Mitternachtshacking

Heutzutage wird echt jede Pfeife als „Hacker“ bezeichnet.

„Ich werd‘ noch bekloppt“, wird sich der eine oder andere denken. Das Bundesamt für Sicherheit in der Informationstechnik verfällt jedenfalls langsam aber sicher in den Wa[h|r]nsinn. Heute darf mal das Bürger-CERT ran. Mit einer Technischen Warnung for Mozilla Firefox. Bis 30. März ist deshalb wieder der Internet Explorer Lieblingsbrowser im BSI.

„Was für ein Glück“ wird sich der oben erwähnte eine oder andere da denken. Schließlich ist er doch mit der letzten Warnung erst auf Firefox umgestiegen (in der Version 3.0.7, die war schon auf dem PC drauf) und das BSI Bürger-CERT warnt vor der Version 3.6. Und dieses neumodische Glump kommt natürlich nicht auf den Rechner vom einen oder anderen. Aber der liest auch nicht The Register.

Ein ehemaliger Mitarbeiter eines Autohauses in Texas hat die ausgelieferten Autos mittels einer Fernsteuerung abgeschaltet, die eigentlich dazu genutzt wird Fahrzeuge zurück zu bekommen deren Raten nicht mehr bezahlt werden. Steht in der PC-Welt. Und mit mehr Details bei Wired.

Der Rest war einfach. Die Polizei hat gekuckt mit welchem Login der Täter angemeldet war (der Account eines Ex-Kollegen), die IP-Adresse zurückverfolgt (ein AT&T-Anschluß) und prompt den Übeltäter erwischt (Mr. Omar Ramos-Lopez). Das kann sogar die Pozilei. Aber der gute Ex-Mitarbeiter hat sich jetzt auch nicht besonders intelligent angestellt.

Eine ähnliche Erfahrung hat die UBS mit Roger Duronio gemacht. (Ex-)Mitarbeiter sind manchmal eben gefährlich. Und was man dagegen tun kann? Tja … am besten macht man’s wohl wie Nokia in Bochum.

(Danke Sören)

In Neuss war wie jedes Jahr die Architecture, die Hausmesse von Ingram Micro. Ich hatte wie die letzten Jahre auch die Einführungs-Livehacking Präsentation und habe einen kleinen Mix aus verschiedenen Themen vorgeführt … ein wenig Industrispionage mit Hardware-Keyloggern, ein wenig Abhören von unverschlüsselter Datenkommunikation und ein wenig zu Rootkits, die sich im System einnisten. Nichts besonders spektakuläres aber ein ganz amüsanter Mix, wie ich fand. Das Feedback war jedenfalls gut.

Hier die Präsentation (PDF).

Nächstes Jahr ist mal wieder Sprachkommunikation dran. Ich möchte VoIP und DECT abhören und mal sehen, was dann der Stand von GSM ist.

Ansonsten war der Vortrag von Matthias Leu sehenswert. Ich hoffe den gibt es irgendwann online. Matthias gräbt gerne die Security Trends der nächsten Jahre aus, er hat da echt eine Nase für. Und die Übersicht falscher Virenscanner war lustig 🙂

Ich habe nicht die geringste Ahnung wie gut oder wie schlecht der Victorinox Secure USB-im-Taschenmesser-Stick abgesichert ist. Als regelmäßiger Flugpassagier habe ich für Taschenmesser auch nicht mehr so viel Verwendungszweck. Die Fummler am Flughafen nehmen einem die gerne mal ab. Und zu guter Letzt muss ich bei Victorinox immer an das Bild aus Asterix und der Arvernerschild denken, in dem Vercingetorix seine Waffen Cäsar auf die Füße knallt.

Was ich aber bei Bruce Schneier gelernt habe ist, dass ein Crypto-Wettbewerb mit der Aufgabe für eine Summe x (bei Victorinox sind das immerhin 100.000 Pfund) eine Verschlüsselung zu brechen kein Hinweis für gute Verschlüsselung sondern viel häufiger ein Hinweis auf Snake Oil Cryptography ist:

Warning Sign #9: Cracking contests: Contests are a terrible way to demonstrate security. A product/system/protocol/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products/systems/protocols/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don’t produce useful data.

Ob das alles jetzt für oder gegen Victorinox spricht, kann ich leider nicht beurteilen. Vielleicht wurde Victorinox auch nur von einer schlechten Marketingagentur beraten.

Foto: AskDaveTaylor, Lizenz: CC

Das ist fast schon so krass wie die Blackberry-Geschichte in den Vereinigten Arabischen Emiraten: Forscher von TippingPoint haben eine scheinbar nützliche Anwendung mit dem Namen „WeatherFist“ auf einem Portal zum Download und zur Installation auf Mobiltelefonen angeboten. Innerhalb von wenigen Stunden haben über 700 User die Anwendung heruntergeladen und installiert. Innerhalb einiger Tage waren es bereits 8000 infizierte Telefone. Neben der harmlosen Wetteranzeige hat die Anwendung nur den Standort des Telefons gemeldet, genauso einfach hätte man jedoch auch echten Schaden anrichten können. Erstaunlich, dass es bisher nicht mehr Schadanwendungen für Mobiltelefone gibt. Oder hat die nur noch niemand entdeckt?

Das Problem ist … was will man dagegen tun? Nur Anwendungen aus vertrauenswürdigen Quellen herunterladen? Aus dem iTunes Store für das iPfusch, aus dem Google Store für das Android und aus dem Ovi Store für Nokia? Und was, wenn es das benötigte da nicht gibt? Beispielsweise war Putty für das TouchUI eine der ersten Anwendungen die es auf mein neues Telefon geschafft haben. Inzwischen laufen da mehrere Tools, die nicht aus dem Ovi Store sind.

Das Problem wird sein, dass Virenscanner keine echte Chance haben, solche Anwendungen zu finden. Ja, es gibt für mein Mobiltelefon beispielsweise einen Schadcode-Scanner von Trend Micro und einen weiteren von F-Secure. Der von F-Secure ist sogar vorinstalliert. Ich wette, das hätte TippingPoint-Trojaner auch nicht erkannt. Dafür kostet der Adobe Reader 10,- Euro. Das ruft doch nur so nach infizierten Raubkopien. Und mit etwas Geschick kann man einen Trojaner immer so programmieren, dass der Virenscanner ihn nicht findet.

Lösungen? Tja, eine echte habe ich nicht. Nur signierte Anwendungen zuzulassen ist jedenfalls keine. Dann bekommt man ein Lock-in-Gerät wie mit dem iPfusch von Apple. Was ich mir für mein Telefon wünschen würde, wäre beispielsweise eine einfache Übersichtsseite, welche Anwendung auf welche Funktionen(GPS, Datenübertragung eingehend/ausgehend, welche IP-Adressen/Server, etc.) zugreift und eine Möglichkeit das (a) zu Beschränken und (b) zu Widerrufen. Das AccuWeather auf meinem Mobiltelefon fragt mich bei jedem Aufruf ob ich eine Netzverbindung erlauben will. Das ist zwar nett aber nervig. Ich würde das dieser Anwendung beispielsweise pauschal erlauben. Google Maps fragt mich nicht sondern greift einfach auf GPS und Datenverbindung zu. Ich wüsste nicht wie ich das verbieten kann. Andere Anwendungen haben mich bei der Installation einmal gefragt und fertig. Widerrufen ist nicht vorgesehen nur Deinstallation. Ich denke, da müssen die Mobiltelefonhersteller noch von den Desktopfirewallherstellern lernen.

Ach ja, weiß jemand zufällig ob es Truecrypt für das N97 mini gibt?

(Danke Sören)

F-Secure hat festgestellt, dass der Adobe Reader die gefährdetste Anwendung ist. Fast 49 Prozent aller Client-Side Angriffe richten sich gegen den Reader oder das Reader-Plugin im Browser. Auf Platz zwei mit rund 39 Prozent folgt Microsoft Word. Es wird also Zeit, über Alternativen nachzudenken. Mehr bei F-Secure.

(via The Register)

Nur kurz erwähnt: Google hat einen Beitrag „Best Practices for Verifying and Cleaning up a Compromised Site“ online gestellt.

Ein paar Tipps sind sicher hilfreich, ob ich meine Webseite aber deshalb unbedingt bei Google registrieren muss weiß ich nicht. Das alte „komplett löschen und vom letzten sicheren Backup wiederherstellen“ ist meiner Meinung nach immer noch die beste Methode.

Und was für das iPhone gilt, gilt auch für das iPad. Gleiches OS!

Soso, Apple hat die ganzen Wifi-Scanner aus dem iTunes Store verbannt. Weil die Scanner um auf Wireless LAN Signale z.B. von offenen Hotspots in der Nähe zugreifen zu können, ein paar private APIs benötigt haben, die Apple nicht für die gemeinen Plebs-Entwickler freigegeben hat. Für das iPhone ist mir das im Grunde ja egal, für ein iPad keinen Wifi-Scanner mehr zu haben ist … typisch Apple halt.

Wann gibt’s eigentlich endlich das HP Slate mit Windows 7 und Back Track Linux?

Ich schwanke gerade ein wenig mit mir …

Ich bin ja viel unterwegs und regelmäßig in verschiedenen Hotels unterwegs während meine Freundin die Wohnung hütet. Die meisten Hotels haben inzwischen irgendwelche Systeme installiert, bei denen man am Empfang zeitlich beschränkt gültige Zugangsdaten für das Internet bekommt. Meist kommen dabei irgendwelche Ticketdrucker zum Einsatz.

Einige Hotels setzen jedoch weiterhin WEP/WPA/WPA2 mit einem festen Passwort ein. Dieses Passwort bekommt der Gast z.B. an der Rezeption oder steht im Zimmer in der Hotel-Infomappe.

Ist es jetzt unfair, auf einer Webseite wie dieser, die Zugangsdaten der WLAN-Zugänge solcher Hotels zu sammeln und zu veröffentlichen? Ich mache mir weniger Gedanken um die Kosten, da die meisten Hotels dafür eh eine Flatrate dafür haben. Problematisch könnte allerdings sein, wenn von außen illegale Zugriffe stattfinden und die Polizei mal schnell eine Hoteldurchsuchung durchführt. In Deutschland ist das mit der Unverletzlichkeit der Wohnung schließlich nicht mehr weit hin.

Also … soll ich nun oder nicht?