| M | D | M | D | F | S | S |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
Im Google Security Blog ist ein Whitepaper zu Drive-by Downloads (PDF) erschienen. Andreas mit dem rauchenden Colt hat es zuerst gesehen und schön zusammengefaßt. Ich wiederhole daher hier nur sein Fazit:
Dem ist nichts hinzuzufügen.
(via Smoking Gun und im Google Blog)
Piratenmagazin Sonderausgabe VDS (PDF, 4,4 MB)
(via Schnüffelblog)
Es gibt manchmal noch Webportale, die dürfte es eigentlich gar nicht mehr geben. Nicht, weil sie verboten schlimm aussehen sondern eher weil man sich wundert, dass die Seite noch nicht gehackt wurde. Oder, der Anbieter hat es nur noch nicht gemerkt. Die folgende Seite, ein Teilnehmer eines Security Workshops von mir hat sie (während einer Google Hacking Übung) gefunden, ist so ein Beispiel:
Für mich sieht das wie eine alte Version von Horde aus. Da gab es ein paar nette Möglichkeiten, weitere Informationen herauszufinden. Insbesondere mittels test.php kann man sehen, was auf dem Server installiert ist (wenn das File nicht umbenannt wurde).
IMP 3.2.6 ist nicht gerade neu. PHP 4.3.10 sieht auch schon etwas schimmlig aus. Oh, ein Link zu phpinfo wird auch direkt angeboten.
Ich bin begeistert. Insbesondere die Option register_globals, die auf On gesetzt ist freut mich.
Naja, wenn man auf www.all.de nachschaut, wer für den Server verantwortlich ist, dann stößt man auf die D-Hosting GmbH in Berlin, die auf diesem Server anscheinend noch Kunden der insolventen LogiVision hat. So seit 01.05.2005. Aber als Provider hätte man das Webmail-Portal doch inzwischen mal von einem Praktikanten auf einen aktuellen Stand bringen können, oder? Ich kann nur hoffen, dieses Horde ist keine „Mission Critical-Anwendung“, denn die will D-Hosting ja laut Homepage anbieten. Seufz.
Nachtrag:
Heise berichtet heute (08.03.2008), dass alle Horde-Versionen vor 3.1.7 (nicht IMP) eine Sicherheitslücke enthalten. Proof of Concept Exploit ist enthalten.
Ich weiß nicht … will ich das wirklich in meinen Rechnern haben?
Heise berichtet von einem Verfahren „Ending Piracy of Integrated Circuits“, mit dem CPUs sich bei der ersten Inbetriebnahme beim Hersteller registrieren müssen, bevor sie richtig aktiv werden. Quasi CPU-Aktivierung zusätzlich zur Software-Aktivierung. Die Entwickler selbst kürzen das Verfahren mit EPIC ab. Das erinnert mich an den Itanium-Prozessor, der auch ein gewaltiger Fehlschlag war.
Ich finde ja schon Software-Aktivierung über das Internet krank. Das Modell ausgedehnt auf Hardware ist aber noch viel perverser. Der Heise-Autor scheint das ähnlich zu sehen, wie der böse letzte Satz „inwieweit sich EPIC zur Einschränkung von Verbraucherrechte einsetzen lässt“ beweist. Die Kommentatoren glauben zwar, das Verfahren wird nur zum Schutz der Chipentwickler eingesetzt, ich bin mir aber sicher, wenn die Technik sich erstmal etabliert hat, kommen findige Musik-und-Film-Mafia-Manager bestimmt auch auf kreative Ideen wie der Endnutzer gegängelt werden kann.
E-Mail Wegwerfadressen sind inzwischen ein sehr probates Mittel gegen die Spamflut und die Datensammelwut der diversen Webseitenanbieter geworden. Bei vielen Angeboten insbesondere aus dem amerikanischen Raum ist der Zugang nur nach Anmeldung möglich und hier müssen oft umfangreiche Daten wie Vorname, Nachname, E-Mail, Anschrift, etc. angegeben werden. Die Antwort des Gepeinigten ist daher gerne mal die Nutzung einer Wegwerfadresse sowie Angabe falscher Daten. Emaildienst.de ist beispielsweise ein bekannter Anbieter.
Man sollte allerdings mit diesen offenen Mailservern ein wenig aufpassen. Mit der simplen Eingabe eines Benutzernamens, z.B. Michael oder Andreas kommt man in die Mailbox dieses Users … was vom Prinzip ja auch so gedacht ist, aber ab und an interessante Einblicke enthält. Beispielsweise war anhand einer dieser Spam-Mails ersichtlich, dass john@emaildienst.de sich an der Webseite The Code Project angemeldet hat. Freundlicherweise erlaubt es diese Webseite, sich das „vergessene“ Passwort zuschicken zu lassen.
Also lassen wir das Passwort an john@emaildienst.de schicken, in dessen Postfach können wir ja freundlicherweise hineinsehen.
Gut, das ist jetzt kein besonders gutes Passwort aber es funktioniert.
Mein Fazit: Wegwerfadressen sind ja ganz nett, aber man sollte bei der Nutzung doch bitte ein klein wenig aufpassen wofür man sie verwendet. Wenn der Account lediglich zum reinkucken oder Download verwendet wird ist es vermutlich egal ob jemand Zugang zum Passwort hat. Bei anderen Seiten die z.B. auch private E-Mail-Kommunikation erlauben kann die Verwendung solcher Adressen jedoch zum Sicherheitsrisiko werden. Man bleibt dann doch länger angemeldet als gedacht, tauscht private vertrauliche Infos aus und ein Fremder erhält jederzeit Zugriff auf die Kommunikation.
Sehr witzig finde ich in diesem Zusammenhang den Schluss der Mail: „If you received this email but did not yourself request the information, then rest assured that the person making the request did not gain access to any of your information“. Leider falsch.
Nachtrag:
Vielleicht bin ich ja paranoid aber ich stelle mir gerade vor, der Rollstuhlfahrer im Innenministerium hätte gerne Zugriff auf so einen Account von mir. Dann könnte er doch ganz einfach die Datenkommunikation zu meinem Mailserver abhören, mir mein Passwort zuschicken lassen und hat damit auch mein Passwort für den Account.
So, etwa 24 Stunden Ausfall war das insgesamt. Jetzt braucht es noch ein wenig, bis sich die DNS-Daten im Internet aktualisiert haben, ich konnte die neue IP-Adresse erst mittags eintragen und die alte Lebenszeit lag ebenfalls bei 24 Stunden. Naja … wird schon.
Der Server hier bekommt eine neue IP-Adresse und ist voraussichtlich ein paar Stunden nicht erreichbar. Sobald ich dazukomme, richte ich ihn wieder her. So wichtig ist das Blog jedoch nicht, es hat daher nicht die höchste Priorität. 😉
Vor ein paar Tagen (genauer am 24. Februar) beschloss die pakistanische Regierung alle nationalen Internet-Provider anzuweisen, YouTube zu blockieren. Regierungszensur in arabischen oder asiatischen Ländern ist nun eigentlich kein Thema für dieses Blog, da würde ich mit den vielen Einträgen nicht mehr mitkommen. Egal ob Burma, Thailand, Singapur, China oder jetzt Pakistan. Gut, Deutschland ist da nicht viel besser aber egal.
Normalerweise kann man Webseiten auf verschiedene Arten blockieren:
Interessant ist jedoch die Art die die Pakistanische Telecom vorgegangen ist. Sie haben dort eigene Server mit den IP-Adressen (208.65.153.238, 208.65.153.251 und 208.65.153.253) von YouTube aufgesetzt, vermutlich um Nutzern die auf diese Seiten gelangen einen Hinweis auf die Sperrung zu geben. Der Fehler von Pakistan Telecom war jedoch, diese Adressen auch auf den zentralen Routern einzutragen und global zu propagieren.
Aus dem Routing-Grundkurs wissen wir jetzt, dass bekanntlich die Route zieht, die mit der spezifischeren Netzmaske vorliegt. Da die Pakistani ihr Netz mit einer Class C Netzmaske (255.255.255.0) propagierten, eine Netzmaske die im globalen BGP-Netz eigentlich nicht vorkommt, weil bei so kleinen Netzen sonst die Routingtabellen gesprengt würden, hatte dieses Netz plötzlich global die höchste Priorität. Die globalen Router der großen Provider änderten auch prompt ihr Routing und YouTube war global für etwa eine Stunde aus dem Internet verschwunden. Natürlich versehentlich.
Ich stelle mir das jetzt gerade als „Large Scale“ Angriff auf die Internet-Infrastruktur vor. Nicht so schimmlige DoS-Angriffe gegen die DNS Root-Server. Eine Cisco IOS-Lücke und Übernahme zentraler Core-Router im Internet. Und dann falsche Routingtabellen propagieren. Auf diese Weise könnte man locker den Komplettzusammenbruch des Internets herbeiführen.
Ganz neu ist die Gefahr nicht. Ein paar Leute aus der älteren Generation erinnern sich noch an den Vorfall mit dem AS7007, das Routingeinträge von Kunden nicht korrekt ausfilterte und im Internet propagiert hat. Das war 1997. Die Regeln der Provider sagen inzwischen, dass man auf den Routern Filter hat und nur die eigenen Netzwerke propagieren darf aber wenn sich ein Provider wie hier die Pakistani nicht dran halten oder ein Router übernommen wird, dann kracht es halt.
In einem Bericht zum aktuellen Ausfall habe ich den Vorschlag gelesen, dringend Secure BGP (S-BGP) zu implementieren. Nur, das nützt gar nichts wenn die Core-Router der großen Provider den Fehler verursachen. Die haben ja korrekte Keys und können daher korrekt Routen austauschen. Ich habe ganz im Gegenteil den Eindruck, so richtig haben die großen Provider auch keine Vorstellung wie ein solcher Angriff in Zukunft verhindert werden kann.
Mal sehen, wann wir den nächsten Vorfall erleben.
Köstlich … die Fuzzis von der Computerbild:
Was kommt eigentlich nach den Roboter-Viren? Der Terminator-Virus (vernichtet Computer und warnt „I’ll be back“)? Der Westerwelle-Virus (versucht 18% der Daten zu löschen, stürzt aber bei knapp 5% immer schon ab)? Weitere Beispiele hier.
Bei uns in der Firma heißen die Norton Programme auch die „Gelbe Gefahr„, unsere IT-Chefin wollte sich nicht einmal ein geschenktes Norton Antivir 2008 auf ihrem Privatrechner installieren. Ihr wörtliche Meinung zu Norton kann ich hier aufgrund der Gefahr, abgemahnt zu werden leider nicht wiedergeben.
Aha.
Nichts großes eigentlich, nur ein Fehler in Solaris 8-10 bezüglicher der Reassemblierung fragmentierter Pakete. Im Fehlerbericht weist Sun auf die Konsequenzen hin:
„A security vulnerability in Solaris Internet Protocol (IP – see ip(7P)) implementation may allow a remote privileged user to send certain packets bypassing the security policies set by a firewall or to cause the system to panic, creating a Denial of Service (DoS) condition.“
Oha … Umgehen der Firewall durch ein paar fehlerhafte Pakete, das ist was spannendes. Und jetzt ist Solaris eigentlich schon ein recht gutes System. Ich frage mich gerade wie das mit einer virtualisierten Firewall auf VMware sein könnte. Da gibt es ja zusätzlich den VMware-Stack, wenn dort eine vergleichbare Lücke auftritt dann wird es echt lustig.