16. Dezember 2007
Eine Folge des schwachsinnigen § 202c, den wir unserer inkompetenten Bundesregierung, insbesondere dem paranoiden Innenminister und der noch unfähigeren Justizministerin verdanken: Wichtige Sicherheitsprogramme sind in Deutschland nicht mehr zu bekommen. Beispielsweise Core Impact:
Hi Christian,
Per the new German law, we are unable to sell to German consulting
companies.
Best regards,
Eric Marhafer
Account Executive
Core Security Technologies
Danke, Ihr unfähigen Minister. Ihr ruiniert gerade den deutschen Mittelstand mit Eurer gesammelten Inkompetenz!
Nur eine kurze Linksammlung …
die kommerziellen Pakete
lasse ich mal außen vor. Weitere Tools? SecurityForest hat auch nicht mehr.
15. Dezember 2007
An der Hacking Front tut sich mal wieder etwas neues. Max, Muts, Martin und Co. haben die erste Beta der BackTrack 3 veröffentlicht.
Die Gegenseite rüstet jedoch ebenfalls auf. Als aktuelle Forensic Software wird die Deft Computer Forensics Version 3 zum Download angeboten.
Na gut, dann müssen wir halt wieder ein paar Schulungsunterlagen und Screenshots aktualisieren und uns in ein paar neue Tools einarbeiten. Zum Glück ist gerade Jahresende, der Chaos Communication Congress ist auch, da kann man sich in Ruhe über das Thema austauschen.
(via Securit4all, hier und hier)
14. Dezember 2007
Tja, so ein Defacement kommt in den besten Familien vor. Meistens wie hier auch, ist ein Fehler in der Forensoftware schuld. Ich warte ja darauf, dass mein WordPress auch irgendwann kompromittiert wird 🙂
11. Dezember 2007
7. Dezember 2007
Ich weiß gar nicht, ob ich einen Artikel über Paypal schreiben will. Ich weiß einfach viel zu wenig über diesen Dienst und das wenige, das ich weiß ist so, dass ich Paypal vermutlich niemals verwenden werden.
Paypal Phishing
Phishing bei Paypal ist viel zu einfach.
Daran ist Paypal indirekt mit Schuld. Das Login mit einem selbst gewählten Login und Passwort ohne TANs macht es Hackern einfach viel zu leicht, notwendige Daten abzufangen. Jede normale Bank wäre dadurch längst in die Haftung geraten aber die AGB von Paypal scheinen jeden Schmu abzudecken. Mir persönlich wäre es viel zu gefährlich, da in irgendetwas unerwünschtes hinein zugeraten.
Paypal Zwang
Der Ebay-Konzern zu dem Paypal gehört versucht mit Gewalt, Nutzer an seinen hauseigenen teuren Zahlungsdienst zu binden. Heise schreibt dazu:
„eBay nutzt offenbar den Hype um Apples iPhone, um Verkäufer zu zwingen, sich beim Bezahldienst Paypal zu registrieren und diesen als Bezahlweise anzubieten: Bei der Online-Auktion dürfen nur PayPal-Mitglieder Apples iPhone in einer Versteigerung anbieten. Paypal ist ein Tochterunternehmen des Online-Marktplatzes und trägt nicht unerheblich zu dessen Umsatz bei. Bislang war es Verkäufern freigestellt, ob sie den Bezahldienst nutzen, bei dem außer Einstellungsgebühr und Verkaufsprovision noch zusätzliche Transaktionskosten anfallen.“
Eine einfache Überweisung in Deutschland kostet mich (ein geeignetes Konto vorausgesetzt) gerade mal gar nichts, bei Paypal ich weiß gar nicht wie viel der Überweisung. Im Hinblick auf die real anfallenden Kosten empfinde ich das persönlich schon nahe an der Wucher, egal wie legal das alles noch ist.
Paypal Datenschutz
Der Datenschutz bei Paypal ist leider nicht wirklich existent. Statt dessen ist Paypal immer sehr schnell um persönliche Daten zu sammeln, die Paypal nun wirklich nichts angehen:
Um meine beiden Paypal Konten (werden gewerblich genutzt) mit 1000 Euro Guthaben nach einer vollkommen unverhofften Sperrung im Januar wieder freigeben zu können, musste ich PayPal folgende Sachen schicken: Telefonrechnung, Ausweiskopie, Gewerbeschein und Stromrechnung […]
Und was passiert mit diesen Daten? Nun, Paypal gehört Ebay und zu den Datenschutzbestimmungen von Ebay schreibt beispielsweise die Deutsche Vereinigung für Datenschutz, dass sie vollkommen unzureichend sind.
„Besonders unangenehm ist allerdings die Tatsache, dass Ebay sich erlaubt, sämtliche erhobenen Daten an Dritte weiterzugeben. Vor allem das Versatzstück „zur Abwehr von Gefahren für die staatliche (…) Sicherheit“ sollte bei jedem Datenschützer die Alarmglocken klingeln lassen“
Aha. Das begeistert mich.
Paypal Sicherheitslücken
Leider ist Paypal selbst nicht gerade der sicherste Dienst. Alle paar Ecken tauchen neue Probleme auf. Mal ist es der Security Key, der nicht funktioniert. Dann werden über Paypal die eBay-Kundendaten abgephischt (und wenn sogar das ZDF berichtet, dessen Zielgruppe ja bekanntlich der „Silver Surfer“ ist, der wenig mit Ebay zu tun hat, dann muss es wirklich dramatisch sein. Die Warner von Falle Internet decken regelmäßig Sicherheitsprobleme auf, die mit Ebay und Paypal zu tun haben. Beispielsweise hier:
„Dieser (teilweise unkenntlich gemachten) Codezeile ist zu entnehmen, dass hier ein Programmmodul (cgi-xxx/webscr) der US-amerikanischen Website von PayPal mit dem Befehl aufgerufen wurde, um Daten zu dem eBay-Mitgliedskonto der angegebenen Variable buyer zu liefern.“
Alleine diese extreme Verknüpfung der Datenbanken von Paypal mit der von Ebay macht mir schon Sorge. Wenn an einer Stelle ein Problem auftritt gibt es an allen Ecken ein Problem.
Paypal Schweinereien
So schnell wie Paypal Konten sperrt und dann das Geld einbehält wäre jede andere Bank pleite. Es lohnt sich, dazu den Wikipedia-Artikel zu Paypal und insbesondere die Kritik dazu zu lesen:
„Immer wieder treten im Internet in einschlägigen Foren und Zeitschriften Berichte darüber auf, dass Paypal die Konten seiner Nutzer sperrt, wenn nur der geringste Verdacht besteht, der Kunde gehe terroristischen Aktivitäten nach, oder auch beim behaupteten Verdacht betrügerischer Aktivitäten. Dies trifft auch viele unschuldige Personen, die dann vom Zugriff auf ihr Guthaben ausgeschlossen sind.“
Wenn meine Bank mein Konto sperren würde, alleine auf den vagen Verdacht oder die vage Anschuldigung, ich sei eventuell vielleicht möglicherweise aber doch nicht sicher ein Betrüger … zum Glück gibt es hier noch eine halbwegs funktionierende Bankenaufsicht. Auch wenn wir von ähnlichen Willkürentscheidungen in Deutschland nicht mehr weit entfernt sind.
Fazit
Ich glaube, das kann einfach und kurz ausfallen … Finger weg!
5. Dezember 2007
Reverse Engineering ist eine der nützlichsten Techniken um zu verstehen, wie Programme in ihrem Inneren funktionieren. Im Allgemeinen ist Reverse Engineering daher in den Lizenzbedingungen untersagt. In den USA gibt es jedoch die Ausnahem des „fair use“, in Europa sind dafür die „Shrink Wrap Licenses“, die man vor der Installation der Software gar nicht zu Gesicht bekommt zumindest umstritten, wenn nicht gar automatisch unwirksam.
Eine Reihe von Dokumenten im Internet beschäftigen sich mit Reverse Engineering und ein paar Link über die ich in den letzten Tagen gestolpert bin, möchte ich hier kurz aufführen:
The Ethical Hacker Network
Wikibooks
Communities
Sonstige Quellen
Weitere Links, sobald ich noch was interessantes finde oder in den Kommentaren …
4. Dezember 2007
Schon einige Zeit online aber bisher übersehen, die aktuelle neue SANS Top 20 ist online.
Client-side Vulnerabilities in:
- C1. Web Browsers
- C2. Office Software
- C3. Email Clients
- C4. Media Players
Server-side Vulnerabilities in:
- S1. Web Applications
- S2. Windows Services
- S3. Unix and Mac OS Services
- S4. Backup Software
- S5. Anti-virus Software
- S6. Management Servers
- S7. Database Software
Security Policy and Personnel:
- H1. Excessive User Rights and Unauthorized Devices
- H2. Phishing/Spear Phishing
- H3. Unencrypted Laptops and Removable Media
Application Abuse:
- A1. Instant Messaging
- A2. Peer-to-Peer Programs
Network Devices:
- N1. VoIP Servers and Phones
Zero Day Attacks:
Webbrowser und Webapplikationen ganz oben sind natürlich kein Wunder. Office hat die zweite Stelle bei Client-side Vulnerabilities gewonnen, aber mein Eindruck ist eher, die Angreifer ziehen bereits weiter (z.B. Quicktime). Neu ist der Punkt H3, unverschlüsselte Laptops und Datenträger. Mal sehen, ob das bei Ernst & Young jemand zur Kenntnis nimmt.
Das wäre mir ja beinahe entgangen: Max Moser hat sich die Funktastaturen von Microsoft ein wenig genauer angeschaut. Und wie zu erwarten war: Lächerliche Sicherheit.
„Zur Verschlüsselung wurde nur ein einfacher XOR-Mechanismus mit einem 1 Byte langen Schlüssel verwendet. Somit werden lediglich 256 verschiedene Schlüssel generiert, um die drahtlose Verbindung abzusichern. Dabei wird dieser eine Schlüssel so lange verwendet, bis die drahtlose Verbindung der Tastatur neu generiert wird, was üblicherweise selten geschieht.“
Auf deutsch, man kann die Verschlüsselung mit einem handelsüblichen Taschenrechner brechen. Passend fand ich auch den Kommentar vom vom Schnüffelblog: „Tja, der Teufel steckt nicht nur im Innenministerium, sondern auch im Detail.“ 😉
Ich empfehle ja schon seit Jahren, möglichst auf Funktastaturen und -Mäuse zu verzichten und nur wenn es nicht anders geht wenigstens Bluetooth-Geräte einzusetzen.
3. Dezember 2007
Jeff Jones ist wieder da. Jeff ist der Komiker, der schon mal aufgefallen ist, als er behauptet hat, Microsoft würde Sicherheitslücken schneller schließen als die Linux-Distributoren. Der Originaltext zum Nachlesen und Lachen findet sich auf csoonline.com.
Diesmal hat er eine Grafik gemalt, nach der Firefox viel unsicherer ist als der Internet Explorer. Schauen wir uns die Werte mal an:
Browser |
High Security Vuln |
Medium Security Vuln |
Low Security Vuln |
Firefox (Quick Upgrade) |
73 |
96 |
24 |
Firefox (Slow Upgrade) |
74 |
94 |
24 |
Internet Explorer (Quick Upgrade) |
38 |
19 |
4 |
Internet Explorer (Quick Upgrade) |
42 |
19 |
4 |
Und wenn man sich die nackten Zahlen so anschaut, könnte man tatsächlich meinen, dass der Internet Explorer viel weniger Probleme hat als Firefox. Der komplette Text als PDF findet sich auf der Microsoft Technet Seite.
Natürlich vergleicht Jeff mal wieder Äpfel mit Birnen. Während Microsoft die Lücken nur einmal im Monat schließt und deshalb für 15 Lücken nur einen (übrigens vollkommen intransparenten) Hotfix benötigt, gibt die Mozilla Foundation für jede Lücke direkt ein Update heraus, so dass die Zahl der Lücken natürlich viel größer aussieht. Dazu kommt, dass Microsoft für intern entdeckte Fehler kein Advisory herausgibt, Mozilla jedoch schon. Auch das bläht die Anzahl der Lücken auf. Mike Shaver, der Cheftechnologe der Mozilla Foundation erklärt in seinem Blog alle Schwächen der Zählweise. Danach wäre der Internet Explorer 4 sogar das sicherste Produkt, weil Microsoft in den letzten Jahren keinen einzigen Fix mehr veröffentlichen musste.
Ich frage mich ja langsam ernsthaft, was will Jeff Jones mit diesen leicht zu durchschauenden Kindergartenmethoden erreichen? Ok, er veröffentlicht das auf blogs.csoonline.com, einer Webseite die sich an „Security Executives“ wendet. Also vermutlich Leute, die von praktischer Sicherheit nichts mehr verstehen sondern bei einem harmlosen uralten Denial-of-Service Angriff, den ihr ISO 27001 Auditor vorführt, bereits in Panik verfallen. Aber ist Microsoft wirklich so verzweifelt, dass ihnen nichts besseres mehr einfällt?
Zugegeben, mit einem Punkt hat auch Jeff recht. Microsoft wird besser, was die IT-Sicherheit betrifft. Leider nicht transparenter, aber zumindest etwas sicherer. Das zeigen unter anderem die vermehrt auftretenden Exploits für Quicktime, Flash und Co. Die Angreifer weichen inzwischen auf schwächere Ziele aus.
PS: Ja, ich habe eine ähnliche Tabelle mit genauso unsinnigen Zahlen vor einiger Zeit für Virenscanner gemacht. Nein, ich habe nicht behauptet, Aladdin eSafe wäre deshalb der beste Virenscanner. Vielleicht ist er es, ich weiß es nicht. Ich verwende Avira und F-Secure.