17. März 2008
Am 09. April findet die diesjährige Ausgabe der Ingram Micro ArchITecture (hier die komplette Agenda, PDF, 1,4 MB) wie jedes Jahr in Neuss statt. Mein diesjähriger Titel:
Hacking Reloaded: Fiese Tricks im Firmennetz
Wie Sie ihren Systemadministrator zur Verzweiflung treiben
Dabei geht es um Software wie Cain & Abel, Spoofing und Sniffing, um Trojaner und andere Schadprogramme und welche Möglichkeiten man als Mitarbeiter im Unternehmensnetz so hat, um diversen Unsinn anzustellen, möglichst natürlich ohne das 11. Gebot (laß Dich nicht erwischen) zu verletzen.
Es lohnt sich natürlich nicht nur wegen meines Vortrags zu kommen. Matthias Leu erklärt beispielsweise was man mit UTM machen kann und welche Vor- und Nachteile man damit eingeht. Das wird garantiert einer der starken Vorträge die sich auch in Argumentationen bei Kunden gut verarbeiten lassen.
Anmeldung zur Teilnahme (beschränkt auf Fachhändler) über die Reseller-Seite von Ingram Micro.
16. März 2008
Die China Cyber Army wird irgendwie immer erwähnt, wenn in den USA mal wieder ein paar Tausend Systeme der Airforce, Marines oder Army gehackt werden. Manchmal beschleicht einen dabei das Gefühl, die China Cyber Army wird quasi zu einer digitalen Al-Qaida aufgebaut. Die Angriffe werden sogar detailliert in Präsentationen (PDF) beschrieben, man könnte meinen man sei direkt betroffen.
Ich kann mir durchaus vorstellen, dass es in China einen Regierungsauftrag für Hacker gibt und ich wäre überrascht, wenn es in den USA, UK, Russland, Israel, Frankreich und vermutlich auch in Deutschland anders wäre. Praktisch überall wo ein fähiger Geheimdienst existiert, werden natürlich auch Cyberangriffe in Auftrag gegeben.
Andererseits ist mir nicht ganz klar, welchen Sinn es macht gerade bei den Chinesen so eine „Überorganisation“ zu verorten. In Deutschland werden die Angriffe der Chinesen z.B. auf das Bundeskanzleramt praktisch komplett geheimgehalten. In den USA kommt so etwas auch nur dann an die Öffentlichkeit, wenn der politische Wille dazu besteht. Der mediale Aufbau einer „chinesische Al-Qaida“ könnte natürlich politisch gewollt sein, um z.B. den chinesischen Einfluss auf die US-Wirtschaft begrenzen zu können. Wenn genug „terroristische Angriffe“ den Chinesen zugeordnet werden, dann darf man auch damit rechnen, dass anti-chinesische Gesetze gebastelt werden. Vermutlich vergleichbar der anti-japanischen Gesetzgebung so um 1990 herum. Die US-Drohung konventioneller Gegenschläge für Cyberangriffe deutet in die gleiche Richtung.
Und dann macht es natürlich Sinn, einen gefährlichen chinesischen Feind aufzubauen. Also behauptet in fünf Jahren nicht, ich hätte Euch nicht gewarnt wenn die USA gegen die „gelbe Gefahr“ (nein, nicht Symantec) vorgehen.
13. März 2008
Das hätte ich ja beinahe übersehen, in der Deutschen Presse steht noch gar nichts dazu. Nur bei The Register ist der Artikel sogar die Hauptseite wert. Der leicht verwirrende Titel „Microscope-wielding boffins crack Tube smartcard“ verdeckt jedoch ein wenig den Blick auf das Wesentliche.
Henryk Plötz, Karsten Nohl und Starbug haben ihre Ankündigung auf dem 24C3 wahr gemacht und sich weiter mit der Mifare Classic Verschlüsselung beschäftigt. Karsten Nohl hat inzwischen eine komplette Kryptoanalyse des bisher von NXP geheim gehaltenen Algorithmus veröffentlicht.
Wie schon auf dem 24C3 angekündigt ist es aufgrund von Implementierungsschwächen des Algorithmus möglich, die Verschlüsselung einer Karte mit geeigneter Hardware in wenigen Minuten, auf Standard-PC-Hardware etwas länger, zu brechen. Um beispielsweise damit umsonst in der Londoner U-Bahn zu fahren oder Zugang zu einer versperrten Chemiefabrik zu bekommen ist das ein überschaubarer Aufwand.
Im Grunde ist die Migration auch technisch nicht besonders schwierig. NXP bietet mit Mifare DESfire (DES-Algorithmus) und Mifare Plus (AES-Algorithmus) auch sichere Varianten der Karte an, allerdings zu einem deutlich höheren Preis. Die einfachen Mifare Classic Karten gibt es schon für wenige Cent. Entsprechend wurden laut NXP bisher auch weit über eine Milliarde Karten verkauft. Die alle abzulösen wird mehrere Jahre dauern, wenn überhaupt das wirtschaftliche und politische Interesse dazu besteht.
Oder wie Karsten Nohl formuliert: „Standardisierte Verschlüsselungsverfahren (wie DES oder AES, Anm.) bieten einen sehr gut untersuchten und verstandenen Sicherheitslevel. Mit einem proprietären Algorithmus kann man das nie garantieren.“
Mal sehen, wann das BSI das mit ihrem Chiasmus auch kapiert. Chiasmus ist der BSI-eigene geheime Blockverschlüsselungsalgorithmus mit 128 Bit Schlüssellänge (160 Bit, davon aber 32 Bit Prüfsumme), der in der gleichnamigen Software und in den SINA-Boxen eingesetzt wird. Ich vermute ja, die Sicherheit von Chiasmus basiert lediglich darauf, dass niemand der Ahnung hat die Software in die Finger bekommen darf.
Nachtrag:
Inzwischen sind die Ergebnisse verifiziert und bestätigt. Sogar Heise hat inzwischen einen Artikel dazu. Ein paar Niederländer haben den skizzierten Angriff auf Crypto-1 inzwischen so optimiert, dass Ergebnisse bereits nach wenigen Sekunden verfügbar sind. Die Betreiber des Niederländischen Nahverkehrsnetzes schätzen, dass weitverbreitete Angriffe und Betrugsversuche in spätestens zwei Jahren zu erwarten sind. Bis dahin wollen sie auf Mifare Plus umstellen. Ich frage mich ja, ob die Umstellung alleine der Steuerzahler finanzieren muss oder der Mifare-Hersteller NXP wenigstens mit den Preisen für die neuen Karten ordentlich nach unten geht.
Untertitel aus der Meldung von Golem:
„Wissenschaftler aus den USA haben herausgefunden, dass Herzschrittmacher mit einer Funkschnittstelle gehackt werden können – mit tödlichen Folgen.“
Inzwischen haben auch implantierte Geräte wie Herzschrittmacher, an die man halt nur schwer herankommt eine Funkschnittstelle und wenn die nicht sauber abgesichert ist, dann rumpelt es eben in der Kiste.
Das untersuchte Gerät (PDF) sendet auf 175 KHz, eine Frequenz die bequem mit einem Oszilloskop analysiert werden kann. Dann noch ein wenig Reverse Engineering und man kann aus dem Gerät sensible Daten auslesen und sogar die Programmierung verändern. In den USA gibt es inzwischen sogar einen eigenen reservierten Frequenzbereich, das 402–405 MHz Medical Implant Communications (MICS) Band auf dem neuere Geräte senden.
In andere Herzschrittmacher ist sogar nur ein einfacher Bluetooth-Chip eingebaut. Die Teile sind extrem günstig und brauchen wenig Energie. Außerdem senden sie nur über geringe Entfernung und sind kompatibel zu normalen Notebooks und Handys. Vermutlich wird als Peering-PIN „0000“ verwendet.
Erschreckend finde ich vor allem, dass das gesamte Equipment, Oszilloskop, Datenkabel, PC, GNU Radio Software (bis auf Mathlab) praktisch komplett bei mir vorhanden ist. Ok, das Oszilloskop müsste ich von meinem Vater ausleihen aber der Rest ist da.
10. März 2008
Weil’s gerade durch ein paar Blogs geht und so schön hier rein passt, eine nette Satire von 2001(!) auf der Webseite Adequacy (News for Grown-ups). Die Webseite selbst ist nur noch aus historischen Gründen online, neue Artikel werden nicht geschrieben. Anscheinend richtete sich die Seite damals an Erwachsene, die dem munteren Online-Treiben ihrer Kinder hilflos zusehen mussten.
Is Your Son a Computer Hacker?
Die Anhaltspunkte sind dramatisch:
1. Hat ihr Sohn verlangt, den Provider zu wechseln?
Die meisten guten ehrlichen Amerikaner sind bei AOL, die eine strickte „No Hacker“-Policy vertreten. Wenn ihr Sohn anfängt zu hacken, wird er als erstes den Provider wechseln wollen!
2. Gibt es auf ihrem Computer Programme die sie nicht installiert haben?
Ein untrügliches Zeichen, dass ihr Sohn böses im Sinn hat sind Hacking-Tools wie Flash, die plötzlich auf der Festplatte auftauchen!
3. Fragt ihr Kind nach neuer Hardware?
Insbesondere Prozessoren der bösen Firma AMD sind ein deutlicher Hinweis. Kaufen sie nur gute amerikanische CPUs der Firma Intel mit eingebauten Sicherheitsfunktionen!
4. Liest ihr Kind Hacker-Anleitungen?
In den Buchhandlungen gibt es unzählige Hackeranleitungen die dringend verboten gehören, z.B. „Snow Crash“ von Neil Stephenson oder „Programming with Perl“ von Tim O’Reilly. Beschlagnahmen sie die Bücher sofort, falls sie sie bei ihrem Sohn finden!
5. Wie viel Zeit verbringt ihr Kind am Computer?
Mehr als 30 Minuten online am Tag können ein Hinweis darauf sein, dass ihr Sohn versucht, fremde Systeme mittels DoS-Angriffen lahmzulegen!
6. Besitzt ihr Sohn Quake?
Quake ist eine beliebte Software, in deren virtueller Realität Hacker den Umgang mit Feuerwaffen üben. Machen sie ihrem Sohn klar, dass dieses Verhalten nicht akzeptiert wird!
7. Wird ihr Sohn mürrisch und streitsüchtig?
Das ist ein klares Zeichen, dass er zu viel Zeit online verbringt. Geben sie nicht auf sondern helfen sie ihrem Sohn, auch wenn der Meinung ist, es gäbe kein Problem. Sie sind seine einzige Chance!
8. Ist ihr Sohn von Lunix begeistert?
Lunix, egal ob Debian oder Mandrak aber auch BSD sind illegale Hackerbetriebssysteme des sowjetischen Hackers Linyos Torovoltos. Sie basieren auf geklautem Code von Xenix, das Microsoft für die US-Regierung entwickelt hat. Lunix ist extrem gefährliche Software, ein Hinweis auf Lunix ist beispielsweise, wenn beim Booten des Computers die Zeichenfolge „LILO“ erscheint!
9. Hat ihr Sohn seinen Stil verändert?
Hacker ziehen sich anders an, als normale Menschen. Wenn ihr Sohn plötzlich auf Baggy Pants, bunte T-Shirts mit Slogans oder gefärbte Haare steht ist das ein sicheres Zeichen, dass er sich in schlechter Gesellschaft befindet!
10. Werden die schulischen Leistungen schlechter?
Wahrscheinlich verbringt ihr Sohn zu viel Zeit mit gefährlichen Hackergruppen und findet daher nicht mehr zum Lernen. Durch die viele Zeit am Computer kann er schizophren oder sogar fett werden!
Ich kann alle Eltern nur aufrufen, diese Warnhinweise ernst zu nehmen. Hacken ist ein illegaler und gefährlicher Zeitvertreib und führt häufig zu Festnahmen und Knast. Potentielle Hacker können gar nicht früh genug bekämpft werden!
9. März 2008
Google Hacking wird offensichtlich immer wichtiger. Viele angreifbare Webseiten lassen sich mit trivialen Google-Anfragen finden und auch vertrauliche Informationen tauchen gerne mal bei Google auf. Bisher war die Standardreferenz die Webseite I Hack Stuff von Johnny Long sowie sein Vortrag auf der Black Hat Europe 2005 (PDF). Von ihm stammt auch die Original Google Hacking Database.
Inzwischen gibt es auch Interfaces zur Google Hacking Database:
Das „offizielle“ Online-Portal scheint Gnucitizen zusammengestellt zu haben. Dort nennt sich die Seite GHDB v1.0a mit dem Untertitel „The online Google Hacking, Ethical Penetration Testing Tool (v1.0a)“. In der linken Menüleiste tauchen immer die neuesten Google Dorks auf. Allerdings kann man hier auch nicht mehr machen als direkt mit der Google-Webseite.
Einen anderen Ansatz verfolgt die Cult of the Dead Cow (cDc), von denen vor Jahren auch BackOrifice entwickelt wurde. Mit dem Goolag-Scanner den man sich auf der Seite Goolag.org herunterladen kann besteht die Möglichkeit, direkt Anfragen an Google zu schicken und auswerten zu lassen. Sogar Bruce Schneier ist beeindruckt.
Ebenfalls von Johnny Long gibt es Gooscan für Linux. Johnny bezeichnet das Programm als „cgi-scanner“, der jedoch nie im Logfile des untersuchten Webservers auftaucht sondern alle Anfragen via Google schickt.
Heise UK geht inzwischen sogar der Frage nach ob Google Scanning legal ist. Insbesondere das US-Recht hat gelegentlich seltsame Vorstellungen von „Trespassing“, so wurde David Ritz in North Dakota verurteilt, der unerlaubt einen DNS Zonentransfer durchgeführt hat. In Deutschland stellt sich die Frage in dieser Form nicht, der relevante § 202a StGB „Ausspähen von Daten“ verlangt, dass die Daten geschützt sind.
Die erste Runde im Kampf gegen den § 202c StGB ist offensichtlich vorbei, allerdings ist für keine Seite ein Punktsieg, geschweige denn ein K.O. ersichtlich. Da es inzwischen in der Presse recht ruhig geworden ist, möchte ich hier kurz zusammenfassen wie der Stand zur Zeit ist.
Unverbindliche Meinung des Bundesjustizministeriums
Das Bundesjustizministerium, insbesondere Frau Zypries bestätigt jedem, der es gar nicht wissen will, dass Security-Programme natürlich weiterhin legal sind und eingesetzt werden dürfen. Ich habe hier einerseits das Schreiben des Bundesministeriums der Justiz an EC-Council vertreten durch Herrn Kistemaker zur Legalität des Certified Ethical Hacker Seminars, das SSR-I für EC-Council in Europa anbietet (PDF-Schreiben, 50 KB). Außerdem bestätigt Frau Zypries persönlich dem Dachverband der IT-Revisoren in Deutschland ISACA (PDF-Schreiben, 1,5 MB), dass bei der Nutzung von Hacking-Tools zur Sicherheitsüberprüfung kein Problem vorliegt. Das klingt ja alles ganz gut, berücksichtigt aber zwei mögliche Probleme nicht.
1. Wollen wir dem BMJ wirklich vertrauen?
Hat das Bundesjustizministerium und im besonderen Frau „ich habe keine Ahnung“ Zypries überhaupt Ahnung wovon sie reden? Ich möchte hier nur mal das Beispiel der Widerrufsbelehrung bei Online-Verkäufen nennen. Da gibt es sogar eine offizielle amtliche, vom Bundesjustizministerium herausgegebene angeblich rechtssichere Widerrufsbelehrung. Aber nur angeblich rechtssicher. Das Landgericht Halle (Az. 1 S 28/05) hat geurteilt, die amtliche Widerrufsbelehrung genügt nicht den gesetzlichen Vorgaben. Oder anders ausgedrückt, das BMJ ist nicht einmal in der Lage, die eigenen Gesetze richtig zu verstehen und anzuwenden. In die Abmahnfalle ist insbesondere die Staatsanwaltschaft Magdeburg getappt. Selbst die beamteten Juristen verstehen die Gesetze nicht mehr. Und da sollen wir der unverbindlichen Aussage von Frau Zypries vertrauen? Persönliche Amtshaftung für Falschaussagen wäre hier sinnvoll und notwendig. Ein zweites Beispiel ist die Anwendung des Bundesdatenschutzgesetzes im Bundesjustizministerium. Auch hier hat das BMJ den Inhalt des selbst geschriebenen Gesetzes nicht verstanden und konnte (oder wollte) es nicht richtig anwenden. Erst nach Androhung von Haft und Ordnungsgeld sah sich das BMJ veranlasst, Gesetze einzuhalten. Wundert sich hier eigentlich noch irgendjemand über Steuerhinterzieher?
2. Ungelöste Rechtsfragen
Der § 202c StGB sieht insbesondere auch Strafen für denjenigen vor, der anderen die Tools zur Verfügung stellt (wörtlich: „einem anderen überlässt“). Ich kann leider die Gesinnung der Schulungsteilnehmer meiner Hacking-Seminare nicht überprüfen. Was ist, wenn ein Teilnehmer bereit ist, ein paar Tausend Euro zu investieren um später damit illegale Handlungen durchzuführen? Sozusagen den Kurs im Wissen bucht, die dadurch erlernten Techniken und die erhaltenen Programme zu illegalen Zwecken einsetzen zu wollen. Klar, jeder Teilnehmer muss unterschreiben, dass er das nicht tut aber who cares. Leider treffen die Schreiben des BMJ hierzu keine Aussage, die Rechtsunsicherheit bleibt.
Tecchannel Anzeige gegen das BSI
Die Zeitschrift Tecchannel hatte im September Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnik wegen Verbreitung von Hackingtools (Verstoß gegen § 202c StGB) gestellt, insbesondere wird (immer noch) das Programm „John the Ripper“ auf der Webseite des BSI zum Download angeboten. Die Staatsanwaltschaft Bonn will die Anzeige gegen das BSI jedoch nicht weiter verfolgen. Die Begründung erscheint etwas hanebüchen, die Staatsanwaltschaft schreibt, dass das Setzen eines Links nicht strafbar sei. Offensichtlich verkennen die Beamten, dass das BSI nicht nur einen Link setzt sondern direkt die Software auf der eigenen Webseite vorhält und zum Download anbietet. Alternativ könnte man den Bonner Beamten auch unterstellen, dass sie sich nicht trauen, sich mit dem mächtigen BSI anzulegen. Tecchannel hat daher Beschwerde beim Leitenden Oberstaatsanwalt am Landgericht Bonn eingelegt. Bisher gab es keine weiteren Neuigkeiten.
Selbstanzeige von Michael Kubert
Der Informatiker Michael Kubert hat sich selbst wegen Verstoß gegen § 202c angezeigt, da er auf seiner Homepage „Hackertools“ veröffentlicht und verbreitet. Die Anzeige wurde von der Staatsanwaltschaft Mannheim mit Bescheid vom 13. Februar 2008 eingestellt. Als Begründung wurde angegeben, das Programm sei „lediglich zum Zwecke der Tests durch Administratoren geeignet […]“. Auch hier lässt die Begründung nach Ansicht von Michael Kubert zu wünschen übrig. Insbesondere bedauert Kubert, „dass die Einstellung mehr mit den Erkenntnissen der Kripo begründet wurde als mit dem § 202c StGB“.
Verfassungsbeschwerde der VisuKom
Die VisuKom GmbH hat Verfassungsbeschwerde (Aktenzeichen BVR 2233/07) gegen den § 202c eingelegt (PDF der Pressemitteilung). Ob sich die Firma davon wirklich was verspricht oder es sich dabei hauptsächlich um eine Marketingaktion handelt ist mir nicht ganz klar. Pressewirksam war die Aktion auf jeden Fall. Ob was sinnvolles herauskommt wage ich zu bezweifeln. In der Liste der geplanten Urteile für 2008 des BVG ist das Aktenzeichen jedenfalls nicht enthalten. Hier passiert offensichtlich in absehbarer Zeit auch nichts.
EICAR Gutachten zum § 202c
Die EICAR European Expert Group for IT-Security, die u.a. den EICAR-Testvirus entwickelte, hat auf ihrer Webseite ein Gutachten zu den Konsequenzen des § 202c (PDF, 226 KB) für Sicherheits- und Penetrationstestunternehmen veröffentlicht. Eine Rechtssicherheit kann ein solches Gutachten natürlich auch nicht herstellen, es liefert jedoch ein paar Anhaltspunkte, wie man aus der möglichen Strafbarkeit herauskommt:
- Sorgfalt: „Im Umgang mit Hackertools und Malware, die zu Testzwecken beschafft oder erstellt wird, ist besondere Sorgfalt geboten. Solche Software sollte an niemanden weitergegeben werden, bei dem nicht sicher ist, dass er die Software zu gutartigen Testzwecken einsetzen will.“
- Dokumentation: „Wenn ein Hackertool oder Malware beschafft – gleichgültig, ob kostenlos oder kommerziell – oder erstellt wird, sollte nachvollziehbar protokolliert werden, für welche Test- und Sicherheitszwecke das Programm beschafft wird und welche Verwendung des Programms vorgesehen ist. Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben.“
- Einwilligung: „Liegt von dem jeweils Berechtigten, auf dessen Computersysteme oder Daten zu Testzwecken Angriffe verübt werden sollen, eine Einwilligung in die Maßnahmen vor, so entfällt die Strafbarkeit der vorbereiteten Tat und mithin auch die Strafbarkeit der Vorbereitung. Die Einwilligung sollte möglichst schriftlich erfolgen und hinreichend konkret die Maßnahmen nennen, in die eingewilligt wird.“
Bei einer Beachtung dieser Punkte scheint eine konkrete Strafbarkeit weitestgehend ausgeschlossen.
KES-Artikel von Thomas Feil
[wird nachgetragen, ich habe die KES gerade nicht zur Hand]
Zusammenfassung
Offensichtlich handeln die Staatsanwaltschaften in Deutschland mit mehr Augenmaß und Sachverstand als das Bundesjustizministerium beim Schreiben der Gesetze. Im Moment sieht es jedenfalls nicht so aus, als würde die befürchtete massive Überkriminalisierung der Administratoren und IT-Sicherheitsdienstleister stattfinden. Das kann sich jedoch schnell ändern, beispielsweise falls massive Hackerangriffe auf kritische Infrastrukturen stattfinden sollten. Die benötigte Rechtssicherheit ist leider weiterhin nicht in Sicht.
Falls ich wichtige Informationen zum § 202c übersehen haben sollte, bitte ich um kurze Mitteilung in den Kommentaren, ich werden die Infos dann nachtragen.
7. März 2008
Es gibt manchmal noch Webportale, die dürfte es eigentlich gar nicht mehr geben. Nicht, weil sie verboten schlimm aussehen sondern eher weil man sich wundert, dass die Seite noch nicht gehackt wurde. Oder, der Anbieter hat es nur noch nicht gemerkt. Die folgende Seite, ein Teilnehmer eines Security Workshops von mir hat sie (während einer Google Hacking Übung) gefunden, ist so ein Beispiel:
Für mich sieht das wie eine alte Version von Horde aus. Da gab es ein paar nette Möglichkeiten, weitere Informationen herauszufinden. Insbesondere mittels test.php kann man sehen, was auf dem Server installiert ist (wenn das File nicht umbenannt wurde).
IMP 3.2.6 ist nicht gerade neu. PHP 4.3.10 sieht auch schon etwas schimmlig aus. Oh, ein Link zu phpinfo wird auch direkt angeboten.
Ich bin begeistert. Insbesondere die Option register_globals, die auf On gesetzt ist freut mich.
Naja, wenn man auf www.all.de nachschaut, wer für den Server verantwortlich ist, dann stößt man auf die D-Hosting GmbH in Berlin, die auf diesem Server anscheinend noch Kunden der insolventen LogiVision hat. So seit 01.05.2005. Aber als Provider hätte man das Webmail-Portal doch inzwischen mal von einem Praktikanten auf einen aktuellen Stand bringen können, oder? Ich kann nur hoffen, dieses Horde ist keine „Mission Critical-Anwendung“, denn die will D-Hosting ja laut Homepage anbieten. Seufz.
Nachtrag:
Heise berichtet heute (08.03.2008), dass alle Horde-Versionen vor 3.1.7 (nicht IMP) eine Sicherheitslücke enthalten. Proof of Concept Exploit ist enthalten.
6. März 2008
E-Mail Wegwerfadressen sind inzwischen ein sehr probates Mittel gegen die Spamflut und die Datensammelwut der diversen Webseitenanbieter geworden. Bei vielen Angeboten insbesondere aus dem amerikanischen Raum ist der Zugang nur nach Anmeldung möglich und hier müssen oft umfangreiche Daten wie Vorname, Nachname, E-Mail, Anschrift, etc. angegeben werden. Die Antwort des Gepeinigten ist daher gerne mal die Nutzung einer Wegwerfadresse sowie Angabe falscher Daten. Emaildienst.de ist beispielsweise ein bekannter Anbieter.
Man sollte allerdings mit diesen offenen Mailservern ein wenig aufpassen. Mit der simplen Eingabe eines Benutzernamens, z.B. Michael oder Andreas kommt man in die Mailbox dieses Users … was vom Prinzip ja auch so gedacht ist, aber ab und an interessante Einblicke enthält. Beispielsweise war anhand einer dieser Spam-Mails ersichtlich, dass john@emaildienst.de sich an der Webseite The Code Project angemeldet hat. Freundlicherweise erlaubt es diese Webseite, sich das „vergessene“ Passwort zuschicken zu lassen.
Also lassen wir das Passwort an john@emaildienst.de schicken, in dessen Postfach können wir ja freundlicherweise hineinsehen.
- Login email: john@emaildienst.de
- Password: frosch
Gut, das ist jetzt kein besonders gutes Passwort aber es funktioniert.
Mein Fazit: Wegwerfadressen sind ja ganz nett, aber man sollte bei der Nutzung doch bitte ein klein wenig aufpassen wofür man sie verwendet. Wenn der Account lediglich zum reinkucken oder Download verwendet wird ist es vermutlich egal ob jemand Zugang zum Passwort hat. Bei anderen Seiten die z.B. auch private E-Mail-Kommunikation erlauben kann die Verwendung solcher Adressen jedoch zum Sicherheitsrisiko werden. Man bleibt dann doch länger angemeldet als gedacht, tauscht private vertrauliche Infos aus und ein Fremder erhält jederzeit Zugriff auf die Kommunikation.
Sehr witzig finde ich in diesem Zusammenhang den Schluss der Mail: „If you received this email but did not yourself request the information, then rest assured that the person making the request did not gain access to any of your information“. Leider falsch.
Nachtrag:
Vielleicht bin ich ja paranoid aber ich stelle mir gerade vor, der Rollstuhlfahrer im Innenministerium hätte gerne Zugriff auf so einen Account von mir. Dann könnte er doch ganz einfach die Datenkommunikation zu meinem Mailserver abhören, mir mein Passwort zuschicken lassen und hat damit auch mein Passwort für den Account.
3. März 2008
Vor ein paar Tagen (genauer am 24. Februar) beschloss die pakistanische Regierung alle nationalen Internet-Provider anzuweisen, YouTube zu blockieren. Regierungszensur in arabischen oder asiatischen Ländern ist nun eigentlich kein Thema für dieses Blog, da würde ich mit den vielen Einträgen nicht mehr mitkommen. Egal ob Burma, Thailand, Singapur, China oder jetzt Pakistan. Gut, Deutschland ist da nicht viel besser aber egal.
Normalerweise kann man Webseiten auf verschiedene Arten blockieren:
- Man erzeugt falsche DNS-Einträge, die sich jedoch trivial umgehen lassen
- Man erzeugt eine ACL auf dem Router, der die IP-Adressen blockiert. Der Betreiber kann jedoch oft schnell seine IP-Adressen wechseln
- Man erzeugt ein Null-Routing, d.h. die IP-Adressen werden ins Nirwana geroutet. Der Betreiber kann hier ebenfalls die IP-Adressen wechseln.
Interessant ist jedoch die Art die die Pakistanische Telecom vorgegangen ist. Sie haben dort eigene Server mit den IP-Adressen (208.65.153.238, 208.65.153.251 und 208.65.153.253) von YouTube aufgesetzt, vermutlich um Nutzern die auf diese Seiten gelangen einen Hinweis auf die Sperrung zu geben. Der Fehler von Pakistan Telecom war jedoch, diese Adressen auch auf den zentralen Routern einzutragen und global zu propagieren.
Aus dem Routing-Grundkurs wissen wir jetzt, dass bekanntlich die Route zieht, die mit der spezifischeren Netzmaske vorliegt. Da die Pakistani ihr Netz mit einer Class C Netzmaske (255.255.255.0) propagierten, eine Netzmaske die im globalen BGP-Netz eigentlich nicht vorkommt, weil bei so kleinen Netzen sonst die Routingtabellen gesprengt würden, hatte dieses Netz plötzlich global die höchste Priorität. Die globalen Router der großen Provider änderten auch prompt ihr Routing und YouTube war global für etwa eine Stunde aus dem Internet verschwunden. Natürlich versehentlich.
Ich stelle mir das jetzt gerade als „Large Scale“ Angriff auf die Internet-Infrastruktur vor. Nicht so schimmlige DoS-Angriffe gegen die DNS Root-Server. Eine Cisco IOS-Lücke und Übernahme zentraler Core-Router im Internet. Und dann falsche Routingtabellen propagieren. Auf diese Weise könnte man locker den Komplettzusammenbruch des Internets herbeiführen.
Ganz neu ist die Gefahr nicht. Ein paar Leute aus der älteren Generation erinnern sich noch an den Vorfall mit dem AS7007, das Routingeinträge von Kunden nicht korrekt ausfilterte und im Internet propagiert hat. Das war 1997. Die Regeln der Provider sagen inzwischen, dass man auf den Routern Filter hat und nur die eigenen Netzwerke propagieren darf aber wenn sich ein Provider wie hier die Pakistani nicht dran halten oder ein Router übernommen wird, dann kracht es halt.
In einem Bericht zum aktuellen Ausfall habe ich den Vorschlag gelesen, dringend Secure BGP (S-BGP) zu implementieren. Nur, das nützt gar nichts wenn die Core-Router der großen Provider den Fehler verursachen. Die haben ja korrekte Keys und können daher korrekt Routen austauschen. Ich habe ganz im Gegenteil den Eindruck, so richtig haben die großen Provider auch keine Vorstellung wie ein solcher Angriff in Zukunft verhindert werden kann.
Mal sehen, wann wir den nächsten Vorfall erleben.
