Blogarchiv 2006

So, nachdem noch kein echter Schnee liegt, behelfen wir uns eben mit virtuellen Schneebällen. Elias hatte wohl nichts besseres zu tun, als mit Unmengen Schnee um sich zu werfen ;-) Na gut, nachdem zurückwerfen nicht gilt, kratze ich hiermit mal ein paar Schnee-Bits zusammen und seife damit mal tüchtig Bernhard (mit seinem Tech-Nonsense-Blog Tesserakt), die beiden Linux&Co-Tricks-Blogger Uli und Copton und die Familie Neis (wobei zumindest Valentin in Kanada inzwischen ausreichend Schnee zum weitermachen haben sollte) ein :-)

Ab und zu erwischt's einen einfach. In diesem Fall einen Bekannten von mir. Da der Vorfall recht schn einen Standardfall darstellt und man daran einige best practices festmachen kann, erzhle ich mal, was passiert ist.
Der Rechner, um den es ging, war ein vHost bei einem Gnstighoster, auf dem ein Webserver eine Handvoll Domnen von Freunden und Bekannten lagen. Alles fing damit an, da vom Provider eine Mail kam, da es mglicherweise Probleme mit dem monatilchen Trafficlimit geben knnte...

Es ist immer bequem, andere für sich arbeiten zu lassen :-) Frei nach diesem Motto beschreibt das SecuriTeam Blog eine Möglichkeit, URL-basierte Exploits von anderen ausführen zu lassen: Anstatt den entsprechend präparierten Link selbst aufzurufen, setzen sie ihn auf eine Webseite - und warten darauf, daß ein argloser Benutzer oder einer der vielen Suchmaschinen-Robots die URL abruft.

Gleich zwei Jubiläen an (fast) einem Tag: PGP wird 15 Jahre alt, die Firma PGP Inc. feiert das Erscheinen der Version 1.0 vor 15 Jahren - damals als Hobbyprojekt von Phil Zimmerman erschienen. Nahezu zeitgleich erscheint GPG in der Version 2.0. Die neue Version ist modularer als die 1er-Versionen aufgebaut, neben PGP-Mails gibt es nun auch Tools für S/MIME-Verschlüsselung.

USB-Sticks sind ein guter Platz, persönliche Daten mit sich zu tragen: Seien es Bookmarks, ssh-Keys oder die TANs des Konto - so hat man alles Wichtige immer dabei. Anwendungen, die nicht installiert werden müssen, machen das Leben sogar noch einfacher. Das haben wohl nun auch Wurmprogrammierer erkannt, meldet tagesschau.de (und bezieht sich damit wohl auf diese USB-Tools) - und die Schädlinge um entsprechende Funktionen angereichert: USB-Sticks werden mitunter komplett kopiert.

Update: Ein ausführlicherer Artikel hierzu findet sich bei rabenhorst.

Unter diesem Motto könnte der aktuelle Thread bei Slashdot "How to manage a security breach?" stehen. Die Beschreibung des Vorfalls klingt nach einem Security-GAU: Auf Win98-Legacy-Systemen hat sich ein Wurm breitgemacht und gigabyteweise (möglicherweise sensitive) Daten zu einem Rechner in Osteuropa geschaufelt. Das ganze wurde von einer beauftragten Firma durch Zufall entdeckt, die Löcher sind gestopft - aber wie verfährt man nun weiter? Offizielle Benachrichtigung oder den Vorfall unter den Teppich kehren (in der Hoffnung, das nix schlimmeres passiert ist)?

Daß das Entwickeln von Software etwas anders funktioniert als sonstige Ingenieurtätigkeiten ist hinlänglich bekannt; ob das an den Eigenarten des Programmierens oder der Programmierer liegt (oder gar an den Gegebenheiten der Neuzeit wie der Zusammenarbeit via Internet, ist eine offene Frage. Verschiedene Ideen wie Extreme Programming schlagen unkonventionelle Ansätze vor.

Die Software des Anonymisierungsdienstes AN.ON ist in neuer Version verfügbar. Heise berichtet außerdem, daß die Betreiber mit ausländischen Providern in Kontakt stehen, um weitere Mix-Kaskaden über Rechner außerhalb Deutschlands aufbauen zu können.

Der "Unglückstag" ist ein guter Anlaß, sich Gedanken zu machen, was alles schief gehen kann. Google könnte sein "do no evil" vergessen, von Behörden zur Datenherausgabe gezwungen werden, gehackt werden - oder einem ähnlichen Lapsus wie AOL anheimfallen.

Trotz aller Kritik sieht man sich im Justizministerium mit dem Anti-Hacker-Tool-Gesetz auf dem richtigen Weg. Das Gesetz wird den Besitz, die Herstellung und Weitergabe von "Hacker-Tools" unter Strafe stellen. Was aber ist ein "Hacker-Tool"? Im Gesetzentwurf (ein Glück, daß die PDF-Datei die Nummer 1317 und nicht 1337 trägt - ansonsten hätte man wohl von verschärftem Sarkasmus sprechen müssen...) wird hier auf die Paragraphen 202a und 202b verwiesen - diese behandeln das Verschaffen von Zugriff auf (besonders gesicherte) Daten sowie das Abfangen von Daten behandelt. Programme, deren Zweck also das Verschaffen von Zugriff auf Daten oder das Abfangen von Daten ist, sind also nach diesen "objektiven" (Zitat!) Kriterien Hacker-Tools.

...nicht so heiß gegessen, wie's gekocht wird? Dieser Bericht liest sich doch recht entspannend, verglichen mit den dunklen Theorien über Einschüchterungen von TOR-Node-Betreibern in Deutschland.

Heise berichtet, daß Arnold Schwarzenegger in seinem Amt als Gouverneur von Kalifornien ein Gesetz zum Schutz privater Daten gekippt hat. Das Gesetz sah vor, daß Personaldokumente mit RFID-Chip manipulations- und kopiergeschützt sein müssen. Außerdem wäre eine verschlüsselte Verbindung beim Auslesen der Daten verpflichtend gewesen. Ebenfalls wäre in diesem Gesetz verankert gewesen, daß der Besitzer des Dokuments Kontrolle darüber haben muß, wann die Informationen ausgelesen werden dürfen.

Die niederländische Initiative "Wij vertrouwen stemcomputers niet" (Wir vertrauen Wahlcomputern nicht) hat heute ihre Analyse der in den Niederlande verwendeten Nedap-Wahlcomputer publiziert. Die Analyse (auf Englisch) ist so detailliert wie verheerend; offenbar wurde lediglich auf "security by obscurity" - nämlich die Verwendung proprietärer Hardware - vertraut. Der CCC fordert konsequenterweise ein Verbot von Wahlcomputern in Deutschland.

Admin password security 'abysmal' - so titelt ein Artikel bei The Register. Eine Studie besagt, daß 42% der Paßwörter priviligerter Accounts nicht regelmäßig geändert werden. Da fragt man sich: Wo ist das Problem? Was ist unsicherer - ein einmalig gesetztes, gutes Paßwort, oder aber ein regelmäßig geändertes, das dann entweder zu einfach ist oder man es aufschreiben muß, weil man es sich innerhalb der Gültigkeits-Zeitspanne nicht einprägen kann?

Airport Security - The Game. Schlüpfe in die Rolle eines Sicherheitsbeamten und fluche über die sich ständig ändernden Bestimmungen, was an Bord erlaubt ist und was nicht - genauso wie die Passagiere, wenn sie zu lange warten oder man die falschen Sachen abnimmt, bzw. genauso wie Dein Chef, wenn etwas falsches durchgewinkt wird.

Dieser Artikel der Computerwoche und Techworld berichten über die Keynote von Bruce Schneier auf der Hack in the Box security conference. Je komplexer Computersysteme werden, desto höher die Wahrscheinlichkeit für irgendwelche Schwachstellen. Das Hauptproblem aber sei, daß die Hersteller der Systeme die Folgen der Security-Probleme oft nicht ausbaden müßten, weshalb die Motivation, in Sicherheit zu investieren, entsprechend klein sei.

Im Zuge der Beschlagnahmung mehrerer TOR-Server wurde auch der AN.ON-Server des ULD vom Netz genommen - was die Betreiber aber erst fünf Tage später erfuhren. Allerdings fragt man sich, ob hier nicht der falsche erwischt wurde: Gerade bei AN.ON versteht man die Lage der Ermittlungsbehörden, weshalb man Funktionen vorhält, die im Bedarfsfall ein sehr selektives Protokollieren erlauben. Von diesem Feature wurde allerdings bis dato nur selten Gebrauch gemacht - der erste Vorfall wurde sogar per richterlicher Verfügung rückgängig gemacht. Da die AN.ON-Proxies keine Logdateien führen, ist die Beschlagnahmung aus ermittlungstechnischer Sicht vollkommen überflüssig. Wieso bereitet die Staatsanwaltschaft ausgerechnet dieser Institution Ärger, die sich selbst eher als Alliierte denn als Gegner versteht und wo mit sachlichen Argumenten sicherlich mehr zu bewegen gewesen wäre?

...wenn die Staatsanwaltschaft anklopft - oder sogar ohne weiteres Federlesens die Rechner beschlagnahmt. So berichtet Heise von der Beschlagnahmung mehrerer Tor-Server; im Gentoo-Forum hatte sich bereits gestern ein Betroffener zu Wort gemeldet. Das Unwort "Kinderpornografie" dürfte sein übriges dazu tun, daß die Privacy- und Vorratsdatenspeicher-Debatte wieder aufflammt (immerhin das Law-Blog äußert sich kritisch zu den Vorfällen).

Wired hat im Artikel Privacy debacle hall of fame die zehn übelsten Privacy-Verfehlungen nominiert. Platz eins ist ein typisch amerikanisches Problem: Die "Social Security Number". Die Sozialversicherungsnummer dient als Authentisierung und Identifizierung für alles mögliche - wer sie kennt, kann damit jede Menge Schindluder treiben.

Seit Freitag überzieht ein Botnet diesen Blog mit Trackback-Spam (wie sinnlos - landet doch eh' im Spamfilter...). Da ich keine Lust habe, den Spam regelmäßig zu löschen, habe ich das Feature vorübergehend deaktiviert.

Ob sich der gute Mensch wie der sprichwörtliche Buchbinder Wanninger fühlte? Ein Mitarbeiter von Kaspersky war über eine Seite mit Kreditkartennummern gestolpert, und wollte seinen Fund umgehend beim BKA melden; dummerweise war es bereits Freitag Nachmittag, weshalb sich das ganze als nicht allzu einfach gestaltete. Sein Blogeintrag, ebenso wie ein Bericht in der Süddeutschen Zeitung, lesen sich wie eine schlechte Glosse: "Die Kollegen sind schon im Wochenende, schicken sie uns doch eine Mail an info@bka.de"!

Mann mit Strumpfmaske betritt am Samstag Vormittag einen Supermarkt und schießt in die Luft. Hysterische Szenen, Kunden rennen kreischend hin und her. Panisch greift ein Mitarbeiter zum Telefon und wählt den Notruf:

AOL speichert (zur Verbesserung der Suchtechnologie) die Suchanfragen aller User für einen Monat. Einige werden (für ein spezielles Forschungsprogramm) drei Monate gespeichert. Zu Forschungszwecken hatte AOL einige (laut NY Times-Artikel: von 657000 Nutzern) dieser drei-Monats-Daten zugänglich gemacht; um die Privatsphäre der Kunden zu schützen, wurde ihnen ein Pseudonym zugeordnet.

Nach einem Bericht des Wired-Magazines wurde auf den gerade laufenden Blackhat Briefings das Klonen des RFID-Chips eines E-Passes vorgeführt. Ein weiteres Projekt zeigte, daß die Metallschicht im Deckel des Passes, welche die amerikanischen E-Pässe vor unbemerktem Auslesen schützen soll, ihren Effekt verfehlt, wenn der Paß nur einen Zentimeter weit geöffnet ist; als Anwendungsbeispiel zeigten sie eine Dummy-Bombe (Video bei YouTube), die von einem bestimmten Paß ausgelöst wurde. Nach dem "Smart Passport" die passende "Smart Bomb"...

Spam- und Phishingmails sieht man leider viel zu häufig. Einen unfreiwilligen Blick, wie die Verteilerprogramme funktionieren, erhält man bei Spam von Leuten, die sogar zu unfähig sind, ein Spam-Programm zu bedienen.

...heute Vormittag war gegen 9:00 Uhr zunächst das Teppenhaus des Parkhauses, später das ganze Parkhaus von der Polizei abgesperrt. Ich hoffe ja, daß es nicht stimmt, aber den Stimmen im Haus nach hat man dort eine Leiche gefunden...

Das berichtet ein Mitarbeiter des KIZ in der Ulmer Newsgruppe; er habe um 6:50h mit der Polizei telefoniert - dort wurde ihm gesagt, die Uni sei nicht mehr abgesperrt.

Die Polizei hat inzwischen eine Suchmeldung nach dem Tatverdächtigen Frederik Haase herausgegeben. Informationen direkt an die Polizei, keine Versuche, ihn selbst anzusprechen - er ist aller Wahrscheinlichkeit nach noch immer bewaffnet.

So... Und was macht ein Informatiker, wenn er einen Namen in die Finger bekommt? Richtig, in Google eingeben :-) Und dabei stößt man dann auch auf das hier; natürlich kann es sich auch um eine zufällige Namenskollision handeln... schwer makaber ist es aber allemal. Diskussionen über die Gefahren von Ego-Shootern bitte nach /dev/null...

Update: Unter dem angegebenen Amazon-Link befand sich auch eine Rezension des Ego-Shooters "Day of Defeat". Offensichtlich wurde diese von Amazon gelöscht. im Google-Cache findet man momentan noch eine Kopie.

Ob die Uni morgen wieder betretbar sein wird, ist noch nicht klar - in der Uni-Newsgruppe wird zwar berichtet, daß die Anzahl an Polizisten stark reduziert sei; laut einem Kollegen, der um 19h bei der örtlichen Polizei nachgefragt hat, ist die Uni aber weiterhin gesperrt.

Uni geräumt

So, um ca. 11:20h habe ich das Büro (und die Uni) verlassen. Im Gang traf ich dann einen Polizisten mit kugelsicherer Weste an, der die Passanten anraunzte, daß es sich um einen Polizeieinsatz handelte und das Gebäude umgehend zu verlassen sei. An den Notfallplänen und der Benachrichtigung der Mitarbeiter muß die Uni noch arbeiten...

Manchmal frage ich mich, ob die Uni nicht doch ein gefährlicher Arbeitsplatz ist. Vor der Mensa scharen sich gerade seit 10h die Polizeikräfte - dieses Foto ist 30 Minuten alt, inzwischen sind ca. 30 Polizeifahrzeuge da. Der Eingang Süd wurde geräumt. Über der Uni kreist ein Polizei-Heli, auf den Dächern der Uni wurden schon schwarze Gestalten mit kugelsicheren Westen gesichtet.

Ja, natürlich sind solche Tests Nonse... aber trotzdem gibt es irgendwie zu denken :)

Das Wired-Magazin berichtet über mehrere reale RFID-Hacks. Es ist erschreckend, wie blauäugig die Technik eingesetzt wird.

Ein Geschäftsmann nutzt RFID mit einem solch primitiven Verfahren für die Türschlösser der Firma, genauso wie die ID eines implantierten RFID-Chips direkt verwendet wird; einfache RFID-Tags beinhalten in einem Laden Produktnamen und -preis; eine Bibliothek nutzt wiederbeschreibbare RFID-Tags zum Archivieren der Bücher.

Wie ZDNet UK gestern berichtet, drängt man in England momentan auf die Umsetzung einer Gesetzesvorlage (RIPA) aus dem Jahr 2000. Nach diesem Gesetz können Strafverfolgungsbehörden die Herausgabe von Schlüsseln und Paßwörtern unter Androhung einer bis zu zweijährigen Gefängnisstrafe erzwingen.

Phishing via VoIP

Phishing ist hinlänglich bekannt: Der arglose Benutzer erhält eine Mail, in der er (mehr oder minder geschickt) aufgefordert wird, eine bestimmte Webseite zu besuchen. Heise Online berichtet von einem Medienwechsel: Statt einer Webseite war die Telefonnummer der Bankhotline angegeben; dort erwartete den Anrufer ein Sprachsteuersystem, das ihn aufforderte, Kontonummer und PIN einzugeben.

Privatheit und Transparenz sind die Krankheiten, an denen eine Demokratie mit aktiver, innovativer und agiler Regierung stirbt.

William Stuntz vertritt die These, daß Transparenz und Privatheit in einem Zeitalter des Terrors nicht nur unerschwingliche Luxusgüter, sondern sogar perverse Ideen sind. Seiner Meinung nach zwingen die Regelungen, die die Privatheit erhalten und für Transparenz im Regierungsapparat sorgen, einen Staat dazu, auf noch schlimmere Mittel zurückzugreifen: Wenn eine Bundesbehörde keine Telefone abhören darf, dann muß eben ein SEK anrücken und die Leute zur Befragung mitnehmen. Im Kampf gegen den Terror braucht man eben jede Information, und nach Stuntz' Argumentation muß einem Staat auch jedes Mittel recht sein, an diese zu gelangen.

Cartoons…

...von Clay Bennett. Zwar schon vor ein paar Jahren gezeichnet, aber deswegen nicht minder aktuell:

Immer wieder schön zu sehen, wie ein sinnvoller Dienst wie Trackback Links mißbraucht wird. Seit heute früh um 8h wird die Seite im Minutentakt mit Trackbacks von Rechnern der IPs 85.255.113.xx/24 mit Trackback Spam überzogen. Schön, daß die Spammer-Suchbots mich auch gefunden haben :-( Es lebe die "moderate"-Funktion...

Nach einer internationalen Umfrage der IBM zum Thema Netzwerksicherheit sind 75% der Befragten der Meinung, daß die Angestellten (bzw. deren Rechner) eine größere Gefahr darstellen als Angreifer von außerhalb des Firmennetzes.

Der Flash-Film Epic 2015 zeichnet eine kühle, aber nicht unplausible Zukunftsvision: Was wäre, wenn Nachrichten nicht mehr von Journalisten erstellt, sondern durch maschinelle Analyse von Blogs und anderen persönlichen Kommentaren automatisch erstellt werden - und das auch noch persönlich zugeschnitten auf die Vorlieben des Benutzers?

Eine Security-Meldung, die es sogar bis in die Tagesschau geschafft hat: Gestern startete der Portaldienst Bürger-CERT. Über Mailinglisten soll der durchschnittliche Computerbenutzer auf akute Sicherheitsprobleme hingewiesen werden. Ein 14tägiger Newsletter faßt die Meldungen zusammen und soll weitere allgemeine Hinweise rund um die Rechnersicherheit geben.

Probehalber habe ich mal die Trackback-Funktion aktiviert. Nachdem bis dato der Kommentar-Spam ausgeblieben ist (zum Glück!), bin ich da halbwegs guter Dinge.

Neuer Mambo-Wurm?

Beim Blick in die Logfiles fielen verschiedene Logeinträge auf - irgendjemand (oder -etwas) sucht nach einer seit November bekannten Schwachstelle im Mambo/Joomla CMS. Es gab bereits einen Wurm, der diese Lücke ausnutzt: ElxBot suchte allerdings via Google nach verwundbaren Servern. Da auf meinen Kisten jedoch kein Mambo installiert ist, können meine Maschinen wohl kaum via Google als solche identifiziert werden...

Die Logeinträge sehen folgendermaßen aus (gesucht wird in weiteren Pfaden):

...bieten mehr als genug Raum für Verschwörungstheorien und Science-Fiction-Geschichten. Auf der anderen Seite war zumindest in der Vergangenheit (z.B. bei der Entwicklung von DES oder der Entdeckung der differenziellen Kryptanalyse) der Wissensvorsprung der NSA immens.

Man könnte TorPark als keine Variante von Anonym.OS bezeichnen: Ein vorkonfiguriertes Tor-Gateway samt passend eingerichtetem Firefox zur Installation auf einem USB-Stick.

Prof. Kongehl, erster Datenschutzbeauftragter Baden-Württembergs, war bei SWR1 Leute zum Gespräch. Es ging um aktuelle Datenschutz-Probleme wie die neuen Pässe oder die Verbreitung von RFID-Chips. Kongehl faßte die Problematik schön zusammen:

Anonym.OS ist eine OpenBSD Live-CD mit speziellem Fokus auf Anonymität. Ziel der Distribution ist es, auf fremden Systemen (wie z.B. im Internet-Cafe oder dem Hotelrechner) ein möglichst hohes Maß an Anonymität und Sicherheit zu erreichen.

Die US-Regierung will Google dazu zwingen, alle Suchanfragen einer Woche herauszugeben. Man will damit überprüfen, wie häufig Minderjährige mit "schädlichen Inhalten" in Berührung kommen - ein fragliches Unterfangen, bedenkt man, daß laut aktuellen Meldungen die Suchmaschinen nur ca. 10% des Webs erfassen und der Zugang zu "schädlichen Inhalten" häufig anders geschieht (Tips von Freunden, Infos aus Foren, etc.) - ganz abgesehen von der Tatsache, daß populäre "schädliche Suchworte" nicht zu den "schädlichen Inhalten", sondern lediglich (Google-Spamming sei dank) zu Dialer- und Malware-gespickten Seiten führen.

Monentan sind zwei Fehler in Microsoftprogrammen bekannt, die eine explosive Mischung darstellen könnten: Der WMF-Bug und der TNEF-Bug in Outlook und Exchange Server. Mit einer entsprechenden Mail ließe sich viel Schindluder treiben - wieviele Leute benutzen Outlook, und wieviele Firmen nutzen Exchange als Server? Und falls doch andere Software eingesetzt wird, schlägt ein passendes WMF-Bild zu...