29. April 2008
Irgendwann musste es ja soweit sein …
Russische Hacker haben ihre Viren und Schadprogramme mit einem „License Agreement“ versehen. Die Jungs von Symantec haben das mal übersetzt:
- Does not have the right to distribute the product in any business or commercial purposes not connected with this sale.
- May not disassemble / study the binary code of the bot builder.
- Has no right to use the control panel as a means to control other bot nets or use it for any other purpose.
- Does not have the right to deliberately send any portion of the product to anti-virus companies and other such institutions.
- Commits to give the seller a fee for any update to the product that is not connected with errors in the work, as well as for adding additional functionality.
Gut, das ist in Deutschland natürlich nicht bindend. Erstens stand das da in Russisch und wenn es sich an deutsche Kunden richtet, muss es natürlich verständlich sein. Zweitens fehlt bei so installierter Software natürlich das Einverständnis des Kunden.
Aber die Idee ist natürlich nicht schlecht. Nur nicht neu. Ich hatte sie schon letztes Jahr, hätte allerdings zwecks Verbreitung der Schadprogramme die GPL empfohlen. 🙂
Nachtrag:
Ob die Defcon-Viren auch einen Copyright-Hinweis bekommen?
22. April 2008
CEOs fallen öfter rein, zumindest wenn es um Schadprogramme geht. Wenn irgendwo „klicken Sie bitte hier“ steht, dann klicken die Manager um so schneller und gedankenloser, je wichtiger sie sich fühlen.
Beispielsweise der ehemalige bayrische Innenminister und jetzige Ministerpräsident Beckstein. Wenn der eine Mail vom BKA mit einem Attachment bekommt, dann klickt er. Könnte ja dienstlich sein. Außer, seine intelligente Frau warnt ihn. Die sollte besser Ministerpräsidentin sein. Aber so sind die Franken halt.
Eine Betrugsmail, die an 20.000 Senior Executives, also vermutlich Vorstandsmitglieder gibt, provozierte immerhin 2.000 Antworten. Also rund 10% der Vorstände haben auf das Attachment geklickt, das auf eine Webseite leitet die angeblich einen Durchsuchungsbeschluss enthält, der erst eingesehen werden kann, wenn ein kleines Addon installiert wird.
Da stellt sich für mich die Frage:
- Warum kriegen die Pappnasen Administratorrechte?
- Wenn die so blöd sind, wie können die dann eine Firma führen?
Aber vermutlich muss das so sein. Das ist wie mit Luftballons. Die wo am meisten Helium drin sind, fliegen am höchsten. The Register nennt diese Phishing-Versuche inzwischen Whaling … sehr schön.
21. April 2008
Wer auf einem der letzten Chaos Communication Congress war, erinnert sich sicher noch an die Vorträge von Dan Kaminsky. Eines seiner Themen ist immer wieder der böse Internetprovider, der Daten während des Transfers verändert. Gut, in UK sind wir mit Phorm bald soweit, aber Dan ist auf ein anderes aktuelles Problem gestoßen.
Viele Provider in den USA leiten Domains die es nicht gibt auf eigene Seiten um, die dann munter Werbung einblenden. Wir hatten das Problem schon einmal bei Verisign, die alle ungültigen .com-Domains auf ihre Seiten umgeleitet haben. Bei den Providern wird es jedoch noch schlimmer. Hier werden nicht nur komplett unbekannte Domains abgefangen sondern auch Subdomains oder Tippfehler, beispielsweise ww.example.com (man beachte das fehlende „w“). Das kann ganz schön unangenehm werden, beispielsweise mit Persistent Cookies die für eine ganze Domain gelten (also z.B. google.com) und dadurch vom Provider (oder dem Adbroker der die Werbung einblendet) abgefangen werden können.
Dan Kaminsky hat das auf der Toorcon auch schön vorgeführt.
Langsam fange ich an, mir Sorgen zu machen. Wenn schon die Internetprovider solche Schweinereien anfangen. Wie war das mit der alternativen DNS-Infrastruktur?
18. April 2008
HTML Version 5 wird lustig, sehr lustig. Der Artikel hier auf webkit.org beschäftigt sich mit den neuen Funktionen und eine davon ist „client-side database storage„. Ganz cooles Zeug.
Wenn der Anwender eine lokale SQL-Datenbank hat und die Skripte nicht sauber implementiert sind, dann kann man lokal beliebigen Unsinn ablegen. Am schönsten ist natürlich der Zugriff auf sensible Daten wie Adressbücher etc. Ich bin mir aber sicher, dass vielen Leuten da noch viel mehr Spaß einfallen wird. Client-side data storage außerhalb von simplen Flat Files halte ich ja für gewaltigen Unsinn. Aber wir werden sehen …
15. April 2008
Random Number (ich hätte ja 23 oder 42 oder so erwartet, aber 4 ist hinreichend zufällig) und Map of the Internet. Bei dem vielen Grün kann ich gar nicht glauben, dass zwischen Februar 2010 und Mai 2011 die IP-Adressen ausgehen sollen.
Mein Provider hat jedenfalls noch kein IPv6, mein DSL-Router kann das nicht und ob sich da in den nächsten zwei Jahren viel tut wage ich noch zu bezweifeln. Naja …
11. April 2008
Jonathan Zittrain, ein Oxford-Professor der anscheinend auch mal in die Zeitung kommen wollte, vertritt in der Computerwoche die These, dass iPhone, Xbox, Tivo und Co. das Internet kaputt machen würden. Das halte ich für Quatsch. Vielleicht machen diese spezialisierten Geräte den offenen PC kaputt, aber nicht das Internet.
Warum nicht? Vor ein vielen Jahren hat AOL bereits versucht, das Internet auf die eigenen Inhalte zu reduzieren. Wenn man sich bei AOL einwählte, war man erstmal nicht im Internet sondern im AOL-Netzwerk. Was ist passiert? Das Internet gibt es immer noch, AOL geht es schlecht. Vor einiger Zeit hat Vodafone das gleiche versucht. Wenn man sich bei Vodafone Live einwählte, war man an Vodafone Inhalte gebunden. Was ist passiert? Die Kunden haben sich massiv zu anderen Anbietern gewendet.
Der „Kunde“ will das komplette Internet. Das heißt, alle im Internet verfügbaren Angebote auch nutzen. Dazu gehören nicht nur statische HTML-Seiten sondern auch Javascript, Flash, Java etc. Sobald genug Alternativen vorhanden sind, wird sich kein Nutzer mit einem „eingeschränkten“ Internet mehr zufrieden geben.
Das Surfen auf der Xbox oder Playstation hat sich hauptsächlich deshalb gegen PCs nicht durchgesetzt, weil es mit Einschränkungen verbunden ist die es auf dem PC nicht gibt. Das Surfen auf Geräten wie dem iPhone hat sich bisher nur deshalb durchsetzen können, weil es keine passenden alternativen Geräte gibt. Sobald die vorhanden (und günstiger) sind, wird sich zeigen, dass Apple entweder Flash und Java auf dem iPhone nachrüsten muss oder die Kunden verlieren wird.
Und mir als Anwender ist es in letzter Konsequenz egal ob ich zur Nutzung des Internets einen PC verwende (an dem ich rumschrauben könnte aber gar nicht will) oder ein iPhone (an dem ich nicht mehr rumschrauben kann). Aber nur, solange alle meine Anwendungen funktionieren.
(danke tw)
18. März 2008
Böses Zeug, dieses Phorm. Nein, nicht das, das andere Phorm.
Phorm ist der Nachfolger (sofern man eine Firma die umbenannt wurde, weil sie so einen schlechten Ruf hatte, das praktisch alle Produkte auf der Spyware- und Adware-Liste aller gängigen Schadprogrammscanner standen, als Nachfolger bezeichnen will) von 121Media, spezialisiert auf targeted Advertising. Für die Freunde von Euphemismen, targeted Advertising ist im Grunde, man forscht die Privatspähre der Nutzer solange aus, bis man ihnen gezielt Werbung unterjubeln kann, die sie vermutlich auch interessiert.
Praktisch funktioniert Phorm in etwa so:
Der Client baut eine ganz normale Verbindung zu einem Webserver im Internet auf (1), die von einem speziellen Server, ich nenne ihn hier mal „Interceptor“ beim Provider abgefangen wird. Der Interceptor leitet die Anfrage an den Ad-Server von Phorm, der ebenfalls beim Provider steht mit dem Tracker-Cookie von Webwise weiter (2). Gleichzeitig holt der Interceptor die ursprünglich angefragte Webseite (3) und schickt sie ebenfalls an den Ad-Server (4). Der Ad-Server tauscht in der Webseite enthaltene Werbung gegen eigene Werbung aus, die mit Hilfe des Tracker-Cookies speziell auf die Vorlieben des Anwenders zugeschnitten sind (5). Der Interceptor schickt die Seite mit der modifizierten Werbung zurück an den Anwender (6).
Vermutlich ist der Prozess nicht ganz korrekt dargestellt, die Webseite „Lies, Damned Lies!“ hat eine detailliertere Grafik dazu.
Die FAQ von Phorm beschreibt das Verfahren so:
„Webwise technology places a cookie on your computer. Then, as a customer searches and browses online, that behaviour is checked against general advertising categories. When the customer’s interests match one of these advertiser categories, the customer sees a relevant ad in place of a generic, untargeted ad.“
Das konkrete technische Verfahren des Austausches spielt dabei eigentlich keine große Rolle. Die Auswirkungen des Tracker-Cookies auf die Privatsphäre will ich eigentlich auch nicht weiter analysieren. Wenn das bereits ein so dramatisches Problem wäre, dann müsste man eigentlich alle Social Network Seiten schließen und Google verbieten. Es geht mir in diesem Text zum zwei andere Punkte: das Verhalten des ISPs und die Folgen für die Werbewirtschaft.
Die Rolle des Internet Service Providers
In Großbritannien haben die wichtigen Provider (darunter BT, Virgin Media und Carphone Warehouse mit zusammen 70% Marktabdeckung) mit Phorm Verträge abgeschlossen, im Land der Überwachungskameras wird das Thema gerade heftig diskutiert. Ein Knackpunkt ist, ob das Verfahren für die Kunden mittels „Opt-In“, d.h. der Kunde muss explizit zustimmen, wenn er targeted Advertising möchte oder mittels „Opt-Out“, d.h. der Kunde muss targeted Advertising explizit abwählen, wenn er das nicht möchte, eingeführt wird.
Strittig ist beispielsweise auch, ob es sich bei diesem Vorgehen um unerlaubte Datenveränderung handeln könnte. Ich weiß nicht, ob der Austausch der Werbung von den AGBs der Provider gedeckt ist (oder gar nicht in den AGBs abgehandelt werden kann, weil es sich vielleicht um eine überraschende Klausel handelt).
Unabhängig davon würde es mir persönlich nicht besonders gefallen, wenn mein Provider in dieser Form Einfluss auf meinen Datenverkehr nimmt. Ok, bestimmte Maßnahmen wie Drosselung einzelner Datenverbindungen (sehr beliebt bei P2P-Traffic) lasse ich mir noch eingehen. Das ist keine tiefergehende Analyse meiner Surfgewohnheiten. Ganz anders sieht es aber mit der konkreten Veränderung von Webseiten aus. Das entspricht ganz klar meiner Definition eines Hostile Internet Providers. Tim Berners-Lee, der Erfinder des World Wide Web hat die Nutzer sogar explizit aufgerufen, den Provider zu wechseln wenn diese Phorm einführen.
Die Rolle der Adbroker, Werbekunden und Seitenbetreiber
Geschädigt werden also viele:
Die Adbroker (z.B. Google und Co.), weil deren Werbung nicht mehr angezeigt wird, den Werbekunden aus dem gleichen Grund und der Seitenbetreiber, weil dieser an der geschalteten Werbung nicht mehr verdient.
Ich weiß nicht, ob im Phorm-Verfahren die Originalwerbung vom Server noch abgerufen wird, bevor sie ausgetauscht wird. Wenn sie abgerufen und nach „Views“ abgerechnet wird, schadet das dem Werbekunden. Wenn nach „Click-Through“ abgerechnet wird oder wenn sie nicht abgerufen wird dem Betreiber der Webseite, der von der ausgetauschten Werbung natürlich keine Einnahmen hat.
Aus meiner Sicht handelt es sich folglich um ein reines Leecher-Verfahren. Phorm und die Provider bereichern sich auf Kosten der Anbieter von Inhalten. Die Content-Produzenten, d.h. die Autoren und Betreiber von Webseiten gehen plötzlich leer aus. In den USA hat ein Blogbetreiber sogar versucht, alle Nutzer von Firefox mit Adblock Plus von seiner Seite auszusperren. Aber das ganze durch die Provider ist das gleiche nur um den Faktor 10 schlimmer.
Zusammenfassung
Als Inhaltsanbieter müsste es meine erste Maßnahme sein, den Vertrag mit einem Phorm-nutzenden Provider sofort fristlos zu kündigen. Es kann doch nicht Aufgabe meines Providers sein, mein Geschäftsmodell aktiv zu schädigen. Als Nutzer wäre meine Maßnahme die gleiche. Ich finde, ich habe Anspruch auf die Webseite so, wie sie vom Inhaltsanbieter bereitgestellt wird (Werbung herausfiltern kann ich dann schon selber). Und von beiden Seiten wäre es angebracht, den Provider ein klein wenig zu verklagen, wegen unerlaubter Datenveränderung (aus Nutzersicht) oder wegen Urheberrechtsverletzung durch unerlaubte Modifikation der von meinem Server angebotenen Inhalte (als Anbieter).
Ich bin ja gespannt, ob Phorm auch in Deutschland Provider findet, die sich dem anschließen. Vodafone traue ich das zu.
Nachtrag:
Inzwischen gehen auch im Mutterland der Überwachung ein paar kleine Alarmglöckchen an. Die Foundation for Information Policy Research (FIPR), ein regierungsnaher Think Tank hält das Phorm-Modell in einem Schreiben für nicht mit dem Gesetz vereinbar. Allerdings hält das UK Home Office (sowas wie das Innenministerium bei uns) Phorm weiterhin für legal. Die letzte Entscheidung hat nun der Information Commissioner Richard Thomas (so etwas wie bei uns der Bundesdatenschutzbeauftragte).
Ist das nur normaler Spam mit einer Redirection, damit der unbedarfte Leser meint, es handelt sich um eine Google-Seite oder ist das schon Adwords Kilck-Betrug?
Man beachte die URL:
http://www.google.it/pagead/iclk?sa=…&adurl=http://DZLp.holesteam.com?..
Die Seite will mir jedenfalls ganz normal Viagra, Cialis & Co. andrehen. Ich habe keinen Schadcode oder so finden können. Kennt sich zufällig jemand mit Google Adwords aus? Ist da irgendwo ein kleiner Nebenverdienst mit drin?
17. März 2008
Das File iPIX-install.exe ist übrigens mal wieder ein interessantes Beispiel dafür wie wichtig die Aktualität von Virenscannern ist. Erster Versuch auf meinem Privatrechner:
Suchengine: V7.06.00.73, 01.03.2008
Virendefinitionsdatei: V7.00.03.31, 14.03.2008
Leider kein Virus gefunden.
Also … Update!
Suchengine: V7.06.00.73, 01.03.2008 = die gleiche Version wie vorher
Virendefinitionsdatei: V7.00.03.33, 16.03.2008 = nur 0.00.00.02 höher
Und das Ergebnis:
Jetzt wird das Schadprogramm erkannt.
Ich weiß nicht, wie lange dieser Spam schon verschickt wird, aber bisher war meine Erfahrung mit Avira dem Hersteller von Antivir, dass recht flott reagiert wird. Gut möglich also, dass dieses Schadprogramm erst zwischen 14. und 16. März im Internet aufgetaucht ist. Im Grunde ist ein tägliches Update inzwischen zu selten, eigentlich müsste man Virenpattern zumindest in Unternehmen stündlich aktualisieren.
Ich weiß nicht so recht, wie ich den folgenden Trick einordnen soll. Social Engineering? Spoofing? Von beidem etwas?
Per Spam kam der Link auf folgende (absichtlich nicht verlinkte) chinesische Webseite: http://www.financial-manager.cn/aes/
Man sieht, das in der Mitte offensichtlich ein Plugin fehlt, um Grafiken oder Filme oder so anzuzeigen. Das fand ich jetzt nicht besonders ungewöhnlich. Insbesondere weigere ich mich standhaft, den Apple QuickTime Schrott zu installieren. Die Software ist sowas von eklig, die Integration egal in welchen Browser funktioniert hinten und vorne nicht so wie ich das gerne hätte und QuickTime will dann alle Medien abspielen, die die Dreckssoftware gar nichts angeht. Von den vielen Bugs und Sicherheitslücken will ich gar nicht reden. Weil mich natürlich interessiert, welches Plugin in diesem Fall fehlt, habe ich todesmutig draufgeklickt (man weiß ja schließlich nie, was sich auf so chinesischen Webseiten verbirgt):
Sehr witzig, das ist gar kein Firefox-Plugin. Das Plugin-Symbol wird im HTML-Quelltext als billige GIF-Grafik angezeigt. Beim Klick auf die Grafik wird dann ein normales EXE-File nachgeladen. Und was sagt Virustotal dazu?
Ui, ein böser Trojaner-Downloader. Also im Grunde genau das, was man so von einer chinesischen Webseite erwarten würde.
Trotzdem finde ich die Idee clever. Auf den ersten Blick dürften sich die meisten unbedarften User täuschen lassen. Das Puzzle-Symbol für ein Plugin ist dem User bekannt und symbolisiert einen vertrauenswürdigen Download. Wenn sich dahinter ein EXE verbirgt, kann man dem Anwender eigentlich auch keinen Vorwurf machen, das blöde QuickTime lässt sich ja auch nicht direkt über den Browser installieren.
