Mitternachtshacking

HTML Version 5 wird lustig, sehr lustig.  Der Artikel hier auf webkit.org beschäftigt sich mit den neuen Funktionen und eine davon ist „client-side database storage„. Ganz cooles Zeug.

Wenn der Anwender eine lokale SQL-Datenbank hat und die Skripte nicht sauber implementiert sind, dann kann man lokal beliebigen Unsinn ablegen. Am schönsten ist natürlich der Zugriff auf sensible Daten wie Adressbücher etc. Ich bin mir aber sicher, dass vielen Leuten da noch viel mehr Spaß einfallen wird. Client-side data storage außerhalb von simplen Flat Files halte ich ja für gewaltigen Unsinn. Aber wir werden sehen …

Zumindest in Großbritannien muss man damit rechnen, dass man plötzlich ohne GNU Packet Radio und Mobiltelefon dasteht. Zumindest wenn man Steve Müller heißt und Mitglieder der Hackergruppe THC ist. Und das bei der Ausreise!

Bei der Einreise würde ich das ja noch verstehen.

Als nächstes sind vermutlich die Jungs um Karsten Nohl und Henryk Plötz dran, die den Mifare Chip zerlegt haben.

Ein etwas älteres Foto, dass ich schon seit einiger Zeit auf der Platte liegen habe:

Die Qualität des Fotos ist natürlich grottenschlecht, weil das Bild von der anderen Straßenseite durch ein Fenster hindurch mit maximalem Zoom aus dem Handgelenk heraus geknipst wurde. Man erkennt auch nicht wirklich, was auf dem Monitor dargestellt wird. Wenn man genau hinsieht, kann man in der blauen Eingabemaske ganz unten den Namen „Bellotto, Bernardo“ erkennen.

Eine handelsübliches Kamera unter 200 Euro, etwa 15-20 Meter Entfernung und der Blick auf einen Monitor der in einem Büro stellt. Zugegeben, ein Foto von einem Monitor einer Bank mit Kontostand eines Kunden wäre interessanter aber man erkennt die Gefahr.

Bei der Süddeutschen Zeitung gefunden:

Ein 44jähriger in Bayern hat Unterlagen über hochentwickelte technische Produkte (also vermutlich Militärtechnik) an den russischen Geheimdienst weitergegeben.

Zur strafrechtlichen Verfolgung gibt es beim Generalbundesanwalt eine schöne Erklärung. Relevante Strafrechtsparagraphen sind hier § 94 StGB (Landesverrat) das hier aber nicht zutreffen dürfte, da es sich bei Industrieprodukten normalerweise nicht um Staatsgeheimnisse handelt sowie der § 99 StGB (Geheimdienstliche Agententätigkeit), der praktisch jede Art der fremden Agententätigkeit unter Strafe stellt.

„So kann Wirtschaftsspionage nach § 99 StGB strafbar sein, wenn sie staatliche Interessen verletzt und über bloße Konkurrenzspionage hinausgeht, die nach den Vorschriften des Wettbewerbsrechts zu beurteilen ist.“

Was mich wundert ist, wie der Mann erwischt werden konnte. Schließlich ist  die Genrealbundesanwältin Frau Harms ja damit beschäftigt, harmlose Sozialwissenschaftler wie Andrej Holm und seine Familie aufgrund des unsäglichen § 129a StGB zu verfolgen. Demnächst werden wir hier noch britische Verhältnisse bekommen.

Die Süddeutsche Zeitung hat sogar Erkenntnisse zur Kommunikation:

„Die Absprachen liefen meist über anonyme E-Mail-Konten, wie dies geheimdienstlichen Gepflogenheiten entspreche.“

Aha … gut zu wissen. Wer anonyme E-Mail-Konten verwendet (also z.B. ich auch) könnte  mit ausländischen Geheimdiensten … 🙂

Nachtrag:

Im Zweifel gilt natürlich das 11. Hackergebot („Laß Dich nicht erwischen“), oder wie der Generalbundesanwalt schreibt:

„Geheimdienstliche Agententätigkeit verjährt regelmäßig in fünf, spätestens in zehn Jahren; Landesverrat verjährt nach 20 Jahren.“

Ein kurzer Link zum Beitrag auf The Register. WarmTouch ist eine Software zur Analyse von E-Mails, die in den USA sehr oft zur Analyse von E-Mails bei Verbrechen eingesetzt wird. Die Software erzeugt ein Profil des Autors vergleichbar der Profiler bei normalen Verbrechen anhand von Worthäufigkeit, Fremdwörtern, etc.

Man lernt daraus, wenn man schon Mails zur Erpressung verwenden will dann sollte man sie durch den Google-Übersetzer jagen. Von Deutsch in Französisch, weiter in Englisch und zurück in Deutsch. Das sollte jegliche durch Bildung oder Region übliche Worthäufigkeit aussschalten.

Original: Ich erwarte die Zahlung von 100.000 Euro innerhalb der nächsten 24 Stunden.

Französisch: J’attends le paiement de 100.000 euros dans les prochaines 24 heures.

Englisch: I expect the payment of 100,000 euros in the next 24 hours.

Deutsch: Ich erwarte von der Zahlung von 100000 Euro in den nächsten 24 Stunden.

geht doch 🙂

Die Schweizer Forscher Stefan Frei, Bernard Tellenbach und Bernhard Plattner der ETH Zürich haben auf der Black Hat Europe in Amsterdam eine neue Metrik zur Bewertung der Sicherheit von Betriebssystemen vorgestellt, bei der sie insbesondere auf die 0-Day Problematik eingehen.

Fairerweise werden nur proprietäre geschlossene Betriebssysteme von Microsoft und Apple verglichen und dabei zeigt sich wenig überraschend, dass Microsoft deutlich besser abschneidet. Interessant finde ich jedoch auch die Begrifflichkeiten, die gefunden werden.

Grundsätzlich werden mehrere Meilensteine im Lebenszyklus definiert:

• Discovery, die Entdeckung einer Sicherheitslücke
• Exploit, die Entwicklung und Verfügbarkeit eines nicht-öffentlichen Exploits
• Disclosure, die Veröffentlichung der Sicherheitslücke (mit oder ohne Exploit ist grundsätzlich egal)
• Patch available, die Veröffentlichung bzw. Verfügbarkeit eines Patches vom Hersteller
• Patch installed, der Patch wurde vom Anwender installiert und das System ist bzgl. dieser Lücke wieder sicher.

Die Zeitspanne zwischen Discovery und Disclosure wird als Black Risk bezeichnet, da nur im Untergrund bei Black Hat Hackern die Lücke bekannt ist. Die Zeit von der Veröffentlichung (Disclosure) bis zur Patchverfügbarkeit wird als Gray Risk bezeichnet. Das ist das sogenannte Windows of Exposure, d.h. die Lücke ist allgemein bekannt aber der Anwender kann nichts dagegen tun, da er keinen Patch hat. Hier wird von einem sogenannten 0-Day gesprochen. Sobald der Patch verfügbar aber noch nicht installiert ist, beginnt das White Risk. Sämtliche Gefährdungen sind bekannt, es liegt in der Verantwortung der Anwender zu entscheiden, welche Patches sie installieren oder nicht.

Die Begriffsdefinitionen erscheinen mir alle sehr sinnvoll, man sollte sie allgemein übernehmen.

In Rotterdam kann ich das

Hotel Milano
’s-Gravendijkwal 7b
3021 EA Rotterdam
Niederlande
Tel. 31 (0) 10 – 477 4529
Fax 31 (0) 10 – 476 9818

beispielsweise auch via hotels.nl zu finden, dort oft auch günstigere Preise. Das Hotel ist recht zentral in Rotterdam gelegen, neu renoviert und hat einen hoteleigenen abgeschlossenen Parkplatz für 7 Euro/Nacht (was für holländische Verhältnisse recht günstig ist). Vom Hotel aus kann man die ganze Innenstadt bequem zu Fuß aus erreichen. Außerdem gibt es gutes Frühstück und eine ganz nette Bar im Hotel.

Ok, der WLAN-Zugang kostet 15 Euro pro Tag aber ich habe etwa 4-6 (abhängig von der Tageszeit) ungeschützte WLAN-Netze direkt aus dem Hotelzimmer erreichbar gefunden, also auch kein echtes Problem:

Die SSID „milano“ führte zum Portal des Hotels (15,- Euro/Tag), alle anderen Netze waren offen und nutzbar. Ups, das „Automatisch“ neben dem gelben Stern oben ist natürlich nur ein Fehler im Screenshot.

Rainbow Tables sind eine clevere Sache. Philippe Oechslin war 2003 der Pionier, der mit seiner Arbeit „Making a Faster Cryptanalytic Time-Memory Trade-Off“ die Grundlagen für vorberechnete Hash-Tabellen geschaffen hat. Hash-Tabellen sind immer dann sehr praktisch, wenn die Passwörter in einem simplen Hash gespeichert sind. Das kommt beispielsweise bei Windows LAN-Manager Authentisierung vor, aber auch hier in dieser WordPress-Installation. Hier ist das Passwort ein einfacher MD5-Hash.

Das Problem mit Rainbow Tables ist, dass sie lediglich ein gewisse Wahrscheinlichkeit garantieren, den gefundenen Hash zu brechen. Je größer die Tabelle um so größer auch die Wahrscheinlichkeit aber Tabellen können dann sehr groß werden. Außerdem lohnen sich Rainbow Tables nur, wenn man mehrere Passwörter brechen will. Bei einem einzelnen Passwort ist ein Brute Force Angriff praktisch immer schneller. Für sieben Zeichen benötigt das Berechnen der Rainbow Table etwa eine Woche, das Ermitteln eines Passworts kann dann in 30 Sekunden erfolgen. Der Brute Force Angriff auf ein einzelnes Passwort ist in der Regel in 24 Stunden erfolgreich.

Das Problem ist jedoch, große Rainbow Tables brauchen viel Platz. Die Tabelle für ein 8-Zeichen Passwort mit 99% Wahrscheinlichkeit braucht etwa 1,5 TB (1500 GB) . Das ist jetzt nicht dramatisch, da beispielsweise Western Digital 650 GB Festplatten für unter 100 Euro verkauft. Aber bei längeren Passwörtern wachsen die Tabellen massiv an.  Ok, man kann die Wahrscheinlichkeit reduzieren. 90% Wahrscheinlichkeit passt auf 700 GB, 1% Wahrscheinlichkeit bereits auf eine einzelne CD-ROM.

Und jetzt nehmen wir folgenden Gedanken an … wir erzeugen Hashes für Passwörter bis meinetwegen 32 Zeichen. Und zwar genau so viele verschiedene, dass wir damit 1 TB Daten füllen können. Mehr nicht. Das ist eine Rainbow Table mit einer geringen Wahrscheinlichkeit, so etwa in der Größenordnung 0,01 %. Allerdings für beliebige Passwörter. Die Wahrscheinlichkeit, dass „G0%dP@ssw0rd“ dabei ist, ist genauso groß wie für „abc“. Im Grunde sind dann alle Passwörter gleich gut, sie haben alle die gleiche Wahrscheinlichkeit erraten zu werden. Und was ist, wenn nicht nur ich so eine Tabelle erzeuge (und Passwortabfragen per Webinterface zulasse) sondern 100 andere Leute auch. Natürlich zufällig andere Tabellen. Klar wird es Überschneidungen geben aber insgesamt auch viele unterschiedliche Passwörter.

Ich finde diese Idee ein klein wenig beängstigend. Sie stammt übrigens von The [SNS] Technologies, einer russischen Firma, die u.a. The UDC anbietet, ein Programm zum Brechen von Hashes. Für nicht Russischsprachler gibt es bei InsidePro eine Übersetzung.

In Summe erkennen wir also, dass einfache Hashes zum Speichern von Passwörtern nicht mehr geeignet sind. Die richtige Lösung gibt es auch schon seit mindestens 50 Jahren: Salted Hashes. Jedes Passwort wir mit einem Salt kombiniert und dann erst gehashed. Der Salt wird im Klartext neben dem Passwort-Hash gespeichert. Damit lassen sich Rainbow Tables effizient aushebeln. Ich schrieb dazu im September etwas, weil Matasano die Gefahr von Rainbow Tables und die Gegenmaßnahmen sehr gut erklärt hat.

Das schlimme ist, wir wissen das im Grunde seit 50 Jahren. Und trotzdem verwendet Software wie dieses WordPress hier immer noch simple MD5-Hashes zum Speichern von Passwörtern. Also nichts gelernt. Und das finde ich jetzt wirklich beängstigend.

Das File iPIX-install.exe ist übrigens mal wieder ein interessantes Beispiel dafür wie wichtig die Aktualität von Virenscannern ist. Erster Versuch auf meinem Privatrechner:

Suchengine: V7.06.00.73, 01.03.2008
Virendefinitionsdatei: V7.00.03.31, 14.03.2008

Leider kein Virus gefunden.

Also … Update!

Suchengine: V7.06.00.73, 01.03.2008 = die gleiche Version wie vorher
Virendefinitionsdatei: V7.00.03.33, 16.03.2008 = nur 0.00.00.02 höher

Und das Ergebnis:

Jetzt wird das Schadprogramm erkannt.

Ich weiß nicht, wie lange dieser Spam schon verschickt wird, aber bisher war meine Erfahrung mit Avira dem Hersteller von Antivir, dass recht flott reagiert wird. Gut möglich also, dass dieses Schadprogramm erst zwischen 14. und 16. März im Internet aufgetaucht ist. Im Grunde ist ein tägliches Update inzwischen zu selten, eigentlich müsste man Virenpattern zumindest in Unternehmen stündlich aktualisieren.

Ich weiß nicht so recht, wie ich den folgenden Trick einordnen soll. Social Engineering? Spoofing? Von beidem etwas?

Per Spam kam der Link auf folgende (absichtlich nicht verlinkte) chinesische Webseite: http://www.financial-manager.cn/aes/

Man sieht, das in der Mitte offensichtlich ein Plugin fehlt, um Grafiken oder Filme oder so anzuzeigen. Das fand ich jetzt nicht besonders ungewöhnlich. Insbesondere weigere ich mich standhaft, den Apple QuickTime Schrott zu installieren. Die Software ist sowas von eklig, die Integration egal in welchen Browser funktioniert hinten und vorne nicht so wie ich das gerne hätte und QuickTime will dann alle Medien abspielen, die die Dreckssoftware gar nichts angeht. Von den vielen Bugs und Sicherheitslücken will ich gar nicht reden. Weil mich natürlich interessiert, welches Plugin in diesem Fall fehlt, habe ich todesmutig draufgeklickt (man weiß ja schließlich nie, was sich auf so chinesischen Webseiten verbirgt):

Sehr witzig, das ist gar kein Firefox-Plugin. Das Plugin-Symbol wird im HTML-Quelltext als billige GIF-Grafik angezeigt. Beim Klick auf die Grafik wird dann ein normales EXE-File nachgeladen. Und was sagt Virustotal dazu?

Ui, ein böser Trojaner-Downloader. Also im Grunde genau das, was man so von einer chinesischen Webseite erwarten würde.

Trotzdem finde ich die Idee clever. Auf den ersten Blick dürften sich die meisten unbedarften User täuschen lassen. Das Puzzle-Symbol für ein Plugin ist dem User bekannt und symbolisiert einen vertrauenswürdigen Download. Wenn sich dahinter ein EXE verbirgt, kann man dem Anwender eigentlich auch keinen Vorwurf machen, das blöde QuickTime lässt sich ja auch nicht direkt über den Browser installieren.