Mitternachtshacking

Die AACS LA ist ja gerade dabei Webseiten abzumahnen, die eine 128 Bit Ziffer veröffentlichen, mit der viele HD-DVDs entschlüsselt werden können.

Ich denke, da kann man ein Geschäftsmodell draus machen. Bei Freedom to Tinker kann man sich eine 128 Bit Ziffer zufällig generieren lassen, mit der ein einfaches Haiku von Edward Felten verschlüsselt wird. Meine ist

A0 74 B0 1B 79 20 7E AE C0 3D BA D3 43 99 7C 6E

Und wenn jetzt jemand meine 128 Bit Ziffer verwendet oder veröffentlich, dann verklage ich den … 🙂

IPv6 hat ein lustiges Sicherheitsproblem mit einem Routing Header.

Dazu muss man erst einmal wissen, wie IPv6 funktioniert. Bei IPv6 sind die Adressen nicht mehr nur 32 Bit lang, wie aktuell im Internet Protokoll sondern 128 Bit, also gerade vier mal so lang. Das Problem dabei ist, damit steigt natürlich für jedes Datenpaket der Overhead an. Ein normaler IPv4 Header hat üblicherweise 20 Byte (ohne IP-Optionen, aber die lässt eh kaum eine Firewall durch), mit den neuen Adressen hätte der Header plötzlich 44 Byte, also mehr als doppelt so groß. Mögliche Header-Optionen sind dabei noch nicht eingerechnet.

Man hat sich nun entschieden, den IPv6-Header etwas anders zu strukturieren. Der Standardheader ist immer gleich groß, nämlich 40 Byte. Durch die konstante Größe wird u.a. das Offloading, d.h. die Verarbeitung in einem extra Chip vereinfacht, der Durchsatz der Netzwerkkarten steigt. Optionen werden in IPv6 durch sogenannte „Extension Header“ an den Standardheader angehängt.

Einer dieser Extension Header ist nun der Routing Header 0, kurz RH0 und der hat ein kleines Problem. Man kann da nämlich Adressen angeben, via die ein Paket geschickt werden soll. Bei IPv4 gibt es das auch, entweder als Strict oder Loose Source Routing und jeder weiß, dass das ein Problem sein kann.

Der Witz bei IPv6 ist nun, mittels RH0 kann man bis zu 88 Adressen angeben, via die ein Paket geschickt werden soll. Das ist richtig cool wenn man clevere Denial-of-Service Angriffe fahren will. Dann gibt man einfach 88 Adressen an und kann die im günstigsten Fall alle gleichzeitig DoSen. In der Praxis wird das nicht so einfach sein.

Interessant ist jedenfalls die Lösung der IETF, die für den Standard zuständig ist: Abschalten der Option. Fertig. Das hätte ich vorher auch schon sagen können.

PS:

Wenn ich mich so umsehe, scheinen die klassischen TFN, Stacheldraht und Trinoo immer noch die bekanntesten DDoS-Programme zu sein. Es scheint an der Zeit, mal was geeignetes für IPv6 zu basteln 🙂

Das ZDF hat ein paar der Abenteuer von Ijon Tichy verfilmt.

Für die Banausen: Ijon Tichy, Weltraumfahrer, ist die Hauptfigur der Sterntagebücher von Stanislaw Lem. Und der wiederum gehört zu meinen Lieblingsautoren.

Meine Lieblingsepisode mit den relativistischen Effekten ist auch dabei und man kann sich die Kurzfilme als Videostream ankucken.

Unglaublich, Microsoft hat tatsächlich gelegentlich sogar brauchbare Informationen auf ihrer Webseite. Gut, der Untertitel „Verbessern Sie Ihr Netzwerk mit Microsoft Technologien“ ist offensichtlich als Gag gemeint. Aber der Rest ist echt empfehlenswert.

Der Cable Guy erklärt jeden Monat einen Dienst oder ein Protokoll im Netzwerk und in der Regel so, dass man das gut verstehen kann. Die meisten Artikel sind leider Vista Werbung, aber ab und zu ist eine echte Perle dabei.

Ich war auf der Suche nach der Explicit Congestion Notification (ECN) Erweiterung von TCP/IP. Nmap verwendet das als eine der Methoden zum OS Fingerprinting. Beschrieben wird ECN in RFC 3168, erklärt jedoch nicht. Eine brauchbare Beschreibung hatte freundlicherweise der Beitrag von Oktober 2006.

Weitere interessante Themen sind IPv6, hier gibt es eine Vielzahl von Erklärungen sowie diverse Beiträge zu Wireless LAN. Am besten einfach mal durch die Themen stöbern und in die interessant klingenden Artikel reinschnuppern. Ich kann das sehr empfehlen.

Die IP-Adressen werden irgendwann knapp. Nicht so sehr bei uns, aber in China, Indien, etc. wird es irgendwann (und zwar relativ bald) ein Problem geben. Deshalb ist ja IPv6 in der Pipeline und wird irgendwann das aktuelle IPv4 ablösen.

Stuart Brown von Modern Life hat sich die Mühe gemacht, das mal auf Länder und Einwohner runterzubrechen. Mit interessanten Ergebnissen. Die meisten IP-Adressen, zumindest umgerechnet auf die Anzahl der Einwohner hat ….. der Vatikan.

Die komplette Liste mit netter Grafik gibt es bei hier.

OSCON 2005 Keynote – Identity 2.0 von Dick Hardt

genial … unbedingt anschauen

und in diesem Zusammenhang: The Laws of Identity

Die häufigste Komponente die bei Servern zur Zeit ausfällt sind Festplatten. Und meistens sind das auch die Komponenten die am ärgerlichsten sind. Netzteile lassen sich einfach austauschen. Modul raus, neues Modul rein, fertig. Man braucht nichts neu installieren, alles läuft wieder. Motherboards sind schon schlimmer. Eventuell bootet das System nicht richtig, weil Treiber fehlen und bei einigen Computerspiel-Betriebssystemen benötigt es sogar eine „Reaktivierung“, weil sich die Hardware geändert hat. Defekte Festplatten aber sind ärgerlich (sofern kein RAID die Daten rettet).

Das System muss neu installiert werden; wenn Backups nicht regelmäßig laufen, sind auch noch Daten verloren (irgendwas ist immer futsch, weil die Backups ja nicht minütlich stattfinden) und der Arbeitsaufwand ist immens höher als nur ein Netzteil zu tauschen. Neulich erst ist einem Kunden die (nicht gespiegelt) Platte des Mailservers abgeraucht. Da ist schnell ein dreiviertel Tag um, bis ein neuer Mailserver installiert und konfiguriert ist. Selbst wenn der Datenverlust keine Rolle spielt.

Zum Glück gibt es inzwischen halbwegs brauchbare statistische Daten, um die Fehlerwahrscheinlichkeit der Platten abzuschätzen. Google hat beispielsweise einen Bericht zu Festplattenfehlern in ihren Serverfarmen veröffentlicht (Failure Trends in a Large Disk Drive Population, PDF). Die Carnegie Mellon University wiederum hat sich mit dem Begriff MTTF auseinandergesetzt (Disk failures in the real word: What does an MTTF of 1,000,000 hours mean to you, PDF). Beide Arbeiten sind auf der 5. USENIX Konferenz für File und Storage Technologien (2007) veröffentlich worden.

Die Kernaussagen sind:

• Festplatten gehen viel schneller kaputt gehen, als anhand der Datenblätter zu erwarten wäre
• es gibt keinen relevanten Unterschied zwischen SCSI und SATA
• es gibt sehr wohl relevante Unterschiede zwischen den einzelnen Herstellern (aber die besseren Hersteller werden leider nicht genannt)
• wenn eine Platte mal die ersten Macken zeigt, ist sie ruck zuck ganz kaputt
• die meisten Platten gehen entweder im ersten Jahr (early failure period) oder nach fünf Jahren (wearout period) kaputt

Und mein Fazit: bei gespiegelten Platten ist der Datenverlust (meistens, Controllerfehler mal außen vor) zu vermeiden und Backups sollte man auch ab und zu machen.

Jetzt am Wochenende ist im Kulturzentrum Scheune das vierte Symposium Datenspuren des CCC Dresden. Wer Zeit hat soll hingehen. Der Eintritt ist frei.

Sehr zu empfehlen (weil sehr amüsant) ist der Vortrag „Biometrics in Science Fiction“ von Constanze Kurz. Und vorher am besten von Frank Rieger noch den Vortrag über Wahlcomputer anhören. Das öffnet Euch die Augen.

Hier ist der komplette Fahrplan.

Zertifizierungen gibt es wie Sand am Meer und der Deutsche Michel schwört auf jedes Stück Papier, das er sich an die Wand hängen kann. Besonders beliebt sind Herstellerzertifizierungen. Egal ob MCSE, Check Point CCSA/CCSE, Cisco CCNA/CCIE oder irgendeine andere Urkunde … so kann man zeigen, was man angeblich alles kann. An zweiter Stelle stehen dann die Zertifizierungen eines mehr oder weniger unabhängigen Instituts (klingt besser als Marketingklitsche, ist aber meist das gleiche). Da gibt es dann den Certified Ethical Hacker (CEH) von EC-Council, den OSSTMM Professional Security Expert (OPSE) von ISECOM und für die Leute mit mehr Geld (und meist noch weniger Wissen) so tolle Sachen wie CISSP, CISA und CISM.

Aber am besten sind die, für die es auch einen schönen Braindump gibt, den man auswendig lernen kann. Das hat den positiven Effekt, dass man das Zertifikat bekommt, ohne auch nur im geringsten was zu wissen oder verstanden zu haben.

Ich habe schon mit Kollegen gearbeitet die theoretisch alles hätten wissen müssen. Zumindest wenn man der langen Liste von Titeln auf der Visitenkarte hätte glauben wollen. Die Praxis sah leider genau umgekehrt aus. Die Kollegen bei denen auf der Visitenkarten nur der Namen und vielleicht noch „System Engineer“ stand, das waren meistens die, die am meisten drauf hatten. Und je größer das Unternehmen um so krasser die Erfahrung.

Ich vermute, das Problem hängt mit den Personalabteilungen der großen Unternehmen zusammen. Der Abteilungsleiter aus der Technik kann höchstens auf Basis der Papierunterlagen eine Vorauswahl treffen und hat da wenig andere Anhaltspunkte als die Zertifikate. Der Personalverantwortliche wiederum nimmt halt den, der im Gespräch am besten abschneidet. Und das sind öfter die Blender und seltener die Techniker. Aber gut, so haben kleinere Firmen mit einer klugen Mitarbeiterauswahl eine reelle Chance im Markt. Die großen Unternehmen kaufen für viel Geld die Blender weg und die richtig guten bekommt man manchmal für ’nen Appel und ein Ei.

Zumindest ist es bei uns im Unternehmen so. Wir sind nur ein paar Leute, aber jeder von uns kann leicht 3 oder 4 Pappnasen der großen Riesen in die Tasche stecken. Und wenn die nicht mehr weiter wissen, dann kommen sie ja doch immer wieder auf uns zu und fragen nach Unterstützung.

Der HD-DVD Processing Key, mit dem es möglich ist alle bisherigen veröffentlichten HD-DVDs zu entschlüsseln macht im Internet die große Runde. Die AACS LA, die für die Lizenzierung des Verschlüsselungsverfahrens zuständig ist, versucht mittels des amerikanischen DMCA die weitere Verbreitung zu verhindern und überzieht diverse Webseiten mit einstweiligen Verfügungen. Digg.com scheint sich nun zu wehren, jedenfalls werden neue Postings mit dem Schlüssel nicht weiter gelöscht. Die schwedischen ThePiratebay.org (darf ich die nun verlinken oder nicht? Egal, Google is your friend) haben den Schlüssel sogar auf ihre Homepage gepackt. Dumm, dass der DMCA in Schweden nicht greift.

Eigentlich geht es aber um etwas ganz anderes.

Jedes symmetrische kryptographische System, dass irgendeinen Content irgendwann auf dem Rechner eines Nutzers entschlüsseln muss, ist fast zwangsweise zum Scheitern verurteilt. Nämlich genau solange, wie der Nutzer die Kontrolle über seinen PC hat. Der User kann (die entsprechenden Kenntnisse vorausgesetzt) einen Debugger verwenden, Breakpoints setzen, ein System virtualisieren, … um herauszufinden was da passiert. Und irgendwann muss der Schlüssel ja vorhanden sein (auch wenn nur bitweise und vielleicht nur in einzelnen Registern der CPU), sonst könnte man die Daten nicht entschlüsseln. Da gibt es kein sicheres Verfahren dagegen.

Anti-Debugger Tools, wie sie z.B. von vielen Computerspielprogrammierern eingesetzt werden oder auch von Skype, und geschützte Kernel die nur signierte Treiber zulassen, wie bei Vista, erschweren das ganze, machen es aber nicht unmöglich. Und es genügt, wenn ein einzelner Hacker (in diesem Fall im Forum Doom9) einen solchen Schlüssel gefunden hat, die Information verbreitet sich in Minuten über das Internet. Ist die Nachricht erst einmal aus der Büchse der Pandora, lässt sie sich nicht mehr einfangen.

Doch, ein sicheres Verfahren gibt es. Wenn die Schlüssel nämlich nicht in Software sondern in Hardware abgelegt werden. Dann wird es nämlich so kompliziert, da noch irgendwelche Daten herauszulesen, dass es praktisch nicht mehr möglich ist. (Ich habe gehört Intel, IBM, AMD, können so etwas mit Elektronenmikroskopen, keine Ahnung ob das stimmt.) Und das ist vermutlich die Hauptmotivation für das Trusted Platform Module. Man hat endlich eine vertrauenswürdige Hardware und braucht dem User Anwender Kunde Melkvieh nicht mehr vertrauen.

Das schlimme dabei ist, dass sich nicht mal TeleTrusT Deutschland e.V. zu schade ist, völlig kritikfrei Werbung für TPM (PDF) zu machen. Da ist alles toll und sicher und super und öffnet ganz neue Möglichkeiten. Schade eigentlich, ich habe die bisher für einen seriösen Laden gehalten. Aber ich bin beeindruckt, wie es Prof. Reimer in seinem Verharmlosungs- und Täuschungspamphlet vermieden hat den Begriff „DRM“ zu verwenden.