Die Staatsanwaltschaft in Bonn (Sitz des BSI) hat nun zwei Möglichkeiten:
Der Anzeige wird NICHT stattgegeben, weil das BSI nach Meinung der Staatsanwaltschaft keine strafbare Handlung begeht
Der Anzeige wird STATTGEGEBEN, und die Ermittlungen gegen Unbekannt werden aufgenommen, weil der Verdacht besteht, dass hier eine strafbare Handlung vorliegt.
Der spanische Sicherheitsexperte Hugo Vazquez Carames hat eine Dokumentation (PDF) veröffentlicht die zeigt, dass in einigen Command-Line-Tools von Check Point auf SecurePlatform (Linux) Buffer Overflows existieren. Die Bewertung der Lücken ist jedoch nicht so ganz klar.
Zum einen wird die Gefahr dieser Exploits stark überschätzt. Um den Pufferüberlauf nutzen zu können, muss man bereits auf SecurePlatform angemeldet und Firewall-Administrator sein! Die Firewall selbst lässt sich daher auch ohne den Exploit kompromittieren. Der einzige Gewinn den der Exploit bringt ist, dass man aus der beschränkten Umgebung der Check Point Restricted Shell (cpsh) in die freie Umgebung der Bash fällt. Ok, die Kompromittierung ist dann noch etwas heftiger und subtiler aber der Schaden war vorher schon da. Und gut, wenn es Unternehmen geben sollte die einzelnen Administratoren nur den beschränkten Zugang gibt und nicht die Bash, dann könnte tatsächlich ein potentielles Risiko bestehen.
Andererseits stellen die Spanier durchaus berechtigt die Frage, wie es bei solchen Problemen zu einer Common Criteria EAL 4+ Zertifizierung kommen konnte. EAL 4+ sieht eine Reihe von Vorkehrungen, z.B. einen verifizierten Entwicklungsprozess und detaillierte Sicherheitsüberprüfungen vor, die eigentlich eine große Zahl dieser Fehler hätten verhindern sollen. Leider ist das nicht passiert.
Gut, die Spanier sind jetzt auch nicht so die Profis. Die konnten nicht beurteilen, ob es einen Weg gibt die Lücke auch Remote auszunutzen. SecurePlatform implementiert immerhin diverse Schutzfunktionen wie nicht ausführbarer Stack und Heap, Address Space Layout Randomization sowie ASCII Armor.
Check Point hat weiter Informationen zum Problem in SK33639 hinterlegt, aus meiner Sicht handelt es sich jedoch erst einmal um ein Non-Issue.
Bei Securityfocus ist die Lücke als BID 25886 registriert. Heise hat auch eine Meldung.
Das in Blu-Ray verwendete Digitale Restriktionsmanagement (DRM) rüstet auf. Während gleichzeitig Apple im iTunes-Store anfängt, MP3 ohne Kopierschutz zu verkaufen, glaubt also die Hollywood-Filmindustrie immer noch, dass sie mit kastrierten Medien Nutzer ködern können.
Die technische Umsetzung ist unabhängig davon jedoch recht interessant.
BD+ verwendet weiterhin die inzwischen bekannten und u.a. von Slysoft gehackten Verschlüsselungsverfahren, ergänzt es jedoch um eine interessante Komponente. Alle BD+-Player müssen eine Virtual Maschine implementieren, die gestartet wird wenn ein Medium eingelegt wird. Die Virtual Maschine kann 100 Befehle und lädt weiteren Code direkt von der BD+-Disk. Und jetzt wird es spannend, denn der zusätzliche Programmcode kann mehrere Funktionen erfüllen:
Der Programmcode kann weitere Funktionen zur Dekodierung des Videostroms enthalten, z.B. eine weitere Form der Verschlüsselung oder auch nur eine Kodierung die das direkte Auslesen erschwert. Da der Programmcode mit der Disk mitgeliefert wird, kann jede Disk mit einem anderen Algorithmus kodiert werden. Außerdem können Wasserzeichen eingefügt werden, um die Herkunft von Raubkopien im Internet zu ermitteln.
Das Programm kann die Integrität des Players verifizieren und bei einer gehackten oder nicht autorisierten Firmware das Abspielen verhindern. Der HD-DVD-Player der XBox 360 wurde beispielsweise durch ein Firmware-Update gehackt, solche Verfahren wären zukünftig wirkungslos.
Nativer Programmcode kann in das System des Players geladen werden und damit die komplette Kontrolle über den Player außerhalb der Virtual Maschine übernehmen. Damit ist praktisch alles möglich.
Das traurige ist, dass eigentlich jedem längst bewusst ist, dass diese Maßnahmen scheitern werden. Kultur lässt sich nicht in verschlüsselte Flaschen wegsperren, ansonsten entsteht einfach eine neue Form der Kultur. Längst wären neue Geschäftsmodelle und ein neuer Ausgleich der Rechte von Kulturschaffenden, Rechteverwertern und Nutzern notwendig, leider haben die Rechteverwerter, das sind die, die im Schaffungsprozess am wenigsten beitragen, die stärkste Lobby.
Von 21.-23.11. ist die 6. IT-Security Tagung der CBT Training und Consulting in Garmisch-Partenkirchen. Ein Tag davon wird komplett auf der Zugspitze verbracht.
Kollege Matthias zeigt in etwa 90 Minuten Live-Hacking eindrucksvoll, was der aktuelle Stand beim Hacken von Voice-over-IP, Instant Messaging und anderen weit verbreiteten Kommunikationsprotokollen ist. Neben den üblichen Themen wie Abhören von Telefongesprächen und Umleitung der Anrufe zeigt er auch Man-in-the-Middle Angriffe und ein paar weitere Schmankerl. Am besten einfach überraschen lassen.
Ich selbst bin mit einem Praxisbericht über die Sicherheit in Produktionsanlagen, Vorgehensweisen zur Risikoanalyse, Gefahren von Penetrationstests etc. dabei. Das Thema ist natürlich etwas theoretischer und bietet weniger Showeffekte, wird jedoch durch die zunehmende Vernetzung für viele Unternehmen immer wichtiger.
Außerdem hält Robert Bursy von Neupart, einer Firma die sich auf Tools zur Entwicklung von Sicherheitskonzepten nach ISO 27001 sowie Awarenessprogrammen spezialisiert hat einen sehr interessanten Vortrag zur Einführung eines toolgestützten Sicherheitskonzepts in Unternehmen.
Ok, das Video ist nicht ganz so lustig wie die Raucher aber möglicherweise für einige Firmen wie z.B. Ernst & Young auf genau dem richtigen Niveau für ihre Mitarbeiter. Die Statistik von The Register über gestohlene E&Y-Laptops ist wirklich eindrucksvoll.
Das Fazit daraus ist, Passwörter dürfen niemals im Klartext sondern müssen immer als Salted Hash gespeichert werden. Der Salt kann im Klartext zum Passwort-Hash dazugespeichert werden, sollte jedoch mindestens 16 Bit lang sein. Als Hash sollte nicht MD5 oder SHA1 zum Einsatz kommen, die viel zu schnell sind und einem Angreifer die Möglichkeit geben, viele Hashes in sehr kurzer Zeit zu testen. Statt dessen sollte etwas wie bcrypt() von OpenBSD verwendet werden, das auf Blowfish aufsetzt und sehr langsam und umständlich ist.
Start with a cage containing five monkeys. Inside the cage, hang a banana on a string and place a set of stairs underneath it. Before long, a monkey will go to the stairs and start to climb towards the banana. As soon as he touches the stairs, spray all of the other monkeys with cold water. After awhile, another monkey makes the attempt with the same result – all the other monkeys are sprayed with cold water. Pretty soon, when another monkey tries to climb the stairs, the other monkeys will prevent it.
Now, put away the cold water. Remove one monkey from the cage and replace that monkey with a new one. The new monkey sees the banana and wants to climb the stairs. To his surprise and horror, all the other monkeys attack him. After another attempt and another attack, he knows that if he tries to climb the stairs, he will be assaulted.
Next, remove another one of the original monkeys and replace it with a new one. The newcomer goes to the stairs and is attacked. the previous newcomer takes part in the punishment with enthusiasm! Likewise, replace a third original monkey with a new one, then a fourth, then the fifth.
Everytime the newest monkey takes to the stairs, he is attacked. Most of the monkeys that are beating him have no idea why they are not permitted to climb the stairs or why or why they are participating in the beating of the newest monkey. After replacing all of the original monkeys, none of the remaining monkeys have ever been sprayed with cold water. Nevertheless, no monkey ever again approaches the stairs to try for the banana.
Why not?
Because as far as they know, that’s the way it’s always been done around here.
Das ganze Verfahren der EC-Karten mit PIN ist heute nicht mehr zeitgemäß und eigentlich komplett unsicher. Anscheinend haben das andere inzwischen auch bemerkt.
N-TV berichtet, dass die Verbraucherzentralen jetzt 74 Musterklagen gegen verschiedene Banken führen:
„Wir haben Fälle, bei denen bestohlene Bankkunden den Brief mit der PIN noch ungeöffnet bei sich zu Hause haben“, zitiert der Sender Verbraucherschützer Hartmut Strube. „Diese Fälle zeigen, dass es eine Möglichkeit geben muss, die PIN von Geldkarten zu ermitteln“
Ob da tatsächlich ein Bankmitarbeiter die PIN weitergegeben hat, die PIN aus der Karte errechnet wurde oder sie schlicht erraten werden konnte ist eigentlich irrelevant. Die Sicherheit des Systems ist ist jedenfalls schon lange nicht mehr gewährleistet und die Banken müssen endlich die Verantwortung dafür übernehmen.
Im Internetbanking sieht es nicht besser aus, wie Heise neulich wieder am Beispiel der SEB zeigen konnte. Nicht nur Heise und die Verbraucherschutzvereine fordern die längst fällige Umkehr der Beweislast. Aber bis das zum BGH durchgedrungen ist, werden vermutlich noch viele Kunden durch die mangelhafte Sicherheit einiger Banken geschädigt.
… einfach zu Linux, FreeBSD oder Mac OS X wechseln.
Zumindest in den USA scheint das zu funktionieren. Da muss ein verurteilter Urheberrechtsverletzer zu Windows wechseln, weil das FBI nur für Windows eine geeignete Überwachungssoftware hat.
Spread the word! Invite exciting people! Hand in amazing talks and workshops!The Chaos Commnunication Camp is over, so it’s time to announce the Call for Participation of the 24th Chaos Communication Congress 2007 (24C3). The Chaos Communication Congress is the annual four-day conference organized by the Chaos Computer Club (CCC) and taking place in Berlin, Germany. The 24C3s slogan is Volldampf voraus! — the German equivalent of “full steam ahead” – a particular request for talks and projects featuring forward looking hands-on topics. The Chaos Computer Club has always encouraged creative and unorthodox interaction with technology and society, in the good tradition of the real meaning of “hacking”.This year’s congress introduces a new category for talks called “Making”. This category is all about making and breaking things and the wonderful stuff you can build in your basement or garage. Most welcome are submissions dealing with the latest in electronics, 3D-fabbing, climate-change survival technology, robots and drones, steam machines, alternative transportation tools and guerilla-style knitting.
As always, the date of this event is December 27th to 30th.
