12. August 2008
Ich habe da mal eine Frage zur Handyortung … vielleicht kann mir jemand von Euch helfen.
Wenn ich mich bei irgendeinem Dienst zur Handyortung anmelde, dann muss ich eine bestimmte SMS an eine bestimmte Rufnummer schicken. Locate24 hat dazu eine ganz brauchbare FAQ. Dort steht auch, dass ich als Vodafone- oder T-Mobile-Kunde auch eine SMS an den Netzbetreiber schicken muss, damit die Ortungsoption vom Netzbetreiber freigeschaltet wird. Soweit finde ich das ja ok und wenn ich mich selbst anmelde, dann weiß ich das auch.
Jetzt aber folgendes Szenario … eine Bekannte vermutet, dass ihr Ex (der irgendwann garantiert einmal Zugriff auf ihr eingeschaltetes ungeschütztes Handy hatte) sie für die Ortung freigeschaltet hat und bei irgendeinem Dienst jetzt munter trackt, wo sie sich wann so aufhält. Natürlich ist das illegal. Und natürlich ist es blöd, das offene Handy Fremden zu überlassen aber sogar Geschäftspartner vergessen ihr Telefon gelegentlich am Tisch wenn sie auf die Toilette gehen. Und nun finde ich nirgendwo ein zuverlässiges Verfahren, die Ortung generell wieder beim Netzbetreiber abschalten zu lassen. Bei Picosweb steht was von einer Sperr-SMS aber nicht, ob die nur für diesen einen Anbieter oder generell für den Netzbetreiber gilt.
Frage 1:
Gibt es eine Rufnummer, Auskunftsnummer, SMS Kurzwahlnummer, was auch immer mit der ich bei meinem Netzbetreiber feststellen kann, ob mein Mobiltelefon bzw. meine SIM-Karte für die Handyortung freigeschaltet ist?
Frage 2:
Gibt es eine Möglichkeit, generell die Handyortung beim Netzbetreiber wieder abzuschalten, auch wenn man nicht weiß ob und über welchen Dienstleister die Ortung stattfindet?
Ich habe dazu leider trotz längerer Google-Suche nichts finden können.
1. August 2008
Woran erkennt man am deutlichsten, dass der Bundesbeauftragte für den Datenschutz Peter Schaar ein völlig harm- und zahnloser Bettvorleger ist?
Genau:
“Nach der Unionsfraktion haben sich auch führende SPD-Politiker für eine Wiederwahl des Bundesdatenschutzbeauftragten Peter Schaar ausgesprochen, dessen erste Amtsperiode im Dezember endet.”
*seufz*
10. Mai 2008
In der IEEE Spectrum, der Hauszeitung der IEEE wurde eine interessante Frage aufgeworfen:
„Are chip makers building electronic trapdoors in key military hardware? The Pentagon is making its biggest effort yet to find out“
Das Problem für die USA ist, dass zwar viele Entwicklungen in den USA gemacht, aber in China gefertigt werden und China ist nuja nicht der beste Freund der USA. Jedenfalls gibt es nun massive Bestrebungen, den amerikanischen Militärisch-Industriellen Komplex mit sicherer getesteter Hardware zu versorgen. Das ist gar nicht so einfach denn die ersten Outsourcing-Unternehmungen stammen aus den 60er Jahren und heute betreiben nur noch Intel und vielleicht IBM genug eigene Fabriken um alle Chips selbst fertigen zu können. In den 80er Jahren betrieb das US DoD sogar eine eigene Chipfertigung die jedoch aus Kostengründen eingestellt werden musste.
Und nun fürchtet man, die Chinesen könnten ihnen modifizierte Hardware unterschieben, die z.B. auf ein bestimmtes Signal hin den Geist aufgibt. Ein einem zukünftigen militärischen Konflikt wäre das ein unendlich großer Vorteil.
30. April 2008
Die Vorträge von der Troopers ’08 sind verfügbar. Ein paar Sachen sehen auf den ersten Blick ganz interessant aus aber vieles ist einfach wieder aufgekocht ohne neue Erkenntnisse.
Raoul Chiesa („SCADA and national critical infrastructures“) beispielsweise bringt überhaupt keine neuen Erkenntnisse. Ein paar altbekannte Hüte wie der Wurm im Kernkraftwerk oder das Schmutzwasser in Queensland und ein wenig Blabla über die Vielzahl an Problemen (Mitarbeiter, Hersteller, Kunden, Techniken, …). Und wo ist das Fazit? Wo ist die Hilfestellung was nun zu tun wäre? Im Grunde ist das so ein „Es gibt viele Probleme und ich mach dann noch Werbung für meine Firma“-Vortrag. Na danke, da kann ich drauf verzichten.
Andrej Belenko („Faster Password Recovery with modern GPUs“) berichtet über die Fortschritte die Elcomsoft gemacht hat, um MD5-Cracker auf GPUs zu parallelisieren. Anscheinend war das gar kein besonders großer Aufwand, dafür sind die GPUs fast 10x so schnell wie normale CPUs. Für mich ist das ja eher ein Vortag für eine Hardware-Konferenz. Ein Faktor 10 bei der Hash-Berechnung ist jetzt auch noch nicht so spektakulär. Das ist in den meisten Passwort-Hashverfahren schon mit integriert. Ab etwa 10.000 würde ich anfangen mir Gedanken zu machen.
Horst Speichert („Criminal Hackertools“) hat einen Vortrag über den §202c gehalten. Ich halte Hr. Speichert ja für einen guten Anwalt aber zu dem Thema ist eigentlich alles gesagt worden.
Wirklich gut und neu waren meines Erachtens nur zwei Präsentationen: die von Roger Klose zu ESX-Security und Problemen in der Sicherheit von Virtualisierungslösungen allgemein (DoS durch Fuzzer ist ein beliebtes Problem) und die Vorträge von Michael Thumann. Nur sind beide von ERNW und eine Konferenz von ERNW um die eigenen Vorträge zu promoten ist jetzt doch ein wenig übertrieben.
Kurz, wenn nächstes Jahr nicht deutlich mehr an Neuigkeiten und nicht nur aufgewärmte Vorträge von der Blackhat präsentiert werden, wird sich die Konferenz vermutlich nicht dauerhaft etablieren können.
20. April 2008
Ich muss nochmal einen alten Heise-Artikel herauskramen. Da wurde ein neuer Bootsektor-Virus (man dachte ja schon, die seien ausgestorben) entdeckt, der Windows beim Starten so manipuliert, dass er getarnt ist. Weil die Antivirenhersteller trotzdem eine Möglichkeit gefunden haben den Virus zu entdecken, wurde der Virus jetzt weiterentwickelt (Heise spricht von mutiert) und versucht sich besser zu tarnen. Im Grunde also nichts neues. Außer halt, dass eine Reihe von Virenscannern mal wieder nichts entdeckt.
Interessant finde ich, dass scheinbar überholte Techniken (Bootsektor-Viren galten ja schon als ausgestorben, seit kaum noch jemand Disketten verwendet) plötzlich wieder aggressiv eingesetzt werden können. Ich schrieb schon mehrfach darüber, dass Virenscanner irgendwann keinen großen Schutz mehr bieten werden. Dazu hatte ich neulich auch ein nettes Gespräch mit einem Repräsentanten von Kaspersky auf einer Hausmesse. Die Argumentation geht im Moment so:
Antivirus steht in allen Standards und Best-Practive Empfehlungen, sämtliche IT-Sicherheitsberater empfehlen Antivirus, kein IT-Leiter traut es sich, Systeme und Server ohne Virenschutz zu betreiben. Warum sollte also ein Antivirenhersteller ohne Not schlafende Hunde wecken wenn gerade gut Geld verdient wird?
Ich bin ja gespannt, welche Hersteller in 10 Jahren noch leben. Einige bereiten sich auf die Zeit nach dem Virenscanning bereits vor und entwickeln oder kaufen Technologien für Whitelisting. Andere werden vermutlich verschwinden. Aber solange die Virenscannerhersteller gerade noch gut Geld verdienen denkt kaum jemand so richtig an die Zukunft.
14. April 2008
Ein etwas älteres Foto, dass ich schon seit einiger Zeit auf der Platte liegen habe:
Die Qualität des Fotos ist natürlich grottenschlecht, weil das Bild von der anderen Straßenseite durch ein Fenster hindurch mit maximalem Zoom aus dem Handgelenk heraus geknipst wurde. Man erkennt auch nicht wirklich, was auf dem Monitor dargestellt wird. Wenn man genau hinsieht, kann man in der blauen Eingabemaske ganz unten den Namen „Bellotto, Bernardo“ erkennen.
Eine handelsübliches Kamera unter 200 Euro, etwa 15-20 Meter Entfernung und der Blick auf einen Monitor der in einem Büro stellt. Zugegeben, ein Foto von einem Monitor einer Bank mit Kontostand eines Kunden wäre interessanter aber man erkennt die Gefahr.
12. April 2008
Bei der Süddeutschen Zeitung gefunden:
Ein 44jähriger in Bayern hat Unterlagen über hochentwickelte technische Produkte (also vermutlich Militärtechnik) an den russischen Geheimdienst weitergegeben.
Zur strafrechtlichen Verfolgung gibt es beim Generalbundesanwalt eine schöne Erklärung. Relevante Strafrechtsparagraphen sind hier § 94 StGB (Landesverrat) das hier aber nicht zutreffen dürfte, da es sich bei Industrieprodukten normalerweise nicht um Staatsgeheimnisse handelt sowie der § 99 StGB (Geheimdienstliche Agententätigkeit), der praktisch jede Art der fremden Agententätigkeit unter Strafe stellt.
„So kann Wirtschaftsspionage nach § 99 StGB strafbar sein, wenn sie staatliche Interessen verletzt und über bloße Konkurrenzspionage hinausgeht, die nach den Vorschriften des Wettbewerbsrechts zu beurteilen ist.“
Was mich wundert ist, wie der Mann erwischt werden konnte. Schließlich ist die Genrealbundesanwältin Frau Harms ja damit beschäftigt, harmlose Sozialwissenschaftler wie Andrej Holm und seine Familie aufgrund des unsäglichen § 129a StGB zu verfolgen. Demnächst werden wir hier noch britische Verhältnisse bekommen.
Die Süddeutsche Zeitung hat sogar Erkenntnisse zur Kommunikation:
„Die Absprachen liefen meist über anonyme E-Mail-Konten, wie dies geheimdienstlichen Gepflogenheiten entspreche.“
Aha … gut zu wissen. Wer anonyme E-Mail-Konten verwendet (also z.B. ich auch) könnte mit ausländischen Geheimdiensten … 🙂
Nachtrag:
Im Zweifel gilt natürlich das 11. Hackergebot („Laß Dich nicht erwischen“), oder wie der Generalbundesanwalt schreibt:
„Geheimdienstliche Agententätigkeit verjährt regelmäßig in fünf, spätestens in zehn Jahren; Landesverrat verjährt nach 20 Jahren.“
28. März 2008
Ja, ich war im Urlaub in Holland und Belgien. Nein, ich war in keinem Coffeeshop (von dem Zeug wird mir bloß schlecht, dröhnen tut bei mir gar nichts). Jedenfalls, ab und an muss man sich auch im Ausland mit Bargeld versorgen und ich bin ja sehr misstrauisch bei Geldautomaten gerade im Hinblick auf Skimming-Angriffe. Ausländische Automaten sind von anderen Herstellern, haben eine andere Bauform und bedienen sich teilweise anders als gewohnt, also kuckt man doch mal ein wenig genauer hin. In der Praxis war es jedoch ganz anders. Zumindest in Amsterdam ist es schon schwierig überhaupt einen funktionierenden Geldautomaten zu finden. Oft sehen die einfach so aus:
oder auch so:
Und wenn dann endlich doch einmal ein Geldautomat funktioniert, dann stehen etwa 20 Leute davor Schlange und warten, dass sie drankommen. Wenn da dann ein Skimming-Angriff stattfindet … der lohnt sich!
Ich fand es jedenfalls nett bereits direkt auf dem Startbildschirm hingewiesen zu werden, dass eine PIN-Eingabe nicht sinnvoll ist. Nur an der deutschen Übersetzung könnte noch gearbeitet werden.
20. März 2008
Und weil wir gerade bei Passwörtern sind, den folgenden Link habe ich auch noch im Archiv …
Diceware ist eine lustige Methode, eine Passphrase, d.h. ein Passwort das sich aus mehreren Wörtern zusammensetzt, zu ermitteln. Man würfelt ein paar mal, sieht dann das Ergebnis in einer Wortliste nach und hat das erste Wort des zukünftigen Pass-Satzes. Das ganze wiederholt man so oft, wie man sich die Wörter merken kann. Fünf Wörter sind schon eine sehr gute Passphrase.
Informationen zu Diceware findet man auf der Webseite des Erfinders Arnold Reinhold. Dort gibt es auch eine FAQ und diverse Wortlisten.
Ich persönlich bastle meine Passwörter ja lieber auf die klassische Art mit Wörtern und Teilsätzen bei denen ich einzelne Buchstaben durch Ziffern und Sonderzeichen austausche. Aber die Idee finde ich ganz witzig. Der große Vorteil so eines Verfahrens ist, dass die Methode exakt beschrieben ist und immer zu einem relativ sicheren Passwort führt. Das kann ich sogar meiner Freundin erklären. Der Nachteil ist, es ist viel zu umständlich um praktikabel zu sein.
Aber es ist bewährt: „First published on usenet’s sci.crypt.research 1995-8-1“. Nicht schlecht, ich bin auch erst seit Herbst 1992 im Internet.
Rainbow Tables sind eine clevere Sache. Philippe Oechslin war 2003 der Pionier, der mit seiner Arbeit „Making a Faster Cryptanalytic Time-Memory Trade-Off“ die Grundlagen für vorberechnete Hash-Tabellen geschaffen hat. Hash-Tabellen sind immer dann sehr praktisch, wenn die Passwörter in einem simplen Hash gespeichert sind. Das kommt beispielsweise bei Windows LAN-Manager Authentisierung vor, aber auch hier in dieser WordPress-Installation. Hier ist das Passwort ein einfacher MD5-Hash.
Das Problem mit Rainbow Tables ist, dass sie lediglich ein gewisse Wahrscheinlichkeit garantieren, den gefundenen Hash zu brechen. Je größer die Tabelle um so größer auch die Wahrscheinlichkeit aber Tabellen können dann sehr groß werden. Außerdem lohnen sich Rainbow Tables nur, wenn man mehrere Passwörter brechen will. Bei einem einzelnen Passwort ist ein Brute Force Angriff praktisch immer schneller. Für sieben Zeichen benötigt das Berechnen der Rainbow Table etwa eine Woche, das Ermitteln eines Passworts kann dann in 30 Sekunden erfolgen. Der Brute Force Angriff auf ein einzelnes Passwort ist in der Regel in 24 Stunden erfolgreich.
Das Problem ist jedoch, große Rainbow Tables brauchen viel Platz. Die Tabelle für ein 8-Zeichen Passwort mit 99% Wahrscheinlichkeit braucht etwa 1,5 TB (1500 GB) . Das ist jetzt nicht dramatisch, da beispielsweise Western Digital 650 GB Festplatten für unter 100 Euro verkauft. Aber bei längeren Passwörtern wachsen die Tabellen massiv an. Ok, man kann die Wahrscheinlichkeit reduzieren. 90% Wahrscheinlichkeit passt auf 700 GB, 1% Wahrscheinlichkeit bereits auf eine einzelne CD-ROM.
Und jetzt nehmen wir folgenden Gedanken an … wir erzeugen Hashes für Passwörter bis meinetwegen 32 Zeichen. Und zwar genau so viele verschiedene, dass wir damit 1 TB Daten füllen können. Mehr nicht. Das ist eine Rainbow Table mit einer geringen Wahrscheinlichkeit, so etwa in der Größenordnung 0,01 %. Allerdings für beliebige Passwörter. Die Wahrscheinlichkeit, dass „G0%dP@ssw0rd“ dabei ist, ist genauso groß wie für „abc“. Im Grunde sind dann alle Passwörter gleich gut, sie haben alle die gleiche Wahrscheinlichkeit erraten zu werden. Und was ist, wenn nicht nur ich so eine Tabelle erzeuge (und Passwortabfragen per Webinterface zulasse) sondern 100 andere Leute auch. Natürlich zufällig andere Tabellen. Klar wird es Überschneidungen geben aber insgesamt auch viele unterschiedliche Passwörter.
Ich finde diese Idee ein klein wenig beängstigend. Sie stammt übrigens von The [SNS] Technologies, einer russischen Firma, die u.a. The UDC anbietet, ein Programm zum Brechen von Hashes. Für nicht Russischsprachler gibt es bei InsidePro eine Übersetzung.
In Summe erkennen wir also, dass einfache Hashes zum Speichern von Passwörtern nicht mehr geeignet sind. Die richtige Lösung gibt es auch schon seit mindestens 50 Jahren: Salted Hashes. Jedes Passwort wir mit einem Salt kombiniert und dann erst gehashed. Der Salt wird im Klartext neben dem Passwort-Hash gespeichert. Damit lassen sich Rainbow Tables effizient aushebeln. Ich schrieb dazu im September etwas, weil Matasano die Gefahr von Rainbow Tables und die Gegenmaßnahmen sehr gut erklärt hat.
Das schlimme ist, wir wissen das im Grunde seit 50 Jahren. Und trotzdem verwendet Software wie dieses WordPress hier immer noch simple MD5-Hashes zum Speichern von Passwörtern. Also nichts gelernt. Und das finde ich jetzt wirklich beängstigend.