Mitternachtshacking

Ich habe eine Nacht darüber geschlafen, was dieses Urteil wirklich aussagt.

In vielen Kommentaren liest man, dass die Richterin keine Ahnung hat (was vermutlich durchaus zutreffend sein kann) und, dass es technisch unmöglich ist den RAM nach jeder Änderung zu sichern (was auf jeden Fall zutreffend ist). In diesem Urteil geht es aber um etwas ganz anderes.

Zum Hintergrund: Die Filmindustrie, vertreten durch Columbia Pictures hat eine Torrent-Seite auf Herausgabe der IP-Adressen aller Nutzer verklagt, die einen Torrent-Tracker heruntergeladen haben. Mit Hilfe des Torrent-Trackers kann dann die eigentliche Datei gefunden und gesaugt werden. Die Torrent-Seite hat sich damit entschuldigt, dass sie keine Logfiles schreibt und daher diese Informationen nicht vorliegen würden.

Das Urteil der Richterin sagt eigentlich erst einmal nur folgendes aus: Wenn die gesuchten Informationen an irgendeiner Stelle auf dem System vorliegen, und sei es nur im RAM, dann ist der Betreiber des Systems auch verpflichtet, diese Informationen zu sichern und auch herauszurücken. Damit ist in keinster Weise gemeint, dass ständig, permanent und nach jeder Änderung der RAM gesichert werden muss, ganz im Gegenteil. Aber damit ist gemeint, wenn irgendwann irgendwo die Daten vorliegen, dann müssen sie auch protokolliert werden.

Faktisch heißt das, in den USA ist es dadurch verboten, einen öffentlichen Dienste ohne Protokollierung der Zugriffe zu betreiben. Webserver ohne Logfile? Verboten! Es könnte ja jemand wissen wollen, von welcher IP-Adresse der neueste AACS-Key gepostet worden ist. Anonymisierungsdienst? Verboten! Es könnte ja jemand den amerikanischen Präsidenten bedrohen, was nach US-Recht eine schwere Straftat ist. Unserem Innenminister Schäuble muss es da ganz feucht im Schritt werden, endlich werden die Bürger verpflichtet zu protokollieren. Und in den USA reicht ja ein billiger Subpoena, um dann an die Daten zu kommen. Oder eben ein National Security Letter vom FBI. Der zwingt einen dann gleich noch zur Geheimhaltung, wenn man alle Daten herausgerückt hat. Da braucht es dann wirklich keinen Datenschutz mehr.

… und müssen laut Urteil eines amerikanischen Gerichts zukünftig gesichert werden.

Hier das Urteil im Wortlaut:

Based upon the court’s consideration of the extensive arguments and evidence presented, the court’s assessment of the credibility of the declarants and witnesses who testified at the evidentiary hearing in this matter, and the applicable law, the court finds: (1) the data in this issue is extremely relevant and within the scope of information sought by plaintiffs‘ discovery requests; (2) the data in issue which was formerly temporarily stored in defendants‘ website’s random access memory („RAM“) constituted „electronically stored information“ and was within the possession, custody and control of defendants; (3) the data in issue which is currently routed to a third party entity under contract to defendants and received in said entity’s RAM, constitutes „electronically stored information,“ and is within defendants‘ possession, custody or control by virtue of defendants‘ ability to manipulate at will how the data in issue is routed; (4) defendants have failed to demonstrate that the preservation and production of such data is unduly burdensome, or that the other reasons the articulate justify the ongoing failure to preserve and produce such data; (5) defendants must preserve the pertinent data within their posession, custody or control and produce any such data in a manner which masks the Internet Protocol addresses („IP addresses“) of the computers used by those accessing defendants‘ website; (6) sanctions against defendants for spoliation of evidence are not appropriate in light of the lack of precedent for requiring the retention of data in RAM, the lack of a preservation request specifically directed to data present only in RAM, and the fact that defendants‘ failure to retain such data did not violate any preservation order; and (7) awarding attorney’s fees and costs are not appropriate.

Quelle

Quelle und kompletter Text: The Register

1. Die Black Hats bilden eine integrierte Gemeinschaft, die Wissen und Know-how effizient tauscht
2. Black Hat ist sogar für zweitklassige Hacker eine Karrieremöglichkeit
3. Es gibt spzielle Viren, um gängige Antivirusprodukte zu umgehen
4. Es gibt komplette SDKs zur Entwicklung von Schadprogrammen
5. Es gibt einen Markt für geklaute Daten
6. Es gibt komplette Botnetze zu Mieten
7. Einige Schad-Webseiten sind sehr subtil und clever
8. Gute Hacker werden nicht erwischt (und ziehen nach Moldawien)
9. Sogar Banken haben sichere Geld-Transferkanäle
10. Nicht alle Geschäftsleute scheuen sich vor einem Hackerangriff (auf einen Konkurrenten)

Na, dann steht einer Karriere als Black Hat ja nichts mehr im Weg, oder?

Heute auf Heise.de: OpenOffice führt Code aus rtf-Dokumenten aus

Manchmal könnte ich schon depressiv werden. PDFs sind seit geraumer Zeit nicht mehr sicher, z.B. das integrierte Javascript und XSS und das Catalog Dictionary. JPGs waren schon mal dran, wir erinnern uns an JPEG-of-Death. HTML bietet immer das Problem integrierten Javascripts und Browser sind sowieso ein ganz eigenes Problem. Microsoft Formate wie DOC, XLS, PPT waren ja noch nie sicher und jetzt kann man nicht einmal mehr gefahrlos RTF austauschen.

Was haben wir als nächstes zu erwarten? Buffer Overflows in notepad.exe beim Öffnen von ASCII-Dateien?

Ich meckere ja immer gerne, dass gerade im Bereich der IT-Sicherheit kritischer Infrastruktur in Europa zu wenig und vor allem nichts koordiniert passiert. In Deutschland hat das BSI ja ein wenig dazu veröffentlicht (rückt aber die Werkzeuge wie Excel-Tabellen nicht raus), in Norwegen ist Sintef recht aktiv, in den Niederlanden z.B. FHI. Das ist aber mit den USA nicht zu vergleichen.

Ich hatte vor einiger Zeit zu diesem Thema ein sehr interessantes Gespräch mit Richard Jackson, dem Head of Global Information Risk Management und Chief Information Protection Officer der Chevron Corporation. Chevron wie praktisch alle Firmen in der Branche der Energieversorgung hat vor einiger Zeit wohl einiges an Ressourcen vom US Department of Homeland Security bekommen, d.h. Geld, Know-how, Forschungskapazitäten an Universitäten etc. und das DHS scheint da auch einiges zu koordinieren.

Und jetzt taucht bei mir auf dem Radarschirm die European Network and Information Security Agency (ENISA) auf. Ob man davon was halten soll weiß ich noch nicht. Die Liste der wichtigen Ereignisse der ENISA lässt jedenfalls nichts gutes vermuten:

• March 2005: Decision by the ED/Management Board to move ENISA to Crete
• 13 April 2006: Visit of Commissioner Viviane Reding in Crete
• 12 May 2006: ENISA Changing domain name .europa.eu
• 16 June 2006: First informal Management Board – Permanent Stakeholders Group workshop meeting

Das ist übrigens auch der letzte Eintrag, vom 16. Juni 2006. Vermutlich sitzen die Sesselpupser immer noch im Meeting. Zumindest haben sie ein ordentliches Organigramm und ausreichend Assistenten. Ich frag mich ja, ob man sich da bewerben kann. Ein Job auf Kreta wäre schon lässig.

Trotzdem, ein vernünftiger europäischer Ansatz zum Schutz kritischer Infrastruktur, meinetwegen auch ein European Department of Homeland Security oder so, das fehlt hier eindeutig. Und nicht nur reine Marketing-Shows wie dieses Microsoft-sich-im-Netz.

Patente auf Software sind ja inzwischen ein allgemeines Übel und das Europäische Parlament, vermutlich die größte Ansammlung von Menschen ohne jede Sachkenntnis, ist gerade dabei dem amerikanischen Irrweg nachzuhinken.

Unsere amerikanischen Freunde sind offensichtlich schon einen Schritt weiter. Dort gibt es jetzt eine Firma, die Patches patentieren lassen will. Golem schreibt dazu:

„Wer eine noch nicht veröffentlichte Schwachstelle in einer Software entdeckt, wendet sich im Geheimen an die Firma mit dem sprechenden Namen „Intellectual Weapons“. Zuerst wird die Schwachstelle verifiziert. Das Unternehmen prüft anschließend, ob die Entwicklung eines Patches und die Patentierung der dabei genutzten Verfahren möglich erscheint und ein geeignetes Mittel darstellt, Lizenzgebühren in nennenswerter Höhe zu kassieren.“

Äh ja. Das klingt wie eine absolut hirnrissige Idee, aber das amerikanische Patentsystem wird das schon durchwinken. Übel wird es vermutlich für den Verbraucher. Viele Hersteller rücken Updates und Patches jetzt schon nur gegen Cash raus, dieser Trend wird sich durch sowas natürlich verfestigen. Eigentlich sollte man dann konsequenterweise endlich auch die normale Produkthaftung auf Software anwenden.

Huch, in WordPress 2.2 ist eine Sicherheitslücke bekannt geworden. SQL-Injection. Und einen Exploit gibt es auch schon! OMG, ich habe doch hier auch WP 2.2 im Einsatz … ach naja, betrifft ja nur angemeldete Benutzer und so viele gibt es hier gar nicht. Also egal. Das Update habe ich trotzdem kurz eingespielt.

Sicherheitslücken bei PHP-Programmen lohnt es sich eigentlich gar nicht zu kommentieren. Da gibt es jeden Tag nicht nur eine Sau, die durch das virtuelle Dorf getrieben wird. Securityfocus dokumentiert das ja ganz schön. Interessant finde ich eigentlich was ganz anderes, was typisch ist für viele Sicherheitslücken.

Die Lücke ist schon vor über einer Woche von den WordPress-Entwicklern entdeckt und behoben worden, der Patch ist auch im Trac dokumentiert. Nur haben die Entwickler nicht erkannt, dass es sich hier um eine Lücke handelt, mit der ein Angreifer die Datenbank manipulieren kann. Das sah wie ein ganz einfacher Programmierfehler aus und wird folglich behoben. Irgendjemand (in diesem Fall mit dem Pseudonym Slappter) mit einem Blick für solche Fehler hat vermutlich das Update im Trac gesehen, erkannt, dass die Lücke angreifbar ist und einen Exploit programmiert. Und da die Entwickler die Lücke für irrelevant gehalten haben, wurde niemand benachrichtigt.

Dieses Problem tritt öfter auf, vor einiger Zeit gab es einen spektakulären Fall im Linux-Kernel, potentiell sind aber natürlich alle Open Source Programme davon betroffen. Microsoft nutzt solche Argumente deshalb gerne, um für ihren angeblich so „responsible disclosure“ Prozess zu werben. Leider ist das reine Augenwischerei, wie die Advisories von eEye (eine Lücke in Microsoft Windows ist seit 227 Tagen ohne Patch, aber solange kein Exploit frei verfügbar ist, interessiert das den Hersteller offensichtlich einen Dreck) oder die Geschichte von HD Moore (im Patch für Microsoft RRAS ist nicht nur der angegebene Fehler sondern stillschweigend ein viel kritischerer Fehler behoben worden, über den der Hersteller im Advisory leider gar nichts gesagt hat, weshalb viele Firmen den Patch erst sehr spät einspielten) beweisen.

Womit wir wieder beim Thema wären. Auch wenn in diesem Fall theoretisch sogar mein eigenes Blog gefährdet gewesen ist, gefällt mir die offene Veröffentlichungspraxis von WordPress, Linux, Metasploit, Milw0rm und Co. besser als die unverantwortliche Geheimhaltungspraxis von Microsoft. Oder noch schlimmer von HP, die Sicherheitsforscher sogar verklagen wollten.

Mitternachtshacking.de blendet bis auf weiteres rechts oben den Pagepeel (Eselsecke) vom Arbeitskreis Vorratsdatenspeicherung mit ein. Für WordPress gibt es dafür einfach und bequem ein Plugin, das man einfach ins passende Verzeichnis schiebt und aktiviert. Weiteres dazu im AK Vorrat Wiki. Da gibt es auch das Plugin zum Download.

„Dabei bewirkt die zunehmende elektronische Erfassung und Überwachung der gesamten Bevölkerung keinen verbesserten Schutz vor Kriminalität, kostet Millionen von Euro und gefährdet die Privatsphäre Unschuldiger. Wo Angst und Aktionismus regieren, bleiben gezielte und nachhaltige Maßnahmen zur Stärkung der Sicherheit ebenso auf der Strecke wie ein Angehen der wirklichen, alltäglichen Probleme der Menschen (z.B. Arbeitslosigkeit und Armut). Hinzu kommt: Wer sich ständig überwacht und beobachtet fühlt, kann sich nicht mehr unbefangen und mutig für seine Rechte und eine gerechte Gesellschaft einsetzen. Es entsteht allmählich eine unkritische Konsumgesellschaft von Menschen, die „nichts zu verbergen“ haben und dem Staat gegenüber – zur vermeintlichen Gewährleistung totaler Sicherheit – ihre Freiheitsrechte aufgeben. Eine solche Gesellschaft wollen wir nicht!“

Diesen Aufruf von „Freiheit statt Angst“ möchte ich zu 100% unterschreiben.

Sehr schön … endlich mal wieder eine interessante IIS-Lücke 🙂

Auf einem Microsoft IIS 5.x auf Windows 2000 kann die Authentisierung mittels hit-highlight (webhits.dll ist der Übeltäter) umgangen werden:

Cause:

Hit-highlighting with Webhits.dll only relies on the Microsoft Windows NT Access Control List (ACL) configuration. It does not rely on non-ACL based security mechanisms such as the following:

• The Microsoft Internet Information Services (IIS) authentication configuration
• NTLM authentication
• Basic authentication
• IP address restrictions on files within the Webroot

Jede andere Firma, die sowas verbockt würde vermutlich ein „mea culpa“ schreiben und schleunigst einen Patch, Hotfix, Update oder was auch immer veröffentlichen. Nicht so Microsoft.

Status:

This behavior is by design.

Cool.

Ach ja, ein Upgrade auf IIS 6 und Windows 2003 behebt das Problem wohl.

Nachtrag: Milw0rm hat auch schon einen netten Exploit.

Eine wichtige Information in Communities ist ja, wer kennt wen, wer kommuniziert mit wem und wer macht was und wie beeinflußt das alle anderen. Dabei spielt es keine große Rolle ob das für Studenten (z.B. StudiVZ, der Link musste sein, also Finger weg davon) oder für große Kinder (z.B. Xing) ist.

Was bei Communities funktioniert, scheint per E-Mail in Unternehmen genauso zu funktionieren. Bei ZDnet gibt es einen schon älteren Artikel von 2003 zum Thema Email flow can show company power structure. Eigentlich eine interessante Idee. Man kuckt, wer wie wann an wen E-Mails schickt und kann daraus schließen wer in der Firma wirklich das Sagen hat. Beispielsweise die Chefsekretärin.

Vielleicht sollte man sich damit mehr beschäftigen. Wenn irgendwann vielleicht mal ein größerer Teil der Mails verschlüsselt ist, wird das Abhören, neudeutsch „Lawful Interception“ relativ wertlos. Dafür wird die Information wer mit wem kommuniziert um so interessanter und erlaubt oft sogar nachträglich Rückschlüsse auf den Inhalt der Kommunikation.

Und wenn nun jemand fragt, warum ich dieses alte Thema rauskrame … weil ich gerade eben über diese Seite gestoßen bin, auf der die E-Mail Kommunikation der Pleite gegangenen Enron zum Download angeboten wird.