10. Oktober 2007

Cisco und Scada

Category: Produkte,Produktion,Work — Christian @ 21:27

Cisco löst seine Forschungsgruppe zu Scada-Security auf. Außer ein paar BGP-Tools ist nicht so viel rausgekommen, das meiste ist eh Open Source. Aber es gibt ein paar nette Links zu den relevanten Tools:

Ich werde mir das eine oder andere mal demnächst anschauen.

(via Heise)

9. Oktober 2007

Links zu Security-Konferenzen

Category: Allgemein,Work — Christian @ 02:57

Ein paar Konferenz-Links

Reihenfolge wie üblich ohne Wertung

8. Oktober 2007

Windows XP SP3 enthält Vista-Funktionen

Category: Produkte — Christian @ 23:15

behauptet The Inquirer. Ich weiß noch nicht, ob das eine gute Idee ist. Egal, ich muss es ja erst einmal nicht installieren …

Nochmal UK

Category: Datenschutz,Politik — Christian @ 19:57

Heise hat auch schon mit einer Woche Verspätung gemerkt, dass Reisen in die UK keine gute Idee mehr sind. Immerhin liefern sie den Link zum Gesetz sowie die Empfehlung TrueCrypt mit.

7. Oktober 2007

BSI wegen StGB 202c angezeigt

Category: Allgemein — Christian @ 00:40

TecChannel hat das BSI angezeigt, da auf der Webseite des BSI die BOSS-CD u.a. mit Nmap und Nessus zum Download angeboten wird.

Die Staatsanwaltschaft in Bonn (Sitz des BSI) hat nun zwei Möglichkeiten:

  • Der Anzeige wird NICHT stattgegeben, weil das BSI nach Meinung der Staatsanwaltschaft keine strafbare Handlung begeht

  • Der Anzeige wird STATTGEGEBEN, und die Ermittlungen gegen Unbekannt werden aufgenommen, weil der Verdacht besteht, dass hier eine strafbare Handlung vorliegt.

Sehr schön.

(via Fukami)

6. Oktober 2007

Buffer Overflow in Check Point SecurePlatform

Category: Allgemein — Christian @ 22:20

Der spanische Sicherheitsexperte Hugo Vazquez Carames hat eine Dokumentation (PDF) veröffentlicht die zeigt, dass in einigen Command-Line-Tools von Check Point auf SecurePlatform (Linux) Buffer Overflows existieren. Die Bewertung der Lücken ist jedoch nicht so ganz klar.

Zum einen wird die Gefahr dieser Exploits stark überschätzt. Um den Pufferüberlauf nutzen zu können, muss man bereits auf SecurePlatform angemeldet und Firewall-Administrator sein! Die Firewall selbst lässt sich daher auch ohne den Exploit kompromittieren. Der einzige Gewinn den der Exploit bringt ist, dass man aus der beschränkten Umgebung der Check Point Restricted Shell (cpsh) in die freie Umgebung der Bash fällt. Ok, die Kompromittierung ist dann noch etwas heftiger und subtiler aber der Schaden war vorher schon da. Und gut, wenn es Unternehmen geben sollte die einzelnen Administratoren nur den beschränkten Zugang gibt und nicht die Bash, dann könnte tatsächlich ein potentielles Risiko bestehen.

Andererseits stellen die Spanier durchaus berechtigt die Frage, wie es bei solchen Problemen zu einer Common Criteria EAL 4+ Zertifizierung kommen konnte. EAL 4+ sieht eine Reihe von Vorkehrungen, z.B. einen verifizierten Entwicklungsprozess und detaillierte Sicherheitsüberprüfungen vor, die eigentlich eine große Zahl dieser Fehler hätten verhindern sollen. Leider ist das nicht passiert.

Gut, die Spanier sind jetzt auch nicht so die Profis. Die konnten nicht beurteilen, ob es einen Weg gibt die Lücke auch Remote auszunutzen. SecurePlatform implementiert immerhin diverse Schutzfunktionen wie nicht ausführbarer Stack und Heap, Address Space Layout Randomization sowie ASCII Armor.

Check Point hat weiter Informationen zum Problem in SK33639  hinterlegt, aus meiner Sicht handelt es sich jedoch erst einmal um ein Non-Issue.

Bei Securityfocus ist die Lücke als BID 25886 registriert. Heise hat auch eine Meldung.

5. Oktober 2007

Storm Worm

Category: Hacking,Internet — Christian @ 20:12

Der Storm Worm bildet inzwischen das größte globale Botnetz aller Zeiten mit 1,8 Millionen kompromittierten Maschinen. Peter Gutman (ja, der mit der Vista-Kritik) hat errechnet, dass die Leistung des Botnetzes locker die der größten Supercomputer übertrifft.

Bruce Schneier hat eine Analyse des Storm Worm zusammengefasst. Er spricht von der Zukunft des Schadcodes.

  1. Der Wurm ist geduldig. Er greift nicht permanent an sondern führt einige Angriffe durch und versteckt sich dann wieder um nicht erkannt zu werden.
  2. Der Wurm verwendet Aufgabenteilung wie in einem Ameisenhaufen. Einige Instanzen verbreiten den Wurm weiter, andere dienen als Kontrollzentren, die restlichen warten auf Anweisung. Dadurch wird der Wurm immun gegen das Abschalten einzelner Systeme.
  3. Storm verursacht keine spürbaren Schäden an komprimittierten Systemen. Die Anwender merken keine Änderung im Verhalten, das einen Administrator alarmieren könnte.
  4. Der Storm Wurm verwendet zur Kommunikation Peer-to-Peer Funktionen statt eines zentralen Servers. Auch dadurch wird es fast unmöglich, den Wurm auszuschalten.
  5. Die Kontrollsysteme sind nicht nur durch Peer-to-Peer Techniken geschützt, sie verstecken sich auch im DNS durch „Fast Flux“, d.h. ständig wechselnde DNS-Einträge.
  6. Die Schadroutinen von Storm verändern sich durch Code-Morphing automatisch, was eine Erkennung durch Virenscanner erschwert, da feste Signaturen nicht verwendet werden können.
  7. Die Verbreitungsverfahren des Wurms werden auch ständig angepaßt. Per Mail, als Einladung zu einer Webseite, über Lücken im Browser … sobald eine Lücke geschlossen wird, greift der Wurm auf eine andere zu.
  8. Die zur Verbreitung verwendeten E-Mails, sowohl Subject als auch Inhalt werden ständig an aktuelle Ereignisse angepasst. Wenn die NFL eröffnet werden Tickets angeboten, bei schweren Stürmen Wetterinformationen, etc.
  9. Der Wurm greift gezielt Anti-Spam-Seiten an, die seine Verbreitung behindern sowie Forscher, die ihn analysieren. Damit soll das Wissen über den Wurm beschränkt werden, um die Ausbreitung nicht weiter zu gefährden.

Eigentlich bestätigt das nur, was ich seit geraumer Zeit in meinen Vorträgen erzähle. Schadprogramme werden von organisierten Banden geschrieben und nicht mehr von gelangweilten Jugendlichen im elterlichen Kinderzimmer.

Nur F-Secure ist anderer Meinung.

4. Oktober 2007

Why you should protect your wireless network with WPA

Category: Hacking — Christian @ 21:05

ohne weitere Worte

3. Oktober 2007

Blu-Ray BD+

Category: Allgemein — Christian @ 19:11

Das in Blu-Ray verwendete Digitale Restriktionsmanagement (DRM) rüstet auf. Während gleichzeitig Apple im iTunes-Store anfängt, MP3 ohne Kopierschutz zu verkaufen, glaubt also die Hollywood-Filmindustrie immer noch, dass sie mit kastrierten Medien Nutzer ködern können.

Die technische Umsetzung ist unabhängig davon jedoch recht interessant.

BD+ verwendet weiterhin die inzwischen bekannten und u.a. von Slysoft gehackten Verschlüsselungsverfahren, ergänzt es jedoch um eine interessante Komponente. Alle BD+-Player müssen eine Virtual Maschine implementieren, die gestartet wird wenn ein Medium eingelegt wird. Die Virtual Maschine kann 100 Befehle und lädt weiteren Code direkt von der BD+-Disk. Und jetzt wird es spannend, denn der zusätzliche Programmcode kann mehrere Funktionen erfüllen:

  1. Der Programmcode kann weitere Funktionen zur Dekodierung des Videostroms enthalten, z.B. eine weitere Form der Verschlüsselung oder auch nur eine Kodierung die das direkte Auslesen erschwert. Da der Programmcode mit der Disk mitgeliefert wird, kann jede Disk mit einem anderen Algorithmus kodiert werden. Außerdem können Wasserzeichen eingefügt werden, um die Herkunft von Raubkopien im Internet zu ermitteln.
  2. Das Programm kann die Integrität des Players verifizieren und bei einer gehackten oder nicht autorisierten Firmware das Abspielen verhindern. Der HD-DVD-Player der XBox 360 wurde beispielsweise durch ein Firmware-Update gehackt, solche Verfahren wären zukünftig wirkungslos.
  3. Nativer Programmcode kann in das System des Players geladen werden und damit die komplette Kontrolle über den Player außerhalb der Virtual Maschine übernehmen. Damit ist praktisch alles möglich.

Das traurige ist, dass eigentlich jedem längst bewusst ist, dass diese Maßnahmen scheitern werden. Kultur lässt sich nicht in verschlüsselte Flaschen wegsperren, ansonsten entsteht einfach eine neue Form der Kultur. Längst wären neue Geschäftsmodelle und ein neuer Ausgleich der Rechte von Kulturschaffenden, Rechteverwertern und Nutzern notwendig, leider haben die Rechteverwerter, das sind die, die im Schaffungsprozess am wenigsten beitragen, die stärkste Lobby.

Die weiteren Details findet man bei Ars Technica.

2. Oktober 2007

UK verlangt Verschlüsselungskeys

Category: Datenschutz,Politik — Christian @ 23:56

In Großbritannien ist Anfang Oktober ein neues Gesetz in Kraft getreten, dass es alle Verdächtige verpflichtet, ihre Verschlüsselungskeys den Strafverfolgungsbehörden auszuhändigen.

Oder, wie The Inquirer schreibt: „Under part three, Section 49 of the Regulation of Investigatory Powers Act (RIPA) if Inspector Knacker of the Yard knocks on your door and wants to have a snuffle on your hard drive and finds a blob of encrypted code he can make you decode it.“

Für das Verweigern droht bis zu 5 Jahren Haft. Userfriendly.org stellt die möglichen Konsequenzen in einem Comic dar.

Wir brauchen dringend wirksame Deniable Encryption.

« Vorherige Seite  Nächste Seite »