Blogarchiv 2005

Logs sind nor­ma­ler­wei­se eine feine Sache zum Auf­spü­ren von Feh­lern und an­de­ren Sys­tem­un­re­gel­mä­ßig­kei­ten (z.B. Ein­brü­chen). Und im Falle eines Fal­les kön­nen sie gar nicht aus­führ­lich genug sein.

Be­reits vor ei­ni­gen Tagen wur­den die SANS Top 20 vul­nera­bi­li­ties des Jah­res ver­öf­fent­licht. Be­mer­kens­wert (und be­sorg­nis­e­re­gend) groß ist der Block an Win­dows-Schwach­stel­len; von wach­sen­der Be­deu­tung dürf­te aber auch der Ab­schnitt "Cross-Plat­form vul­nera­bi­li­ties" sein - man er­in­ne­re sich an PHP-XML­RPC-Wür­mer und den ers­ten XSS-Wurm.

Der Be­griff "Phone phrea­king" stammt ur­sprüng­lich von einem Trick, an Te­le­fon­zel­len kos­ten­los te­le­fo­nie­ren zu kön­nen: Der Münz­ein­wurf er­zeug­te ein be­stimm­tes Ton­signal, das der Ver­mitt­lungs­stel­le die Be­zah­lung si­gna­li­sier­te. Durch Ge­ne­rie­ren die­ses Si­gnals waren so kos­ten­lo­se Te­le­fo­na­te mög­lich (zu­min­dest in Ame­ri­ka, wo ent­spre­chen­de Tech­nik zum Ein­satz kam).

Wie die For­scher im Labor re­pro­du­zie­ren konn­ten, ist es so mög­lich, Ab­hör­vor­rich­tun­gen aus­zu­schal­ten, wäh­rend ein nor­ma­les Ge­spräch läuft. Hier­zu wird ein­fach der "C-To­ne" in die Über­tra­gung mit ein­ge­spielt. Wie am Bei­spiel der For­scher zu hören ist, be­ein­träch­tigt der Si­gnal­ton die Sprech­qua­li­tät nur sehr leicht. Viele der Ab­hör­an­la­gen an ana­lo­gen Ver­mitt­lungs­stel­len re­agie­ren je­doch auf die­ses Si­gnal und stop­pen die Auf­nah­me - in der An­nah­me, daß der Hörer auf­ge­legt und damit das Ge­spräch be­en­det wurde.

Neue Va­ri­an­ten des Sober-Wurms ge­hö­ren in­zwi­schen schon fast zum All­tag. Neu ist, daß die Po­li­zei be­reits im Vor­aus davor warnt - es lie­gen an­geb­lich In­for­ma­tio­nen vor, laut denen ab heute eine neue Va­ri­an­te ver­brei­tet wird (Pres­se­mit­tei­lung 62/2005 vom 14.11.05). Man darf ge­spannt sein, ob tat­säch­lich etwas pas­siert.

Der Root­kit-ar­ti­ge Ko­pier­schutz von Sony-CDs hat in­zwi­schen di­ver­se Tritt­brett­fah­rer ge­fun­den: Zu­nächst be­nutz­ten World-of-War­craft-Spie­ler das Root­kit, um Cheat-Pro­gram­me zu ver­ber­gen. Wie F-Se­cu­re heute mel­det, be­nutzt nun auch ein Wurm die Funk­ti­on, um sich im Sys­tem zu ver­ste­cken. Bei der schlam­pi­gen Im­ple­men­tie­rung waren sol­che "Mit­fah­rer" ab­zu­se­hen.

Mit der Seite Kryp­to­Kids wirbt die NSA bei Kin­dern und Ju­gend­li­chen für In­ter­es­se an der Kryp­to­gra­phie - und na­tür­lich für Kar­rie­re­mög­lich­kei­ten bei der NSA. Si­cher­lich nett ge­macht, und oben­drein eine The­ma­tik, bei der es schwie­rig ist, Kin­der zu be­geis­tern. Al­ler­dings wird (ganz ame­ri­ka­nisch) mit­un­ter so dick Pa­trio­tis­mus auf­ge­tra­gen, daß man schon fast Ma­gen­krämp­fe davon be­kom­men könn­te...

Eine seit einem hal­ben Jahr be­kann­te Lücke der PHP-XML­RPC-Li­bra­ry wird nach Be­richt des ISC von einem Wurm aus­ge­nutzt. Die Bi­blio­thek wird unter an­de­rem von po­pu­lä­ren Blogg- und CMS-Sys­te­men ver­wen­det. Nach der In­fek­ti­on öff­net der Wurm schein­bar eine Back­door für UDP auf Port 7222 und scannt an­schlie­ßend das Netz nach wei­te­ren ver­wund­ba­ren Rech­nern ab.

Die Mu­sik­in­dus­trie ex­pe­ri­men­tiert nach wie vor mit Ko­pier­schutz-Mög­lich­kei­ten für Au­dio-CDs. Bei den ers­ten Ver­su­chen er­zeug­te man eine Ab­spiel­sper­re am PC, indem die CD ge­zielt Teile des Red-Book-Stan­dards ver­letz­te. In­zwi­schen fin­det man häu­fig auf sol­chen CDs einen Da­ten-Teil, der eine Play­er­soft­ware ent­hält, die die CD (kon­trol­liert) wie­der­gibt.

Kri­ti­sche Be­rich­te und Stu­di­en über Sinn, Zweck und prak­ti­schen Nut­zen von elek­tro­ni­schen Päs­sen mit bio­me­tri­schen Merk­ma­len ent­ste­hen mo­men­tan allen Or­tens - so wurde ein ent­spre­chen­der Be­richt auch in Eng­land ver­öf­fent­licht.

Man will es kaum glau­ben, aber man kann im Falle von Da­ten­dieb­stahl auch gute Pres­se be­kom­men. Es kommt dar­auf an, wie man sich in so einem Fall ver­hält.

Auf dem Rech­ner waren unter an­de­rem die So­zi­al­ver­si­che­rungs­num­mern der Per­so­nen ge­spei­chert - eine Tat­sa­che, die an­de­ren In­sti­tu­tio­nen bei so einem Vor­fall das Ge­nick ge­bro­chen hat. Ei­gent­lich soll­te ein sol­cher Ein­bruch nicht pas­sie­ren - aber falls doch, ist ein Vor­ge­hen in die­ser Art si­cher nicht schlecht:

- Keine Panik, be­son­ne­nes Vor­ge­hen und Scha­dens­ana­ly­se. Dies hat in die­sem Fall wohl ge­zeigt, daß das Root­kit fak­tisch nicht ge­nutzt wurde.

Schein­bar haben sich di­ver­se In­sti­tu­tio­nen ab­ge­spro­chen, sich na­he­zu zeit­gleich über die Si­cher­heit von Voice over IP (VoIP) zu äu­ßern:

Die Leute von F-Se­cu­re müs­sen wirk­lich an­ge­nervt sein. Schein­bar glau­ben aus­rei­chend viele Leute nicht, daß tat­säch­lich ein als "Firm­ware down­gra­de tool" ge­tarn­tes Pro­gramm in Um­lauf ist, das die PSP kom­plett tötet.

Sprung­brett für das Tro­ja­ni­sche Pferd war die Ent­de­ckung, daß die Firm­ware-Ver­si­on 1.5 einen Feh­ler ent­hielt: Man konn­te sie dazu be­we­gen, be­lie­bi­gen, nicht li­zen­sier­ten Code aus­zu­füh­ren. Unter an­de­rem könn­te man so z.B. (ko­pier­te) Spie­le vom Me­mor­sys­tick star­ten. Neue­re Ge­rä­te wur­den mit der Firm­ware-Ver­si­on 2.0 aus­ge­lie­fert - mit Hilfe eines Firm­ware down­gra­ders konn­te man je­doch die äl­te­re Firm­ware-Ver­si­on 1.5 wie­der auf­spie­len.

Daß Coo­kies zum Tra­cken von Be­nut­zern be­nutzt wer­den, ist in­zwi­schen be­kannt. Auch der Trick der "Web Bugs" - Mi­ni­bil­der, die von einem zen­tra­len Ser­ver ge­la­den wer­den, wel­cher mit Hilfe des Re­fe­rer-Hea­ders die Her­kunft ver­fol­gen kann - sind nicht neu.

Flash - das Plu­gin ist bei na­he­zu allen gra­fi­schen Brow­sern in­stal­liert - bie­tet seit Ver­si­on 6 die Mög­lich­keit, so­ge­nann­te "shared ob­jects" per­sis­tent zu spei­chern. Sie stel­len das ex­ak­te Pen­dant zu Coo­kies da. Die De­fault­ein­stel­lung er­laubt jeder Web­sei­te, bis zu 100 kB Daten zu hin­ter­le­gen - mehr als genug für das Tra­cken von Usern.

Die Nach­rich­ten­sei­te heute.​de hat heute einen Nach­rich­ten­block über Bio­me­trie ein­ge­stellt - dar­un­ter die­ser Ar­ti­kel mit dem Titel: Mehr Si­cher­heit durch Bio­me­trie und Funk­chip?

Zur Ver­an­schau­li­chung der ver­schie­de­nen bio­me­tri­schen Er­ken­nungs­me­tho­den wurde eine um­fang­rei­che Flash-Prä­sen­ta­ti­on er­stellt. Der Ar­ti­kel be­ur­teilt die Tech­ni­ken recht kri­tisch; er ent­hält sogar einen di­rek­ten Link auf den Ar­ti­kel des CCC zum Über­lis­ten von Fin­ger­ab­druck-Sen­so­ren :-)

EWeek se­cu­ri­ty be­rich­tet über das For­schungs­vor­ha­ben von Dave Aitel (Im­mu­ni­ty Inc.), kon­trol­lier­te Wür­mer als kos­ten­ef­fek­ti­ve Me­tho­de zum Schutz von Net­zen ein­zu­set­zen.

Das vor­ge­stell­te Frame­work er­laubt die re­la­tiv ein­fa­che Kon­struk­ti­on von Wür­mern für Si­cher­heits­lü­cken; im Ge­gen­satz zu schäd­li­chen Wür­mern wird die Ver­brei­tung ein­ge­schränkt (vor­ge­schla­gen wird die Kon­trol­le über einen Ser­ver). Durch die selb­stän­di­ge Ver­brei­tung in einem grö­ße­ren Netz (z.B. kon­zern­weit) er­gä­be sich an­geb­lich ein kos­ten­ef­fek­ti­ver und zu­ver­läs­si­ge­rer Schutz als mit zen­tra­lis­ti­schen An­sät­zen, da die Netz­in­fra­struk­tur ty­pi­scher­wei­se stän­di­gem Wan­del un­ter­wor­fen ist und die (laut Do­ku­men­ta­ti­on) an­ge­nom­me­ne Netz­to­po­lo­gie meist nicht mit der Rea­li­tät über­ein­stimmt.

Aus Whi­te­dust: Hacking: Art or Sci­ence?:The ar­gu­ment re­gar­ding the prin­ci­pal na­tu­re of hacking - be it an art or a sci­ence is not a new one. This paper hopes to dis­cuss both the mea­ning of the term "hack" and the un­der­ly­ing ar­gu­ments for it being de­fi­ned as an art or a sci­ence...

Aus RSA Se­cu­ri­ty Sur­vey Re­veals Mul­ti­ple Pass­words Crea­ting Se­cu­ri­ty Risks and End User Frus­tra­ti­on:RSA Se­cu­ri­ty's sur­vey fin­dings in­di­ca­te that while end users may at­tempt to me­mo­ri­ze pass­words, em­ployees con­ti­nue to re­sort to other, less se­cu­re means of tracking mul­ti­ple pass­words.

Ei­gent­lich keine Über­ra­schung: Eine hand­voll guter Paß­wör­ter kann man sich viel­leicht noch mer­ken, aber ab einem ge­wis­sen Punkt wird das Ver­fah­ren für den Nut­zer so läs­tig, daß er sich nach Al­ter­na­ti­ven um­sieht. Und die öff­nen meist wei­te­re Si­cher­heits­lü­cken: Mehr­fach ver­wen­de­te, oft leicht zu ra­ten­de Paß­wör­ter, die Post-Its am Mo­ni­tor oder die Zet­tel unter der Tas­ta­tur dürf­ten die Klas­si­ker sein.

...​ein tech­ni­sches De­sas­ter - aus Pri­so­ners un­pick hi-tech lock sys­tem:After typ­ing in a PIN code, pri­son of­fi­cers had to place their fin­ger on a piece of glass. Once the print was re­co­gnis­ed, they could then lock and un­lock pri­son doors.

Die dort ein­ge­setz­te Tech­nik war si­cher nicht die schlech­tes­te - bei einem 3-Mil­lio­nen-Pfund-Sys­tem darf man das wohl auch er­war­ten. Die Welt darf also mit Span­nung den bio­me­tri­schen Päs­sen ent­ge­gen­se­hen. Viele Or­ga­ni­sa­tio­nen (wie z.B. der CCC) war­nen vor einem spek­ta­ku­lä­ren De­sas­ter bei der über­eil­ten Ein­füh­rung bio­me­tri­scher Kon­trol­len. Man geht davon aus, daß es nur eine Frage der Zeit sein wird, bis Wege ge­fun­den wer­den, diese Kon­troll­sys­te­me aus­zu­trick­sen. Wird man bei der Feh­ler­be­he­bung dann eben­so vor­ge­hen wie bei dem schot­ti­schen Ge­fäng­nis?

Aus Sus­pi­cious be­ha­viour on the tube:The po­li­ce de­ci­ded that wea­ring a rain ja­cket, car­ry­ing a ruck­sack with a lap­top in­si­de, loo­king down at the steps while going into a tube sta­ti­on and che­cking your phone for mes­sa­ges just ti­cked too many boxes on their check­list and makes you a ter­ro­rist suspect.

Geeks leben ge­fähr­lich: Ein Lap­top, eine bunte Re­gen­ja­cke, und ge­dan­ken­ver­lo­ren auf seine ei­ge­nen Füße schau­en, wäh­rend man die Trep­pe hin­un­ter­läuft... und schon ist man ein po­ten­ti­el­ler Ter­ro­rist.

Aus SANS ISC: Wi-Fi Worm Ru­mors:Mr. JUG men­tio­ned the pos­si­bi­li­ty of a worm that at­tacks via wire­less and lea­ves the In­ter­net alone for a while. That way, it would miss our de­tec­tion me­cha­nis­ms for a while, as it spreads in air­ports, cof­fee hou­ses, and urban cen­ters.

Eine ge­schick­te Mög­lich­keit, sich an Schutz­vor­rich­tun­gen eines Net­zes vor­bei­zu­mo­geln - und ein wei­te­rer Beleg dafür, daß WLANs beim Fire­wall­de­sign in die DMZ ge­hö­ren.

The story con­ti­nues: Fol­low the Boun­cing Mal­wa­re IX: eGOLD­FIN­GER

Als be­son­de­res Fea­ture agiert die vor­ge­stell­te Mal­wa­re als aus­ge­wach­se­nes Root­kit, das sich vor den Augen des Be­nut­zers ver­birgt - durch In­stal­la­ti­on eines Trei­bers macht es sich (auch im safe mode) un­sicht­bar. Erst durch Boo­ten von einem sau­be­ren Sys­tem (z.B. Knop­pix-CD) kann man die in­stal­lier­ten Da­tei­en wie­der sehen...

Sky­pe-Ebay-Rant

Aus Skype se­cu­ri­ty and pri­va­cy con­cerns:Well, it seems that there are three kinds of com­pa­nies: those that fight for cust­o­m­ers' pri­va­cy in the face of the de­man­ds of law en­force­ment; those that re­qui­re some sort of of­fi­ci­al, con­sti­tu­tio­nal­ly-man­da­ted do­cu­ments - like, oh, say, a war­rant or sub­poe­na - be­fo­re han­ding over cust­o­m­er info to the cops; and eBay.

Es gibt si­cher eine Reihe guter Grün­de, ein wenig Mi­ß­trau­en ge­gen­über Skype wal­ten zu las­sen:

Goog­le hacking

...​ist in aller Munde. Auch das Ma­ga­zin Net­work world hat das Thema nun auf­ge­grif­fen und be­rich­tet über die (an Po­pu­la­ri­tät ge­win­nen­de) Seite ihack­stuff.