17. Juli 2007
Muahahaha, oder wie Fefe schreiben würde: Das merken die NIE !!!1!!
JdM von 23sr hat’s doch bemerkt, nämlich, dass man dem Verisign Trusted Shop Siegel falsche Daten unterjubeln kann. Dann sieht es so aus, als hätte man einen Verisign-zertifizierten Shop und in Wirklichkeit stimmt das gar nicht. Dazu stellt er die Frage: „Wie viele der Siegel klickst DU vor einer Bestellung an? Prüfst DU einen Shop wirklich?“
Meine Antwort: KEINE. Das macht auch gar keinen Sinn.
Ich rege mich sonst nur wieder über solche Shops auf:
www.watchbizz.de
- Die URL an sich ist schon genial: http://www.watchbizz.de/ssl/shop/index.htm. Schön, dass SSL wenigstens in der URL vorkommt, wenn auch sonst von SSL nichts zu finden ist.
- Auch Klasse ist die Shopsoftware. Mit der Maus über einen [Bestellen]-Button fahren zeigt, was aufgerufen wird: ArtNr=902527&Bez=OmegaSportuhrenHardcover&Preis=69,00&Anz=1, eine URL in der der Artikel und Preis enthalten sind. Manipulation trivial möglich, und wenn vielleicht gerade Weihnachtsgeschäft und viel los ist und man die Bezeichnung um „Promotion“ ergänzt, fällt ein günstigerer Preis gar nicht wirklich auf.
www.handy-discount-shop.de
- Der Shop hat ein schönes „Trusted Shops„-Logo, wenn auch nicht von Verisign. Gut, der nette Verisign-Trick funktioniert bei dem Logo nicht, sind leider nicht alle so doof.
- Die Freunde haben jedoch ein ähnliches Problem mit der Preisübergabe in der URL: bestellen_o2_genion_duo.php?handy=Nokia N95 und Motorola F3&preis=39. Aber vermutlich sagt das Logo eh nur, dass der Shop ein wenig ehrlicher als die anderen im Internet ist. Und das mit den Preisen … ist doch egal, oder?
Ach ja .. Verisign. Das sind übrigens die, die in die .com-Zone Wildcard-DNS eingeführt hatten und Jamba gehört denen auch. Da brauch ich auf das Siegel gar nicht klicken, da weiß ich vorher schon, dass ich da lieber nicht einkaufen will.
16. Juli 2007
Das ist ein großes Thema, da werde ich zu einem späteren Zeitpunkt noch viel mehr zu schreiben, heute nur ein kurzer Link, der auch schon älter ist:
Freedom to Tinker: Woman Registers Dog to Vote
Mit dieser Methode wollte die gute Dame zeigen, wie unsicher das US-Wahlsystem ist. Sie hat einfach auf den Namen ihres Hundes eine Telefonrechnung laufen lassen und die Rechnung dann als Wohnort-Nachweis für die Registrierung als Wähler verwendet. Gewählt hat sie dann per Briefwahl und niemandem ist das aufgefallen.
Das dumme: das ist leider strafbar. Und deshalb ging das vor Gericht. Sie hat (wohl eine Ausnahme im US-Rechtssystem) einen vernünftigen Richter gefunden und muss nur 250 USD Strafe zahlen und 10 Stunden soziale Arbeit.
Trotzdem, das gleiche droht auch in Deutschland, wenn nicht alle beteiligten Parteien vorher einer Sicherheitsprüfung zugestimmt haben. Und hier wird erschreckend oft geschlampt. Aber dazu später mehr.
15. Juli 2007
Der erste echte Virus außerhalb eines Testlabs, Elk Cloner, wurde im Juli 1982 veröffentlicht. Ironischerweise nicht für ein Microsoft-Betriebssystem, die spielten damals noch keine Rolle sondern für den Apple II. Für die Historiker deshalb hier ein kurzer Abriß der Geschichte:
1980: Jürgen Kraus verfasst an der Universität Dortmund eine Diplomarbeit mit dem Titel „Selbstreproduktion bei Programmen“
1981: „Computervirus“ taucht zum ersten Mal im Gespräch zwischen Prof. Adlemann und Doktorand Fred Cohen
1984: Fred Cohen veröffentlicht seine Dissertation über Computerviren: „Computer Viruses – Theory and Experiments“
1985: Zeitschrift „Apples“ veröffentlicht einen Virus für Apple II
1986: Erster Virus für MS-DOS: „Brain“ wird von zwei Software-Händlern in Pakistan programmiert um gegen Raubkopien ihrer Software zu protestieren.
1987: Leigh-Virus; Cascade-Virus (speicherresident!), Jerusalem-Virus
1989: erste polymoprhe Viren: Washburn-Virus
1990: Whale-Virus (Tarnkappen-Eigenschaften!), Virus Construction Set für MS-DOS wird verbreitet
1992: Michelangelo-Hysterie, Dark Avenger Mutation Engine veröffentlicht
1994: One_Half-Virus (Multipart, variable Entschlüsselungs-Engine)
1995: Win95.Boza – erste Virus für Win95, erste Makro-Viren (Concept, DMV)
1997: Stoag – der erste Linux-Virus; auf CeBIT wird Wazzu.C Makro-Virus verteilt
1998 Trojanische Pferde NetBus und BackOrifice
1999: Melissa-Wurm, Happy 99 (Wurm für Windows 95/98)
1999: Excel ODBC-Wurm
2000: I Love You Wurm (Basic-Programm)
2001: Wurm Anna Kournikova (*.vbs.jpg)
2001: Linux-Wurm Lion
2001: Linux/Windows-Virus W32.Winux
2003/2004: Netsky und andere Verbreiten sich mit bisher unbekannter Geschwindigkeit
2004: Source Code von vielen Würmern wird veröffentlicht, neue Virenwellen
2004: Erster Bluetooth Handy-Wurm „Cabir“
Man sieht, es kann nur noch schlimmer werden …
13. Juli 2007
Ich schrieb ja bereits, dass Mobiltelefone gerne abgehört werden. Das ist technisch sogar möglich, wenn das Telefon ausgeschaltet ist. Die Firma FlexiSpy bietet die kommerzielle Variante des Abhörens an. Zum Funktionsumfang gehört:
- Entfernt mithören
- SMS wenn SIM ersetzt wird
- SMS-überwachung (ein/aus)
- Anrufsgeschichte (ein/aus)
- Gesprächsdauer (ein/aus)
- Namen aus Kontaktliste
- Download nach Excel
Das alles natürlich ohne, dass es der Besitzer des Telefons bemerkt. Unterstützt werden von FlexiSpy praktisch alle aktuellen Nokia-Telephone sowie alle, die mit Symbian 9 betrieben werden. Der Preis ist mit 150,- Euro pro Jahr vertretbar.
Ach ja, ich telefoniere ja mit einem Kamera- und Java-freien uralten Nokia 6310i, dafür gibt es die Abhörsoftware nicht. 🙂
11. Juli 2007
Der Chaos Computer Club hat den vorläufigen Fahrplan für das Chaos Communication Camp vom 8.-12. August in Finowfurt bei Berlin veröffentlicht.
So kurz überflogen scheint für mich interessant zu sein:
Vorträge die sich meiner Meinung nach nicht mehr lohnen sind insbesondere „Black Ops 2007“ von Dan Kaminsky, der leider kaum noch in die Detailtiefe und die Tricks geht, die seine Vorträge früher ausgezeichnet haben sowie „Estonia and Information Warfare“ von Gadi Evron, der sicher viel weiß, aber eben auch nicht mit den wirklich relevanten Informationen rausrückt.
Dafür sind die hier außerdem noch auf meinem Radar, überschneiden sich aber mit was anderem. Mal kucken:
Wenn ich mir den Vortrag am 8. von Fefe schenke komme ich gut mit drei Tagen hin, davon ein Samstag der bei mir kein Arbeitstag ist. Ich denke, das lässt sich einrichten. Und der Sonntag ist dann sogar noch frei 🙂
10. Juli 2007
Immunitysec, das ist die amerikanische Securityfirma von Dave Aitel die 1994 einen netten Report zu TC0 (Total Cost of 0wnership, PDF) geschrieben haben. 0wnership mit 0 wie Null, nicht O wie Otto. Da geht es nämlich darum, dass Angriffe auf Windows zur Übernahme des Systems (owned) weniger Kosten verursachen als unter Unix.
Immunitysec, das ist auch die Firma, die über ein halbes Jahr auf einem Microsoft WINS LocalSystem Zero Day Exploit (PDF) gesessen sind und nichts gesagt haben. Außer natürlich den viel Geld (~50.000 USD) zahlenden Kunden im Vulnerability Sharing Club.
Immunitysec, das ist auch die Firma, die den Spike-Fuzzer sowie den Spike-Proxy OpenSource unter der GPL veröffentlich hat, einen Protokollfuzzer sowie einen Web-Hacking-Proxy mit denen schon eine Reihe von lustigen Sicherheitslücken aufgetaucht sind.
Also, diese Immunitysec behauptet nun, ein von ihnen entdeckter Zero Day hat eine durchnittliche Lebenszeit von 348 Tagen bevor der Lücke entweder von anderen entdeckt oder vom Hersteller geschlossen wird. Unter der Voraussetzung natürlich, dass sie geheim gehalten wird. Mit persönlich kommt das eher etwas wenig vor, insbesondere wenn ich betrachte mit welcher Geschwindigkeit Microsoft die Lücken behebt. Ach ja, und wer öffentlich drüber quatscht, z.B. auf einer Versteigerungsplattform ist die Lücke oft ganz schnell wieder los. Also eigentlich nichts neues. Aber es stand halt auf Heise.
Please move on, there is nothing special to see here.
Persönliche Anmerkung: Dave Aitels Frau, Justine Aitel, geborene Bone kenne ich noch von einem Penetrationstest in Hamburg. Sie hat damals für ISS X-Force gearbeitet und während die X-Force Jungs Abends auf die Reeperbahn sind saß sie im Hotel und hat Zero Day Buffer Overflows gecoded, mit der die Jungs dann am anderen Tag die Systeme übernommen haben.
7. Juli 2007
These:
Lottospielende BGH-Richter kennen sich mit Wahrscheinlichkeitsrechnung nicht aus.
Beweis:
Betrachten wir das Samstagslotto. Simples 6 aus 49. Die Wahrscheinlichkeit für x richtige berechnet sich nach der klassischen Wahrscheinlichkeitsrechnung als hypergeometrische Verteilung. Die Formel ist etwas komplizierter, ich schreibe hier nur mal die Wahrscheinlichkeit für x richtige in einer Tabelle auf. Die Zufallszahl lassen wir mal außer acht.
| Anzahl Richtige |
Wahrscheinlichkeit |
Wahrscheinlichkeit in % |
| 1 |
1 : 2.421 |
41,302 % |
| 2 |
1 : 7,554 |
13,238 % |
| 3 |
1 : 56,656 |
1,7650 % |
| 4 |
1 : 1.032,397 |
0,096862 % |
| 5 |
1 : 54.200,837 |
0,0018450 % |
| 6 |
1 : 13.983.816 |
0,0000071511 % |
Um also sagen wir mal ein paar hundert oder tausend Euro zu gewinnen, braucht man als Spieler nach den aktuellen Quoten schon 5 Richtige, also eine Wahrscheinlichkeit von 1 : 54201 (BayernLotto vom 23.06.2007: Gewinnklasse 4 (5 Richtige) mit 3.572,90 Euro).
3.500 Euro könnte man jetzt auch von meinem Konto abheben, natürlich nur mit meiner EC-Karte und natürlich der Geheimzahl. Ich verrate jetzt sicher nicht zu viel wenn ich offenbare, daß „0000“ nicht die richtige PIN ist. Das ist auch nur zum einfacheren Rechnen. Bevor die Karte eingezogen wird, hat der Kartendieb 3 Versuche, bei 9999 verschiedenen PINs (die 0000 haben wir ausgeschlossen) also eine Wahrscheinlichkeit von 1 : 3333, an Geld zu kommen. Das ist mehr als Faktor 16 besser(!) als Lotto spielen. Und das schönste, man muß nichtmal einen finanziellen Einsatz tätigen. Lotto spielen kostet mindestens 1,25 Euro pro ausgefülltem Kästchen ohne Spiel 77 und Super 6. Ok, einen kleinen Nachteil hat das EC-Karten klauen, es ist strafrechtlich bewehrt.
Es ist also 16 mal so Wahrscheinlich, mit einer geklauten EC-Karte zufällig ein paar tausend Euro abzuräumen, als die gleichen paar tausend Euro im Lotto zu gewinnen. Nur der BGH sieht das offensichtlich anders. Die aktuelle Rechtsprechung ist da ganz eindeutig:
In solchen Fällen spricht „der erste Anschein“ dafür, dass der Inhaber die EC-Karte und die PIN-Nummer nicht ausreichend getrennt aufbewahrt hat
Ein Lottospielender BGH-Richter kann folglich keine Ahnung von Wahrscheinlichkeitsrechnung haben. Die Wahrscheinlichkeit, daß mit einer geklauten EC-Karte „zufällig“ die richtige PIN erraten wird, wird als so unwahrscheinlich abgetan, daß der Inhaber die PIN wohl irgendwo notiert haben muß. Aber dann Lotto spielen! qed.
Wie sicher ist die EC-Karte?
Soweit ich weiß, ist in jeden Geldautomaten ein Hardware-Chip eingebaut, der anhand von Daten auf der EC-Karte die PIN ermitteln kann. Das war früher notwendig, als die Datenleitung zum Rechenzentrum nicht zuverlässig genug war und der Nutzer sein Geld auch abheben sollte, wenn die PIN nicht zentral überprüft werden konnte. Davon ist man jedoch weitgehend abgekommen, weil jeder Kartendieb den Zähler der PIN-Eingabe wieder auf 0 zurücksetzen kann, wenn die Fehleingaben nicht zentral sondern nur im Magnetstreifen der Karte gespeichert wird.
Die Entschlüsselung ist außerdem auch nur mit dem Hardware-Chip möglich, eine Software zur Berechnung ist nicht bekannt. Eigentlich eine recht sichere Lösung. Eigentlich. Inzwischen werden nämlich auch komplette Geldautomaten gestohlen. Natürlich mit dem Chip drin. Ich kann mir sehr gut vorstellen, daß ein kluger Bastler mit dem Geldautomaten und dem Chip und ein wenig Elektronik was basteln kann, um anhand der EC-Karte die PIN zu ermitteln.
Und selbst wenn das nicht möglich sein sollte, es gibt immer wieder Fälle von manipulierten Geldautomaten. Schön dabei ist, daß der Nutzer nachweisen muß, daß so ein Geldautomat manipuliert war. Dabei erkennen oft sogar geschulte Kriminalbeamte die Manipulation nicht. Inzwischen gibt es sogar Diebesbanden, die in Geschäfte einsteigen, dort jedoch nichts klauen sondern nur die Geräte für die EC-Kartenzahlung manipulieren um sich die PIN-Eingaben der genutzten Karten zu verschaffen. Und wer ist schon in der Lage zu prüfen, ob ein Lesegerät nicht manipuliert wurde.
Und die PIN?
Ein Ärgernis ist die in Deutschland gebräuchliche PIN mit nur vier Stellen. Ein Freund von mir (Franzose) arbeitet in Basel und hat ein Konto bei der UBS. Die Schweizer Banken erlauben durchgängig 6-stellige PINs, da hat man eine erheblich höhere Sicherheit als in Deutschland. Vermutlich ist der Schweizer an sich intelligenter und kann sich eine 6-stellige PIN merken, der dumme Deutsche aber nur 4 Stellen. An der 4-stelligen PIN ist übrigens Mrs Shepherd-Barron schuld, die Frau des Erfinders der Geldautomaten:
One by-product of inventing the first cash machine was the concept of the Pin number. Mr Shepherd-Barron came up with the idea when he realised that he could remember his six-figure army number. But he decided to check that with his wife, Caroline. „Over the kitchen table, she said she could only remember four figures, so because of her, four figures became the world standard,“ he laughs.
Die BBC hat online einen längeren Beitrag über den Erfinder des Geldautomaten.
Vielleicht sind Kreditkarten doch keine so unsichere Erfindung?
6. Juli 2007
Die Federation of American Scientists hat hier (PDF; 2,4 MB) unter dem Titel „Technology Collection Trends in the U.S. Defense Industry“ einen sehr interessanten Bericht über die Social Engineering Angriffe gegen amerikanische Wissenschaftler und Militärangehörige zusammengestellt.
Der generelle Trend ist steigend, von 37 identifizierten spionierenden Ländern im Jahr 1997 über 63 Länder im Jahr 2000 auf 106 Länder im Jahr 2005. Für das Jahr 2005 werden 971 Einzelvorfälle erfaßt. Die spionierenden Länder sind nicht einzeln aufgeführt, es gibt lediglich eine geographische Zusammenstellung der Vorfälle in der Ostasien mit 31% vor dem Nahen Osten mit 23%, Eurasien mit 19% und Südasien mit 13% führt. Afrika kann mit weniger als 3 % vernachlässigt werden. Dabei wird jedoch nicht zwischen Westeuropa und Russland (Eurasien) unterschieden und in Ostasien wird China zusammen mit Japan und Australien in einen Topf geworfen.
Die Hauptziele der Spionage waren (in dieser Reihenfolge):
- Informations- und Datenverarbeitungssysteme
- Laser und Optik
- Flug- und Luftfahrttechnologie
- Sensortechnik
- Rüstungs- und Wehrtechnik
- Elektronik
- Raumfahrttechnologie
- Marine und Schiffahrt
- Materialforschung und Herstellungstechnik
- Radartechnik
Die Teilbereiche sind dann noch aufgeschlüsselt in wichtige Themengebiete. Soweit so uninteressant. Spannend wird es wieder im Anhang, wenn die gängigsten Social Engineering Verfahren und typische Gegenmaßnahmen analysiert werden. Dabei werden folgende Bereiche unterschieden:
- Request for Information (RFI)
- Acquisition of Technology
- Solicitation and Marketing of Services
- Exploitation of Foreign Visit
- Targeting at Exhibits, Conventions, and Seminars
- Exploitation: Relationships
- Suspicious Internet Activity
- Targeting of U.S. Personnel Abroad
Zur allgemeinen Erheiterung sind auch ein paar konkrete Beispiele angegeben, z.B. dieses hier:
„A female foreign national seduced an American male translator to give her his password in order to log on to his unclassified network. Upon discovery of this security breach, a computer audit revealed foreign intelligence service viruses throughout the system.“
Hach ja, Mata Hari.
Auf jeden Fall gibt es für alle Bereiche eine Liste von mögliche Erkennungsmaßnahmen, beispielsweise für den Bereich Informationssammlung:
- Technologie unterliegt ITAR Exportbeschränkungen
- Der Vertragspartner des Verteidigungsministeriums hat keine normale Geschäftsbeziehung mit einem ausländischen Anfrager
- Die Anfrage kommt von einer Embargonation oder einer nicht-identifizierbarten Firma
- Die Anfrage erfolgt unaufgefordert und ist unerwünscht
- Der Anfragende behauptet von einer Regierungsstelle zu kommen, vermeidet jedoch offizielle Kommunikationskanäle
- Die Anfrage richtet sich an einen Mitarbeiter der den Absender nicht kennt und nicht in Vertrieb oder Marketing beschäftigt ist
- […]
Und natürlich eine Reihe von Gegenmaßnahmen, darunter an erster Stelle:
- Information und Schulung der Mitarbeiter bezüglich der Gefährdungen
Oder auf neudeutsch: Awareness!
Womit wir beim eigentlich Thema wären. Spionage kann jeden treffen. Angefangen von Informationen zu neuen Produkten und Dienstleistungen über Beziehungen zu Geschäftspartnern bis hin zu trivialen Sachen wie Gehälter oder private Daten. Es ist deshalb unerläßlich, alle Mitarbeiter auf mögliche Gefahren und Risiken hinzuweisen und bezüglicher der Social Engineering Thematik zu sensibilisieren. Und nur durch ein Awarenessprogramm, das die Gefahren regelmäßig immer wieder aufgreift ist ein dauerhaft hohes Sicherheitsniveau gewährleistet.
Ich bin neulich mit dem Auto durch Hessen gefahren und habe in den US Militärsender American Forces Network reingehört. Dort im Radio wurde das Thema alle 30 Minuten aufgegriffen!
4. Juli 2007
kurz notiert:
iPhone Dev Wiki
Hackint0sh
kann man bestimmt mal brauchen … 🙂
Ich wollte ja nicht über das Apple iPhone schreiben, bevor nicht die ersten echten Exploits da sind. Jeder weiß inzwischen, das Teil ist „hot baby“, Apple hat zwischen 200.000 und 700.000 Geräte verkauft (je nachdem, wen man fragt) und außer The Register (die keines umsonst bekommen haben, schämt Euch bei Apple) sind eigentlich auch alle zufrieden.
Ach ja, die Exploits … die ersten Sachen sind schon aufgepoppt:
Der Safari-Browser im iPhone enthält (wenig überraschend) einen Buffer Overflow den Errata Security entdeckt hat
Außerdem scheint das iPhone Passwörter zu besitzen, mit denen ein Programm root-Zugriff bekommen kann. Dazu haben ein paar Hacker das File analysiert, das man mit iTunes runterladen kann, wenn man die Firmware komplett neu auf dem Telefon installieren möchte und die Hashes durch John the Ripper gejagt. Herausgekommen sind übrigens „dottie“ (login: mobile) und „alpine“ (login: root).
Wie man damit allerdings root-Rechte auf dem Telefon bekommt ist noch nicht bekannt.
Ich persönlich gebe dem Gerät maximal noch drei Wochen.
