| M | D | M | D | F | S | S |
|---|---|---|---|---|---|---|
| « Aug | ||||||
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | |
Es gibt neue Angriffe gegen AES-256. Noch nichts, das praktisch umsetzbar wäre, aber wie Bruce Schneier immer sagt: Die Angriffe werden nur besser, nie schlechter.
Die Angriffe basieren auf Fortschritten beim Brechen von Hash-Funktionen. Ich bin mal gespannt, wie sich das auf den Hash-Cryptowettbewerb des NIST auswirkt. Ron Rivest hat seinen Algorithmus MD6 bereits zurückgezogen, obwohl es bisher keinen wirksamen Angriff gibt.
In Belgien, genaugenommen in Evere, findet vom 18.-19.09. die erste BruCON, eine belgische Securitykonferenz statt. Bisher konnte man die Belgier immer auf der Hack.Lu in Luxemburg treffen, das scheint erstmal vorbei zu sein. Ich bin gespannt, wie sich die BruCON als Konkurrenz für die Luxemburger auswirkt. Immerhin findet sie einen Monat vorher statt und kann daher schon ein paar Interessenten abziehen.
Die Ausgabe 66 des Phrack Magazin ist veröffentlicht:
Oder der komplette Download als TGZ. Zu einzelnen Artikeln im Phrack Magazine möchte ich irgendwann noch Einzelartikel schreiben.
Heise wirft einen interessanten Gedanken in den Ring: Über Windows Updates sollten nicht nur Patches von Microsoft sondern auch von vielen anderen gängigen Programmen, z.B. Java, Adobe Reader, Quicktime, … etc. verteilt werden.
Eine nette Idee und aus Sicht der Anwender vielleicht sogar wünschenswert. Vielleicht.
Erst mal weiß ich nicht ob ich will, dass ausgerechnet Microsoft eine derart mächtige Infrastruktur für Updates von allem kontrolliert. Das bedeutet nämlich auch, dass Microsoft problemlos Daten zusammenführen kann, welcher Windows-Rechner welche andere Software installiert hat. Alleine dieses Wissen über den Marktanteil von Konkurrenzprodukten halte ich schon für gefährlich.
Dazu kommt, es gibt viel zu viele verschiedene Programme. Welche Grenze zieht man, was in Windows Updates reinkommen soll und was nicht? Das ist wie beim Browser. Klar könnte man die üblichen Regeln z.B. nach Marktanteil aufstellen (benachteiligt unfair kleinere Anbieter) oder Microsoft könnte sich die Patchauslieferung bezahlen lassen (benachteiligt unfair Open Source und Non-Profit Projekte). Ich fürchte aber, das führt ebenfalls zu einer massiven Verzerrung der Wettbewerbssituation zu Gunsten Microsoft.
Warum schafft es eigentlich die Open Source Community nicht, so etwas wie Windows Updates zu implementieren? Ich habe eine Vielzahl von Open Source Programmen auf meinem Rechner, angefangen von Firefox über Open Office zu Gimp und jedes Programm hat eigene Verfahren zum Update. Ich stelle mir gerade vor wie es wäre wenn es ein „Open Source Software Update“ gäbe. Alle Projekte hätten die Möglichkeit sich da einzuklinken und über eine definierte API ihre Updates anzubieten. Der User entscheidet dann, welche Updates von welchen Projekten er ziehen möchte. Das ganze offen implementiert, dann könnte ich mir vorstellen, dass auch kleinere kommerzielle Anbieter diese Infrastruktur nutzen würden.
Das wäre dann ein Software Update für alle. Und das wäre mein Wunsch für mehr Sicherheit.
Nach einem Bericht der Süddeutschen Zeitung („Erst dopen, dann hacken„) droht dem amerikanischen Radprofi Floyd Landis ein internationaler Haftbefehl. Er soll versucht haben, mit Hilfe eines Hackers in die Computer des französischen Anti-Doping-Labors einzudringen.
Ich habe ja schon öfter gelesen, dass Doping die Gesundheit angreift und der eine oder andere dopende Radfahrer dann während des Rennens tot vom Rad gefallen ist. Offensichtlich greift Doping aber auch das Gehirn an. Oder Floyd Landis hat zu viele schlechte Filme mit Superhackern im Fernsehen gesehen. Auf die dumme Idee, die Dopingbeweise aus dem Computer des Anti-Doping-Labors zu löschen muss man jedenfalls erst einmal kommen. Wahrscheinlich sollte dann auch noch jemand dort einbrechen und das zu analysierende Urin vernichten … also wirklich.
Hmm. Da gibt es diesen Artikel bei Golem, in dem ein holländisches Sicherheitsunternehmen bestätigt, dass es mit dem Nokia 1100, aber nur mit der Serie die damals in Bochum produziert wurde möglich sei, Bankdaten auszuspähen. Irgendwie passt das für mich nicht zusammen.
Frage 1: Warum sollte die niederländische Polizei sich darum kümmern, wenn russische Banden wirre Phantasiepreise für ein Nokia Mobiltelefon bezahlen? Das ist weder illegal noch lässt sich sonst irgendwie ein Anfangsverdacht konstruieren. Das alleine finde ich schon seltsam.
Frage 2: Wieso soll es nur mit genau diesem Modell möglich sein, mit einer SIM-Karte eine andere Rufnummer zu verwenden? Hardwarefehler? Klingt sehr seltsam, ich wüsste nicht, dass die GSM-Chips in Bochum produziert wurden. Geschweige denn, dass in Bochum andere GSM-Chips verwendet wurden als in den Nokia 1100 Telefonen die an anderen Standorten gefertigt wurden. Ein Lötfehler? Dann könnte man aber auch andere Nokia 1100 umbauen. Softwarefehler? Trivial geht es gar nicht mehr. Einfach andere Firmware drauf und fertig.
Insbesondere wenn ich daran denke, was Harald Welte auf dem letzten CCC vorgestellt hat … eine fast komplette Open Source Implementierung für GSM, sowohl Mobiltelefon als auch Basisstation … da kann man alles daraus machen. Insbesondere (wenn das so einfach wäre) auch andere Rufnummern mit einer bestimmten SIM-Karte nutzen.
Das Abfangen der mTANs verstehe ich auch nicht. Ich habe mir das bisher so vorgestellt: Schritt 1: Ich gebe am Webinterface die Überweisung ein. Schritt 2: Ich bekomme die TAN auf mein Mobiltelefon. Schritt 3: Ich kann mit dieser TAN genau die in Schritt 1 eingegebene Überweisung authentisieren aber keine andere. Welchen Nutzen bringt es dann, die mTAN abzufangen?
Was ich mir vorstellen könnte ist, dass man mit einer geeigneten Firmware sowohl IMSI als auch IMEI frei wählen kann. Dafür brauche ich aber doch auch kein Nokia 1100, das müsste mit der GSM-Software von Harald Welte auch gehen.
Irgendwie klingeln mir mir da alle Bullshit-Detektoren. Aber ich lasse mich auch gerne eines besseren belehren.
sowas kann ja mal passieren. Ist schließlich ne Fluggesellschaft und kein IT-Unternehmen, die Lufthansa. Und die beauftragte Agentur … bestimmt ein HTML-Programmierer.
Bitte gehen sie weiter, es gibt nichts zu sehen.
(via Golem)
Was ich immer schreibe, jetzt auch bei The Inquirer:
Oder anders:
Wenn man in einem virtuellen System privilegierte Rechte (Administrator, LocalSystem oder Root) hat, führt jeder Fehler im Hypervisor der Virtualisierungsschicht dazu, dass beliebiger Schadcode in allen anderen virtuellen Systemen ausgeführt werden kann, egal wie diese virtuellen Systeme eingerichtet sind. Lokale Sicherheitsmaßnahmen wie ASLR oder DEP kann man dann vergessen.
Nichts neues. Außer, dass mit Immunity jemand erstmals einen Exploit veröffentlicht hat.
Das Wall Street Journal hat einen Bericht veröffentlicht, nach dem vermutlich staatlich finanzierte Angreifer aus China und Russland in die Steuerungssysteme des US-Stromnetzes eingedrungen und die Infrastruktur ausgespäht haben. Konkrete Angriffe und Störungen wurden nicht beobachtet, anscheinend ging es (erstmal?) lediglich darum, den Aufbau Infrastruktur zu ermitteln. Ob tatsächliche Angriffe geplant sind bzw. waren, ist natürlich nicht bekannt. Die Verantwortlichen dementieren natürlich.
Generell halte ich solche Angriffe für realistisch durchführbar. Es gibt bekannte Sicherheitslücken in diverser SCADA-Software und noch viel mehr Lücken, die gar nicht öffentlich bekannt werden. Insbesondere in den USA ist die Veröffentlichung solcher Probleme legal praktisch unmöglich geworden. Klar, der Aufwand für solche Angriffe ist gewaltig und vieles davon lässt sich nicht über das Internet ausführen. Man wird zumindest Anfangs lokal vor Ort sein müssen, um direkt über Datenleitungen und Funknetze Zugang zu bekommen, bevor sich die Systeme dann auch fernsteuern lassen. Aber gerade die staatlich finanzierten Angreifer haben da fast unbegrenzte Ressourcen, wenn man beispielsweise den Militärhaushalt Chinas oder Russlands betrachtet.
In diesem Zusammenhang ist auch eine ISS-Präsentation (PDF) auf der Black Hat Federal 2006 Konferenz zu erwähnen, die viele der bekannten Lücken und Zugangsmöglichkeiten aufzeigt. Und das NERC (North American Electric Reliability Corporation), ein Zusammenschluss der Energieerzeuger und Grid-Betreiber, warnt seit Jahren regelmäßig vor möglichen Angriffen und fordert zur Verbesserung der Cybersecurity auf. Nicht zuletzt, nachdem 2003 der Slammer Wurm in ein Kernkraftwerk in Ohio eingedrungen ist.
(via Teltarif, nach Hinweis von Sören)