3. Februar 2008
Ich habe heute angefangen, in der IT-Security relevante Kongresse aufzuführen, um so einen Orientierungskalender für das Jahr 2008 zu schaffen. Aufgeführt werden alle Kongresse, deren Schwerpunkt auf IT-Security liegt, also keine reinen Herstellerveranstaltungen, Hausmessen oder allgemeine Konferenzen auf denen IT-Security nur Nebensache ist (z.B. bei diversen Open Source Konferenzen).
Die Tabelle ist sicher nicht vollständig, darum würde ich mich über jede Ergänzung hier in den Kommentaren freuen. Ein Anspruch auf Aufnahme besteht nicht, die Tabelle ist rein subjektiv nach meinen persönlichen Interessen zusammengestellt.
2. Februar 2008
Aus einer Mail an die Full-Disclosure Mailing-Liste:
„Southwest Airlines has a class of ticket called ‚Business Select‘. This
ticket typically allows you to board the plane first, and because SWA
doesn’t have assigned seating means you have your pick of the seats on
the plane. But there is quite an additional benefit.
You also get a free drink ticket. But they seem to have forgotten
something in the implementation of this: Being your drink coupon is
issued to you when you print your boarding pass. It’s also printed
whenever you *reprint* your boarding pass!
So if you feel like getting drunk on your flight, just print seven or
eight boarding passes, and you’ll have a good flight. I tried this a
couple of weeks ago on a flight from San Diego to Kansas City, and I had
myself 4 free drinks no problem.“
Nice 🙂
Soso, böööööööse Hacker Einbrecher haben Brigitte „Ich hab sowieso von gar nichts Ahnung“ Zypries zwei Laptops geklaut. Vermutlich vielleicht um darauf den Bürgertrojaner zu installieren. Aber da kann ja nichts passieren:
- hat die Zypries sowieso keine wichtigen Daten auf ihren Rechner, denn dafür müsste man in erster Linie erstmal wichtige Daten haben
- ist der Laptop garantiert super gesichert, vermutlich mit einem Windows-Passwort das wie die Katze der Justizministerin heißt
- war Ernst & Young nicht in der Nähe
Also alles ganz harmlos. Es gibt nichts zu sehen. Bitte gehen Sie weiter.
Nachtrag:
Heise betitelt mit „Heimliche Offline-Durchsuchung bei der Justizministerin„. Die Polizei hat bisher keine offizielle Erklärung herausgegeben. Gerüchteweise konnten Spuren eines Rollstuhlfahrers am Tatort gesichert werden. Man hört auch, das Berliner LKA soll zur Überprüfung eines gewissen Herrn Wolfgang S. um den vom CCC gesicherten Fingerabdruck gebeten haben.
1. Februar 2008
Der rumänische Künstler Alex Dragulescu hat Schadprogramme grafisch dargestellt:
„Malwarez is a series of visualization of worms, viruses, trojans and spyware code. For each piece of disassembled code, API calls, memory addresses and subroutines are tracked and analyzed. Their frequency, density and grouping are mapped to the inputs of an algorithm that grows a virtual 3D entity. Therefore the patterns and rhythms found in the data drive the configuration of the artificial organism.“
Sehr schön … ich erinnere mich an etwas ähnliches von Zynamics (früher Sabre Security) die 2006 einen Forschungspreis für die graphentheoretische Auswertung von Schadprogrammen mit Bindiff bekommen haben und so unbekannte aber ähnliche Trojaner erkennen können.
(via Washington Post)
31. Januar 2008
Wie Fefe schon Anfang des Monats bemerkte, das das Bundesinnenministerium eine FAQ zum Bundestrojaner veröffentlicht. Natürlich ist für jeden Informatiker leicht erkennbar, dass die Antworten des Bundesinnenministeriums großer Quatsch sind. Leider gibt es bisher keine korrigierte Fassung, daher habe ich mich des Problems einmal angenommen.
Frage: Wird bei der geplanten Online-Durchsuchung der Datenschutz genügend berücksichtigt? Wird meine Privatsphäre ausreichend geschützt? Wie bleiben meine privaten Dokumente geschützt? Wie bleiben gewerbliche und berufliche Unterlagen geschützt?
Antwort: Natürlich nicht. Es gibt schlichtweg keine Möglichkeit für ein Stück Software, zwischen sprachlich kodierten Texten eines Terroristen und harmlosen Texten eines Schülers zu unterscheiden. Kai Raven hat das Problem der Analyse von Schlüsselwörtern schön dargestellt und selbst der BKA-Präsident warnt ja davor, den privaten Lebensbereich vom Bundestrojaner auszunehmen, da die mutmaßlichen Terroristen ihre Anschlagspläne sonst ja einfach in einer Datei „privates tagebuch.doc“ verstecken könnten. Der geplante Richtervorbehalt ist leider auch nur ein Feigenblatt, wie die regelmäßigen verfassungswidrigen Hausdurchsuchungen zeigen.
Frage: Werden die Betroffenen von einer erfolgten Online-Durchsuchung informiert?
Antwort: Die Betroffenen werden praktisch nie informiert, auch wenn das gesetzlich vorgeschrieben wird. Diese Erfahrung mit dem großen Lauschangriff zeigt, dass Polizisten und Staatsanwälte sehr kreativ werden, sich um diese gesetzliche Verpflichtung zu drücken.
Frage: Ist sichergestellt, dass durch die Installierung der Ermittlungssoftware die auf dem betroffenen Rechner installierte Sicherheitssoftware nicht beeinträchtigt wird und dadurch Unbefugte zu anderen, zum Beispiel kriminellen Zwecken in die Rechner von Bürgern eindringen können?
Antwort: Nein, das ist technisch auch kaum möglich. Jede Software enthält Fehler, Standardsoftware hat sogar bis zu 25 Bugs pro 1000 Zeilen Programmcode und Software die über das Netzwerk kommuniziert ist immer auch über das Netzwerk angreifbar. So enthielt beispielsweise der Sasser-Wurm einen Programmierfehler über den weitere Schadprogramme in den Rechner eindringen konnten.
Frage: Könnte die Ermittlungssoftware entdeckt und dann zu eigenen Zwecken missbraucht werden?
Antwort: Das ist natürlich möglich und sogar sehr wahrscheinlich. Alle Viren und Schadprogramme die von Virenscannern erkannt werden sind schließlich irgendwann
entdeckt und analysiert worden. Bekanntes Beispiel ist das Sony BMG Rootkit, das von Mark Russinovitch entdeckt wurde. Auch speziell entwickelte Schadprogramme können (manchmal zufällig) entdeckt werden. Und natürlich werden einmal entdeckte Schadprogramme auch missbraucht.
Frage: Wie werden Dienstleister geschützt, welche vertraglich zum Schutz der ihnen anvertrauten und bei ihnen zur Auftragserfüllung gespeicherten Kundendaten verpflichtet sind?
Antwort: Vermutlich wird tatsächlich kein Dienstleister oder Provider zur aktiven Mithilfe verpflichtet. Das wird in der Praxis aber auch gar nicht nötig sein, notfalls werden einfach die Server des Providers beschlagnahmt. Der Richtervorbehalt ist wie oben gezeigt sowieso nutzlos und beschlagnahmt wurden sogar schon die AN.ON-Server des Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein. Wenn Behörden sich gegenseitig die Server wegnehmen hat vor der Privatwirtschaft sowieso keiner mehr Respekt.
Frage: Es wird behauptet, dass die Online-Durchsuchung Bürgerinnen und Bürger unzulässig unter einen Generalverdacht stellen würde – stimmt das und wie verhält sich dies zu der rechtsstaatlichen Unschuldsvermutung?
Antwort: Mit der Online-Durchsuchung wird es sich wie mit dem Abhören von Telefonen verhalten. Ursprünglich auch nur zur Aufklärung schwerer Straftaten eingeführt, wird inzwischen sogar wegen Bagatelldelikten abgehört. Abhören ist inzwischen Massengeschäft und nur in wenigen Ländern wird mehr abgehört als in Deutschland. Wenn es um vermeintliche Terroristen oder Kinderschänder geht, stehen inzwischen ja sämtliche Grundrechte zur Disposition. Noch problematischer halte ich jedoch die Heimlichkeit der Online-Durchsuchung. Die Väter des Grundgesetzes der Bundesrepublik Deutschland haben nicht umsonst aus den Erfahrungen der Nazizeit verlangt, das Hausdurchsuchungen öffentlich sein müssen und ein Zeuge hinzugezogen werden kann. Heimliche Durchsuchungen kennen die nach 45 geborenen nur aus Unrechtsregimen (Gestapo, Stasi).
Frage: Wie sollen die bei den Online-Durchsuchungen anfallenden Datenmengen durch die Sicherheitsbehörden bewältigt werden?
Antwort: Bei der Vielzahl der erwarteten Online-Durchsuchungen wird es ein paar private Unternehmen geben, die Hilfsdienste übernehmen. Das gleiche kennen wir von der Festplattenanalyse bei Kinderpornographie sowie aus dem Urheberrecht. In wieweit dann jedoch die Privatsphäre erhalten bleibt kann niemand garantieren.
Frage: Welche Rechtsmittel werden gegen Online-Durchsuchungen zugelassen?
Antwort: Da keine Benachrichtigung der Betroffenen (siehe oben) stattfindet, sind Rechtsmittel praktisch nicht notwendig.
Ich frage mich ja schon manchmal: sind die Beamten um Schäuble im Bundesinnenministerium wirklich so inkompetent wie sie sich hier geben oder ist das eine bewusste Täuschung und vorsätzliches Belügen der eigenen Bevölkerung?
Weitere Hinweise:
Es wird höchste Zeit, dass Schäuble, Zypries und Konsorten abgewählt werden!
30. Januar 2008
Problem: Ein D-Link DES-3224 Switch ohne Passwort und mit alter Firmware
Auf der Webseite von D-Link wird das Gerät gar nicht mehr aufgeführt, das ist offensichtlich schon seit geraumer Zeit aus Wartung und Support. Allerdings gibt es noch den DES-3226 und so viel werden sich die Geräte zumindest was den Support angeht vermutlich nicht unterscheiden. Bei der Firmware hat man auf der D-Link Seite leider Pech gehabt.
Für dieses Gerät auf der Webseite sowie für das alte Gerät in mehreren Support-Foren steht der Hinweis, dass man mit Hilfe der MAC-Adresse des Geräts ein Masterpasswort bekommen kann. Ein direktes Zurücksetzen des Geräts ist jedoch nicht möglich. Damit kann ich gut leben. Wenn die Konfiguration so erhalten bleibt, habe ich im Prinzip auch nichts dagegen. Anfragen möge man doch per E-Mail an die Adresse support@dlink.de richten.
Also gut, dann kurz eine E-Mail mit allen Informationen (MAC-Adresse etc.) hingeschickt. Die Antwort kam per E-Mail zurück, vollständig, korrekt, kostenfrei, soweit alles schön und gut. Nur hat sich D-Link mit der Beantwortung 42 Stunden Zeit gelassen. Das ist für meinen Geschmack ein wenig zu langsam. Höchstens 24 Stunden sind meiner Meinung nach eine akzeptable Reaktionszeit.
Die gleiche Anfrage nach 24 Stunden per Telefon: nach der Menüführung per Computer kam ich in etwa 30 Sekunden an einen kompetenten Support-Mitarbeiter, nach höchstens drei Minuten hatte ich das Passwort. Das ganze über Telefonnummer 01805-2787 (9:00-17:30, 14 ct/min), die zwar nicht in meiner Flatrate enthalten ist aber damit kann ich ausnahmsweise leben. Die Österreicher (11,6 ct/min) und Schweizer (8 Rappen/min) kommen jedoch günstiger weg.
Insgesamt macht der D-Link Support auf mich einen fachlich kompetenten Eindruck. Der Telefonsupport ist sofort erreichbar, ein Zeichen, dass D-Link (oder das dahinterstehende Callcenter) ausreichend Mitarbeiter beschäftigt. Der Mitarbeiter sprach perfekt deutsch, das Callcenter scheint sich in Deutschland zu befinden. Auch das ist heute nicht mehr selbstverständlich.
Schade finde ich, dass für ältere Geräte auf der D-Link Seite keine Firmware, keine Handbücher und keine Informationen mehr zu finden sind. Das halte ich generell für eine Unsitte der Hersteller, alle Daten zu Geräten die nicht mehr unter Wartung sind von der Webseite zu nehmen. Es kommt schließlich öfter vor, dass man ältere Geräte wieder ausgräbt und vielleicht mit der letzten Firmware auffrischen möchte, auch wenn die vielleicht schon drei Jahre alt ist. Hier könnte D-Link noch nachbessern.
Nachtrag:
Alte Firmware gibt es doch noch in einem speziellen Unterverzeichnis: ftp://ftp.dlink.de/des/@archive/des-3224/, allerdings auch kein Handbuch.
29. Januar 2008
Ab und an findet man tatsächlich ein paar interessante Bücher die komplett Online veröffentlicht werden. Dazu zählt beispielsweise das Openbook-Projekt des Galileo Verlags oder das Handbook of Applied Cryptography.
Ein anderes intessantes Buch ist von CWNP (eigentlich Planet3 Wireless), einer Firma die hauptsächlich Seminare und Zertifizierungen im Wireless LAN Umfeld anbietet, z.B. den Certified Wireless LAN Analysis Professional (CWAP). Die Zertifizierung ist meiner Meinung nach in Deutschland weitgehend wertlos, es gibt jedoch ein halbwegs brauchbares Buch mit den Inhalten der Zertifizierung.
Dieses Buch ist jetzt von CWNP als Wireless LAN Analysis HTML-Online-Buch veröffentlicht worden. Zugegeben, aus IT-Security Sicht sind vermutlich nur die Kapitel 2 (Scanning), 3 (WEP, WPA), 9 (diverse Sicherheitsmaßnahmen) und vielleicht noch 10 (WLAN IDS) interessant. Da jedoch jede Seite als eigene HTML-Datei dargestellt wird, kann man schön im Buch blättern und hat das Inhaltsverzeichnis im linken Frame immer im Blick.
Kennt eigentlich jemand weitere Online IT-Security Bücher? Ich würde dann eine Liste pflegen, die sicher von allgemeinem Interesse sein könnte.
(via Security4all)
28. Januar 2008
Neben dem bekannten Bullshit Bingo gibt es für Fortgeschrittene auch den Sprücheklopfomat.
„Wir upgraden unsere zukunftsweisen Wachstumschancen, um das nutzbare Moment der interaktiven Marktbewegungen zu realisieren.“
Sehr schön 🙂
27. Januar 2008
Was macht man nun aber, wenn man überall seine peinlichen privaten Fotos in diversen sozialen Netzwerken wie StudiVZ, Facebook, Xing und Co. verteilt hat und sich dann doch auf einen seriösen Job bewerben will? Die Amerikaner haben da einen ganz tollen neuen Dienst erfunden: Reputation Defender, auf deutsch der Reputationsverteidiger.
Thomas Knüwer vom Handesblatt hat schon seine Erfahrungen gemacht, allerdings noch in einer relativ positiven und seriösen Art. Der Reputation Defender hat ihn höflich angeschrieben, einen Verweis auf einen Kunden zu entfernen. Thomas Knüwer hat das nicht gemacht sondern die Mail veröffentlicht. Aus meiner Sicht vielleicht nicht ganz fair aber naja.
Wenn man als Reputation Defender jedoch die Bitte, eine Mail aus einem Mailarchiv zu löschen, an die komplette Mailingliste schickt … dann hat man es nicht anders verdient, verspottet zu werden:
Dear Full Disclosure,
We are writing to you in behalf of Bart Cilfone. He has asked us to contact you and see if you will consider removing the content about him at:
http://seclists.org/fulldisclosure/2008/Jan/0497.html
Please allow us to introduce ourselves. We are ReputationDefender, Inc., a company dedicated to helping our clients preserve their good name on the Internet. Our founders and employees are all regular Internet users. Like our clients, and perhaps like you, we think the Internet is sometimes unnecessarily hurtful to the privacy and reputations of everyday people. Even content that is meant to be informative can sometimes have a significant and negative impact on someone's job prospects, student applications, and personal life. We invite you to learn more about who we are, at www.reputationdefender.com.
Tja, da haben ein paar Leute noch nicht verstanden wie das Internet funktioniert. Aber gut zu wissen, dass da irgendwo anscheinend was negatives über Bart Cilfone steht. Und gut, dass es jetzt auch ein paar tausend Leute wissen.
Manchmal kann man echt nur noch den Kopf schütteln.
26. Januar 2008
Die meisten Menschen gehen ja recht fahrlässig mit ihren persönlichen Daten um. Ein wenig Suche im Internet und man findet praktisch alles, was man sich so vorstellen kann.
Die Welt hat das Thema plakativ mit „Wie Google Karrieren zerstört“ überschrieben und damit vermutlich nicht mal so unrecht. Das Problem ist … wie schützt man sich dagegen?
„Selbst wenn die „formalen“ Anforderungen erfüllt sind, weigern sich Webseiten-Betreiber häufig, Beiträge zu löschen. Dann können sich Betroffene entweder an den Datenschutz-Beauftragten wenden oder rechtliche Schritte einleiten. Letzteres will … gut überlegt sein.“
Hmm … der Welt-Artikel erwähnt den Reputation Defender, der angeblich die ganze Arbeit übernehmen soll … da schreib ich im nächsten Artikel noch was dazu. Eine einfache Lösung ist aber nicht in Sicht und die Persönlichkeitsrechte werden von einigen Gerichten überraschend hoch eingeschätzt. Für mich sieht das so aus als würden noch spannende Probleme die nächsten Jahre auf die juristische Zunft zukommen.
