26. August 2007
Immer wieder gut: Bullshit Bingo.
Einfach die von Pressesprechern verbreiteten Ausreden ankreuzen und wenn fünf in einer Reihe erfüllt sind, eine Mail an christian@mitternachtshacking.de schicken.
| Das wird nur zur Abwärts- kompatibilität benötigt |
Nichts ist 100% sicher |
Sie werden sicher von einem Mitbewerber bezahlt |
Wir sind vollständig ISO 9001 zertifiziert |
Unsere proaktive Sicherheitslösung verhindert das |
| Wir wussen bereits davon |
Sie verletzen damit den DMCA |
Wir beschäftigen Top-Sicherheits- experten |
Wir erfüllen alle gesetzlichen Sicherheits- anforderungen |
Wer würde schon nach so einer Lücke suchen |
| Das ist ein rein akademischer Angriff |
Das Problem wird im nächsten Release behoben |
Wir sind ISO 27001 zertifiziert |
Sie verstehen den Zusammenhang nicht |
Wir erfüllen alle relevanten Standards |
| Das ist ein Feature für unsere Nutzer |
Wir nehmen IT-Sicherheit sehr ernst |
Niemand hat bisher irgendwelche Probleme gesehen |
Wir beantworten Fragen zur IT-Sicherheit nicht |
Hier liegt ein Interessenkonflikt vor |
| Unsere Mitarbeiter sind CISSP-zertifiziert |
Das ist sicher genug für unsere Kunden |
Kein Kommentar |
Unser proprietärer Verschlüsselungs- algorithmus verhindert das |
Das Produkt wurde von Sicherheits- experten getestet |
Zum Original von Jutta Degener und Matt Blaze.
25. August 2007
… einfach zu Linux, FreeBSD oder Mac OS X wechseln.
Zumindest in den USA scheint das zu funktionieren. Da muss ein verurteilter Urheberrechtsverletzer zu Windows wechseln, weil das FBI nur für Windows eine geeignete Überwachungssoftware hat.
Der Verfassungsschutz hat laut Spiegel Online auf einer Reihe von Rechnern von Bundesministerien und im Bundeskanzleramt Trojaner gefunden, die auf chinesische Herkunft hinweisen. Eine gute Nachricht … einfach analysieren, nachprogrammieren und schon gibt es den Bundestrojaner.
Aber im Ernst, Industriespionage ist natürlich ein wichtiges Thema und chinesische Firmen sind gut dabei, wenn es um deutsche Industrieprodukte gibt. Online spionieren ist natürlich beliebt, weil man dann keine Mitarbeiter vor Ort anzapfen muss aber auch chinesische Studenten und Praktikanten kopieren immer wieder mal sensible Daten. Die dienen dann gerne als Karrierekick wieder zu Hause in China.
Tja, da haben es die Lemminge Anwender mal wieder nicht anders verdient.
Heise schreibt:
„Probleme Microsofts mit der Echtheitsprüfung (Windows Genuine Advantage, WGA) von Vista sorgen offenbar dafür, dass die besseren Versionen nun die Aero-Oberfläche abschalten und Updates verweigern.“
Ich mag das ja gar nicht mehr kommentieren. Aber stellt Euch nur mal vor, so ein System wird in einer wirklich kritischen Umgebung eingesetzt, z.B. zum Schließen der Fluttore der holländischen Deiche und wegen so einer WGA-Prüfung gehen die Tore nicht mehr zu … ok, wir würden im Fußball nicht mehr gegen Holland verlieren und da die Holländer irgendwo hin müssten wenn ihr Land unter Wasser steht, könnten wir Köln günstig abgeben.
24. August 2007
via CCC:
Spread the word! Invite exciting people! Hand in amazing talks and workshops!The Chaos Commnunication Camp is over, so it’s time to announce the Call for Participation of the 24th Chaos Communication Congress 2007 (24C3). The Chaos Communication Congress is the annual four-day conference organized by the Chaos Computer Club (CCC) and taking place in Berlin, Germany. The 24C3s slogan is Volldampf voraus! – the German equivalent of „full steam ahead“ – a particular request for talks and projects featuring forward looking hands-on topics. The Chaos Computer Club has always encouraged creative and unorthodox interaction with technology and society, in the good tradition of the real meaning of „hacking“.This year’s congress introduces a new category for talks called „Making“. This category is all about making and breaking things and the wonderful stuff you can build in your basement or garage. Most welcome are submissions dealing with the latest in electronics, 3D-fabbing, climate-change survival technology, robots and drones, steam machines, alternative transportation tools and guerilla-style knitting.
As always, the date of this event is December 27th to 30th.
23. August 2007
Eine interessante forensische Analyse zusammen mit den verwendeten Rootkits hat Lars Strand auf blog.gnist.org unter dem Titel Holliday Cracking zusammengestellt. Ist zwar schon von April aber trotzdem mit wertvollen Informationen.
22. August 2007
Wir kennen ja aus dem Fingerprinting der Webserver, dass Microsofts IIS gerne eine ASPSESSIONID mitschickt und Apache ein ETag. Das ist ganz praktisch, um den Webserver zu identifizieren, wenn kein brauchbarer Server-String mitgeschickt wird. (Alternativ kann man auch einfach Netcraft fragen.)
~> telnet www.mitternachtshacking.de 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Date: Sun, 26 Aug 2007 04:21:17 GMT
Server: Apache/2.2.0 (Linux/SUSE)
Last-Modified: Wed, 26 Apr 2006 15:56:38 GMT
ETag: "310f-2544-844df980"
Das ETag wird jedoch eigentlich verwendet, damit der Browser entscheiden kann, ob er ein Dokument bereits im Cache hat und nicht mehr neu laden muss oder ob er das Dokument neu anfordert.
Apache setzt das ETag normalerweise aus drei Informationen zusammen: aus der Inode-Nummer, dem Datum der letzten Dateiänderung und der Dateigröße. Das Datum und die Dateigröße sind bekannt. Kann man mit der Inode-Nummer nun etwas anfangen?
Einige Server setzen mit Hilfe der ETag-Direktive das ETag so, dass nur Änderungsdatum und Größe in das ETag einfließen. Das ist insbesondere dann relevant, wenn ein Reverse-Proxy Loadbalancing mehrerer Webserver anbietet. Wenn keine Inode-Nummer enthalten ist und Änderungsdatum und Größe bekannt sind, kann man dann mit dieser Information Cache-Informationen invalidieren?
Mal testen …
(via Joshua Schachter)
21. August 2007
Sehen muss man meiner Ansicht nach die Ausstellungen im Aue-Pavillion, im Fridericianum, in der Documenta Halle, in der neuen Galerie und im Schlachthof. Schloss Willhelmshöhe kann man sich m.E. sparen (allerdings kommt man mit der Documenta-Eintrittskarte auch in alle anderen Ausstellungen) und extra nach Roses in Spanien wird vermutlich kaum jemand fliegen.
Wenn man sich beeilt und pünktlich zur Öffnung um 10 Uhr da ist, kann man das Hauptprogramm gerade so an einem Tag schaffen. Ich hatte zwei Tage und konnte mir die Videoinstallationen im Schlachthof und der neuen Galerie daher komplett anschauen und den Aue-Pavillion zweimal besuchen. Das macht schon Spaß.
20. August 2007
Die Documenta 12 in Kassel geht noch bis 23.09.2007. Dann ist sie vorbei und die nächste ist erst wieder in 5 Jahren. Also hingehen.
19. August 2007
Sicherheit gibt es nicht umsonst. Sicherheit, insbesondere IT-Security hat immer auch mit Tradeoffs zu tun. Auf der einen Seite erreichen wir mehr Sicherheit, auf der anderen Seite werden System teurer und für die Benutzer unbequemer oder schlechter zu nutzen. Das fängt mit einfachen aber längst akzeptierten Maßnahmen wie Firewalls an. Durch die Implementierung einer Firewall im Netzwerk werden bestimmte Protokolle verboten. Je restriktiver die Firewall, umso weniger Dienste können für Angriffe verwendet werden aber umso weniger Möglichkeiten bleibt den Anwendern, Internet-Dienste zu nutzen.
Gleichzeitig ist der Mensch anscheinend unendlich schlecht, das Risiko von Sicherheitsvorfällen angemessen einzuschätzen. Unsere Risikobewertung scheint immernoch auf den Erfahrungen kleiner Familiengruppen etwa 500.000 vor Christus im Hochland von Ostafrika zu basieren. Insbesondere fällt es uns schwer, die notwendigen Basiswerte korrekt zu bewerten:
- die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen
- die Auswirkungen dieser Sicherheitsvorfälle
- die Kosten der Sicherheitsvorfälle und Gegenmaßnahmen
- die Wirksamkeit der Gegenmaßnahmen
- wir schlüssig Kosten aus Vorfällen und Gegenmaßnahmen verglichen werden können
Bruce Schneier hat in seinem Buch „Beyond Fear“ ein paar typische Probleme aufgeführt, die weitgehend psychologisch erklärt werden können:
- Menschen neigen dazu, spektakuläre aber seltene Risiken zu übertreiben und alltägliche Risiken herunterzuspielen, beispielsweise Flugzeugabstürze im Vergleich zu Verkehrsunfällen
- Menschen haben Probleme damit, Risiken in Bereichen einzuschätzen, die nicht ihrem typischen Erfahrungshorizont entsprechen, beispielsweise Risiken in der Raumfahrt
- Genau identifizierte und beschreibbare Risiken werden höher eingeschätzt als anonyme Risiken
- Menschen unterschätzen Risiken, die sie bereit sind einzugehen und übertreiben Risiken in Situationen, die sie nicht kontrollieren können
- Menschen überschätzen Risiken, die täglich in den Medien thematisiert werden, beispielsweise die Gefahr von Terroranschlägen
Dazu gibt es eine schöne Tabelle von Bruce Schneier:
| Menschen übertreiben Risiken die |
Menschen unterschätzen Risiken die |
| spektakulär sind |
gewöhnlich sind |
| selten auftreten |
häufig auftreten |
| personifizierbar sind |
anonym sind |
| außerhalb ihrer Kontrolle sind |
kontrollierbar sind bzw. bewußt gewählt werden |
| in den Medien diskutiert werden |
verschwiegen werden |
| absichtlich bzw. menschenverursacht sind |
natürliche Ursachen haben |
| sofort passieren |
langfristig passieren |
| plötzlich überraschend eintreten |
über einen langen Zeitraum eintreten |
| sie persönlich betreffen |
andere betreffen |
| für sie neu und ungewohnt sind |
sie gewohnt sind |
| sie nicht kennen |
sie gut verstehen |
| sich gegen ihre Kinder richten |
sich gegen sie selbst richten |
| moralisch verwerflich sind |
moralisch erwünscht sind |
| ohne Vorteil sind |
mit einem abstrakten Vorteil verbunden sind |
| nicht ihrem Bezugsfeld entsprechen |
typisch für ihr Bezugsfeld sind |
Wie viele Menschen erkranken aufgrund ihrer schlechten finanziellen Situation, weil sie sich keine gesunde Ernährung oder den Arztbesuch leisten können? Trotzdem scheint die Mehrheit der Bevölkerung in Deutschland lieber bereit, Geld für die Abwehr einer abstrakten Terrorgefahr auszugeben, anstatt die Situation der Menschen hier in Deutschland zu verbessern.
Vermutlich sollten wir den Entscheidungsträgern in Deutschland, sowohl in der Politik als auch in der IT-Sicherheit einen Psychologen als Hilfe beistellen.
