Mitternachtshacking

Wie durch die Medien bekannt, wurde die Webseite phpbb.com neulich gehackt. Die Angreifer haben Zugriff auf alle Passworthashes bekommen und diese analysiert:

Die Top 20 Liste der verwendete Passwörter:

• 3.03% „123456“
• 2.13% „password“
• 1.45% „phpbb“
• 0.91% „qwerty“
• 0.82% „12345“
• 0.59% „12345678“
• 0.58% „letmein“
• 0.53% „1234“
• 0.50% „test“
• 0.43% „123“
• 0.36% „trustno1“
• 0.33% „dragon“
• 0.31% „abc123“
• 0.31% „123456789“
• 0.31% „111111“
• 0.30% „hello“
• 0.30% „monkey“
• 0.28% „master“
• 0.22% „killer“
• 0.22% „123123“

Die Länge der Passwörter verteilt sich wie folgt:

• 1 character 0.34%
• 2 characters 0.54%
• 3 characters 2.92%
• 4 characters 12.29%
• 5 characters 13.29%
• 6 characters 35.16%
• 7 characters 14.60%
• 8 characters 15.50%
• 9 characters 3.81%
• 10 characters 1.14%
• 11 characters 0.22%

Und weiter in der Statistik:

• 16% of passwords matched a person’s first name
• 14% of passwords were patterns on the keyboard
• 5% of passwords are pop-culture references
• 4% are variations of the word „password“
• 4% of passwords appear to reference things nearby
• 3% of passwords are „emo“ words
• 3% are „don’t care“ words
• 1.3% are passwords people saw in movies/TV
• 1% are sports related

Psychologe müsste man sein. Oder nee, lieber doch nicht. 🙂

Mehr dazu bei DarkReading.

Die BackTrack 4 Beta wird von Max und Co. zum Download angeboten. Diesmal als DVD-Image, auf eine CD passen die diversen Tools schon lange nicht mehr drauf. 854 MB hat das ISO-Image, sogar 1 GB das VMware-Image. Na dann Happy Downloading 🙂

In den letzten Tagen sind über 6000 bisher geheime Dokumente des Congressional Research Service bei Wikileaks aufgetaucht. Der Congressional Research Service ist die Forschungs- und Informationsgruppe des US Congress mit einem Budget von etwas über 100 Millionen USD pro Jahr. In Deutschland gibt es so etwas ähnliches, da nennt sich das „Wissenschaftliche Dienste des Bundestags„. Ein Ärgernis des CRS ist vor allem, dass die dort erstellten Berichte und Empfehlungen zwar qualitativ sehr hochwertig sind, der Öffentlichkeit jedoch nicht zur Verfügung stehen. Einzelne Berichte sind zwar bei OpenCRS aufgetaucht, nicht jedoch komplette Jahresarchive. Wikileaks hat das jetzt ein wenig geändert. Ein paar der Reports sind auch für IT-Security-Leute interessant, den einen oder anderen möchte ich deshalb hier kurz erwähnen.

CRS Report RL31787: Information Operations, Electronic Warfare, and Cyberwar: Capabilities and Related Policy Issues

Der Bericht RL31787 vom 5. Juni 2007 beschäftigt sich mit den Möglichkeiten des US Department of Defense zur elektronischen Kriegsführung. Sehr interessant finde ich bereits die Begrifflichkeiten, die das DoD verwendet:

• DoD Information Operations Core Capabilities
  • Psychological Operations (PSYOP)
  • Military Deception (MILDEC)
  • Operational Security (OPSEC)
  • Computer Network Operations (CNO)
    • Computer Network Defense (CND)
    • Computer Network Exploitation (CNE)
    • Computer Network Attack (CNA)
  • Electronic Warfare (EW)
    • Domination of the Electromagnetic Spectrum
    • Electromagnetic Non-Kinetic Weapons

Das DoD verwendet dafür generell den Überbegriff „Information Operations (IO)“, der Fokus von IO liegt darin, den Entscheidungsprozess des Gegners zu stören bzw. zu beeinflussen. Explizit genannt wird die Beeinflussung von Computersystemen durch Schadprogramme, die Zerstörung von Computersystemen durch Hochenergie-Impulse (vermutlich EMPs) sowie die Störung von Sensoren und Radar.

Die Unterscheidung zwischen Computer Network Exploitation (CNE) und Computer Network Attack (CNA) liegt hauptsächlich darin, dass für die Exploitation die Hackingtools so modifiziert werden müssen, dass die Systeme selbst nicht zerstört werden, gleichwohl aber sensible Daten von diesen Systemen gesammelt werden können (Intelligence Collection). Allerdings scheint es dazu noch keine abschließenden Strategien zu geben (wörtlich: „CNE is an area of IO that is not yet clearly defined within DOD“). Unter CNA dagegen versteht das DoD die Zerstörung der Systeme durch einen geeigneten Datenstrom (vermutlich sind Viren, Trojaner oder andere Exploits gemeint). Die Zerstörung oder Beschädigung durch einen Hochenergie-Impuls wird im Gegensatz dazu als Electronic Warfare (EW) bezeichnet. Electromagnetic Non-Kinetic Weapons sind beispielsweise (meist nicht-lethale) hochenergetische Microwellenemitter, die Schmerzen und Verbrennungen einige Millimeter unter der Hautschicht erzeugen können.

Mein persönlicher Eindruck ist, dass das US-Verteidigungsministerium (noch) zu viel Wert auf technologischen Vorsprung legt. Dazu gehört die Dominanz in wichtigen elektromagnetischen Frequenzbereichen, Mikrowellenwaffen, Elektromagnetische Impulse und in Flugzeugen montierte Laserwaffen (Airborn Laser Weapons). Das klassische Hacking, d.h. Einbrechen in Computersysteme mittels Exploits hat sich noch nicht so recht bis zum Militär durchgesprochen. Vermutlich liegt das auch in der Philosophie des US-Militärs begründet, Gefechte primär mit dem Säbel und weniger mit dem Florett auszufechten.

Zumindest Stand dieses Reports mache ich mir persönlich mehr Sorgen um die hervorragend organisierten staatlichen chinesischen Hacker und weniger um amerikanische Hacker. Aber wie ich schon schrieb: die USA geben solche Aufgaben gerne auch mal in private Hände ab … irgendwo findet sich garantiert ein Schwarzwasserhacker.

Soso, die Bundeswehr gründet eine Cyberwar-Einheit, die „Abteilung Informations- und Computernetzwerkoperationen“ schreibt der Spiegel. 76 Mann stark und abgeschottet in einer Kaserne. Das kann nicht funktionieren. Gerade Hacking lebt stark vom Austausch mit anderen, die neue Verfahren entwickeln, Sicherheitslücken analysieren und Ideen ausprobieren. Und eine „geheime“ Bundeswehrtruppe ist ungefähr genau das Gegenteil davon.

Andererseits tut sich mir da eine prima Geschäftsidee auf. Genau wie es in konventionellen Konflikten private Söldnertruppen gibt, beispielsweise die berüchtigte Blackwater, deren Leute neulich erst aus dem Irak rausgeflogen sind, könnte man sich das im Cybewar doch auch vorstellen.

Wenn also dieses Blog hier demnächst unter der URL www.schwarzwasserhacking.de erscheint … 😉

Nachtrag:

Fefe lästert auch schon fleißig 🙂

Die Webseite des Snake Oil- Virenscanner-Herstellers Kaspersky in den USA wurde offensichtlich ein klein wenig gehackt. Genau genommen mittels SQL-Injection komplett übernommen. Inklusive Kundendaten, Vertragsinformationen, License-Keys, etc. Kaspersky hat sich noch nicht dazu geäußert.

Naja, Pech. Das kommt vor. Bei einem IT-Security-Anbieter ist das natürlich doppelt peinlich. Aber trotzdem, das kommt vor. Im Grunde zeigt das nur meine alte Leier, dass Webseiten und Webapplikationen viel zu oft von Schnarchnasen erstellt werden, die HTML für eine Programmiersprache halten.

Es zeigt aber auch noch etwas anderes … Kaspersky war auf so einen Vorfall in keinster Weise vorbereitet. Das zeugt entweder von einiger Überheblichkeit („uns passiert so etwas nicht“) oder schlichter Ignoranz („wir kümmern uns, wenn es soweit ist“). Und das macht mir mehr Sorge denn es zeigt, wie wenig Risikomanagement bei Kaspersky ausgeprägt ist. Risikomanagement besteht nämlich nicht nur daraus, zu bewertet wie gefährlich z.B. der Betrieb einer Webapplikation ist sondern auch daraus, Vorkehrungen für den Fall der Fälle zu treffen, um die Schadensauswirkungen zu minimieren.

Man könnte beispielsweise Kundendaten auf verschiedene Datenbanken verteilen, ein Zugriff auf eine Datenbank gibt dann noch nicht direkt alle Informationen heraus. Typische Aufteilung ist eine Datenbank zur Nutzerauthentisierung und eine zweite Datenbank mit den eigentlichen Kundendaten. Man könnte auch eine interne Sprachregelung vorbereiten um aktiv mit Informationen an die Medien zu gehen, bevor sich so ein Ereignis verselbständigt und offizielle Medien sowie Blogger wild über Ursachen und Folgen spekulieren. Bei Marketingfritzen nennt man das wohl die Informationshoheit zu behalten. Jedenfalls dürfte Kaspersky einiges zu tun haben, um dieses Ereignis intern vernünftig aufzuarbeiten.

(via Fefe, Heise)

Dieses Urteil ist anscheinend an mir vorbeigegangen, daher hier der Nachtrag:

Störerhaftung des WLAN-Netzbetreibers – Der Betreiber eines WLAN-Netzes haftet erst ab Kenntnis konkreter Missbrauchsfälle und nicht bereits wegen der abstrakten Gefahr einer rechtswidrigen Nutzung durch beliebige Dritte. Sicherung des WLAN-Netzes nur im verhältnismäßigen Umfang erforderlich.
OLG Frankfurt a.M, Urteil vom 01.07.2008 – Az. 11 U 52/07

mehr bei Medien, Internet und Recht.

Manchmal will man ja gar nicht glauben, was man bei Fefe so lesen kann. Aber die ebenso unseriösen Nachrichtenportale bestätigen das.

In Grand Forks, North Dakota haben bisher unbekannte an falsch geparkten Autos Parktickets angebracht, die den Fahrer auf eine Webseite mit Malware gelockt hat.

PARKING VIOLATION This vehicle is in violation of standard parking regulations. To view pictures with information about your parking preferences, go to [website-redacted].

Ich finde das sehr lustig. Ich sollte das auch mal probieren. Beispielsweise in München am Rosenkavalierplatz. Da darf man höchstens eine Stunde mit Parkuhr stehen und die Zetteltanten gehen mindestens fünfmal am Tag da vorbei.

Weitere Details und Fotos hat das Sans Institute zusammengestellt.

harhar, sehr schön, dieser Comic:

Ich muss mal meine Freundin fragen, ob ich unser (bisher nicht geplantes) Kind „quote or 1 equals 1 dash dash“ nennen darf.

Nachtrag:

Ach Mist, auf die Idee sind schon andere gekommen.

Ich war vor einiger Zeit bei einem potentiellen Kunden. Besprechung zum generellen Thema IT-Sicherheit mit Industriespionage im speziellen. Am Empfang wurde ich gebeten, schon mal in einen Besprechungsraum zu gehen. Meine Gesprächspartner würden in ein paar Minuten eintreffen.

Ich habe mich schon ein wenig geärgert, weil ich ausgerechnet an diesem Tag kein einziges Patchkabel dabei hatte und gerne noch schnell geprüft hätte, ob die Netzwerkdosen im Besprechungsraum Zugang zum LAN ermöglichen. Das ist … naja … nicht immer ganz in Ordnung aber hätte mir in dieser Situation einen guten Einstieg verschafft.

Als ich dann jedoch in den Besprechungsraum gekommen bin, musste ich schmunzeln:

Zum Glück habe ich fast immer eine Kamera dabei. Die Kabel waren übrigens alle gepatcht, keine Portsecurity, kein MAC-Filter, DHCP aktiv.

😉

Unglaublich … das muss man sich bei Heise durchlesen.

Mittelfristig wird man sich Gedanken machen müssen, ob für den Diebstahl virtueller Gegenstände in Spielwelten vielleicht ein neuer Straftatbestand notwendig wäre. Der klassische Diebstahl deckt bekanntlich nur reale bewegliche Gegenstände ab. Wäre doch nett:

Cyberdiebstahl

(1) Wer eine virtuelle, nicht real existierende Sache einer fremden Spielfigur in der Absicht wegnimmt, die Sache seiner oder einer dritten Spielfigur rechtswidrig anzueignen, wird mit Internetverbot bis zu fünfhundert Tagen oder mit Spielgeldstrafe bestraft.

(2) Der Versuch ist strafbar.

(3) Wer eine Straftat nach Absatz 1 vorbereitet in dem er Passwörter, Sicherungscode oder Computerprogramme für diesen Zweck herstellt, wird mit einem IT-Job nicht unter 40.000 Euro belohnt.

(4) Wer sich die Passwörter, Sicherungscode oder Computerprogramme nur verschafft ohne zu verstehen, wie sie funktionieren, den erwartet eine Verdopplung der Strafe.

Und man könnte im Strafgesetzbuch beispielsweise den Paragraphen 202c dafür verwenden. Der aktuelle Inhalt gehört sowieso schnellstens abgeschafft.