4. Dezember 2007
Schon einige Zeit online aber bisher übersehen, die aktuelle neue SANS Top 20 ist online.
Client-side Vulnerabilities in:
- C1. Web Browsers
- C2. Office Software
- C3. Email Clients
- C4. Media Players
Server-side Vulnerabilities in:
- S1. Web Applications
- S2. Windows Services
- S3. Unix and Mac OS Services
- S4. Backup Software
- S5. Anti-virus Software
- S6. Management Servers
- S7. Database Software
Security Policy and Personnel:
- H1. Excessive User Rights and Unauthorized Devices
- H2. Phishing/Spear Phishing
- H3. Unencrypted Laptops and Removable Media
Application Abuse:
- A1. Instant Messaging
- A2. Peer-to-Peer Programs
Network Devices:
- N1. VoIP Servers and Phones
Zero Day Attacks:
Webbrowser und Webapplikationen ganz oben sind natürlich kein Wunder. Office hat die zweite Stelle bei Client-side Vulnerabilities gewonnen, aber mein Eindruck ist eher, die Angreifer ziehen bereits weiter (z.B. Quicktime). Neu ist der Punkt H3, unverschlüsselte Laptops und Datenträger. Mal sehen, ob das bei Ernst & Young jemand zur Kenntnis nimmt.
Das wäre mir ja beinahe entgangen: Max Moser hat sich die Funktastaturen von Microsoft ein wenig genauer angeschaut. Und wie zu erwarten war: Lächerliche Sicherheit.
„Zur Verschlüsselung wurde nur ein einfacher XOR-Mechanismus mit einem 1 Byte langen Schlüssel verwendet. Somit werden lediglich 256 verschiedene Schlüssel generiert, um die drahtlose Verbindung abzusichern. Dabei wird dieser eine Schlüssel so lange verwendet, bis die drahtlose Verbindung der Tastatur neu generiert wird, was üblicherweise selten geschieht.“
Auf deutsch, man kann die Verschlüsselung mit einem handelsüblichen Taschenrechner brechen. Passend fand ich auch den Kommentar vom vom Schnüffelblog: „Tja, der Teufel steckt nicht nur im Innenministerium, sondern auch im Detail.“ 😉
Ich empfehle ja schon seit Jahren, möglichst auf Funktastaturen und -Mäuse zu verzichten und nur wenn es nicht anders geht wenigstens Bluetooth-Geräte einzusetzen.
3. Dezember 2007
„Ganz Deutschland will am Mittwoch die 43 Millionen Euro gewinnen. […] Auch die Franzosen, Niederländer, Dänen, Schweizer und Österreicher stürmen die Annahmestellen in den Grenzregionen. Nur die Polen zeigen sich völlig unbeeindruckt vom Lotto-Jackpot.“ schreibt die Welt
Vielleicht liegt das ja daran, dass die Polen rechnen können. Der Pole Marian Rejewski hat als erster weit vor den Engländern die Enigma geknackt, die umgekehrte polnische Notation geht … genau, auf den Polen Jan Lukasiewicz zurück.
Bei Wikipedia gibt es einen brauchbaren Lotto-Artikel, der sogar die Gewinnwahrscheinlichkeiten enthält. Die Wahrscheinlichkeit, gar nichts zu bekommen liegt bei 98,1% und damit niedriger als bei praktisch allen anderen Glücksspielen. Die Stiftung Warentest hat 1999 das letzte mal die Lotterie-Angebote untersucht und irgendeine Klassenlotterie hat recht gut dabei abgeschnitten. Die Süddeutsche hat einen ganz netten Artikel dazu.
Jedenfalls ist die Wahrscheinlichkeit, dass mein Rechner mit Hilfe einer unbekannten 0-Day-Lücke übernommen wird deutlich größer als im Lotto zu gewinnen.
Jeff Jones ist wieder da. Jeff ist der Komiker, der schon mal aufgefallen ist, als er behauptet hat, Microsoft würde Sicherheitslücken schneller schließen als die Linux-Distributoren. Der Originaltext zum Nachlesen und Lachen findet sich auf csoonline.com.
Diesmal hat er eine Grafik gemalt, nach der Firefox viel unsicherer ist als der Internet Explorer. Schauen wir uns die Werte mal an:
| Browser |
High Security Vuln |
Medium Security Vuln |
Low Security Vuln |
| Firefox (Quick Upgrade) |
73 |
96 |
24 |
| Firefox (Slow Upgrade) |
74 |
94 |
24 |
| Internet Explorer (Quick Upgrade) |
38 |
19 |
4 |
| Internet Explorer (Quick Upgrade) |
42 |
19 |
4 |
Und wenn man sich die nackten Zahlen so anschaut, könnte man tatsächlich meinen, dass der Internet Explorer viel weniger Probleme hat als Firefox. Der komplette Text als PDF findet sich auf der Microsoft Technet Seite.
Natürlich vergleicht Jeff mal wieder Äpfel mit Birnen. Während Microsoft die Lücken nur einmal im Monat schließt und deshalb für 15 Lücken nur einen (übrigens vollkommen intransparenten) Hotfix benötigt, gibt die Mozilla Foundation für jede Lücke direkt ein Update heraus, so dass die Zahl der Lücken natürlich viel größer aussieht. Dazu kommt, dass Microsoft für intern entdeckte Fehler kein Advisory herausgibt, Mozilla jedoch schon. Auch das bläht die Anzahl der Lücken auf. Mike Shaver, der Cheftechnologe der Mozilla Foundation erklärt in seinem Blog alle Schwächen der Zählweise. Danach wäre der Internet Explorer 4 sogar das sicherste Produkt, weil Microsoft in den letzten Jahren keinen einzigen Fix mehr veröffentlichen musste.
Ich frage mich ja langsam ernsthaft, was will Jeff Jones mit diesen leicht zu durchschauenden Kindergartenmethoden erreichen? Ok, er veröffentlicht das auf blogs.csoonline.com, einer Webseite die sich an „Security Executives“ wendet. Also vermutlich Leute, die von praktischer Sicherheit nichts mehr verstehen sondern bei einem harmlosen uralten Denial-of-Service Angriff, den ihr ISO 27001 Auditor vorführt, bereits in Panik verfallen. Aber ist Microsoft wirklich so verzweifelt, dass ihnen nichts besseres mehr einfällt?
Zugegeben, mit einem Punkt hat auch Jeff recht. Microsoft wird besser, was die IT-Sicherheit betrifft. Leider nicht transparenter, aber zumindest etwas sicherer. Das zeigen unter anderem die vermehrt auftretenden Exploits für Quicktime, Flash und Co. Die Angreifer weichen inzwischen auf schwächere Ziele aus.
PS: Ja, ich habe eine ähnliche Tabelle mit genauso unsinnigen Zahlen vor einiger Zeit für Virenscanner gemacht. Nein, ich habe nicht behauptet, Aladdin eSafe wäre deshalb der beste Virenscanner. Vielleicht ist er es, ich weiß es nicht. Ich verwende Avira und F-Secure.
2. Dezember 2007
Fefe würde sagen, Captain Obvious hat wieder zugeschlagen.
In Großbritannien haben mehrere Forscher einen offenen Brief an das Parlament geschrieben in dem sie die Abgeordneten darauf hingewiesen haben, dass Biometrie keine Datenschutz- und Sicherheitsprobleme löst.
Der Brief richtet sich natürlich hauptsächlich gegen die Einführung einer National ID Card in England, die ebenfalls wie in Deutschland mit biometrischen Verfahren ausgestattet werden soll. Trotzdem ist der Brief hervorragend geeignet auch die Lügen der deutschen Politiker zu entlarven.
Biometrische Verfahren in Pass und Personalausweis bringen erst einmal deutlich weniger Sicherheit und erhöhen das Risiko von Identitätsdiebstahl. Besonders kritisch wird es, wenn wie von einigen minderbemittelten Innenpolitikern gefordert, die gesamten biometrischen Daten in einer zentralen staatlichen Datenbank gespeichert werden sollen. Das öffnet Missbrauch Tür und Tor.
Trusted Computing wurde so 2002/2003 groß gehyped. Diverse Hersteller, allen voran IBM bauten TPMs (Trusted Platform Module) in ihre Systeme ein und Microsoft entwickelte unter dem Namen Palladium, später umbenannt in Next Generation Secure Computing Base (NGSCB) die Software dazu. Und niemand wollte es. Der US-Amerikanische Cryptoexperte Lucky Green ließ sich damals sogar extra die Möglichkeit patentieren, DRM mit Hilfe von TPMs zu erzwingen, nachdem Microsoft, IBM & Co behauptet hatten, niemals auf diese Idee zu kommen.
Inzwischen finden sich mehr und mehr Anwendungen für die ein TPM sinnvoll wäre. Angefangen von sicherer Verschlüsselung (damit Schäuble nicht alles ausschnüffeln kann) über digital signierte Programme (z.B. im Vista-Kernel aber für Linux wäre das auch praktisch). Der allgemeine Tenor wenn man heute mit IT-Sicherheitsexperte spricht ist, dass man im Grunde nichts gegen TPM an sich habe. Man möchte diese Technik und die damit verbundenen Möglichkeiten nur nicht in den Fingern von Microsoft sehen.
Vielleicht bietet ein Open Source Projekt einen Ansatz zur sicheren und akzeptablen Umsetzung von Trusted Computing. Leise und still hat sich OpenTC entwickelt und inzwischen (im Juli) auch spannende Software für SuSE Linux veröffentlicht.
Meiner Ansicht nach lohnt es sich, sich die Konzepte und Technologien genauer anzuschauen. Da stecken sehr interessante Ideen drin. Die endgültige Implementierung wird leider noch einige Zeit auf sich warten lassen. Das könnte TeleTrust doch mal fördern, oder?
1. Dezember 2007
Eine coole Idee von Heise: Alle Programme und Tools direkt auf einem USB-Stick immer lauffähig dabeihaben und private und dienstliche Programme getrennt verschlüsselt noch dazu.
Pimp my Stick von Axel Vahldiek
unbedingt lesenswert!
30. November 2007
Windows XP zieht Vista bei sämtlichen Performance Tests die Hose aus. Anscheinend ist Vista noch viel schlechter als gedacht während XP mit dem zukünftigen SP3 sogar noch 10% Geschwindigkeitsgewinn bekommt. Und was sagt Microsoft dazu?
Microsoft admits that the launch has not gone as well as the company would have liked. „Frankly, the world wasn’t 100 percent ready for Windows Vista,“ corporate vice president Mike Sievert said in a recent interview at Microsoft’s partner conference in Denver.
Interessante Sicht … auf die Idee, das Vista nicht 100% „ready“ gewesen sein könnte kommt bei Microsoft offensichtlich niemand mehr. Schon krass.
Alle Details bei CNet.
Das Wochenende kristallisiert sich langsam als Spaßtag heraus 😉 Heute deshalb ein paar Lieder für Programmierer
Write in C
When I find my code in tons of trouble,
Friends and colleagues come to me,
Speaking words of wisdom:
„Write in C“
As the deadline fast approaches,
And bugs are all that I can see,
Somewhere, someone whispers:
„Write in C.“
Write in C, write in C,
Write in C, oh, write in C.
LOGO’s dead and buried,
Write in C.
I used to write a lot of FORTRAN,
For science it worked flawlessly.
Try using it for graphics!
Write in C.
If you’ve just spent nearly 30 hours,
Debugging some assembly,
Soon you will be glad to
Write in C.
Write in C, Write in C,
Write in C, yeah, Write in C.
BASIC’s not the answer.
Write in C.
Write in C, Write in C,
Write in C, oh, Write in C
PASCAL won’t quite cut it.
Write in C.
Write in C, write in C,
Write in C, yeah, write in C.
Don’t even mention COBOL,
Write in C.
And when the screen is fuzzy,
And the editor is bugging me,
I’m sick of ones and zeroes,
Write in C.
A thousand people swear that T.P.
Seven is the one for me.
I hate the word PROCEDURE,
Write in C.
Write in C, write in C,
Write in C, yeah, write in C.
PL1 is 80’s,
Write in C.
Write in C, write in C,
Write in C, oh, write in C.
The government loves ADA,
Write in C.
(Melodie „Let it be“)
Yesterday
Yesterday, all those backups seemed a waste of pay.
Now my database has gone away – Oh I believe in yesterday.
Suddenly, there’re not half the files there used to be.
Now’s a milestone hanging over me – The system crashed so suddenly.
I pushed something wrong, what it’s been I couldn’t say.
Now all my data’s gone and I long for yesterday-ay-ay-ay.
Yesterday, the need for backups seemed so far away.
I thought my data allways here to stay – Now I believe in yesterday !
(Melodie „Yesterday“)
American Pie Hacker Style
Long, long, time ago, I can still remember
How UNIX used to make me smile…
And I knew that with a login name
That I could play those unix games
And maybe hack some programs for a while.
But February made me shiver
With every program I’d deliver
Bad news on the doorstep,
I couldn’t take one more spec…
I can’t remember getting smashed
When I heard about the system crash
And all the passwords got rehashed
The Day That UNIX Died…
And I was singing:
Chorus:
Bye, bye, nroff, rogue and vi
Gave my program to Phil Levy but Phil Levy was high,
The boys on the board were sayin‘ „kill this, goodbye.“
Singin‘ this’ll be the day that I die…
This’ll be the day that I die
Did you write the new games shell
And do you have faith in the manual?
If b:dennie tells you so…
Well, do you believe in UNIX C
Can hacking save you memory
And can you tell me why vi’s so slow
Well, I know that you’re in love with C
‚Cause I saw your code on UNIX B
You just kicked off your shoes
Man, you cleaned up every kludge!
I was a lonely young computer geek
With a program due ‚most every week
But I guess that I was meant to freak
The Day That UNIX Died
And I was singin:
(chorus)
Well, for ten weeks we’ve been in this class
The professor really is an ass.
But that’s not how it used to be…
When Ira Pohl taught in CIS 12
And user limits could go to hell
And there was still space on UNIX C.
And while the board was looking ‚round
The Chancellor brought the budget down
The classes were adjourned
Evaluations weren’t returned
And while Huffman read a book by Pohl
The CIS board made some prof’s heads roll
And we wrote programs that weren’t whole
The Day That UNIX Died
And we were singin’…
(chorus)
Helter skelter in the summer swelter
I went in the lab to find some shelter
Ninety degrees and risin‘ faaaaaasst!!!
C stayed up for ten whole days
The hackers really were amazed
Wonderin‘ how long it all would last.
Well, both the forums were really great
Nobody got us all irate
We had a stroke of luck
The system did not duck
‚Cause the hackers kept their code real clean
The UNDR-shell was really keen
Do you recall what was the scene
The Day That UNIX Died
And we were singin…
(chorus)
Our programs were all in one place,
UNIX had run out of space
With no time left to start again…
So, Jack be nimble, Jack be quick,
Use every programming trick
‚Cause UNIX may soon crash again…
And as I watched the system fill
My login process would be killed.
The system just went down
Consternation up at Crown“!!!
The hours went on into the night
And all that we could do was rite
I saw Dennie laughing with delight
The Day That UNIX Died
And he was singin’…
(chorus)
I met a girl who sang the blues
And I asked her for some stat lab news
But she just cursed and said „grow up“
I went down through the stat lab door
Where I’d learned of UNIX years before
But the man there said that UNIX wasn’t up
And in the halls the students screamed,
The majors cried and the hackers dreamed,
But not a word was spoken
The Vaxes all were broken
And the three folks I admire most
The Father, Frank, and a. G.’s ghost
They caught the last train for the coast
The Day That UNIX Died
And they were singin…
So bye, bye, nroff, rogue and vi
Gave my program to Phil Levy but Phil Levy was high.
The boys on the board were sayin‘ „kill this, goodbye“
Singin‘ this’ll be the day that I die…
(Melodie „American Pie“)
29. November 2007
Ich habe eine ganze Weile überlegt, was ich darüber schreiben will. Irgendwie beschäftigt und vor allem beunruhigt mich der Fall doch mehr als mir lieb ist. Darum der Eintrag.
Die Vorgeschichte
Hushmail bietet seinen Kunden sichere, verschlüsselten E-Mail, mit dem Slogan „Free Email with Privacy“. Der Nutzer lädt sich dazu ein Java-Applet auf seinen Client, dort wird die Mail verschlüsselt und nur die verschlüsselte Mail landet auf den Mailservern von Hushmail. Der Dienst verwendet starke Verschlüsselung und bewährte Algorithmen und Protokolle wie AES und OpenPGP. Aus diesem Grund wird Hushmail auch von Sicherheitsexperten und Privacy-Anwälten weltweit empfohlen und eingesetzt. Allerdings gibt es eine zweite Variante der Verschlüsselung, weil es einigen Nutzern zu mühsam war, das Java-Applet auf ihren Rechner zu installieren. Dabei erfolgt die Verschlüsselung serverseitig auf den Rechnern von Hushmail.
Der Fall
Wie u.a. The Register und Wired berichtet, wurde Hushmail jetzt per Gericht gezwungen, die Verschlüsselung soweit aufzubrechen, dass Beweisdaten für den illegalen Handel androider Steroide (also Dopingmittel) dem Gericht im Klartext vorliegen. In diesem Fall wurde vermutlich die serverseitige Verschlüsselung so modifiziert, dass die privaten Verschlüsselungskeys einzelner überwachter Nutzer im Klartext abgespeichert werden, so dass eine Entschlüsselung aller Nachrichten und E-Mails trivial möglich ist.
„The key point, though, is that in the non-Java configuration, private key and passphrase operations are performed on the server-side. This requires that users place a higher level of trust in our servers as a trade off for the better usability they get from not having to install Java and load an applet,“ sagte Brian Smith, CTO von Hushmail gegenüber The Register.
Anders ausgedrückt … wer einem serverseitigen Dienst die Verschlüsselung von Daten anvertraut, ist selbst schuld. Der Server kann kompromittiert worden sein und Hacker können Zugriff auf alle Daten erhalten. Der Server kann per Gerichtsbescheid von Behörden überwacht werden ja es wäre sogar denkbar, dass die Betreiber eines solchen Dienstes selbst nicht ganz koscher sind. Wired stellt konkret die Frage:
„But can the feds force Hushmail to modify the Java applet sent to a particular user, which could then capture and sends the user’s passphrase to Hushmail, then to the government?“
Die verwendete Java-Architektur lässt das zumindest technisch zu. Hushmail hat zwar den Source Code des Java-Applets veröffentlicht, aber ob das tatsächlich von Hushmail angebotene Applet aus diesem Source Code kompiliert wurde ist schwer festzustellen. Natürlich gibt es Java Decompiler, z.B. den DJ Java Decompiler den ich selbst gern verwende. Allerdings ist der Source Code manchmal nur schwer zu verstehen und Hintertüren können unter Umständen sogar im Zufallszahlengenerator versteckt sein.
Für den Nutzer stellt sich die konkrete Frage, kann man Hushmail in Zukunft noch trauen oder nicht.
Das Fazit
Der staatliche Trend, Nutzer immer weiter ausspähen zu wollen ist ungebrochen. Die folgende Tabelle soll ein paar Ideen geben, wo es gerade hingeht:
Es kann nicht mehr lange dauern, dann wird der Versuch, seine Privatsphäre zu erhalten bereits strafbar. Der Trend ist jedenfalls klar erkennbar. Ausgenommen sind übrigens nur Priester, Strafverteidiger und Abgeordnete. Hat eigentlich mal jemand die Straffälligkeitsquote bei Bundesinnenministern untersucht? Die muss deutlich über dem Bundesdurchschnitt liegen. Mir fallen da spontan Kanther (Spendenaffäre), Schily (Verfassungsbruch, Nebenverdienst) und Schäuble (schwarze Koffer) ein. 20%, das ist eine krasse Quote.
