Die Woche zwischen Weihnachten und Sylvester ist der übliche Zeitpunkt für Jahresrück- und -ausblicke. TheRegister und der Heise-Newsticker machen da keine Ausnahme. Hier also auch meine Gedanken und Anmerkungen.

...wozu der Präsident sie kurzerhand angewiesen hat - egal, ob legal oder nicht. Dies berichtet die NY Times kurz vor Weihnachten; die Information lag der Times jedoch angeblich schon seit über einem Jahr vor - aus Gründen der nationalen Sicherheit wurde sie jedoch erst jetzt veröffentlicht.

Logs sind normalerweise eine feine Sache zum Aufspüren von Fehlern und anderen Systemunregelmäßigkeiten (z.B. Einbrüchen). Und im Falle eines Falles können sie gar nicht ausführlich genug sein.

C&A hat eine Werbung der besonderen Art am Kudamm laufen: Die Dessousmodels werden dort in (über)lebensgröße projeziert. Der Clou: Die Models lassen sich von einer Webseite aus steuern, der Surfer sieht via Webcam die Reaktionen der Schaufensterbetrachter.

Allgemeiner Frust über die EU-Entscheidung. Unter der Überschrift "Privatsphäre wird zum Luxusgut" zitierte der Heise-Newsticker am gestrigen Abend verschiedene Kritiker der Richtlinie:

Der diesjährige Capture The Flag Hacking Contest ist vorbei - mit drei Europäischen Teams auf den ersten Plätzen.

Das EU-Parlament hat die Richlinie zur Voratsdatenspeicherung mit 378:197 Stimmen abgesegnet.

Brian Snow von der NSA hat auf der Annual Computer Security Applications Conference einen Vortrag zum Thema Security, Sicherheitsanforderungen und -implementierungen gehalten. Tenor: Angepaßte Sicherheit, dann aber bitte auch einsetzen.

Biometrische Kontrolle, Cryptotokens und Paßworteingabe um eine Tür zu öffnen... und dann stellt man fest, daß das einfache Drücken der Klinke ebenfalls ausreichend ist :-)

Dem Antivirenhersteller F-Secure ist es gelungen, den Update-Mechanisumus des Sober-Wurms zu analysieren. Bis dato war nur bekannt, daß sich der Wurm "irgendwie" updaten kann.

Vor rund zwei Wochen wurde auf der Security-Mailingliste Bugtrack ein Fehler in der aktuellen Version des Mambo CMS publiziert, der das Ausführen von beliebigem Code erlaubt. Knapp eine Woche später veröffentlichte der Hersteller entsprechende Patches. Nun ist es höchste Zeit, diese einzuspielen: Ein Wurm sucht systematisch nach verwundbaren Systemen.

Bereits vor einigen Tagen wurden die SANS Top 20 vulnerabilities des Jahres veröffentlicht. Bemerkenswert (und besorgniseregend) groß ist der Block an Windows-Schwachstellen; von wachsender Bedeutung dürfte aber auch der Abschnitt "Cross-Platform vulnerabilities" sein - man erinnere sich an PHP-XMLRPC-Würmer und den ersten XSS-Wurm.

Der Begriff "Phone phreaking" stammt ursprünglich von einem Trick, an Telefonzellen kostenlos telefonieren zu können: Der Münzeinwurf erzeugte ein bestimmtes Tonsignal, das der Vermittlungsstelle die Bezahlung signalisierte. Durch Generieren dieses Signals waren so kostenlose Telefonate möglich (zumindest in Amerika, wo entsprechende Technik zum Einsatz kam).

Wie die Forscher im Labor reproduzieren konnten, ist es so möglich, Abhörvorrichtungen auszuschalten, während ein normales Gespräch läuft. Hierzu wird einfach der "C-Tone" in die Übertragung mit eingespielt. Wie am Beispiel der Forscher zu hören ist, beeinträchtigt der Signalton die Sprechqualität nur sehr leicht. Viele der Abhöranlagen an analogen Vermittlungsstellen reagieren jedoch auf dieses Signal und stoppen die Aufnahme - in der Annahme, daß der Hörer aufgelegt und damit das Gespräch beendet wurde.

Ein nicht ganz ernster Thread der Mailingliste Full-Disclosure diskutierte geeignete Namen für Besprechungsräume einer IT-/Security-Abteilung. Meine Favoriten...

Vor geraumer Zeit in einer Signature gesehen:

In seinem Blog dementiert Bruce Schneier Gerüchte über den "Tod von Twofish". Angeblich machen Gerüchte über Schwächen in der Blockchiffre Twofish die Runde.

...ein Bug - obendrein ein seit längerem bekannter. Bis dato war nur bekannt, daß man so den IE in den Abgrund reißen konnte - nun wurde demonstriert, daß sich so beliebiger Code ausführen läßt. Entsprechende Exploits sind bereits im Umlauf; solche Browser Exploits werden z.B. zum Einschleusen von Spyware genutzt.

Im August 2004 wurde von einem Forscherteam eine Methode zum Finden von Kollisionen in mehreren Hashfunktionen vorgestellt. Im Blog von Bruce Schneier stellte Patrick Stach Links auf effiziente Implementierungen für MD5 und MD4 ein. Kollisionen für MD4 lassen sich so innerhalb von Sekunden, für MD5 in ca. 45 Minuten (auf aktueller PC-Hardware) finden.

Neue Varianten des Sober-Wurms gehören inzwischen schon fast zum Alltag. Neu ist, daß die Polizei bereits im Voraus davor warnt - es liegen angeblich Informationen vor, laut denen ab heute eine neue Variante verbreitet wird (Pressemitteilung 62/2005 vom 14.11.05). Man darf gespannt sein, ob tatsächlich etwas passiert.

Der Rootkit-artige Kopierschutz von Sony-CDs hat inzwischen diverse Trittbrettfahrer gefunden: Zunächst benutzten World-of-Warcraft-Spieler das Rootkit, um Cheat-Programme zu verbergen. Wie F-Secure heute meldet, benutzt nun auch ein Wurm die Funktion, um sich im System zu verstecken. Bei der schlampigen Implementierung waren solche "Mitfahrer" abzusehen.

Das "Google der Paßwörter" will Unternehmen "Rainbowcrack Online" werden. Nach einer kostenpflichtigen Anmeldung kann man dem Dienst ein gewisses Kontingent an Paßwort-Hashes übergeben - und erhält kurze Zeit später die korrespondierenden Paßwörter per Mail.

Mit der Seite KryptoKids wirbt die NSA bei Kindern und Jugendlichen für Interesse an der Kryptographie - und natürlich für Karrieremöglichkeiten bei der NSA. Sicherlich nett gemacht, und obendrein eine Thematik, bei der es schwierig ist, Kinder zu begeistern. Allerdings wird (ganz amerikanisch) mitunter so dick Patriotismus aufgetragen, daß man schon fast Magenkrämpfe davon bekommen könnte...

Daß dies möglich ist, hat der Ulmer CCC bereits vor einem Jahr in einem Vortrag demonstriert. Eine amerikanische Gruppe hat das Procedere nun ebenfalls entdeckt... und das ganze als Eintrag bei SecurityFocus platziert.

Eine seit einem halben Jahr bekannte Lücke der PHP-XMLRPC-Library wird nach Bericht des ISC von einem Wurm ausgenutzt. Die Bibliothek wird unter anderem von populären Blogg- und CMS-Systemen verwendet. Nach der Infektion öffnet der Wurm scheinbar eine Backdoor für UDP auf Port 7222 und scannt anschließend das Netz nach weiteren verwundbaren Rechnern ab.

Die Sicherheit von VoIP war in den letzten Tagen und Wochen schon öfters im Gespräch - nicht zuletzt wegen dem vom BSI herausgegebenen Studie über VoIP-Sicherheit. Nun gibt es wohl den ersten Bericht über reale VoIP-Zwischenfälle - in diesem Fall kostenlose Telefonate.

Auf Slashdot wurde ein Review des Buches "Security and Usability" von L. Cranor und S. Garfinkel veröffentlicht.

Die Musikindustrie experimentiert nach wie vor mit Kopierschutz-Möglichkeiten für Audio-CDs. Bei den ersten Versuchen erzeugte man eine Abspielsperre am PC, indem die CD gezielt Teile des Red-Book-Standards verletzte. Inzwischen findet man häufig auf solchen CDs einen Daten-Teil, der eine Playersoftware enthält, die die CD (kontrolliert) wiedergibt.

Harald Welte, bekannt als Entwickler des Netfilter-Projekts, hat die Webplattform OpenMRTD.org eröffnet. Hier soll eine OpenSource-Implementierung zum Lesen der neuen elektronischen Pässe entstehen.

Kritische Berichte und Studien über Sinn, Zweck und praktischen Nutzen von elektronischen Pässen mit biometrischen Merkmalen entstehen momentan allen Ortens - so wurde ein entsprechender Bericht auch in England veröffentlicht.

Man will es kaum glauben, aber man kann im Falle von Datendiebstahl auch gute Presse bekommen. Es kommt darauf an, wie man sich in so einem Fall verhält.

Auf dem Rechner waren unter anderem die Sozialversicherungsnummern der Personen gespeichert - eine Tatsache, die anderen Institutionen bei so einem Vorfall das Genick gebrochen hat. Eigentlich sollte ein solcher Einbruch nicht passieren - aber falls doch, ist ein Vorgehen in dieser Art sicher nicht schlecht:

- Keine Panik, besonnenes Vorgehen und Schadensanalyse. Dies hat in diesem Fall wohl gezeigt, daß das Rootkit faktisch nicht genutzt wurde.

Scheinbar haben sich diverse Institutionen abgesprochen, sich nahezu zeitgleich über die Sicherheit von Voice over IP (VoIP) zu äußern:

Die Leute von F-Secure müssen wirklich angenervt sein. Scheinbar glauben ausreichend viele Leute nicht, daß tatsächlich ein als "Firmware downgrade tool" getarntes Programm in Umlauf ist, das die PSP komplett tötet.

Sprungbrett für das Trojanische Pferd war die Entdeckung, daß die Firmware-Version 1.5 einen Fehler enthielt: Man konnte sie dazu bewegen, beliebigen, nicht lizensierten Code auszuführen. Unter anderem könnte man so z.B. (kopierte) Spiele vom Memorsystick starten. Neuere Geräte wurden mit der Firmware-Version 2.0 ausgeliefert - mit Hilfe eines Firmware downgraders konnte man jedoch die ältere Firmware-Version 1.5 wieder aufspielen.

In Deutschland starten die neuen Reisepässe am 1. November. Damit ist Deutschland nicht die Nummer 1 in Europa (wie von Herrn Schily ursprünglich angestrebt?) - Belgien verteilt seit Ende August Pässe mit Chip.

Daß Cookies zum Tracken von Benutzern benutzt werden, ist inzwischen bekannt. Auch der Trick der "Web Bugs" - Minibilder, die von einem zentralen Server geladen werden, welcher mit Hilfe des Referer-Headers die Herkunft verfolgen kann - sind nicht neu.

Flash - das Plugin ist bei nahezu allen grafischen Browsern installiert - bietet seit Version 6 die Möglichkeit, sogenannte "shared objects" persistent zu speichern. Sie stellen das exakte Pendant zu Cookies da. Die Defaulteinstellung erlaubt jeder Webseite, bis zu 100 kB Daten zu hinterlegen - mehr als genug für das Tracken von Usern.

Seurityfocus hat heute einen Artikel mit einem Plädoyer für "Two-factor banking" veröffentlicht:

Whitedust hat ein Interview mit nmap-Autor Fyodor geführt. Fyodor kritisiert u.a. den Schritt von Nessus, den OpenSource-Weg zu verlassen - er selbst ist Beispiel dafür, daß das Nebeneinander einer Software unter der GPL (nmap) und einer Firma funktioniert.

Eine Reihe von Druckern bettet in Ausdrucke Zusatzinformationen ein; für Xerox-Drucker ist es der EFF gelungen, den DocuColor code zu entschlüsseln. Der Code enthält unter anderem das Druckdatum und die Seriennummer des Druckers.

"myspace - a place for friends" könnte man wohl vereinfacht als Kontaktbörse beschreiben. Jedes Mitglied kann auf seiner Seite ein Profil von sich selbst hinterlegen. Der Benutzer samy fand heraus, daß es möglich ist, ungefiltertes HTML hier einzuschleusen... und schrieb den wohl ersten XSS-Wurm.

Die Nachrichtenseite heute.de hat heute einen Nachrichtenblock über Biometrie eingestellt - darunter dieser Artikel mit dem Titel: Mehr Sicherheit durch Biometrie und Funkchip?

Zur Veranschaulichung der verschiedenen biometrischen Erkennungsmethoden wurde eine umfangreiche Flash-Präsentation erstellt. Der Artikel beurteilt die Techniken recht kritisch; er enthält sogar einen direkten Link auf den Artikel des CCC zum Überlisten von Fingerabdruck-Sensoren :-)

Ende August wurden die Programmierer des Zotob-Wurms verhaftet. In einem aktuellen Artikel berichtet Securityfocus, daß das Botnetz, das der Wurm aufspannte, mehr als 100.000 Rechner umfasste.

Der Vollständigkeit halber: Ende letzter Woche veröffentlichte CNN dieses Interview mit Hacker-Legende Kevin Mitnick.

EWeek security berichtet über das Forschungsvorhaben von Dave Aitel (Immunity Inc.), kontrollierte Würmer als kosteneffektive Methode zum Schutz von Netzen einzusetzen.

Das vorgestellte Framework erlaubt die relativ einfache Konstruktion von Würmern für Sicherheitslücken; im Gegensatz zu schädlichen Würmern wird die Verbreitung eingeschränkt (vorgeschlagen wird die Kontrolle über einen Server). Durch die selbständige Verbreitung in einem größeren Netz (z.B. konzernweit) ergäbe sich angeblich ein kosteneffektiver und zuverlässigerer Schutz als mit zentralistischen Ansätzen, da die Netzinfrastruktur typischerweise ständigem Wandel unterworfen ist und die (laut Dokumentation) angenommene Netztopologie meist nicht mit der Realität übereinstimmt.

Sourcefire, die Firma der Snort-Hauptentwickler, wird von Checkpoint gekauft. Insbesondere nach der Ankündigung der Nessus-Entwickler wichtig: Martin Roesch stellt in einer Mitteilung an die Snort community klar, daß Snort weiterhin unter der GPL entwickelt wird:

Auf der Mailingliste von Nessus, einem (bis dato open source) state-of-the-art vulnerability scanner, wurde gestern angekündigt:

Industrie und Politik zeigen sich startklar, Organisationen wie der CCC warnen eindringlich davor.

Aus Whitedust: Hacking: Art or Science?:The argument regarding the principal nature of hacking - be it an art or a science is not a new one. This paper hopes to discuss both the meaning of the term "hack" and the underlying arguments for it being defined as an art or a science...

Aus RSA Security Survey Reveals Multiple Passwords Creating Security Risks and End User Frustration:RSA Security's survey findings indicate that while end users may attempt to memorize passwords, employees continue to resort to other, less secure means of tracking multiple passwords.

Eigentlich keine Überraschung: Eine handvoll guter Paßwörter kann man sich vielleicht noch merken, aber ab einem gewissen Punkt wird das Verfahren für den Nutzer so lästig, daß er sich nach Alternativen umsieht. Und die öffnen meist weitere Sicherheitslücken: Mehrfach verwendete, oft leicht zu ratende Paßwörter, die Post-Its am Monitor oder die Zettel unter der Tastatur dürften die Klassiker sein.

Ein Interview auf SecurityFocus mit den Autoren von "Rootkits: Subverting the Windows kernel" über heutige Rootkits und die zukünftigen Schutzmaßnahmen. Auf die Frage nach Trusted Computing kam die Antwort:

...ein technisches Desaster - aus Prisoners unpick hi-tech lock system:After typing in a PIN code, prison officers had to place their finger on a piece of glass. Once the print was recognised, they could then lock and unlock prison doors.

Die dort eingesetzte Technik war sicher nicht die schlechteste - bei einem 3-Millionen-Pfund-System darf man das wohl auch erwarten. Die Welt darf also mit Spannung den biometrischen Pässen entgegensehen. Viele Organisationen (wie z.B. der CCC) warnen vor einem spektakulären Desaster bei der übereilten Einführung biometrischer Kontrollen. Man geht davon aus, daß es nur eine Frage der Zeit sein wird, bis Wege gefunden werden, diese Kontrollsysteme auszutricksen. Wird man bei der Fehlerbehebung dann ebenso vorgehen wie bei dem schottischen Gefängnis?

Aus Suspicious behaviour on the tube:The police decided that wearing a rain jacket, carrying a rucksack with a laptop inside, looking down at the steps while going into a tube station and checking your phone for messages just ticked too many boxes on their checklist and makes you a terrorist suspect.

Geeks leben gefährlich: Ein Laptop, eine bunte Regenjacke, und gedankenverloren auf seine eigenen Füße schauen, während man die Treppe hinunterläuft... und schon ist man ein potentieller Terrorist.

Aus SANS ISC: Wi-Fi Worm Rumors:Mr. JUG mentioned the possibility of a worm that attacks via wireless and leaves the Internet alone for a while. That way, it would miss our detection mechanisms for a while, as it spreads in airports, coffee houses, and urban centers.

Eine geschickte Möglichkeit, sich an Schutzvorrichtungen eines Netzes vorbeizumogeln - und ein weiterer Beleg dafür, daß WLANs beim Firewalldesign in die DMZ gehören.

The story continues: Follow the Bouncing Malware IX: eGOLDFINGER

Als besonderes Feature agiert die vorgestellte Malware als ausgewachsenes Rootkit, das sich vor den Augen des Benutzers verbirgt - durch Installation eines Treibers macht es sich (auch im safe mode) unsichtbar. Erst durch Booten von einem sauberen System (z.B. Knoppix-CD) kann man die installierten Dateien wieder sehen...

Aus Skype security and privacy concerns:Well, it seems that there are three kinds of companies: those that fight for customers' privacy in the face of the demands of law enforcement; those that require some sort of official, constitutionally-mandated documents - like, oh, say, a warrant or subpoena - before handing over customer info to the cops; and eBay.

Es gibt sicher eine Reihe guter Gründe, ein wenig Mißtrauen gegenüber Skype walten zu lassen:

Da ich seit geraumer Weile meine eigenen Patches nicht erweitert habe, was es höchste Zeit, die Seite entsprechend zu aktualisieren: Es gibt inzwischen ein gemeinschaftliches Projekt (basierend auf Jost van Baals und meiner Arbeit) samt Mailingliste und Source-Repository.

Aus Microsoft Scraps Old Encryption in New Code:

...ist in aller Munde. Auch das Magazin Network world hat das Thema nun aufgegriffen und berichtet über die (an Popularität gewinnende) Seite ihackstuff.

Wenn die traditionellen Ideen von Computersicherheit funktionieren würden, müßte die Anzahl kompromittierter Systeme ständig sinken... The Six Dumbest Ideas in Computer Security