Mitternachtshacking

Ich persönlich halte ja nicht viel von Biometrie. Zum einen ist die Erkennungsrate von „bequemen“ Verfahren noch nicht so wirklich gut, dass man damit z.B. Geldautomaten ausstatten könnte. Dann gibt es natürlich das Problem des abgeschnittenen Fingers. Und schließlich, wenn so ein biometrisches Verfahren wie der Fingerabdruck mal kompromittiert ist, dann kann ich maximal 9 mal das Passwort den Finger wechseln. Danach muss ich mir zur Rechneranmeldung die Schuhe ausziehen.

Umso bemerkenswerter die Überlegungen der lustigen Briten. Weil so viele iPods auf der Insel geklaut werden, verlangt der zuständige Innenminister von Apple, Sony und Co., dass solche Geräte zukünftig über einen Fingerabdruck aktiviert werden sollen. Die Idee ist wohl, dass sich so der Straßenraub eindämmen lässt. Ich befürchte allerdings eher, dass damit die Körperverletzungen stark ansteigen. Und ob vielleicht die Fingerprints bereits vom Hersteller in das Gerät eingebrannt werden sollen?

Aber Spaß beiseite, in speziellen Umgebungen macht Biometrie ja Sinn. Beispielsweise in Rechenzentren oder Kernkraftwerken. Da gibt es eine überschaubare Anzahl zutrittsberechtigter Personen von denen man biometrische Daten speichern kann. Die Prüfung findet in kontrollierter Umgebung, d.h. recht konstante Temperatur und Luftfeuchte statt, die Ergebnisse werden folglich reproduzierbar sein.

Ganz anders sieht es bei den „Spielzeugverfahren“ für den Hausgebrauch aus. Die „biometrische Maus“ von Siemens ist immer noch gerne die Lachnummer von Hackingshows (PDF), weil sie sich gar so leicht überwinden lässt. Selbst komplexere Verfahren wie die IBM Thinkpads sind nicht sicher. Der damit verbundene Aufwand zur Beschaffung, Einrichtung und im Betrieb lässt sich offensichtlich besser in die Ausbildung der Mitarbeiter oder eine vernünftige Festplattenverschlüsselung der Notebooks investieren.

Nur: „Festplattenverschlüsselung“ ist hat kein so tolles Management Buzzwort wie „Biometric Authentification“

Nachdem ich vor ein paar Tagen über The Inquirer geschimpft habe bin ich auf diesen interessanten Beitrag aus dem Dezember 2003 gestoßen: The IT industry is shifting away from Microsoft. Interessanterweise konnte man 2003 davon noch nicht viel erkennen außer vielleicht, dass viele Firmen über die Sicherheitsprobleme in Windows geschimpft haben und XP Service Pack 2 sich nur langsam verbreitet hat.

Inzwischen, über drei Jahre später, scheint es endlich so weit zu sein. Dell, früher der treueste Partner Microsofts unter allen Systemherstellern verkauft seine Hardware jetzt auch mit Linux (ok, noch nicht die ganze Produktreihe aber immerhin schon eine Menge ausgewählter Systeme) und liefert die PCs auch weiterhin (bzw. in den USA wieder) mit Windows XP aus.

Die Zusammenfassung des ganzen findet sich bei Perilocity:

„Either it (Microsoft) stonewalls and pretends there is no security problem, which is what Vista does, by taking over your computer to force patches (and DRM) down its throat. Or you actually change the basic design and produce a secure operating system, which risks people wondering why they’re sticking with Windows and Microsoft, then?“

Und weniger Monopole erhöhen den Wettbewerb und die IT-Sicherheit für alle von uns.

So, jetzt ist dieses Blog auch bei Technorati angemeldet:

Technorati Profile

Was ist eigentlich aus den angekündigten Handy-Viren geworden? Außer dem einen oder anderen Hoax dazu und vielleicht ein paar Proof-of-Concept Viren wie Cabir kann ich nichts mehr dazu finden. F-Secure hat zwar 2005 mal versucht, den Toyota Prius über die Bluetooth-Schnittstelle mit Cabir zu infizieren, nach deren Aussage aber ohne Erfolg. Ok, es gab wohl ein paar Fast-Infektionen, aber nichts das wirklich größeren Schaden verursacht hätte.

Trotzdem scheint ein Markt für Anti-Virus Produkte da zu sein. Kaspersky bietet ein Anti-Virus Mobile an, ebenso Trend Micro. Kauft das irgendwer? Ist da wirklich ein Markt? Handelt es sich um reine Panikmache? Oder sind so viele mobile Geräte schon geschützt, dass sich die Viren und Würmer deshalb nicht mehr ausbreiten können?

Um Aufklärung wird gebeten.

Soso, The Inquirer schreibt über Hacker. Wörtlich:

„Um den Anschein des Illegalen zu verwischen, geht es offiziell nach Außen hin um Sicherheits-Kurse (The Inquirer).“

Ist The Inquirer eigentlich eine seriöse Zeitung oder mehr so wie Bild? Braucht es neben BildBlog auch einen InquirerBlog?

Ich fühle mich jedenfalls gerade köstlich unterhalten, weil ich selbst verschiedene Hacking Kurse, u.a. den angegriffenen „Certified Ethical Hacker“ halte. Beispielsweise bei CBT Training & Consulting, falls mal ein Leser teilnehmen möchte. Und für die Journalisten beim Inquirer: Ja, die Hacking-Kurse braucht es. Nur wenn man versteht, wie Hacker denken und vorgehen, kann man sich effizient dagegen schützen. Bei der Polizei nennt sich das wohl „Profiler“.

Oder wie es Sun Tzu in „Die Kunst des Krieges“ formuliert hatte:

„Wer seinen Feind kennt, und auch sich selbst, wird in hundert Kämpfen niemals in Gefahr sein.“

Die Jungs (und Mädels) von Tweakers.net haben einen Secustick von Sipal International zerlegt, der angeblich absolut sicheren USB-Speicher anbietet. Die Daten werden geschützt auf dem Stick abgelegt und nach mehrfacher falscher Passwort-Eingabe automatisch gelöscht … angeblich.

Mit ein wenig Fummeln und Debuggen am Stick, wie in diesem Artikel beschrieben, haben die Holländer den gesamten Schutz umgangen und sind auf einfachste (und reproduzierbare) Weise an alle geschützten Daten gekommen. Der Trick besteht einfach darin, in der Abfrageroutine des Passworts mit einem Debugger einen Breakpunkt zu setzen und dann den Rückgabewert für ein falsches Passwort auf den Wert für ein richtiges Passwort (1 statt 0) zu ändern.

„Normally, the amount of security is sufficient, not everyone has the technical expertise that you have“, said a spokesperson.

Für Bruce Schneier ist das ein typisches Beispiel für „Snake-Oil Security“. Ich finde, da hat er recht.

Netter Artikel auf The Register: Chocolate the key to uncovering PC passwords

„Eine Studie unter 300 Büroangestellten, durchgeführt von Infosecurity Europe an einem Londoner Bahnhof zeigte, dass 64% der Befragten ihr PC-Passwort für eine Tafel Schokolade und ein nettes Lächeln herausgeben würden.“

und weiter:

„Die Studie zeigte außerdem, dass 29% der Angestellten das Passwort eines Kollegen wissen. Außerdem gibt es immer jemanden, der das Passwort des Chefs hat.“

nichts neues soweit … aber jetzt:

„Auf einer IT Konferenz wurden die Teilnehmer zuerst nach dem häufigsten Passwort und anschließend nach ihrem eigenen Passwort gefragt. Nur 22% der Befragten gaben ihr Passwort heraus … Durch weitere Social Engineering Techniken verrieten weitere 42% der Teilnehmer ihr Passwort … Was viele ITler nicht realisierten war, dass zusätzlich ihr Name und ihr Arbeitgeber auf den Teilnehmer-Badges stand“

Ahhh, Social Engineering ist schon was cooles …

Da fällt mir die alte Empfehlung wieder ein: Man nehme einen beliebigen Satz, davon die Anfangsbuchstaben und hat ein gutes Passwort. Ok, dann nehme ich: „Gabi erwartet heute einen indischen Mitarbeiter“.

Gut, der Artikel in The Register ist von August 2001, aber er zeigt wunderschön die Notwendigkeit der Datenverschlüsselung auf mobilen Geräten: Festplattenverschlüsselung auf Notebooks, Flash-Verschlüsselung auf PDAs und natürlich auch auf Blackberry und Co.

Und der Artikel liest sich wirklich schön:

„The survey, which quizzed 131 of the capital’s 24,000 licensed cab drivers, also claimed the more bizarre items left in cabs included a small girl, a cat, a goldfish in a water-filled bag, and a suitcase packed with diamonds and £2,000 in cash. „

Ein kleines Mädchen, soso … 🙂

Ach ja, als Argument für Kunden, für die Verschlüsselung Geld auszugeben, eignet sich der Artikel natürlich auch.

Endlich ist mein Blog Online gegangen. In unregelmäßigen Abständen werden hier Neuigkeiten und Kuriositäten zu Hacking- und Security-Themen erscheinen. Mit dem Gedanken dazu trage ich mich schon länger, jetzt ist endlich die Zeit dazu gekommen. Viel Spaß.