27. Dezember 2010
Ok, iButtons waren mir jetzt neu. Beim ersten Lesen des Fahrplans hab ich ja gedacht, das ist wieder mal irgendwas wo jemand mit dem iPhone rumspielt. Also eher langweilig. Statt dessen war das hier ein extrem cooler Vortrag. Christian hat gezeigt, wie man iButtons, also in ein rundes Metallgehäuse zusammen mit einer Batterie eingelegte Chips angreifen kann.
Das erste Hindernis bei einem Angriff ist, an den Chip im Gehäuse ranzukommen. Wenn man das Gehäuse einfach öffnet geht die Stromversorgung des SRAMs verloren und die Daten sind weg. Aber man kann das Gehäuse mit etwas Aufwand und feinmechanischen Kenntnissen auffräsen und mit einem gekühlten Chip (der bei Stromverlust die Daten noch ca. 0,5 Sekunden erhält) die Stromversorgung wieder herstellen. Der ausgebaute Chip wird dann an eine von ihnen entwickelte Hardware angeschlossen, die gezielt bestimmte Fault-Angriffe ausführt und so auf den Schlüssel kommt:
Die angewandten Tricks sind schon vom allerfeinsten. Ich habe am Anfang leider nur mit einem halben Ohr hingehört aber den Vortrag höre ich mir garantiert nochmal an. Da stecken soviele Ideen und Verknüpfungen drin, das ist extrem genial gelöst. Ganz ehrlich, das dürfte der beste Hacking-Vortrag des ganzen CCC werden
Passend zum vorherigen Vortrag über Feature-Phones geht es direkt mit etwas mehr Smartphone-Inhalt von Ilja van Sprundel weiter. Ilja erklärt erstmal detailliert das SMS-PDU Format. Auch hier will ich nicht drauf eingehen sondern auf den Vortragsstream verweisen, wenn das jemand im Detail wissen will. Danach folgen weitere Formate wie MMS, WAP, etc.:
Ansonsten bringt der Vortrag wenig wirklich neue Erkenntnisse. Ja, der iPhone-Browser ist ein Alptraum, was Funktionen und Möglichkeiten angeht, weil die kaum alle sicher zu bekommen sind. Ja, Office Formate und PDF sind ein zweiter Alptraum. Das kennt man ja schon vom Blackberry. Der damalige Vortrag von FX (Call to arms, some provided) hatte im Gegensatz zu Iljas Vortrag wenigstens noch ein paar konkrete Angriffspunkte enthalten.
Schade, die bisherigen Vorträge von Ilja fand ich etwas informativer und spannender.
Collin Mulliner und Nico Golde arbeiten im T-Labs der TU-Berlin und berichten über die Sicherheitsprobleme von Feature-Phones (das sind halb-intelligente Telefone, etwas weniger intelligent als Smartphones) mit SMS. Nur 16% aller Telefone sind Smartphones aber praktisch alle Mobiltelefone sind heute Feature-Phones die SMS unterstützen. Diese Telefone gibt es mit praktischen allen Verträgen umsonst weil sie günstig sind und sie sind auch im Rest der Welt weit verbreitet. Es gibt Standardsoftware für diese Telefone und ein gefundener Fehler funktioniert auf sehr vielen Geräten. Die am meisten verbreiteten Hersteller sind Nokia, Samsung, SonyEricsson, LH, Motorola und Micromax (in Indien). Die Telefone wurden gebraucht auf eBay organisiert und hatten oft noch vertrauliche Daten im Speicher.
SMS kann unzählige Funktionen wie FlashSMS, VCard, MMS, Multipart-SMS, …. viele dieser Funktionen sind kaum gebräuchlich und der unterstützende Programmcode kann deshalb leicht bisher unentdeckte Fehler enthalten. Ein Fehler in einem einfachen Feature-Phone mit nur einem Prozessor erlaubt die Kontrolle über das Telefon und SMS ist ein echter Remote-Bug, einfach eine SMS wegschicken und fertig.
Das Problem bei der Analyse ist allerdings, es gibt keinen Debugger, es gibt kein öffentliches SDK, JTAG (Reverse Engineering) ist nicht lustig bei 10+ verschiedenen Telefonen, man muss echt Arbeit investieren. Die Lösung für die TU war deshalb, ein eigenes privates GSM-Netz aufzubauen. Das hat den Vorteil, dass SMS umsonst sind und kein Netzbetreiber Zugriff auf die SMS mit 0-Day-Exploits bekommt. In diesem eigenen GSM-Netz hat man außerdem komplette Kontrolle über alle Geräte und Logfiles. Zum Glück gibt es mit OpenBSC, OpenBTS, nanoBTS (3500,- Euro Basisstation) und OsmocomBB OpenSource-Software für den Betrieb von GSM-Equipment.
Das SMS-PDU-Format ist erstaunlich komplex. Auf die Details möchte ich hier nicht eingehen. Dafür gibt es diesen Screenshot aus dem Vortrag:
Beispielsweise sind folgende Geräte betroffen:
Oder:
Fazit: gegen alle Telefone waren Denial-of-Service Angriffe mit relativ einfachen SMS möglich. Von Reboot des Geräts über Abschalten bis zum kompletten Freeze ist alles dabei. Weil einige Telefone bereits Crashen bevor der Empfang der SMS dem Netz gegenüber bestätigt wird, kann über wiederholte Auslieferungsversuche ein Telefon dauerhaft aus dem Netz gehalten werden. Über die konkreten Auswirkungen eines verbreiteten DoS-Angriffs auf Mobiltelefone muss noch diskutiert werden. Möglicherweise kann man Netzbetreiber oder Hersteller erpressen.
20. August 2010
Sehr schön. Apple Rechner sind ungesichert im Sinne des § 202a StGB (Ausspähen von Daten), stellt Udo Vetter fest.
Dort heißt es wörtlich:
„Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“
Wenn man einen Apple Rechner aber von CD startet ohne das Passwort einzugeben, wurde die Zugangssicherung nicht überwunden (was strafbar wäre) sondern elegant umgangen, was bekanntlich nicht strafbar ist.
Sobald allerdings Festplattenverschlüsselung dazukommt, sieht es schon wieder ganz anders aus.
11. Juli 2010
Die Verschlüsselung von Skype wurde mittels Reverse Engineering aufgedeckt. Auf Details müssen wir noch etwas warten. Die gibt es erst auf dem 27C3 im Dezember in Berlin. Als Basis dient ein recht gewöhnlicher RC4, den Skype ein wenig angepasst hat.
Und jetzt gehen direkt die gegenseitigen Vorwürfe los. Skype wirft O’Neil vor, durch seine Veröffentlichung sei das Spam-Aufkommen massiv angestiegen. O’Neil wiederum behauptet, erst das gestiegene Spam-Aufkommen habe ihn zur Veröffentlichung veranlasst, damit Sicherheitsforscher sich mit der Thematik beschäftigen können.
Und ich sage weiterhin: Finger weg von Skype!
10. Juli 2010
Symantec ist irgendwie auch eine lustige Firma.
Auf der einen Seite weiß ich nie, wie man den Laden eigentlich aussprechen soll. „Sümantek“ oder „Simantek“ oder „Seimantek“ oder wie sonst? Auf der anderen Seite weiß ich nicht, womit die eigentlich ihr Geld verdienen. Security kann es jedenfalls nicht sein. Ok, Symantec hat da einen sogenannten Virenscanner im Angebot. Der bei uns intern „die gelbe Gefahr“ heißt. Und angeblich soll der so viele Ressourcen benötigen, dass man alleine deshalb vor Viren und Schadprogrammen geschützt ist, weil man mit dem Rechner eh nicht mehr arbeiten kann. Aus dem Firewall-Markt (SGS, kennt die noch jemand?) hat sich Symantec auch verabschiedet, vermutlich weil die Software-Firma keine Hardware-Logistik stemmen wollte oder konnte. Statt dessen wird halt zugekauft, erst SecurityFocus (platt), dann PGP (mal sehen), jetzt Verisign (oh Gott). Der aktuelle tolle Marketingslogan von Symantec: „The last word in online trust“ würde ich jetzt ganz spontan mit „die letzten, denen ich online vertraue“ übersetzen.
Gründe dafür gibt es jedenfalls genug. Beispielsweise das von Symantec zur WM 2010 gestartete Portal 2010NetThreats, in dem Besucher kommentieren konnten und praktisch jeder Link in den Kommentaren zu Spam und anderen potentiellen Malware-Seiten zeigt.
Aber vielleicht haben wir das auch einfach nur falsch verstanden und 2010NetThreats ist eine Seite bei der die Bösen im Internet ihre Malware-Seiten registrieren können, damit die nächste Version des Norton 360% CPU-Auslastung Virenscanners sie auch zuverlässig erkennt.Wer weiß das schon.
7. Juli 2010
Microsoft beispielsweise. Erst mault der Softwarehersteller ständig über Full Disclosure, d.h. wenn Sicherheitslücken komplett für jeden zugänglich veröffentlicht werden (weil die bösen Hacker die Informationen ja auch lesen können), jetzt mault der Softwarehersteller über „Null Disclosure“, d.h. über Firmen die auf gefundenen Sicherheitslücken sitzenbleiben und Details nur gegen bares heraus rücken.
Tja liebes Microsoft. Wer auf soviel Cash sitzt wie ihr muss vielleicht selbst mal ein vernünftiges Bounty-Programm („Prämien für gefundene Sicherheitslücken“) aufsetzen. Dann klappt es auch wieder mit dem „Responsible Disclosure“, d.h. außer dem Hersteller erfährt sonst niemand von der Lücke. Denn ganz ehrlich, Fehlersuche ist harte Arbeit geworden. Die Zeiten als man mit einem billigen selbstgebastelten Fuzzer noch wahre Exploitorgien finden konnte sind lange vorbei. Viele dieser Tests machen die Softwarehersteller inzwischen selbst.
Ob der Weg von VUPEN allerdings richtig ist, erst nach Lücken zu suchen und dann den Softwareanbieter unter Druck zu setzen entweder er zahlt oder die Lücken werden anderweitig veröffentlicht, muss ich allerdings bezweifeln. Und da kann ich wiederum Microsoft gut verstehen, die sich in diesem Fall vermutlich direkt erpresst vorkommen und fürchten für umfangreiche weitere Erpressungen die Tür zu öffnen.
Auf jeden Fall bleibt es spannend.
6. Juli 2010
Eine Studie des Antivirensoftware-Herstellers Avast hat ergeben, dass die meisten Webseiten die versuchen, Benutzer mit Schadprogrammen zu infizieren ganz normale Webseiten und keine obskuren Adult- oder Hacker-Seiten sind. Angeblich kommen 99% der Angriffe von eigentlich legitimen aber infizierten Webseiten:
„HTML files from sub-domain blackberry.vodafone.co.uk still contain malicious code at the time of writing but point to a site containing the attack payload site that has been pulled offline.“
Ich kann mir das gut vorstellen. Immerhin gibt es in vielen Unternehmen URL-Filter die bestimmte Seiten generell blockieren. Dazu gehören eben viele Adult- und Hacker-Seiten. Die Zielgruppe wäre deshalb recht gering wenn sich die Angreifer nur auf solche Seiten stürzen würden. Viel lukrativer sind doch infizierte Werbeserver wie erst vor einigen Monaten wieder bei Holtzbrinck passiert. Damit erwischt man auf einen Schlag tausende nichtsahnender Anwender und hat (weil u.a. genug Firmen noch den Internet Explorer 6 einsetzen) auch eine gute Ergebnisquote.
2. Juli 2010
Seltsam, seltsam. Mal wieder ist einer dieser genialen, hochsicheren, unknackbaren, mit 256-Bit AES-Verschlüsselung werbenden USB-Sticks gehackt worden. Genaugenommen wurde mal wieder der PIN-Schutz umgangen und die Daten direkt aus dem Flash-Speicher ausgelesen.
Wobei sich mir direkt die Frage stellt, was denn da genau mit 256-Bit AES verschlüsselt worden ist. Die Daten können es ja nicht sein, wenn man sie einfach so auslesen kann. Die PIN vielleicht.
Mann-oh-mann, bei verschlüsselten USB-Sticks ist ja noch mehr Snake Oil auf dem Markt als bei Virenscannern!
1. Juli 2010
<Guyman> Alter, ich hab das System überwunden!
<Dudistisch> Wie?
<Guyman> Naja das Post-System! Wenn du ein Brief nicht ausreichen frankierst, kommt er ja zurück an den Absender.
<Dudistisch> Ja und weiter?
<Guyman> Na was ist wenn du Absender und Empfänger vertauschst. Also du deinen Namen als Empfänger angibst und den Namen von dem an den der Brief wirklich gehen soll als Absender? Und dann nicht ausreichen frankierst? Richtig! Dann bekommt der der den Brief wirklich kriegen soll gratis zugestellt mit der Begrüngung: Nicht ausreichend frankiert, und zurück gesendet an den Empfänger.
<Dudistisch> Alter, auf was für Ideen kommstn du?
<Guyman> Krass oder? 😀
Quelle: iBash.de