23. April 2008
The Register hat einen kurzen Artikel zur Gefahr von Ajax-Applikationen zusammengestellt. Da sind ein paar Punkte drin die auf den ersten Blick lächerlich trivial klingen aber gar nicht so einfach zum Umsetzen sind:
Mit Toolkits wie dem Google Web Toolkit (GWT), das automatisch Teile des Programmcodes Java nach Javascript übersetzt und auf dem Client ausführt, muss man sich Gedanken machen, welcher Teil wo ausgeführt wird. Ungünstig ist, wenn sensible Teile des Codes wie z.B. die Authentisierung auf dem Client ausgeführt werden.
- Keep data separate from code
Das vermeidet Injection-Angriffe bei denen Daten so manipuliert werden, dass sie wie Code ausgeführt werden.
Tja, das mit den verschiedenen Encoding-Standards und der Interpretation im Browser ist so eine Sache.
Zum Artikel „Simple Ajax Security“ und mehr bei OWASP.
22. April 2008
CEOs fallen öfter rein, zumindest wenn es um Schadprogramme geht. Wenn irgendwo „klicken Sie bitte hier“ steht, dann klicken die Manager um so schneller und gedankenloser, je wichtiger sie sich fühlen.
Beispielsweise der ehemalige bayrische Innenminister und jetzige Ministerpräsident Beckstein. Wenn der eine Mail vom BKA mit einem Attachment bekommt, dann klickt er. Könnte ja dienstlich sein. Außer, seine intelligente Frau warnt ihn. Die sollte besser Ministerpräsidentin sein. Aber so sind die Franken halt.
Eine Betrugsmail, die an 20.000 Senior Executives, also vermutlich Vorstandsmitglieder gibt, provozierte immerhin 2.000 Antworten. Also rund 10% der Vorstände haben auf das Attachment geklickt, das auf eine Webseite leitet die angeblich einen Durchsuchungsbeschluss enthält, der erst eingesehen werden kann, wenn ein kleines Addon installiert wird.
Da stellt sich für mich die Frage:
- Warum kriegen die Pappnasen Administratorrechte?
- Wenn die so blöd sind, wie können die dann eine Firma führen?
Aber vermutlich muss das so sein. Das ist wie mit Luftballons. Die wo am meisten Helium drin sind, fliegen am höchsten. The Register nennt diese Phishing-Versuche inzwischen Whaling … sehr schön.
21. April 2008
Wer auf einem der letzten Chaos Communication Congress war, erinnert sich sicher noch an die Vorträge von Dan Kaminsky. Eines seiner Themen ist immer wieder der böse Internetprovider, der Daten während des Transfers verändert. Gut, in UK sind wir mit Phorm bald soweit, aber Dan ist auf ein anderes aktuelles Problem gestoßen.
Viele Provider in den USA leiten Domains die es nicht gibt auf eigene Seiten um, die dann munter Werbung einblenden. Wir hatten das Problem schon einmal bei Verisign, die alle ungültigen .com-Domains auf ihre Seiten umgeleitet haben. Bei den Providern wird es jedoch noch schlimmer. Hier werden nicht nur komplett unbekannte Domains abgefangen sondern auch Subdomains oder Tippfehler, beispielsweise ww.example.com (man beachte das fehlende „w“). Das kann ganz schön unangenehm werden, beispielsweise mit Persistent Cookies die für eine ganze Domain gelten (also z.B. google.com) und dadurch vom Provider (oder dem Adbroker der die Werbung einblendet) abgefangen werden können.
Dan Kaminsky hat das auf der Toorcon auch schön vorgeführt.
Langsam fange ich an, mir Sorgen zu machen. Wenn schon die Internetprovider solche Schweinereien anfangen. Wie war das mit der alternativen DNS-Infrastruktur?
20. April 2008
Ich muss nochmal einen alten Heise-Artikel herauskramen. Da wurde ein neuer Bootsektor-Virus (man dachte ja schon, die seien ausgestorben) entdeckt, der Windows beim Starten so manipuliert, dass er getarnt ist. Weil die Antivirenhersteller trotzdem eine Möglichkeit gefunden haben den Virus zu entdecken, wurde der Virus jetzt weiterentwickelt (Heise spricht von mutiert) und versucht sich besser zu tarnen. Im Grunde also nichts neues. Außer halt, dass eine Reihe von Virenscannern mal wieder nichts entdeckt.
Interessant finde ich, dass scheinbar überholte Techniken (Bootsektor-Viren galten ja schon als ausgestorben, seit kaum noch jemand Disketten verwendet) plötzlich wieder aggressiv eingesetzt werden können. Ich schrieb schon mehrfach darüber, dass Virenscanner irgendwann keinen großen Schutz mehr bieten werden. Dazu hatte ich neulich auch ein nettes Gespräch mit einem Repräsentanten von Kaspersky auf einer Hausmesse. Die Argumentation geht im Moment so:
Antivirus steht in allen Standards und Best-Practive Empfehlungen, sämtliche IT-Sicherheitsberater empfehlen Antivirus, kein IT-Leiter traut es sich, Systeme und Server ohne Virenschutz zu betreiben. Warum sollte also ein Antivirenhersteller ohne Not schlafende Hunde wecken wenn gerade gut Geld verdient wird?
Ich bin ja gespannt, welche Hersteller in 10 Jahren noch leben. Einige bereiten sich auf die Zeit nach dem Virenscanning bereits vor und entwickeln oder kaufen Technologien für Whitelisting. Andere werden vermutlich verschwinden. Aber solange die Virenscannerhersteller gerade noch gut Geld verdienen denkt kaum jemand so richtig an die Zukunft.
19. April 2008
Sowas bastel ich mir auch …
Nachtrag:
Eigentlich erstaunlich, dass es das bei Pearl nicht gibt, die haben doch von USB-Tassenwärmern bis zu USB-Raketenwerfern jeden Blödsinn.
18. April 2008
HTML Version 5 wird lustig, sehr lustig. Der Artikel hier auf webkit.org beschäftigt sich mit den neuen Funktionen und eine davon ist „client-side database storage„. Ganz cooles Zeug.
Wenn der Anwender eine lokale SQL-Datenbank hat und die Skripte nicht sauber implementiert sind, dann kann man lokal beliebigen Unsinn ablegen. Am schönsten ist natürlich der Zugriff auf sensible Daten wie Adressbücher etc. Ich bin mir aber sicher, dass vielen Leuten da noch viel mehr Spaß einfallen wird. Client-side data storage außerhalb von simplen Flat Files halte ich ja für gewaltigen Unsinn. Aber wir werden sehen …
17. April 2008
Ok, mal nix mit IT-InSecurity sondern was ganz anderes. Der Rüdiger ist schuld.
In welchen Städten bin ich schon gewesen?
Urgs, das wird eine sehr lange Liste. Mein Urlaub besteht praktisch immer aus Städtereisen, am Strand liegen kann ich ja gar nicht. Eine kleine Auswahl wäre in Deutschland: A, AB, AC, AM, B, BA, BN, BO, BOT, BS, BT, C, CO, D, DD, DO, DU, E, ER, F, FR, FS, FÜ, H, HGW, HH, HI, HRO, HU, IN, KE, KF, KI, KL, KO, KS, L, LA, LEV, LU, M, MA, MD, MM, MS, N, NB, NW, OB, OL, P, PA, PB, R, RO, S, SC, SG, SR, UE, W, WE, WEN, WOB, WÜ und diverse andere, die keine Kennzeichen haben. In Europa beispielsweise Basel, Bern, Zürich, Genf, Lausanne, Amsterdam, Groningen, Den Haag, Rotterdam, Delft, Antwerpen, Brüssel, London, Paris, Bordeaux, Nantes, Wien, Innsbruck, Salzburg, Linz, Rom, Genua, Prag, Kopenhagen, Oslo, Stavanger, Trondheim, Barcelona, Sevilla, Athen und sonst auf der Welt beispielsweise Tokyo, Kyoto, Nara, Rabat, Kairo. Allerdings war ich noch nie in Nordamerika.
Welche Stadt (nicht die, in der du wohnst!) gefällt dir am besten?
Hamburg ist cool. Barcelona finde ich auch Klasse. Aber zur Ruhe setzen möchte ich mich irgendwann in Kyoto.
Welches ist dein Reisemittel für die Städte zu erreichen?
Auto, Flugzeug. Ich hasse Bahnfahren.
Welche Stadt willst du unbedingt noch sehen?
Oh, tausende. St. Petersburg und Moskau brennt mir schon länger unter den Nägeln. Beijing und Shanghai natürlich auch.
Ich werf das Stöcken aber nicht weiter. Ich persönlich halte nicht viel von Serienbriefen und das gehört da wohl dazu …?
16. April 2008
Zumindest in Großbritannien muss man damit rechnen, dass man plötzlich ohne GNU Packet Radio und Mobiltelefon dasteht. Zumindest wenn man Steve Müller heißt und Mitglieder der Hackergruppe THC ist. Und das bei der Ausreise!
Bei der Einreise würde ich das ja noch verstehen.
Als nächstes sind vermutlich die Jungs um Karsten Nohl und Henryk Plötz dran, die den Mifare Chip zerlegt haben.
15. April 2008
Random Number (ich hätte ja 23 oder 42 oder so erwartet, aber 4 ist hinreichend zufällig) und Map of the Internet. Bei dem vielen Grün kann ich gar nicht glauben, dass zwischen Februar 2010 und Mai 2011 die IP-Adressen ausgehen sollen.
Mein Provider hat jedenfalls noch kein IPv6, mein DSL-Router kann das nicht und ob sich da in den nächsten zwei Jahren viel tut wage ich noch zu bezweifeln. Naja …
14. April 2008
Ein etwas älteres Foto, dass ich schon seit einiger Zeit auf der Platte liegen habe:
Die Qualität des Fotos ist natürlich grottenschlecht, weil das Bild von der anderen Straßenseite durch ein Fenster hindurch mit maximalem Zoom aus dem Handgelenk heraus geknipst wurde. Man erkennt auch nicht wirklich, was auf dem Monitor dargestellt wird. Wenn man genau hinsieht, kann man in der blauen Eingabemaske ganz unten den Namen „Bellotto, Bernardo“ erkennen.
Eine handelsübliches Kamera unter 200 Euro, etwa 15-20 Meter Entfernung und der Blick auf einen Monitor der in einem Büro stellt. Zugegeben, ein Foto von einem Monitor einer Bank mit Kontostand eines Kunden wäre interessanter aber man erkennt die Gefahr.
