Der Springer-Verlag ist schon krass. Während alle seriösen Online-Medien in den letzten Tagen externe Experten (z.B. vom CCC) an Bord geholt haben und die Kritik am Vorgehen Schäubles von allen Seiten mit Ausnahme der CSU zunimmt, kommt kaum ein Wort der Kritik auf die Seiten des Springer-Verlags. Ich wusste ja, dass Springer unbeirrt hinter Schäuble her rollt, aber so extrem habe ich das nicht erwartet. Eigentlich sollte man die gar nicht verlinken.
Na gut, das kommt vor. Eigentlich ist das auch keine Nachricht wert. Ich hab’s zufällig bei The Register gelesen.
Aber es gibt ein Video auf YouTube bzw. hier die hochauflösende Fassung (17,1 MB .mov) von jemandem, der auf die Seite geklickt und die Malware analysiert hat:
Manchmal bin ich selbst überrascht, wenn sich eine Firewall anders verhält, als ich das seit geraumer Zeit angenommen aber eben nie wirklich getestet habe. Gleichzeitig ist das ein Musterbeispiel wie die optische Wahrnehmung die Vorstellung über eine Funktion beeinflussen kann. Heute: Check Point FireWall-1 Implied Rules und Site-to-Site VPN.
Folgendes Szenario:
Ein VPN Remote Access User möchte sich über die linke Firewall mit einem Server im Netz der Filialniederlassung verbinden. Der VPN-User wird von der linken Firewall mit Hilfe eines LDAP-Servers in der Zentrale authentisiert. Zwischen Filiale und Zentrale gibt es ein VPN. Die Konfiguration ist relativ einfach. Zuerst das Site-to-Site VPN von Filiale zu Zentrale einrichten, wahlweise als Simplified oder Tradional VPN. Anschließend eine LDAP Account Unit konfigurieren und testen. Anschließend Konfiguration des Remote Access VPNs und der LDAP-Gruppe und Installation der Policy. Der folgende Screenshot zeigt die Konfiguration:
Sobald die Policy installiert ist, passiert folgendes: Die Anfragen an den LDAP-Server in der Zentrale werden nicht mehr verschlüsselt im VPN-Tunnel sondern plötzlich im Klartext am VPN-Tunnel vorbei übertragen. Sehr seltsam. Wenn man sich die impliziten VPN-Regeln und die regulären Implied Rules anschaut sieht man, dass oben eine implizite VPN-Regel existiert mit der Action „Encrypt & Continue“ und weiter unten eine implizite Regel für ldap zur Kommunikation mit dem LDAP-Server existiert. Die relevanten Regeln sind farbig hervorgehoben:
Die stillschweigende Annahme dieser Darstellung ist, dass wenn zuerst verschlüsselt wird und anschließend ldap erlaubt wird, die LDAP-Anfrage ebenfalls verschlüsselt wird. Das ist leider falsch. In der Check Point SecureKnowledgeBase gibt es dazu einen Artikel #sk26059, der sich mit der Thematik beschäftigt:
Solution: Remove all LDAP queries from the Control Connections and manually define these connections in the Rule Base as encrypted.
Dazu muss auf dem Management Server die Datei $FWDIR\lib\implied_rules.def editiert werden. Die Zeilen
#define enable_ldap_queries { \
all@all accept \
src in firewalled_list, \
<dst,dport> in ldap_servers_list, \
set sr3 0, RECORD_CONN(0xffffff0b); \
}
müssen zu
#define enable_ldap_queries 0
geändert werden. Danach wird LDAP nicht mehr in den impliziten Regeln berücksichtigt und die Verschlüsselung des VPN-Tunnels greift wieder.
Die Alternative zum Editieren von def-Dateien ist in #sk15983 beschrieben. Hier wird empfohlen, die Control Connections statt „first“ als „before last“ bearbeiten zu lassen. Das ist in NGX leider nicht mehr möglich und hat auch den Nachteil, dass dann keine brauchbare Stealth Rule zum Schutz der Firewall mehr konfiguriert werden kann. Also eigentlich auch keine Alternative.
Was ich mir wünschen würde, ist eine Konfigurationsseite in der man auswählen kann, welche Dienste denn in den Implied Rules enthalten sein sollen. So ist das ganz schon ein wenig intransparent, wenn man die Programmdateien von Check Point nicht lesen will.
Und warum fällt mir so etwas in der Praxis eigentlich nicht eher auf? Ganz einfach, wir empfehlen allen Kunden sehr dringend, solche Anfragen an einen LDAP-Server nicht im Klartext mittels ldap sondern verschlüsselt mit LDAP über SSL durchzuführen. Bei Active Directory, das die meisten mittelständischen Firmen einsetzen, ist das recht einfach zu lösen. LDAP über SSL ist von Haus aus eingebaut und muss nur mit passenden Zertifikaten eingerichtet werden. Und wenn man die Implied Rules genau anschaut dann sieht man, dass nur ldap in der impliziten Regel enthalten ist, nicht jedoch LDAP über SSL.
Mit speziellem Dank an Christian B., der mich durch seine unablässigen Fragen überhaupt erst dazu gebracht hat, das auch mal zu testen.
Die begründete Kritik des Stern diffamiert die FAZ leider mit dem Kommentar, die Nachfolger Henry Nannens üben sich im Widerstand. Dabei hat der Stern nicht unrecht mit diesem Kommentar:
Der Innenminister: das ist der Mann, der „das Geschäft der Terroristen besorgt, indem er die freiheitliche Gesellschaft so abschnürt, dass die Freiheit stirbt“.
Also eigentlich will ich ja Politik weitgehend aus diesem Blog heraus halten, es soll schon weiterhin um IT-Security gehen, aber manchmal überschneidet sich das einfach zu sehr. Das Bundesinnenministerium bekommt zur Zeit schließlich von allen auf den Deckel, denn weniger Kompetenz in IT-Fragen geht eigentlich kaum noch. Inzwischen sind ein paar Dokumente bekannt geworden und von netzpolitik.org veröffentlicht, was sich das Bundesinnenministerium da so vorstellt. Ein paar Zitate will ich hier heraus greifen:
„Es gibt eine Vielzahl von Einbringungsmöglichkeiten, die nunmehr auf Tauglichkeit für den jeweiligen Einsatz überprüft und eventuell angepasst werden müssen. Grundsätzlich ist dabei die unwissentliche Mitwirkung der Zielperson notwendig, um einen Entdeckung der Maßnahme zu verhindern. Eine generelle Aussage zur genauen Einbringungsmethode ist nicht möglich […]“
Aha, die erwarten also wirklich, dass der dumme User auf ein Attachment klickt und dann den Trojaner selbst installiert. Ich dachte ja eher an verdeckt in eine Wohnung eindringen, den Rechner aufschrauben, den Trojaner auf der Platte installieren und dann heimlich wieder abhauen, also so richtig coole Stasi-Methoden. Anscheinend ist das mit dem Einsteigen in die Wohnung aber eine größere Verfassungsänderung, also muss das wohl anders passieren. Ich fürchte ja, bei Beckstein und Co. dürfte das auch klappen. Aber Politiker sollten nicht immer von ihrem beschränkten Wissen auf andere schließen.
„Die gewonnenen Ergebnisse werden so lange verschlüsselt auf dem informationstechnischen System zwischengelagert, bis eine Internetverbindung durch die Zielperson hergestellt wird. Bei aktiver Internetverbindung werden die verschlüsselten Daten auf einen von den Sicherheitsbehörden genutzten Server übertragen.“
Hihi, also wäre eine einfache Möglichkeit sich gegen den Bundestrojaner zu schützen, einfach die Festplatte zumüllen. Dann ist kein Platz für die Zwischenspeicherung. Mein DSL-Router protokolliert übrigens alle ein- und ausgehenden Verbindungen mit, die Protokolle werden auch zeitnah ausgewertet. Da fällt das auf, wenn plötzlich größere Datenmengen verschoben werden. Die rechnen echt nur mit dem dümmsten anzunehmenden User.
„Das Versenden von E-Mails unter dem Namen einer anderen Behörde wäre mit großen Risiken verbunden und könnte nur in begründeten Ausnahmefällen in Absprache mit der betroffenen Behörde zum Einsatz kommen.“
Das klingt doch super und die Tagesschau hat das schön visualisiert. Ich kommuniziere ja ab und zu digital mit Behörden. Ich lasse mir jetzt von allen schriftlich mit Vertragsstrafe versichern, dass sie mir keinen Bundestrojaner schicken und mich sofort informieren, wenn das BKA auf sie zukommt. Wäre lustig, wenn das alle Bürger so machen würden 🙂 Krass ist jedoch, dass sie damit e-Government quasi komplett einstellen können. Wer vertraut denn noch so einer Regierung?
„Grundsätzlich bestehen folgende Umgehungs/-Überwindungsmöglichkeiten (Anm.: für Verschlüsselung):
„Abzweigen“ der Klar-Information vor bzw. nach Ver-/Entschlüsselung
Verwendung von absichtlich „geschwächten“ Verschlüsselungsprodukten
treuhänderische Hinterlegung von kryptographischen Schlüsseln („key escrow“)
Zugriff auf im System gespeicherte oder über Tastatur eingegebene Schlüssel durch Einsatz von „Sniffer“-Software“
Sie haben aber erkannt, dass 2 und 3 zur Zeit politisch nicht durchsetzbar sind. Das erinnert mich an den SchlAG von Andreas Pfitzmann. Unbedingt lesen, sehr intelligent geschrieben.
„Ausgeschlossen werden kann, dass Daten auf dem Zielsystem durch den Einsatz der RFS manipuliert werden, da der Einsatz umfangreich und nachvollziehbar dokumentiert wird.“
Das kenne ich von anderen Softwarefirmen. Sicherheitsrisiken können natürlich komplett ausgeschlossen werden. Vielleicht lassen sie die Software von Microsoft entwickeln?
„Speziell wird sichergestellt, dass die Software nicht ohne erheblichen Aufwand dazu veranlasst werden kann, an einen anderen Server als den vom Bundeskriminalamt verwendeten zurückzumelden, und dass die Software weder von außen erkannt noch angesprochen werden kann.“
Aha.
„Die Durchführung einer Online-Durchsuchung soll ebenfalls lückenlos dokumentiert werden. So werden die Einbringung der RFS auf den Zielrechner, jeder Remote-Zugriff auf den Zielrechner, alle Befehle für den Zielrechner und die Übertragung der Daten vom Zielrechner protokolliert.“
Verstehe ich jetzt nicht. Grad eben hat das Bundesinnenministerium doch noch behauptet, dass die Software von außen weder erkannt noch angesprochen werden kann. Aber Remote-Zugriff ist doch möglich? Werden die beschlagnahmten Drogen denn nicht vernichtet sondern im BMI verbraucht? Und wie wollen die protokollieren, wenn die Festplatte z.B. voll ist? Wird dann nicht durchsucht?
„Das Bundeskriminalamt hat beim (verdeckten) Zugriff auf das informationstechnische System kein Interesse an der Kenntnisnahme etwa von Krankheitsberichten, Tagebüchern oder Liebesbriefen. Von Interesse sind vielmehr allein ermittlungsrelevante Informationen zu Terroristen und Extremisten, […]“
Terroristen und Extremisten. So wie in der Definition des StGB § 129a, da fällt der CCC vermutlich jetzt auch schon drunter. Wegen organisierter Verstöße gegen StGB § 202c. In wenigen Jahren sind Filesharer dann auch Extremisten, das kennen wir von anderen Beispielen wie dem Kontozugriff oder der Autobahnmaut.
„Bei der hier in Rede stehenden RFS handelt es sich nicht um eine „Spionagesoftware“, sondern um ein technisches Mittel zur Datenerhebung.“
Stimmt. Back Orifice ist auch kein Backdoor-Programm sondern ein Remote-Administrationstool. Ich frage mich ja, wenn das BMI dieses Teil auf meinem Rechner installiert und ich das finde und für einen Hackerangriff verwende, muss dann der Bundesinnenminister wegen Zugänglichmachung der „Hackingtools“ nach § 202c in den Knast?
„Abgesehen davon, dass das Entdeckungsrisiko als solches als gering einzustufen ist, wäre eine anschließende Manipulation im Vergleich zu anderen Möglichkeiten der Nutzung von frei verfügbarer Schadsoftware extrem aufwendig.“
Schon, aber das hat noch nie jemanden abgehalten, z.B. das iPhone freizuschalten oder die XBox zu hacken. Ein wenig naiv ist die Vorstellung der Beamten da schon.
„Die Sicherheitsbehörden und das Bundesministerium des Innern verfügen grundsätzlich über genügenden Sachverstand. [Anm.: bei der Konfiguration von Online-Durchsuchungen].“
Sehr schön ist folgende Feststellung der SPD-Fraktion:
„Damit einher geht eine Umwertung der bisherigen Sicherheitspolitik. Die Sicherheitsbehörden und das BSI machen das Netz nicht sicherer, sondern im Gegenteil: Es gibt ein staatliches Interesse, „Hintertüren“ in Betriebs- und Anwendungssysteme zu nutzen oder sogar „einzubauen“. Hinzu kommt, dass wenn die deutschen Sicherheitsbehörden heimlich auf Rechner zugreifen können, dass dies dann auch Dienste anderer Staaten können.“
Da scheint jemand tatsächlich einen Teil der Problematik auf den Punkt gebracht zu haben.
Naja, warten wir ab … Sony hat sich bei so etwas ähnlichem schon mal eine blutige Nase geholt.
Angeblich öffnet Skype auf Linux ein paar merkwürdige Dateien wie /etc/passwd (vermutlich nicht merkwürdig) und durchsucht das Firefox-Homeverzeichnis. Naja, das Password-File muss jedes Programm lesen, das für eine User-ID einen Loginnamen und ein Homeverzeichnis benötigt (wenn es sich nicht auf Environment-Variablen verlassen will) und im Firefox-Verzeichnis finden sich halt auch so sinnvolle Sachen wie Proxy-Einstellungen, die Skype braucht um ins Internet zu kommen. Erstmal harmlos soweit. Im Skype-Forum wird das auch relativ sachlich diskutiert.
Nur leider ist Skype nicht zum ersten Mal auffällig geworden. Ein Serientäter sozusagen. Bei Pagetable zum Beispiel mit einer Routine zum Auslesen des BIOS. Der Inquirer hat das dann verbreitet. Genutzt wurde so etwas zum Beispiel, damit nur Intel- und nicht AMD-Anwender in den Genuss der 10er-Konferenz kommen. Sogar Kaspersky hat zu Skype ein paar nette bunte Bildchen gemalt. Zwar nach dem Motto: haben wir keine Fakten, machen wir halt eine Umfrage. Aber sieht immerhin cool aus.
Ein Forum-Teilnehmer bringt die Skype-Misere zum Abschluss noch schön auf den Punkt:
What is so bad about Skype:
Skype has been taken over by eBay for an ludicrous amount
eBay has a history of cooperating with federal agencies far beyond the law
Skype is using far more protection against reverse engineering than any software I am aware of
Kazaa claimed not to be spyware but was found to be later. Skype has been developed by the very same people.
Die KeeLoq-Technik, in vielen elektronischen Autoschlüsseln verwendet, sieht gerade dem Untergang entgegen. Mit 50 Dual-Core Rechnern lässt sich ein Schlüssel in zwei Tagen errechnen, hat Heise berichtet.
Researchers from the university of Leuven, Belgium, in cooperation with colleagues from Israel have found a way to break the code. The algorithm used to be secret, but last year there was a leak. The researchers started to analyse the weaknesses and were able to break the code in one hour. Normally it would take dozens of years. Their paper asserts that „KeeLoq is badly broken“, to the point that „Soon, cryptographers will all drive expensive cars“.
Bei RFID-Tags von Texas Instruments ist das schon länger der Fall, aber der Hersteller kann natürlich kein Problem erkennen. Deshalb wollte man in der Autoindustrie wohl weg von RFID und hin zu neueren Techniken. Die sind nur leider auch nicht viel besser.
Naja … wenn früher irgendwelche Kids mit Laptops auf dem Parkplatz herumsaßen, wollten sie ins WLAN einbrechen. Jetzt wollen sie vermutlich die Autos klauen.
Ein spannendes neues Social Engineering Tool hat Petko D. Petkov (auf Security-Mailinglisten als pdp (architect) bekannt) veröffentlicht, das PKI Book.
Nach Eingabe einer Domain kann man alle in der PGP Datenbank des MIT (pgp.mit.edu) registrierte Benutzer mit einer E-Mail Adresse aus dieser Domain finden. Diese Daten werden anschließend mittels Yahoo! Pipes gegen das MySpace Social Network abgeglichen. Interessant dabei ist, wenn ein PGP-Key mit einer Firmen E-Mail Adresse und einer privaten Mailadresse verbunden ist. PKI Book findet dann nämlich auch das MySpace-Profil das mit der privaten Adresse erstellt wurde.
Der nächste Schritt ist dann, den Nutzer zu unserer Freundesliste hinzuzufügen und schon kann das Social Engineering beginnen … 🙂
