26. August 2008
Harhar. Ein 15-jähriger „Superhacker“ hat die Homepage der Stadt Ansbach gelöscht. Nur leider hat der Junge das 11. Hackergebot vergessen („laß dich nicht erwischen!“). Und nun hängt ihm die Polizei im Nacken, das ist schließlich ein klarer Verstoß gegen StGB 303a (Datenveränderung).
Zum Glück leben wir nicht in den USA, der britische Hacker Gary McKinnon kämpft gerade vor dem Europäischen Menschenrechtsgerichtshof gegen seine Auslieferung in die USA. Dort drohen ihm für ein bisschen Ausspähen von Daten (er war auf der Suche nach UFO-Beweisen) rund 70 Jahre Haft. Die US-Terrorgesetze machen’s möglich.
Aber zurück zu den Ansbachern, ich frage mich ja wie weit die selber dran schuld sind. Richtig kompetent scheint die Webdesign-Firma nicht zu sein. Alleine die Kommentare und Fehler in den HTML-Seiten sind schon sehr aufschlußreich:
- Installationspfad auf dem Server: „Content-Template /home/ansbaebj/www3.ansbach.eu/tpls/cont61b.php„
- Undefinierte Funktionen: „Fatal error: Call to undefined function: query2pool() in /home/ansbaebj/www3.ansbach.eu/lc/ecards/uebersicht.php3 on line 8„
- Formularversand mittels GET statt POST: „<form action=“showpage.php“ method=get>„
Und schließlich gibt es genug Möglichkeiten, PHP-Seiten abzusichern, angefangen von mod_security über PHPIDS gibt es jede Menge Schutzmaßnahmen.
Lustig finde ich auch die Fehlermeldung nach dem Hack, die sich noch in den Kommentaren befindet:
„Sehr geehrter Nutzer, es gab ein technisches Problem auf dem Internet-Server der Stadt Ansbach. Daher finden Sie unsere Seiten vorübergehend in einem anderen Layout vor! Momentan sind wir dabei die technischen Probleme zu beheben. Vielen Dank für Ihr Verständnis!“
Aha.
24. August 2008
Googling around Passwords
The Register hat ein uraltes fast verschimmeltes Fass wieder aufgemacht, den Google Cache. Spätestens seit Johnny Long wissen wir, dass Google sensible Daten nicht nur indiziert sondern möglicherweise auch laaaaaange in seinem Cache vorhält. Das ist praktisch für uns, wenn eine Webseite versehentlich veröffentlichte Informationen schnell beseitigen will. Und natürlich doof für den Webseitenbetreiber.
The Register ist nun aufgefallen, dass man damit teilweise auch ohne Zugangsdaten auf das „Dark Web“ zugreifen kann, jeden Teil des Internets der durch Login und Passwort geschützt ist und deshalb von Suchmaschinen kaum erfasst wird. Einige Anbieter haben dieses Problem erkannt und versuchen Interessenten auf ihre Seiten zu locken, indem Suchmaschinen die kompletten Inhalte passwortfrei präsentiert werden, der normale User sich aber weiterhin anmelden muss.
Jedem ist klar, dass das nicht funktioniert. Entweder ändert der geneigte User seinen Browserstring und mimikriert eine Suchmaschine oder er holt sich die Daten direkt aus dem Cache. Dank Oxy weiß das nun auch jedes Skriptkiddie:
- Find a protected forum.
- Type cache:[http://www.protectedsite.com] into Google. There is also a variation of this which involves disguising your browser as a Google Bot. I am aware that there is a plugin for Firefox that can do this for you.
Na dann … Happy Hacking und beachtet das 11. Gebot!
14. Mai 2008
Das Amtsgericht Wuppertal hat in einem Urteil (22 Ds 70 Js 6906/06, nachzulesen in NStZ 3/2008, Seite 161) Schwarzsurfen unter Strafe gestellt, schreibt Datenschutzbeauftragter Online.
Grundlage für die Strafe waren laut Urteil die §§89 S.1, 148 TKG sowie §§43 II Nr.3, 44 BDSG. Das TKG soll hier im Abhörverbot des §89 S.1 TKG betroffen sein, da hier eine “Nachricht” empfangen wurde. Das AG verweist dabei auf die extensive Auslegung des Begriffs “Nachricht” durch den BGH. Weiterhin sei bei der “zuteilung der IP ein personenbezogenes Datum” erhoben worden sein.
Das Urteil wird in einschlägigen Foren gerade im Detail diskutiert, dabei wird wie auch im verlinkten Text nicht mit Kritik gespart. Auch wenn prinzipiell zu begrüßen ist, dass Schwarzsurfen strafbar wird, sollte doch differenzierter zwischen geschützten (WEP, WPA) und offenen (unverschlüsselten) sowie versteckten (SSID-Broadcast abgeschaltet) und beworbenen WLANs unterschieden werden. Ich habe das Urteil leider noch nicht im Wortlaut hier vorliegen, darum folgt meine detaillierte Kritik gegebenenfalls später.
8. Mai 2008
Manchmal hat da jemand eine große Klappe und in Wirklichkeit steckt nicht viel dahinter. Aber im Detail:
Die Augsburger Polizei rühmt sich in einer Presseerklärung, die Internetseite „Hacksector“ zerschlagen zu haben. Es handelt sich dabei um ein Forum mit 30.000 Usern und 700.000 Beiträgen. In diesem Forum beschäftigten sich die Nutzer angeblich hauptsächlich mit illegalen Praktiken, wie beispielsweise dem Austausch von Benutzerdaten, dem Kauf von Kreditkarteninformationen oder Anleitungen zum Knacken von Passwörtern. Mit einem speziellen Programm war es angeblich sogar möglich, innerhalb von Minuten einen gefälschten Bundespersonalausweis herzustellen.
Ich finde, das ist eine gewaltige Leistung der Augsburger Polizei. Eine offensichtlich international tätige (das Internet ist ja universell) kriminelle Bande mit 30.000 Mitgliedern, da ist die Mafia ein Blumenzüchterverein. Und die Sache mit dem Ausweis, die ja bekanntlich schwer zu fälschen sind. Ich bin echt beeindruckt.
Im Detail sieht es jedoch ganz anders aus.
- aktuell wird gegen 11 Beschuldigte (15-22 Jahre, das sind Kinder!) ermittelt. 11! Nicht 30.000, nicht 1.000 nicht 100, nur 11. Und Kinder. Oder wie Fefe schreiben würde „!!11elfelf“.
- ermittelt wird wegen Vorbereitens des Ausspähens und Abfangens von Daten (§ 202c StGB). Also nicht einmal wegen konkreten Straftaten sondern lediglich wegen umstrittenen Vorbereitungshandlungen.
- Anleitungen zum Knacken von Passwörtern gibt es überall, sogar in diversen Schulungsunterlagen von Betriebssystemherstellern. Das Bundesamt für Sicherheit in der Informationstechnik, eine Behörde des Bundesinnenministeriums bietet den Passwort-Cracker John the Ripper sogar zum Download an. Gegen das BSI wurde das Ermittlungsverfahren wegen § 202c übrigens eingestellt.
- Die Software zur Erstellung eines gefälschten Personalausweises ist weiterhin online. Die Seite Onlinewahn.de bietet sie beispielsweise an. Aber gut, als Polizeibeamter darf man schon mal einen in Kunststoff eingeschweißten Bundespersonalausweis mit einem grünen Pappendeckel mit Homer Simpson Bild verwechseln. Die nötigen Informationen, um beispielsweise die Ziffercodes auf einem Ausweis korrekt zu ermitteln findet man bei Prüfziffern.de. Und natürlich beim CCC.
Praktisch ist der angeblich so tolle Ermittlungserfolg der Augsburger Polizei ein Sturm im Wasserglas. Jede Vorstellung der Augsburger Puppenkiste ist aufregender. Das einzige wirklich relevante Ergebnis sind ein paar sichergestellte Kreditkartendaten die über dieses Forum getauscht wurden. Aber ein paar Kreditkartenbetrüger rechtfertigen natürlich nicht ein halbes Jahr Ermittlung. Vermutlich hat es drei Monate davon schon gedauert, bis es dem ermittelnden Beamten gelungen ist sich mit einer GMX-Adresse am Forum anzumelden.
Und dann kommt natürlich so eine Pressemitteilung dabei heraus.
29. April 2008
Irgendwann musste es ja soweit sein …
Russische Hacker haben ihre Viren und Schadprogramme mit einem „License Agreement“ versehen. Die Jungs von Symantec haben das mal übersetzt:
- Does not have the right to distribute the product in any business or commercial purposes not connected with this sale.
- May not disassemble / study the binary code of the bot builder.
- Has no right to use the control panel as a means to control other bot nets or use it for any other purpose.
- Does not have the right to deliberately send any portion of the product to anti-virus companies and other such institutions.
- Commits to give the seller a fee for any update to the product that is not connected with errors in the work, as well as for adding additional functionality.
Gut, das ist in Deutschland natürlich nicht bindend. Erstens stand das da in Russisch und wenn es sich an deutsche Kunden richtet, muss es natürlich verständlich sein. Zweitens fehlt bei so installierter Software natürlich das Einverständnis des Kunden.
Aber die Idee ist natürlich nicht schlecht. Nur nicht neu. Ich hatte sie schon letztes Jahr, hätte allerdings zwecks Verbreitung der Schadprogramme die GPL empfohlen. 🙂
Nachtrag:
Ob die Defcon-Viren auch einen Copyright-Hinweis bekommen?
28. April 2008
… geplant auf der Defcon und natürlich maulen die Virenscanner-Hersteller.
Und wer mault am lautesten? Sophos natürlich. Das sind die, die von n.runs gefundene Sicherheitslücken auch mal gerne herunterspielen. Graham Cluley ein (Achtung, Bullshit Bingo Buzzwörter!) Senior Technology Consultant bei Sophos fürchtet u.a.: „Race to Zero’s website is linking to known virus exchange websites.“ und „The last thing the world needs is more malware.“
Also bitte … die von Race to Zero verlinkten Webseiten sind VX Heaven und Offensive Computing. Ups, jetzt habe ich die versehentlich auch verlinkt. Na egal. Wer die nicht kennt hat im „Underground“ eh nichts verloren. Und die paar zusätzlichen Schadprogramme machen den Virenscanner auch nicht fett. Andere Hersteller sind da übrigens entspannter. Vielleicht haben die bessere Scanner?
Obwohl … ich warte ja drauf, dass Symantec behauptet, Norton Antivirus wäre deshalb so langsam, weil wegen des Defcon-Wettbewerbs so viele Pattern eingebaut werden mussten. 🙂
27. April 2008
Ich schrieb letztes Jahr schon mal darüber, dass von belgischen und israelischen Forschern das am weitesten verbreitete elektronische Autoschlüsselsystem KeeLoq gebrochen haben und mit ein paar Rechner in einigen Tagen den Schlüssel errechnen können.
Forscher der Ruhr Universität Bochum haben einen noch dramatischeren Angriff entwickelt. Dabei benötigt der Angreifer für etwa 3000 Euro Hardware und Zugriff auf einen Schlüssel. Mit Hilfe eines Side-Channel Angriffs, bei dem die Stromaufnahme gemessen wird, kann der Masterkey für dieses Schlüsselmodell ermittelt werden. Mit dem Masterkey lassen sich dann alle anderen Schlüssel des gleichen Typs simulieren.
„The most devastating practial consequence of the side channel analysis is an attack in which keys can be cloned by intercepting only two messages sent by the legitimate key from a distance of up to 100 metres (330 ft). (aus Wikipedia)“
Oder anders ausgedrückt: mit dem Schlüssel eines VW Golf lassen sich alle anderen VW Golf auch öffnen.
Der KeeLoq-Algorithmus ist etwa 20 Jahre alt, wurde jedoch erst vor kurzer Zeit auf Wikipedia veröffentlicht. Die Wissenschaftler konnten anhand des Algorithmus sofort potentielle Schwachstellen identifizieren. Das erinnert mich stark an die Mifare-Thematik. Da war der Algorithmus Crypto-1 auch lange geheim. Aber kaum wurde er veröffentlicht, stellt sich raus, das taugt alles nichts. Snakeoil halt.
Was wir jetzt brauchen sind vermutlich neue Verfahren gegen Side-Channel-Angriffe. Aber da schreibe ich in einem anderen Artikel was dazu.
23. April 2008
The Register hat einen kurzen Artikel zur Gefahr von Ajax-Applikationen zusammengestellt. Da sind ein paar Punkte drin die auf den ersten Blick lächerlich trivial klingen aber gar nicht so einfach zum Umsetzen sind:
Mit Toolkits wie dem Google Web Toolkit (GWT), das automatisch Teile des Programmcodes Java nach Javascript übersetzt und auf dem Client ausführt, muss man sich Gedanken machen, welcher Teil wo ausgeführt wird. Ungünstig ist, wenn sensible Teile des Codes wie z.B. die Authentisierung auf dem Client ausgeführt werden.
- Keep data separate from code
Das vermeidet Injection-Angriffe bei denen Daten so manipuliert werden, dass sie wie Code ausgeführt werden.
Tja, das mit den verschiedenen Encoding-Standards und der Interpretation im Browser ist so eine Sache.
Zum Artikel „Simple Ajax Security“ und mehr bei OWASP.
22. April 2008
CEOs fallen öfter rein, zumindest wenn es um Schadprogramme geht. Wenn irgendwo „klicken Sie bitte hier“ steht, dann klicken die Manager um so schneller und gedankenloser, je wichtiger sie sich fühlen.
Beispielsweise der ehemalige bayrische Innenminister und jetzige Ministerpräsident Beckstein. Wenn der eine Mail vom BKA mit einem Attachment bekommt, dann klickt er. Könnte ja dienstlich sein. Außer, seine intelligente Frau warnt ihn. Die sollte besser Ministerpräsidentin sein. Aber so sind die Franken halt.
Eine Betrugsmail, die an 20.000 Senior Executives, also vermutlich Vorstandsmitglieder gibt, provozierte immerhin 2.000 Antworten. Also rund 10% der Vorstände haben auf das Attachment geklickt, das auf eine Webseite leitet die angeblich einen Durchsuchungsbeschluss enthält, der erst eingesehen werden kann, wenn ein kleines Addon installiert wird.
Da stellt sich für mich die Frage:
- Warum kriegen die Pappnasen Administratorrechte?
- Wenn die so blöd sind, wie können die dann eine Firma führen?
Aber vermutlich muss das so sein. Das ist wie mit Luftballons. Die wo am meisten Helium drin sind, fliegen am höchsten. The Register nennt diese Phishing-Versuche inzwischen Whaling … sehr schön.
21. April 2008
Wer auf einem der letzten Chaos Communication Congress war, erinnert sich sicher noch an die Vorträge von Dan Kaminsky. Eines seiner Themen ist immer wieder der böse Internetprovider, der Daten während des Transfers verändert. Gut, in UK sind wir mit Phorm bald soweit, aber Dan ist auf ein anderes aktuelles Problem gestoßen.
Viele Provider in den USA leiten Domains die es nicht gibt auf eigene Seiten um, die dann munter Werbung einblenden. Wir hatten das Problem schon einmal bei Verisign, die alle ungültigen .com-Domains auf ihre Seiten umgeleitet haben. Bei den Providern wird es jedoch noch schlimmer. Hier werden nicht nur komplett unbekannte Domains abgefangen sondern auch Subdomains oder Tippfehler, beispielsweise ww.example.com (man beachte das fehlende „w“). Das kann ganz schön unangenehm werden, beispielsweise mit Persistent Cookies die für eine ganze Domain gelten (also z.B. google.com) und dadurch vom Provider (oder dem Adbroker der die Werbung einblendet) abgefangen werden können.
Dan Kaminsky hat das auf der Toorcon auch schön vorgeführt.
Langsam fange ich an, mir Sorgen zu machen. Wenn schon die Internetprovider solche Schweinereien anfangen. Wie war das mit der alternativen DNS-Infrastruktur?
