9. August 2007
Der Chaos Computer Club veranstaltet sein alle paar Jahre stattfindendes Camp zur Zeit auf dem ehemaligen Militärflugplatz und jetzigen Museumsgelände in Finowfurt, etwa 60 km nördlich von Berlin an der A11 Richtung Stettin gelegen. In der Gegend bin ich gelegentlich und da ich nicht weit weg günstig übernachten kann, bietet es sich an, das Camp in diesem Jahr zu besuchen. Die Vortragsthemen sind zwar nicht ganz so spannend wie auf dem jährlichen Congress aber ein paar Vorträge dürften wertvoll genug sein, um die Reise zu rechtfertigen.
Das Camp ist gar nicht so einfach zu finden. In Finowfurt von der Ausfahrt Richtung Stadt, dann dem Schild zum Flugzeugmuseum folgen und dann immer gerade aus in den Wald. Irgendwo steht dann ein Aufpasser vom CCC der die Leute auf den Parkplatz lotst, damit die nicht direkt auf den Flughafen draufbrettern.
Das Gelände selbst ist im Grunde ein großes Freilichtmuseum mit diversen alten Flugzeugen aus der ehemaligen DDR und der früheren Sowjetunion. Die Vorträge finden in den ehemaligen Bunkerhangars statt, da ist es wenigstens schön kühl. Davor stehen die Zelte und Wohnmobile der Teilnehmer. Die meisten liegen faul unter Schutzplanen oder im Schatten der alten Militärflieger. Das hat schon was lässiges, so mit dem Notebook unter einem Flieger und wireless im Internet surfen. Nur mit dem Strom ist es ein wenig knifflig.
Den Tag gestern habe ich leider verpasst, da war ein wichtiger Kundentermin. Aber heute ist Action angesagt. Zu den Vorträgen schreibe ich noch eigene Beiträge.
Bildnachweis: Diese Bilder sind frei verwendbar, unter Nennung der Quelle: BerlinVR.de
8. August 2007
Immunity hat einen Debugger veröffentlicht, der den Schwerpunkt auf die schnelle und effiziente Entwicklung von Exploits legt. Aus der Webseite:
- A debugger with functionality designed specifically for the security industry
- Cuts exploit development time by 50%
- Simple, understandable interfaces
- Robust and powerful scripting language for automating intelligent debugging
- Lightweight and fast debugging to prevent corruption during complex analysis
- Connectivity to fuzzers and exploit development tools
Ob der so toll ist, wird sich zeigen. Immunity ist schon immer recht gut im Marketing gewesen. Fefe hat dazu ja auch eine eigene Meinung.
Jedenfalls gibt es das Tool for free und ankucken kostet nichts (außer Zeit).
7. August 2007
Jesse Ruderman von der Mozilla Foundation hat eine Reihe von Fuzzern zur Prüfung von Webbrowsern veröffentlicht, schreibt Heise. Die beiden Tools jsparsefuzz.js und jsfunfuzz.js erzeugen fehlerhaftes Javascript und können damit potentielle Sicherheitslücken aufdecken. Im Grunde nichts neues, Fuzzer für Webbrowser gibt es eine Reihe, beispielsweise die Browser Crash Test Suite von JdM.
Erstaunlich ist eher, dass Mozilla nicht früher selbst aktiv geworden ist sondern lange Zeit das Feld anderen überlassen hat. Von HD Moore, Michal Zalewski und eben JdM gibt es schon seit geraumer Zeit Fuzzer für Browser und bisher waren die Browser-Hersteller immer in der defensive. Das kann sich vielleicht nun ändern.
Im Grunde bestätigt das aber nur meine Meinung vom Juli. Browser Fuzzing ist kein relevanter Security Markt mehr. Die Fuzzer für Netzwerkprotokolle finde ich viel spannender. Bei VoIP und VPN geht bestimmt noch was. Und nicht zu vergessen, Milosch Meriac braucht dringend jemanden, der einen RFID-Fuzzer programmiert. Da geht noch viel!
6. August 2007
War eigentlich klar.
Ich frage mich ja, ob man analog zur Versteigerungsplattform von WabiLabiSabi eine Plattform zum Verkauf von Viren, Trojanern und Botnetzen einrichten könnte. Oder wird das durch den § 202c illegal?
5. August 2007
Die kalifornische Ministerin Debra Bowen hat die angekündigte Sicherheitsprüfung der amerikanischen Wahlmaschinen abgeschlossen. Ebenfalls wenig überraschend ist, dass keine einzige der bisher zertifizierten Wahlmaschinen grundlegende Sicherheitsanforderungen erfüllt. Soweit nichts neues.
Überraschend ist die Konsequenz mit der Frau Bowen dabei agiert. Sämtlichen(!) vier Anbietern von Wahlmaschinen wurde die Zulassung entzogen, trotz vermutlich heftigster Lobbyarbeit der Hersteller. Betroffen sind Diebold Election Systems, Hart InterCivic, Sequoia Voting Systems und Election Systems and Software. Dem letztgenannten Anbieter wurde die Zulassung für das Wahlsystem InkaVote Plus komplett entzogen, da er sich laut Rücknahmebescheid (PDF, 300 KB) geweigert hatte, sein System inklusive Source Code zur Überprüfung einem Sicherheitsteam der University of California zur Verfügung zu stellen.
Die anderen Systeme scheinen jedoch auch nicht viel besser zu sein. Die Source Code Analyse (PDF, 560 KB) der Wahlmaschine von Diebold kam zu folgenden Ergebnissen:
- Vulnerability to malicious software
- Susceptible to viruses
- Failure to protect ballot secrecy
- Vulnerability to malicious insiders
Die detaillierte Liste der „Issues“ enthält 45 Einzelsicherheitsprobleme!
Zusammenfassend lässt sich sagen, dass diese Wahlmaschinen durch Viren und Trojaner manipulierbar sind, das Wahlgeheimnis nicht ausreichend schützen und von Mitgliedern der Wahlaufsicht trivial manipuliert werden können. Erschreckend aber nicht erstaunlich. In diesem Zusammenhang noch ein paar Verweise:
- Diebold stellt ja nicht nur Wahlmaschinen sondern auch Geldautomaten her, und die waren 2003 schon anfällig für Viren und Würmer. Da scheint sich nichts verbessert zu haben.
- In den Niederlanden hat der Quasi-Monopol-Hersteller von Wahlmaschinensoftware Groenendaal versucht, die Behörden zu erpressen damit seine Software auf Nedap-Wahlmaschinen eingesetzt werden darf. Die gleichen Geräte kommen auch in Nordrhein-Westfalen zum Einsatz.
- Der deutsche Importeur der Nedap-Wahlmaschinen war über die Sicherheitsprobleme vermutlich frühzeitig informiert, gab sich jedenfalls wenig überrascht, nur erstaunt darüber, dass die Veröffentlichung so lange gedauert hat.
Und mal wieder voll an der Realität vorbei ist die Prüfung der Geräte durch die Physikalisch-Technische Bundesanstalt. Die Prüfung der Manipulationsfreiheit kann wie folgt durchgeführt werden: „Am Wahlgerät werden nach entsprechender Betätigung die gespeicherten Daten der Hardware- und der Software-Version sowie zwei Checksummen des enthaltenen Programmspeichers zum Vergleich mit den Angaben auf dem Typenschild und der Baugleichheitserklärung des Herstellers angezeigt und ausdruckt.“ Diese Ausgabe kann natürlich trivial gefälscht werden, wenn die Software erst einmal manipuliert wurde. Die PTB hat das nur leider nicht realisiert, der Prüfbericht ist faktisch ein Witz. Die PTB sollte besser bei ihrer Atomzeit bleiben, das wenigstens kriegen sie gerade noch so hin.
4. August 2007
Ein interessanter Artikel auf TecChannel: Viren unter Linux.
Fazit:
- Zweifelsohne ist die Viren-Gefahr auch für Linux vorhanden.
- Die Linux-Distributoren wären gut damit beraten, die Virengefahr ernst zu nehmen.
- Linux ist genauso anfällig wie andere Systeme.
Der Witz dabei? Der Artikel ist von 2001.
Virenscanner an sich sind ja schon ein Problem. Zum einen werden eine Menge Viren gar nicht erkannt, zum anderen sind Virenscanner selbst ein potentielles Sicherheitsproblem und dann gibt es da ja noch das fiese Problem mit den False Positive. Ein False Positive ist ein erkannter Virus, der eigentlich gar keiner ist. Besonders spannend ist das, wenn der Virenscanner die erkannten Viren automatisch löscht und wichtige Systemprogramme betroffen sind.
Die Oberspezialisten arbeiten wohl bei McAfee, die gerne auch mal Excel als Schadprogramm erkennen. Ich hätte erwartet, dass selbst die primitivste Form der Qualitätskontrolle nämlich der Einsatz der eigenen Produkte auf den eigenen Rechner so einen Fehler erkennt. Aber entweder verwendet McAfee kein Microsoft Office (eher unwahrscheinlich) oder setzt einen anderen Virenscanner ein (hmm?). Die komplette Liste der falsch erkannten Programme ist übrigens eindrucksvoll.
Virus Bulletin hat jetzt das Verhalten von Virenscannern auf Microsoft Vista 64-Bit untersucht, mit interessanten Ergebnissen. Durch False Positive sind u.a. Trend Micro, Ikarus und Fortinet aufgefallen. Die Problematik wird aber auch auf das durch PatchGuard abgesicherte Betriebssystem zurückgeführt, das es den Herstellern von Sicherheitsprogrammen die Arbeit deutlich erschwert.
Vermutlich wird es doch Zeit für Whitelisting.
3. August 2007
Das von der TU Darmstadt, Universität Siegen und der Deutschen Bank entwickelte Cryptool gibt es in einer neuen Version. Der Download der freien und kostenlosen Software ist über die Webseite www.cryptool.de möglich. Für jeden, der ein wenig mehr verstehen möchte, wie Verschlüsselungssoftware funktioniert ein interessantes Programm.
2. August 2007
Joanna Rutkowska hat den Source Code ihrer Blue Pill veröffentlicht. Das ist eine Software mit der sich ein laufendes Betriebssystem in eine virtuelle Umgebung verschieben lässt. Das Schadprogramm fungiert dann praktisch als Hypervisor und und kann aus dem eigentlichen System heraus kaum noch erkannt werden. Der Name leitet sich von der Blauen Pille ab, die Neo in Matrix angeboten bekommt.
Welchen Nutzen oder Schaden das haben wird ist noch nicht klar. Zum einen behauptet Matasano, dass es nicht möglich ist eine unidentifizierbare Blue Pill zu schreiben. Zum zweiten hilft das vielleicht, dass Virenscanner-Hersteller ihre Produkte mittelfristig mit Gegenmaßnahmen aufrüsten. Die Herausforderung von Matasano ist jedenfalls erst einmal im Sande verlaufen, die finanziellen Forderungen von Joanna stehen dem entgegen.
1. August 2007
Ist mir ja gerade erst richtig aufgefallen:
28. Juli – 02. August: Black Hat USA 2007 in Las Vegas
03. August – 05. August: DefCon 15 in Las Vegas
08. August – 12. August: Chaos Communication Camp in Berlin/Finowfurt
Kann man nicht meckern 🙂
