17. Februar 2008
Offensichtlich ist dem BKA die Miete des Bayern-Trojaners zu teuer. Immerhin will der Anbieter, die Firma DigiTask GmbH vom Freistaat für die Miete der Skype-Abhörsoftware 3500,- Euro pro Monat und Abhörmaßnahme sowie 2500,- Euro pro Monat für die SSL-Verschlüsselung (Preise hier im PDF). Das kann ich gut verstehen. Im aktuellen Liechtensteiner Steuerskandal sind alleine in Nordrhein-Westfalen angeblich inzwischen 150 Ermittlungsverfahren eingeleitet worden. Wenn man die alle mit so einem Trojaner überwachen wollte, würde sich kaum noch ein Steuergewinn ergeben. Außer Bayern (und vielleicht noch Baden-Württemberg) kann sich den DigiTask-Trojaner kein Bundesland leisten.
Konsequenterweise will das BKA seinen Trojaner nun selbst entwickeln und wenn man das nötige Wissen nicht hat, dann muss man das kaufen. Diesmal können jedoch wohl weder T-Systems (die mit der LKW-Maut) noch Accenture (die mit dem Arbeitsamt-Webportal) und auch nicht McKinsey (die das renommierte Goethe-Institut beinahe ruiniert hätten) weiterhelfen. Ich fürchte, in einschlägigen Kreisen in Russland will das BKA auch nicht auf Einkaufstour gehen. Also bleibt nur selber basteln.
Auf der Job-Seite der FAZ hat das BKA eine Stellenausschreibung für eine/n Entwickler/in Programmierer/in geschaltet. Eigentlich klingt das ganz spannend:
- Ein vielfältiges Aufgabenspektrum, das Kreativität, Vision und ein hohes Maß an Eigeninitiative erfordert
- Die Möglichkeit, einen neuen Arbeitsbereich aktiv mitzugestalten
- Die Mitarbeit in einem hoch motivierten Team
- Aufgabenbezogene Aus- und Fortbildung
Na gut, das ist Blabla, das in jeder Stellenanzeige steht. Kucken wir mal weiter was gefordert wird:
- Sehr gute Kenntnisse im Bereich der Sicherheit von Computernetzwerken
- Fundierte Betriebssystemkenntnisse Unix/Linux und Windows
- Sehr gute Kenntnisse und mehrjährige Erfahrung in Programmierung (C, C++)
Die Kombination fällt für mich in den Bereich „knappes Gut“. Da kennen sich hier nicht mehr viele Leute aus, seit das Wissen um die Sicherheit von Computernetzwerken durch das Justizministerium in Person von Frau „ich habe keine Ahnung und keine Daten auf meinem geklauten Laptop“ Zypries durch Gesetze wie den § 202c in Deutschland massiv kriminalisiert wird. Ich denke mal, da wird das BKA zumindest ordentlich zahlen?
- Eine Bezahlung nach Entgeltgruppe 11 TVöD des Tarifvertrages für den öffentlichen Dienst (TVöD) für die/den Entwickler/in bzw. Programmierer/in
Hmm, mal hier kucken. Entgeltgruppe 11 TVöD sind brutto 2.430 Euro in der Stufe 1. Für so wenig Geld habe ich jedenfalls nicht Informatik studiert. Ok, das steigt nach einem Jahr auf 2.700 Euro und nach 10 Jahren sogar auf 3.635 Euro. Aber halt, die Stelle ist auf zwei Jahre befristet.
Zum Vergleich, wir bezahlen unserem gesuchten Firewall-Trainer anfangs brutto 2.200 Euro/Monat plus Bonus für gehaltene Schulungstage was im Schnitt pro Monat nochmal etwa 500 Euro ausmacht (natürlich saisonal bedingt schwankend). Also von Anfang an bereits 2.700 Euro, ein Hochschulstudium ist nicht erforderlich und die Stelle ist unbefristet.
Zwei Jahre, das scheint übrigens so die Zeit zu sein die das BKA dem Bundesverfassungsgericht gibt um festzustellen, dass der Einsatz eines Bundestrojaners gegen die Verfassung verstößt. Und dann will man den nicht mehr benötigten Entwickler natürlich elegant wieder los werden.
Naja … falls doch jemand Interesse hat, hier der Link zum Bewerben oder dieses PDF herunterladen. (Aber Vorsicht beim Klicken. Wenn das BKA nach Auswertung der Webserver-Logfiles eine Hausdurchsuchung startet, bin ich nicht schuld dran!)
(via Fefe)
16. Februar 2008
Nichts neues bei Hans Reiser. Er steht immer noch unter Anklage, sein Frau Nina Reiser ermordet zu haben. Bei Wired wird das schön dokumentiert. Inzwischen sind 50 Zeugen gehört worden und die Verteidigung bereitet ihr Plädoyer vor. Ich denke nicht, dass es mit ReiserFS nochmal weiter geht, egal wie die Jury entscheidet.
Nun stellt sich für mich die Frage, wie migriere ich meine SuSE-Server mit ReiserFS auf Ext3 oder Ext4? Gibt es da nette Tools oder muss man die Server neu installieren?
Hihi, entgegen der eigenen Policy hat Microsoft sich geweigert, den Entdecker der MS08-011 Lücke im Advisory namentlich zu erwähnen.
Zum Hintergrund, für IT-Security-Forscher ist es recht interessant, in solchen Advisories erwähnt zu werden, da dadurch die eigene Bekanntheit und so der Marktwert steigt. Allerdings beschränkt Microsoft die Nennung auf Forscher, die sich dem „Responsible Disclosure“ Programm von Microsoft angeschlossen haben. Daran halten sich jedoch nicht alle Unternehmen, da Microsoft sich dann gerne mal mehrere Monate Zeit lässt, eine kritische Lücke zu schließen.
Jedenfalls hat sich der Entdecker von MS08-011 an alle Prozeduren gehalten und via iDefense die Lücke an Microsoft berichtet (via iDefense weil dann kriegt man noch etwas Geld dafür). Und die Antwort:
„Unfortunately, Microsoft has refused to credit you using the name you requested.“
Tja, wenn man sich auch chujwamwdupe nennt 🙂
Ich sag ja … responsible disclosure lohnt sich nicht. Einfach den Exploit veröffentlichen und gut ist. HD Moore ist so auch bekannt geworden.
15. Februar 2008
Bruce Schneier hat einen sehr lesenswerten Artikel über die wirtschaftliche Bedeutung von Vendor Lock-Ins geschrieben.
„Wenn 100 Leute im Unternehmen Microsoft Office einsetzen, das pro Benutzer 500 USD kostet, dann wird das Unternehmen auf OpenOffice wechseln, wenn der Wechsel günstiger als 50.000 USD ist. Wenn der Wechsel teurer als 50.000 USD ist, kann Microsoft die Preise erhöhen.“
Der komplette Text findet sich im Blog von Bruce und bei Wired.
Sein Fazit ist, dass mehr und mehr Sicherheitsfunktionen nicht mehr zum Schutz von Daten und Systemen sondern zum Schutz der wirtschaftlichen Abhängigkeit eingesetzt werden. Digitales Restriktionsmanagement (DRM) ist nur der Anfang.
Jetzt ist Microsoft von den letzten guten Geistern verlassen worden, wenn die Meldungen auf diversen News-Portalen stimmen:
Forscher bei Microsoft hoffen, mittels „freundlicher“ Würmer Patches und Updates schneller an die Windows-Nutzer zu verteilen.
Die Antwort auf solche Ideen kann nur lauten: Ja spinnt ihr Idioten bei Microsoft denn jetzt komplett? Klar, auf den ersten Blick erscheint die Idee super … die Würmer erkennen automatisch Sicherheitslücken, dringen in den Rechner ein und schließen dann diese Lücke. Der Rechner ist damit sicher und vor weiteren Wurminfektionen geschützt. Auf den zweiten Blick ist das jedoch eine ganz dumme Idee:
- Wie soll der Wurm erkennen, warum der Rechner die Lücke noch enthält? Vielleicht hat der Administrator bewusst darauf verzichtet, ein Update zu installieren, weil sonst wichtige geschäftskritische Software nicht mehr funktioniert. Das kommt bei Microsoft Updates bekanntlich öfter vor.
- Was ist, wenn das Update ein Reboot erfordert. Bei Rechnern die Produktionsanlagen steuern darf man nicht einfach neu starten. Das kann von einfachen Produktionsausfällen zu richtig teuren Schäden führen, wenn die Verfügbarkeit nicht erhalten bleibt.
- Gerade in Produktionsanlagen darf man Updates nicht einfach so installieren. Oft ist eine Freigabe des Herstellers der Produktionsanlagensteuerung notwendig. Ich kenne beispielsweise einen Hersteller, der schriftlich mit drei Unterschriften wichtiger Direktoren bestätigt hat, dass keinerlei ungenehmigte Updates einzuspielen sind, da ansonsten sämtliche Wartungsverträge nichtig wären.
- Wenn ich solche Änderungen nicht möchte, steht dann lapidar in der EULA, dass Microsoft mir das aufspielen darf? Selbst wenn, spätestens wenn irgendwas dann nicht mehr funktioniert ist das rechtlich garantiert ein Verstoß gegen § 303b StGB (Datensabotage) und würde bei meinen wichtigen Rechnern mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Ich würde mich auch sofort einer Sammelklage in den USA anschließen.
- Von Folgeschäden, wenn Hacker den Wurm kapern oder unerwünschtem zusätzlichen Netzwerkverkehr will ich gar nicht reden.
Kurz und gut, die Idee ist so wahnsinnig dumm, idiotisch, blöd und hirnrissig (mir fallen leider keine weiteren Superlative mehr ein), dass der verantwortliche Manager ausgepeitscht, gevierteilt, erhängt und ersäuft gehört.
Ich frage mich eigentlich nur, wie kommt ein (hoffentlich) vernünftig denkender Wissenschaftler auf so eine schwachsinnige Idee? Sind die Jungs in der Forschungsabteilung soweit in ihrem Elfenbeinturm vergraben, dass sie nicht mehr mitkriegen, was draußen in der Welt so passiert? Oder ist Microsoft inzwischen so arrogant geworden, dass sie am besten wissen was gut für die Kunden ist und notfalls per Wurm zwangsweise Updates (z.B. den Genuine Advantage Notification Spam) aufs Auge drücken wollen? Oder haben sie den Ärger unerwünschter Änderungen nicht mitbekommen?
Ich sehe schon, der Umstieg auf Linux wird langsam unvermeidbar.
(via hier, hier und hier und die Kritiker formieren sich hier).
Nachtrag:
Sehr lesenswert ist in diesem Zusammenhang der Artikel „Are Good Viruses Still a Bad Idea?“ von Vesselin Bontchev, der alle wichtigen Kritikpunkte anschaulich zusammenfasst.
Manchmal kommen Administratoren auf lustige Ideen. Das fällt oft jahrelang nicht auf aber wenn irgendwann mal jemand mit Ahnung sich die Sache ankuckt, dann kann man gelegentlich nur noch den Kopf schütteln.
In einem Unternehmen kann von jedem Rechner aus ohne Proxy direkt im Internet gesurft werden. Auf der Firewall befindet sich ein Virenscanner der die heruntergeladenen Dateien prüft und Schadprogramme herausfiltert. Ein URL-Blocker oder so wird nicht eingesetzt. So weit so gut. (Nein, ich will jetzt keine Diskussion anzetteln, ob ein URL-Blocker notwendig und zweckführend ist.) Allerdings soll nicht jeder Mitarbeiter Internet-Zugang bekommen. Was tun?
Die Lösung, auf die die Administratoren gekommen sind, ist eigentlich extrem clever. Aber nur eigentlich. Per Windows Gruppenrichtlinie erhalten Benutzer einer speziellen Gruppe einen falschen Proxy in den Internet Explorer eingetragen und die Berechtigung entzogen, den Proxy zu ändern. Bei Versuchen ins Internet zu kommen gibt es dann jedesmal einen Timeout, weil der Proxy nicht existiert und daher auch nicht antworten kann.
Leider funktionierte dieses Sicherheitsmodell nur, bis ich meinen USB-Stick mit Firefox Portable herausholte, in den Rechner steckte und mittels Alternativbrowser gemütlich im Internet surfen konnte. (Alternativ kann man auch den PrivacyDongle von Foebud kaufen).
Jetzt wird über die Anschaffung eines ISA-Servers nachgedacht.
14. Februar 2008
Vorgestern, am 12.02. fand unter der Schirmherrschaft der EU-Kommissarin Viviane Reding der Safer Internet Day statt. Die Ziele lesen sich auch schon ausreichend schwammig um alles oder nichts zu sagen:
- die Sensibilität für das Thema „Sicheres lnternet“ zu fördern und damit die Menschen dazu zu bewegen, der Sicherheit im Internet mehr Aufmerksamkeit zu widmen
In der Praxis handelt es sich beim Safe Internet Day nur noch im eine Rahmenveranstaltung in der sich diverse Lobbygruppen tummeln und unwidersprochen ihre (meist falschen) Ansichten verbreiten dürfen. Zum Thema Urheberrecht hat beispielsweise die GVU einen Flyer beigesteuert, der falsche (und natürlich im Interesse der Content-Industrie liegende) Angaben z.B. zur Privatkopie macht.
Klicksafe gibt sich zwar Mühe und ab und an findet man sogar nicht durch Lobbyarbeit beeinflusste Informationen, z.B. zum Webbrowser. Da kommt der IE sogar schlechter weg als er es verdient hat. Aber letztendlich wird dann doch wieder auf Werbung von Microsoft verlinkt.
Den Vogel abgeschossen hat aber das ZDF, das zum Thema Sicherheit im Internet und Datenschutz ein Interview ausgerechnet mit StudiVZ geführt hat, dem Unternehmen, das für seine hohen Datenschutzstandards bekannt ist. So bastelt das ZDF an der Legende, denn eigentlich hat StudiVZ nichts neues erfunden sondern lediglich zufällig zum richtigen Zeitpunkt Facebook kopiert.
Nachtrag:
Ich hätte dieses Youtube-Video vom ZDF-StudiVZ-Interview ja gerne direkt eingebunden aber vermutlich ist dem ZDF der Beitrag inzwischen so peinlich, dass sie das direkte Einbinden nicht mehr erlauben.
Ich freue mich ja immer, wenn ich unaufgefordert Werbung zu Snake Oil Security Produkten bekomme. Das gibt immer wieder einen schönen Blog-Eintrag.
Heute habe ich Spam eine gaaanz tolle Produktinformation der Firma Supernova Savernova bekommen, die eine gaaanz tolle Gridkarte für gaaanz tolle Passwörter anbieten. Gridkarten sind einfach Papp- oder Plastikkarten die je nach Ausstattung entweder Ziffern (für PINs) oder alphanumerische Zeichen für Passwörter in einer Tabelle anordnen und der Nutzer merkt sich dann entweder den Anfang (G3) und die Lese-Richtung (nach rechts) um sein Passwort wiederzufinden oder er wird nach mehreren Feldern (F5, A2, E4) zur Authentisierung gefragt. Das funktioniert dann wie Schiffe versenken. Im Grunde nix, das man sich nicht mit ein paar Zeilen Perl und/oder einem Radius-Server selbst basteln könnte.
Bei Savernova sieht die kostenfreie Ausdruckkarte (PDF) dann so aus:
Das ist zwar nicht ganz wie „Passwort aufschreiben“ (außer, die 11 Felder rechts sind so gedacht, dass man da die Passwörter notiert) aber schon fast. Wenn jemand die Karte in die Hand bekommt, lassen sich nur endlich viele verschiedene Passwörter daraus erzeugen. Die kann man ruckzuck durchprobieren. Und wenn man die Karte verliert, dann hat man das Passwort leider nicht mehr (oder man hat glücklicherweise das Passwort mittels Textmarker auf der Backupkarte markiert).
Andererseits ist das Marketing nicht blöd. Zum einen klingt der Claim „Savernova – Swiss IT Security“ nach der Qualität eines Schweizer Armeetaschenmessers. Zum anderen die Verlinkung: „Unternehmen können die Webkarten mit eigenem Logo personalisieren und auf ihrer Homepage unlimitiert und kostenfrei zur Verfügung stellen.“ So schafft man sich zumindest Bekanntheit.
Ich habe leider nicht herausgefunden, wie viel Savernova kosten soll. Bei PC-Welt gibt es jedenfalls Codestar für 20 Euro. Da kann man sich auch lustige bunte Passwort-Karten ausdrucken, einen Farbdrucker vorausgesetzt. Ok, da ist die berüchtigte Middleware nicht dabei, mit der sich die Passwortkarten an die Unternehmens-IT anbinden lassen. Aber will das wirklich irgendwer (PDF)?
Naja, für einige Leute mag die Passwortkarte ja ganz praktisch sein und erfreulicherweise wird bei jedem Aufruf eine andere Karte generiert (auch wenn ich nicht weiß, was die ID und der SecureCode darauf bedeuten soll). Allerdings darf man sich den Webserver auch nicht so genau ansehen. Manuell eingegebene URLs mag der nämlich nicht:
Also doch besser mit Perl selbst was gebastelt. Das funktioniert dann auch mit Linux. Oder weiter Schiffe versenken gespielt.
13. Februar 2008
Ich hab’s nicht früher gesehen und eigentlich ist die Antwort von Fyodor auf den 24C3-Vortrag von Fabs schon einen Monat alt, trotzdem muss das noch hier ins Blog rein.
Fyodor beschwert sich (meines Erachtens zurecht) ein wenig über das Nmap-Bashing und kritisiert die Methodik von Fabs. Im Detail hält er Portbunny für zu aggressiv wenn innerhalb von 15 Sekunden ein kompletter Rechner gescannt wird (das sind 4369 SYN-Pakete in einer Sekunde und nach meiner Erfahrung schießt man damit einige Systeme wie z.B. SPS recht schnell aus dem Netz). Außerdem vermisst er wichtige Angaben, z.B. mit welchen Parametern Nmap aufgerufen wurde (ich vermute ja die Standardoptionen) und welche Nmap-Version verwendet wurde (vermutlich die aktuelle). Ein anderes Problem ist die Korrektheit der Scanergebnisse. Nmap verwendet einige Gedanken darauf, möglicherweise verlorene Pakete neu zu senden. Das vermisst Fyodor bei Portbunny.
Was mir am meisten Kopfschmerzen bei einem Scanner wie Portbunny bereitet ist jedoch, den Scanner komplett im Kernel laufen zu lassen. Fyodor spricht von „bloated Kernel“, ich persönlich mache mir mehr sorgen um die Stabilität. Einen Prozess kann ich einfach abschießen, kill -9 und Ruhe ist.
Interessant ist, dass es kaum neutrale Statistiken und Auswertungen zur Qualität von Portscannern gibt. Das einzige, das ich gefunden habe und das auch Fyodor erwähnt ist die Analyse von Computerdefense. Hier werden Nmap, Unicornscan und Portbunny gegenübergestellt und Nmap schneidet in allen Kategorien eigentlich überzeugend gut ab. Seine Zusammenfassung bestätigt die nackten Zahlen.
Ach ja, etwas das Portbunny besser macht als Nmap hat Fyodor dann doch noch gefunden: für Portbunny kann man bereits T-Shirts kaufen.
Nachtrag:
Hier ist noch ein Test, da hat Nmap auch mal verloren.
12. Februar 2008
dann lohnt sich der Spam nicht.
Eigentlich interessant. Ich krieg vielleicht im Monat eine Spam-SMS auf mein Handy und gelegentlich faxe ich die dann auch an die Bundesnetzagentur. Mehr SMS-Spam scheint sich nicht zu lohnen, eine SMS kostet Geld und die Antwortquote ist garantiert bescheiden.
Hier steht, in China kriegt der durchschnittliche Nutzer 10 Spam-SMS pro Tag. Ich glaube, ich würde den Telefonanbieter verklagen. Vielleicht ist die Idee, ein paar Cent pro Mail zu bezahlen gar nicht so blöd. Oder man lässt sich für das Spam-lesen bezahlen.
