürlich. Das sind die, die von n.runs gefundene Sicherheitslücken auch mal gerne herunterspielen. Graham Cluley ein (Achtung, Bullshit Bingo Buzzwörter!) Senior Technology Consultant bei Sophos fürchtet u.a.: „Race to Zero’s website is linking to known virus exchange websites.“ und „The last thing the world needs is more malware.“
Also bitte … die von Race to Zero verlinkten Webseiten sind VX Heaven und Offensive Computing. Ups, jetzt habe ich die versehentlich auch verlinkt. Na egal. Wer die nicht kennt hat im „Underground“ eh nichts verloren. Und die paar zusätzlichen Schadprogramme machen den Virenscanner auch nicht fett. Andere Hersteller sind da übrigens entspannter. Vielleicht haben die bessere Scanner?
Obwohl … ich warte ja drauf, dass Symantec behauptet, Norton Antivirus wäre deshalb so langsam, weil wegen des Defcon-Wettbewerbs so viele Pattern eingebaut werden mussten. 🙂
27. April 2008
Ich schrieb letztes Jahr schon mal darüber, dass von belgischen und israelischen Forschern das am weitesten verbreitete elektronische Autoschlüsselsystem KeeLoq gebrochen haben und mit ein paar Rechner in einigen Tagen den Schlüssel errechnen können.
Forscher der Ruhr Universität Bochum haben einen noch dramatischeren Angriff entwickelt. Dabei benötigt der Angreifer für etwa 3000 Euro Hardware und Zugriff auf einen Schlüssel. Mit Hilfe eines Side-Channel Angriffs, bei dem die Stromaufnahme gemessen wird, kann der Masterkey für dieses Schlüsselmodell ermittelt werden. Mit dem Masterkey lassen sich dann alle anderen Schlüssel des gleichen Typs simulieren.
„The most devastating practial consequence of the side channel analysis is an attack in which keys can be cloned by intercepting only two messages sent by the legitimate key from a distance of up to 100 metres (330 ft). (aus Wikipedia)“
Oder anders ausgedrückt: mit dem Schlüssel eines VW Golf lassen sich alle anderen VW Golf auch öffnen.
Der KeeLoq-Algorithmus ist etwa 20 Jahre alt, wurde jedoch erst vor kurzer Zeit auf Wikipedia veröffentlicht. Die Wissenschaftler konnten anhand des Algorithmus sofort potentielle Schwachstellen identifizieren. Das erinnert mich stark an die Mifare-Thematik. Da war der Algorithmus Crypto-1 auch lange geheim. Aber kaum wurde er veröffentlicht, stellt sich raus, das taugt alles nichts. Snakeoil halt.
Was wir jetzt brauchen sind vermutlich neue Verfahren gegen Side-Channel-Angriffe. Aber da schreibe ich in einem anderen Artikel was dazu.
