Disclaimer: Achtung, enthält möglicherweise jugendgefährdende Fotos und Dateien 🙂
Ich finde das ja durchaus interessant. Da bekomme ich also (mühsam aus dem Spamordner gefischt) folgende E-Mail:
Die liebe (mir unbekannte) Maria Webber hat also eine Webseite aufgesetzt, und lädt mich ein ihre Bilder zu betrachten. Die Webseite selbst sieht so aus (Unkenntlichmachung von mir, ich weiß nämlich nicht, ob die Dame mit der Veröffentlichung des Bildes einverstanden ist oder ob das Bild irgendwo einfach geklaut wurde):
Beim Anklicken von „Andere Fotos finden Sie im Archiv“ bekommt man eine Datei „photos.exe“ (ZIP-File, Achtung Download auf eigene Gefahr) angeboten. Ich habe die Datei an Virus Total geschickt, um sie testen zu lassen, nachdem mein lokaler Virenscanner nichts gefunden hat. Das Ergebnis ist relativ eindeutig:
Zumindest 10 der vorgeschalteten Virenscanner kommt die Datei suspekt vor, im Allgemeinen wird ein Trojan Dropper (d.h. ein Programm, das weiteren Schadcode nachlädt) mit dem Namen PolyCrypt erkannt.
Mich beeindruckt ja der Aufwand, mit dem das Verbreiten von Schadcode inzwischen erfolgt. Früher wäre die Datei einfach als Attachment in der Mail enthalten gewesen. Heute setzen die Angreifer eigene Webseiten auf (ok, enthält nur ein Photo, aber die URL muss zumindest registriert werden), verbreiten passenden Spam und warten darauf, dass die nichtsahnenden Nutzer sich den Schadcode selbst auf den Rechner laden.
Ich bin mir sicher, das Verfahren lässt sich auch hervorragend für gezielte Social Engineering Angriffe gegen Unternehmen missbrauchen. Einfach eine ähnlich klingende Domain registrieren, eine passende Mail gezielt an einzelne Mitarbeiter verschicken und abwarten, was passiert …
Anmerkung: AntiVir 7.06.00.05 vom 06.09.2007 erkennt den Schadcode noch nicht, AntiVir 7.06.00.10 vom 15.09.2007 erkennt den Schadcode. Da sieht man mal wieder, wie wichtig aktuelle Virenscanner-Updates sind. Auch interessant, AntiVir sucht inzwischen nach 1071077 Virenstämmen, über 1 Million, schon krass. Vielleicht doch langsam Whitelists einführen?
Spitblog berichtet, dass sich der Informatiker Michael Kubert selbst angezeigt hat, wegen Verbreitung von Hacker-Tools. Damit könnte die längst fällige Klärung der Rechtslage angestoßen werden.
Vor einigen Tagen hat der schwedische Sicherheitsexperte Dan Egerstad in seinem Blog eine Liste von Passwörtern einiger ausländischer Botschaften veröffentlicht. Hier ein kleiner Ausschnitt:
Uzbekistan Foreign Affairs 57.66.151.179 Qohira 5gx7n1e4w9
Iran Embassy in Ghana 217.172.99.19 iranemb_accra@mfa.gov.ir accra
Iran Embassy in Kenya 217.172.99.19 iranemb_kenya@mfa.gov.ir kenya
Iran Embassy in Oman 217.172.99.19 iranemb_muscat@mfa.gov.ir muscat
Iran Embassy in Tunisia 217.172.99.19 iranemb_tunisia@mfa.gov.ir tunisia
Iran Ministry of Foreign Affairs 217.172.99.19 bagheripour@mfa.gov.ir amir1368
Kazakhstan Embassy in Italy 213.21.159.23 kazakstan.emb@agora.it rfywkth
Kazakhstan Embassy in Egypt 213.131.64.229 kazaemb piramid
Die vollständige Liste findet sich in Dans Blog. Ich will jetzt nicht über die Qualität der uzbekischen Passwörter und die tollen iranischen Passwörter reden, das ist dann doch ein wenig langweilig.
Irgendeine wichtige US-Behörde hat die Seite dann ein paar Tage aus dem Netz nehmen lassen, aber natürlich viel zu spät. Die Passwort-Liste hatten ich und viele andere natürlich längst gespeichert. Wenn der Geist erstmal aus der Flasche und im Internet ist, lässt er sich kaum noch wieder einfangen. Das ist wie mit dem geheimen Virtual Earth Bildern.
Interessant ist eigentlich die Art und Weise, wie Dan an die Passwörter gekommen ist. Er hat fünf Exit-Nodes des Anonymisierungsnetzwerks Tor modifiziert und einen Passwort-Sniffer für POP3 und IMAP integriert. Tor bietet halt nur anonymen Zugriff auf einen Client, aber keinen Schutz der übermittelten Daten. Das Problem ist, eigentlich ist das jedem bewusst, aber so richtig Gedanken macht sich keiner darüber.
Egerstad vermutet außerdem, dass einige der Exit-Nodes von staatlichen Behörden, beispielsweise aus den USA, Russland oder China betrieben werden und so gezielt eine große Menge von Daten abgefischt wird. Wichtige Daten sollte man deshalb nur verschlüsselt, per SSL oder HTTPS übertragen.
Ach ja, bevor ihr jetzt alle einen Tor Exit-Node aufsetzt: StGB § 202b sagt dazu, wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
Also 1. Hacker-Gebot nicht vergessen: Lass Dich nicht erwischen!
Sehr schön! Ab und zu ist Microsoft sogar zu was gut … Jetzt haben die von Microsoft in Virtual Earth veröffentlichten Satellitenbilder eine geheimen U-Boot Antrieb mit einer interessant geformten Schiffsschraube veröffentlicht. Die USA waren „not amused“.
Vielleicht stößt das in den USA auch mal eine Privacy-Diskussion an. Die vielen spannenden Bilder in der Google Street Search machen einem langsam Angst. Demnächst muss man wirklich damit rechnen, unversehens im Internet zu stehen und kann sich kaum vernünftig dagegen wehren. Aber gut, wenn es das US-Militär auch mal erwischt.
Die Warnung kennen wir schon. Diesmal jedoch in der Visualisierung von NetworkWorld. Besonders amüsant finde ich den eingeblendeten Hinweis „Dramatization“ …
… und den Kommentar: „Thankfully in this case, the voice over IP system was seperated from the data network, meaning the witty intruder could not surf for porn.“ 🙂
Sicherheitsanzeigen mit wichtigen Anweisungen in roter Schrift auf schwarzem Untergrund die dem Mitarbeiter nur wenige Sekunden lassen, die Anweisung zu befolgen. „Welche Anweisungen? Ich warte auf die Anweisungen!“
… offen gelassen
Türen deren Öffnungsmechanismus mit Karte und PIN geöffnet wird, und beide Hände erfordert
… weitergegeben
Im Grunde alle Informationen die vertraulich sind. Egal ob sie an die gutaussehende Dame die persönlich erscheint, den charmanten jungen Mann am Telefon oder den höflichen Finanzmakler aus Nigeria gegeben werden.
Reducing Shoulder-surfing by Using Gaze-based Password Entry
Authors:
Manu Kumar , Tal Garfinkel, Dan Bohen, Terri Winograd
Abstract:
Shoulder-surfing — using direct observation techniques, such as looking over someone’s shoulder, to get passwords, PINs and other sensitive personal information is a problem that has been difficult to overcome. When a user enters information using a keyboard, mouse, touch screen or any traditional input device, a malicious observer may be able to acquire the user’s password credentials. We present EyePassword, a system that mitigates the issues of shoulder surfing via a novel approach to user input. With EyePassword, a user enters sensitive input (password, PIN, etc.) by selecting from an on-screen keyboard using only the orientation of their pupils (i.e. the position of their gaze on screen), making eavesdropping by a malicious observer largely impractical. We present a number of design choices and discuss their effect on usability and security. We conducted user studies to evaluate the speed, accuracy and user acceptance of our approach. Our results demonstrate that gaze-based password entry requires marginal additional time over using a keyboard, error rates are similar to those of using a keyboard and subjects preferred the gaze-based password entry approach over traditional approaches.
Lustige Idee … wir starren auf den Bildschirm, bis das Passwort gefunden ist. Ich stelle mir gerade passende Brute Force Eye-Password Cracker vor … 🙂 Nur darf man dann nicht mehr koksen sonst wird das nichts mit dem Passwort-Fokus.
Na gut, das kommt vor. Eigentlich ist das auch keine Nachricht wert. Ich hab’s zufällig bei The Register gelesen.
Aber es gibt ein Video auf YouTube bzw. hier die hochauflösende Fassung (17,1 MB .mov) von jemandem, der auf die Seite geklickt und die Malware analysiert hat:
Die KeeLoq-Technik, in vielen elektronischen Autoschlüsseln verwendet, sieht gerade dem Untergang entgegen. Mit 50 Dual-Core Rechnern lässt sich ein Schlüssel in zwei Tagen errechnen, hat Heise berichtet.
Researchers from the university of Leuven, Belgium, in cooperation with colleagues from Israel have found a way to break the code. The algorithm used to be secret, but last year there was a leak. The researchers started to analyse the weaknesses and were able to break the code in one hour. Normally it would take dozens of years. Their paper asserts that „KeeLoq is badly broken“, to the point that „Soon, cryptographers will all drive expensive cars“.
Bei RFID-Tags von Texas Instruments ist das schon länger der Fall, aber der Hersteller kann natürlich kein Problem erkennen. Deshalb wollte man in der Autoindustrie wohl weg von RFID und hin zu neueren Techniken. Die sind nur leider auch nicht viel besser.
Naja … wenn früher irgendwelche Kids mit Laptops auf dem Parkplatz herumsaßen, wollten sie ins WLAN einbrechen. Jetzt wollen sie vermutlich die Autos klauen.
