16. März 2008
Das BKA (auf deren Webseite verlinke ich lieber nicht, die spionieren gerne mal illegal harmlosen Surfern nach) hat ein paar Zahlen für 2007 veröffentlicht:
- 4200 Phishing-Fälle, 700 mehr als 2006
- Durchschnittliche Schadenshöhe zwischen 4000 und 4500 Euro, 2006 noch rund 2500 Euro
Der Gesamtschaden durch Phishing (abzüglich eventuell sichergestellter Gelder) dürfte damit bei etwa 18 Millionen Euro gelegen haben. Im Vergleich zur Schadenssumme von 9 Millionen Euro 2006 eine glatte Verdopplung.
- Etwa 750.000 mit Schadprogrammen infizierte Rechner in Deutschland
- Etwa 150.000 Rechner in Deutschland, die von Hackern ferngesteuert werden
und natürlich ist die Kinderpornographie laut BKA-Chef Ziercke auf dem Vormarsch. Da helfen große Zahlen wie die 240.000 Zugriffe auf 4.600 Dateien. Wenn man das allerdings runterrechnet kommt man auf einen Kreis von vielleicht 53 Nutzern. So kann man sich die Gefahr auch großrechnen, um Mikado und ähnliche Eingriffe in die Privatsphäre zu rechtfertigen.
Die Aufklärungsquote liegt bei Piraterie übrigens zwischen 96 und 98%, bei allen anderen Straftaten deutlich unter 50%. Die Täter sind übrigens zu 80% männlich und über 21.
(via Focus)
15. März 2008
In Österreich gibt es das schon … bezahlen durch den Provider, ermittelt anhand der IP-Adresse. Die Montax Payment Services GmbH bietet das an und noch bevor deren Produkt Billiteasy oder vergleichbare Leistungen überhaupt in Deutschland angeboten werden, warnt die Seite Computerbetrug.de schon davor. Das sieht ja recht vielversprechend aus 🙂
Die Idee ist eigentlich die gleiche wie beim Telefon- oder Handy-Billing. Der Provider erkennt anhand der IP-Adresse, welcher Kunde (d.h. welches Anschlusskonto) wann gerade online ist und bucht Mehrwertdienste direkt auf dieses Anschlusskonto. Da die meisten Provider ihre Rechnung per Einzugsermächtigung beim Kunden abholen, ist das für die Anbieter der Mehrwertdienste genauso bequem wie die Abrechnung über eine 0900-Nummer oder eine Premium-SMS. Allerdings mit dem feinen Unterschied, dass IP-Payment nicht gesetzlich reguliert ist, man kann also für den Abruf einer einzelnen Seite auf einem Webserver auch gerne 500 Euro in Rechnung stellen, wenn der Provider da mitspielt.
Technisch funktioniert das in etwa so, dass der Provider mit dem IP-Payment-Anbieter einen Vertrag schließen müssen, der IP-Payment-Anbieter dann wieder mit den eigentlichen Mehrwertdienstanbietern. Ob sich die IP-Payment-Anbieter als Clearingstelle halten können oder ob die Provider diese Provision ebenfalls einstecken wollen wird sich zeigen. Anbieter wie Firstgate können sich jedenfalls im Markt (noch) behaupten. Bei einem Zugriff auf kostenpflichtige Angebote schickt der Mehrwertdienstanbieter eine entsprechende Nachricht an den IP-Payment-Anbieter, der diese Information mit der IP-Adresse des Kunden an den Provider weiterleitet. Wenn die IP-Adresse entweder zu einem Provider gehört, der nicht vom IP-Payment-Anbieter unterstützt wird oder gesperrt ist, dann ist der Zugriff auf das kostenpflichtige Angebot so nicht möglich.
Die Probleme die dabei entstehen können sind vielfältiger Natur. Erstmal die technischen Probleme:
- Es gibt nur ein paar Telefongesellschaften aber viele Provider. Ein IP-Payment-Anbieter braucht daher viele Verträge
- Eine Telefonnummer beim Versand einer SMS lässt sich eindeutig zuordnen, eine IP-Adresse beim Zugriff auf eine Webseite kann auch ein Proxy sein
- Was ist mit Zugriffen aus einem Internet-Café? Werden die vom Provider zuverlässig ausgeschlossen?
- Was ist mit IP-Adressen die Hotels zugeordnet sind und von den Hotelgästen genutzt werden? Im Grunde sind das ja auch Dienstanbieter in irgendeiner Form.
- Was ist mit nicht oder schlecht geschützten WLANs? WEP ist zwar ausreichend im Sinne des § 202a StGB (Ausspähen von Daten) aber nicht sicher um nicht doch kompromittiert zu werden. Ist der Betreiber dann der Dumme? Ok, eine Mitstörerhaftung ist klar, aber eine Willenserklärung wurde nicht abgegeben.
- Was ist mit Webseiten, die automatische Redirects auf kostenpflichtige Angebote durchführe? Das kann schon in einem IFrame passieren. Das ist dann quasi die Dialerproblematik im Quadrat.
Juristisch ist es ähnlich kompliziert:
- Genügt eine IP-Adresse als Nachweis des Einverständnisses in eine Willenserklärung?
- Handelt es sich um ein Opt-In, d.h. muss der Kunde beim Provider erklären er will so einen Mehrwertdienst (dann wird es niemand tun) oder um ein Opt-Out, aber dann sind AGB-Änderungen notwendig, die vielleicht vielen Kunden ein Sonderkündigungsrecht erlauben.
Und schließlich … will sich wirklich einer der großen Provider einen Haufen Ärger einhandeln, wenn Kunden geschröpft werden und ihre Rechnungen nicht mehr bezahlen? Ok, Arcor wird sicher mit dabei sein. Aber alle anderen?
Andererseits … für Hacker tut sich da eine ganz neue Spielwiese auf. Ich würde mich ja auf einen IP-Payment-Hack vergleichbar zum BTX-Hack freuen 🙂 Vielleicht stellt die Hamburger Sparkasse oder eine andere Bank ja freundlicherweise einen Webserver mit ein paar PHP-Code-Injections zur Verfügung?
14. März 2008
Rise of the Stupid Network von David Isenberg, geschrieben im Mai 1997 aber immer noch mit erstaunlicher Aktualität. Sehr lesenswert, finde ich.
11. März 2008
Ich schrieb schon ein paar mal über Captchas, unter anderem wie man Mathe-Captchas knackt und warum Captchas auf Dauer nicht funktionieren werden. Das war am 8. Februar. Inzwischen sind wir von der Realität überholt worden.
Anscheinend ist auch die letzte Antispam-Bastion gefallen, die Captchas die Google Mail vor den Spammern schützen. Moderne Spambots können inzwischen 20-30% der Captchas korrekt erkennen. Das reicht leicht, um flächendeckend Google Mail Spamaccounts anzulegen. Der Vorteil eines Spammers bei Google Mail ist insbesondere, dass diese Domains noch kaum blockiert werden, da bisher das Spamaufkommen relativ niedrig war. Ganz im Gegensatz z.B. zu Yahoo Mail oder Hotmail. In meinem direkten Bekanntenkreis findet sich niemand, der noch Yahoo Mail oder Hotmail verwendet. Alles was von dort kommt, ist 100% Spam. Beide Domains werden daher von mir inzwischen komplett blockiert.
Interessanterweise scheint sich das Problem noch nicht rumgesprochen zu haben. Da gibt es die Seite PWNtcha, die diverse Captchas dekodieren kann (aber keinen Source Code veröffentlicht). Dort ist man immer noch der Meinung, dass es gute Captchas geben kann, die auch in Zukunft funktionieren. Ich widerspreche dieser Ansicht ganz entschieden. Moderne Captchas wie sie z.B. Yahoo einsetzt sind so kompliziert, dass die Erkennungsrate echter Menschen teilweise unter der von Captcha-Dekodern liegt. Da lässt man den Schutz besser ganz weg.
Komplett vernachlässigt wird in der ganzen Diskussion die Barrierefreiheit. Was macht denn ein Anwender, der leider nicht sehen kann? Arschkarte gezogen? Das sollte eigentlich nicht sein. Ich frage mich ja, wann in Amerika die ersten Blindendiskriminierungsprozesse stattfinden, weil sich Blinde bei Google Mail nicht anmelden können.
Ein paar Wirrköpfe glauben zwar noch, das Gelbe vom Ei erfunden zu haben, praktisch steckt aber nur heiße Luft dahinter. Ein Beispiel ist dieser Programmierer, der glaubt durch geschickt benannte Eingabefelder das Spam-Problem zu lösen. Wenn man sich den daraus resultierenden HTML-Code anschaut, dann sind zwar die Formularfeldnamen kodiert, irgendwo muss aber noch eine verständliche Beschreibung stehen denn Menschen müssen die ja auch richtig ausfüllen können.
<tr><td>Name:</td><td><input name="7f0f3f86b0bcd308584728af6ab2335d"
style="width: 200px;" type="text"></td></tr>
<tr><td>E-Mail:</td><td><input name="dc7b8fd4bf5bc84ea95ce39b7b625bc5"
style="width: 200px;" type="text"></td></tr>
<tr><td>Betreff:</td><td><input name="2d9f7da47a267ae7d2e69e535ec9315a"
style="width: 200px;" type="text"></td></tr>
Ich schätze, in etwa drei Minuten kann ich einen kleinen Parser schreiben, der die Texte neben den Eingabefeldern richtig den Formularfeldnamen zuordnet.
Der Autor schreibt übrigens ganz stolz, dass noch niemand sein geniales Verfahren überlistet hat und er seither keinerlei Spamprobleme hat. Das hat einen einfachen Grund. Die Seiten auf denen dieses Verfahren eingesetzt wird sind so unwichtig, dass sich kein einziger Spammer bisher die Mühe gemacht hat, drei Minuten in einen Parser zu investieren. Sobald sich das Verfahren jedoch auf mehr Seiten durchsetzen sollte wird es sofort gebrochen und ist auch gleich wieder verschwunden.
Ich persönlich tendiere ja zu mathematischen Rechenaufgaben. „Berechnen Sie den Cosinus des zweiten Logarithmus der vierten Nullstelle der Riemannfunktion!“ oder so wäre z.B. eine Aufgabe die zwei Probleme mit einem Streich löst. Zum einen bleiben die Spammer draußen, zum anderen steigt das Niveau der Kommentare denn die Flachmaten dürften mit dieser Aufgabe leicht überfordert sein.
Aber mal im Ernst … gerade bei Angeboten die sich an die breite Masse richten werden Captchas in Zukunft nicht mehr funktionieren. Für die muss das Captcha so trivial sein, dass es irgendwie noch richtig eingegeben werden kann und das bedeutet, irgendeine Software kann garantiert das gleiche.
Das Problem: Ich sehe keine echte Alternative. Audio-Captchas sind zwar nett aber helfen nicht bei Schwerhörigen, JavaScript-Gelumpe wird mittelfristig auch überlistet, sobald es weiter verbreitet ist (oder die Spammer steuern einfach einen Browser fern). Und dann darf nicht vergessen werden, dass es in China eine Menge Leute gibt die den ganzen Tag vor dem Computer sitzen, World of Warcraft spielen und die gewonnenen Artikel in der realen Welt verkaufen. Die könnten genauso gut auch Captchas eingeben.
Ich fürchte wir haben zumindest technisch den Kampf gegen Spam verloren.
9. März 2008
Google Hacking wird offensichtlich immer wichtiger. Viele angreifbare Webseiten lassen sich mit trivialen Google-Anfragen finden und auch vertrauliche Informationen tauchen gerne mal bei Google auf. Bisher war die Standardreferenz die Webseite I Hack Stuff von Johnny Long sowie sein Vortrag auf der Black Hat Europe 2005 (PDF). Von ihm stammt auch die Original Google Hacking Database.
Inzwischen gibt es auch Interfaces zur Google Hacking Database:
Das „offizielle“ Online-Portal scheint Gnucitizen zusammengestellt zu haben. Dort nennt sich die Seite GHDB v1.0a mit dem Untertitel „The online Google Hacking, Ethical Penetration Testing Tool (v1.0a)“. In der linken Menüleiste tauchen immer die neuesten Google Dorks auf. Allerdings kann man hier auch nicht mehr machen als direkt mit der Google-Webseite.
Einen anderen Ansatz verfolgt die Cult of the Dead Cow (cDc), von denen vor Jahren auch BackOrifice entwickelt wurde. Mit dem Goolag-Scanner den man sich auf der Seite Goolag.org herunterladen kann besteht die Möglichkeit, direkt Anfragen an Google zu schicken und auswerten zu lassen. Sogar Bruce Schneier ist beeindruckt.
Ebenfalls von Johnny Long gibt es Gooscan für Linux. Johnny bezeichnet das Programm als „cgi-scanner“, der jedoch nie im Logfile des untersuchten Webservers auftaucht sondern alle Anfragen via Google schickt.
Heise UK geht inzwischen sogar der Frage nach ob Google Scanning legal ist. Insbesondere das US-Recht hat gelegentlich seltsame Vorstellungen von „Trespassing“, so wurde David Ritz in North Dakota verurteilt, der unerlaubt einen DNS Zonentransfer durchgeführt hat. In Deutschland stellt sich die Frage in dieser Form nicht, der relevante § 202a StGB „Ausspähen von Daten“ verlangt, dass die Daten geschützt sind.
8. März 2008
Im Google Security Blog ist ein Whitepaper zu Drive-by Downloads (PDF) erschienen. Andreas mit dem rauchenden Colt hat es zuerst gesehen und schön zusammengefaßt. Ich wiederhole daher hier nur sein Fazit:
„Antiviren-Programme schützen nur mangelhaft gegen Drive-by-Downloads. [… Man sollte] nicht mehr mit dem Internet Explorer surfen, sondern mit Firefox und außerdem die Erweiterungen Noscript sowie Adblock Plus verwenden.“
Dem ist nichts hinzuzufügen.
(via Smoking Gun und im Google Blog)
7. März 2008
Es gibt manchmal noch Webportale, die dürfte es eigentlich gar nicht mehr geben. Nicht, weil sie verboten schlimm aussehen sondern eher weil man sich wundert, dass die Seite noch nicht gehackt wurde. Oder, der Anbieter hat es nur noch nicht gemerkt. Die folgende Seite, ein Teilnehmer eines Security Workshops von mir hat sie (während einer Google Hacking Übung) gefunden, ist so ein Beispiel:
Für mich sieht das wie eine alte Version von Horde aus. Da gab es ein paar nette Möglichkeiten, weitere Informationen herauszufinden. Insbesondere mittels test.php kann man sehen, was auf dem Server installiert ist (wenn das File nicht umbenannt wurde).
IMP 3.2.6 ist nicht gerade neu. PHP 4.3.10 sieht auch schon etwas schimmlig aus. Oh, ein Link zu phpinfo wird auch direkt angeboten.
Ich bin begeistert. Insbesondere die Option register_globals, die auf On gesetzt ist freut mich.
Naja, wenn man auf www.all.de nachschaut, wer für den Server verantwortlich ist, dann stößt man auf die D-Hosting GmbH in Berlin, die auf diesem Server anscheinend noch Kunden der insolventen LogiVision hat. So seit 01.05.2005. Aber als Provider hätte man das Webmail-Portal doch inzwischen mal von einem Praktikanten auf einen aktuellen Stand bringen können, oder? Ich kann nur hoffen, dieses Horde ist keine „Mission Critical-Anwendung“, denn die will D-Hosting ja laut Homepage anbieten. Seufz.
Nachtrag:
Heise berichtet heute (08.03.2008), dass alle Horde-Versionen vor 3.1.7 (nicht IMP) eine Sicherheitslücke enthalten. Proof of Concept Exploit ist enthalten.
6. März 2008
E-Mail Wegwerfadressen sind inzwischen ein sehr probates Mittel gegen die Spamflut und die Datensammelwut der diversen Webseitenanbieter geworden. Bei vielen Angeboten insbesondere aus dem amerikanischen Raum ist der Zugang nur nach Anmeldung möglich und hier müssen oft umfangreiche Daten wie Vorname, Nachname, E-Mail, Anschrift, etc. angegeben werden. Die Antwort des Gepeinigten ist daher gerne mal die Nutzung einer Wegwerfadresse sowie Angabe falscher Daten. Emaildienst.de ist beispielsweise ein bekannter Anbieter.
Man sollte allerdings mit diesen offenen Mailservern ein wenig aufpassen. Mit der simplen Eingabe eines Benutzernamens, z.B. Michael oder Andreas kommt man in die Mailbox dieses Users … was vom Prinzip ja auch so gedacht ist, aber ab und an interessante Einblicke enthält. Beispielsweise war anhand einer dieser Spam-Mails ersichtlich, dass john@emaildienst.de sich an der Webseite The Code Project angemeldet hat. Freundlicherweise erlaubt es diese Webseite, sich das „vergessene“ Passwort zuschicken zu lassen.
Also lassen wir das Passwort an john@emaildienst.de schicken, in dessen Postfach können wir ja freundlicherweise hineinsehen.
- Login email: john@emaildienst.de
- Password: frosch
Gut, das ist jetzt kein besonders gutes Passwort aber es funktioniert.
Mein Fazit: Wegwerfadressen sind ja ganz nett, aber man sollte bei der Nutzung doch bitte ein klein wenig aufpassen wofür man sie verwendet. Wenn der Account lediglich zum reinkucken oder Download verwendet wird ist es vermutlich egal ob jemand Zugang zum Passwort hat. Bei anderen Seiten die z.B. auch private E-Mail-Kommunikation erlauben kann die Verwendung solcher Adressen jedoch zum Sicherheitsrisiko werden. Man bleibt dann doch länger angemeldet als gedacht, tauscht private vertrauliche Infos aus und ein Fremder erhält jederzeit Zugriff auf die Kommunikation.
Sehr witzig finde ich in diesem Zusammenhang den Schluss der Mail: „If you received this email but did not yourself request the information, then rest assured that the person making the request did not gain access to any of your information“. Leider falsch.
Nachtrag:
Vielleicht bin ich ja paranoid aber ich stelle mir gerade vor, der Rollstuhlfahrer im Innenministerium hätte gerne Zugriff auf so einen Account von mir. Dann könnte er doch ganz einfach die Datenkommunikation zu meinem Mailserver abhören, mir mein Passwort zuschicken lassen und hat damit auch mein Passwort für den Account.
3. März 2008
Vor ein paar Tagen (genauer am 24. Februar) beschloss die pakistanische Regierung alle nationalen Internet-Provider anzuweisen, YouTube zu blockieren. Regierungszensur in arabischen oder asiatischen Ländern ist nun eigentlich kein Thema für dieses Blog, da würde ich mit den vielen Einträgen nicht mehr mitkommen. Egal ob Burma, Thailand, Singapur, China oder jetzt Pakistan. Gut, Deutschland ist da nicht viel besser aber egal.
Normalerweise kann man Webseiten auf verschiedene Arten blockieren:
- Man erzeugt falsche DNS-Einträge, die sich jedoch trivial umgehen lassen
- Man erzeugt eine ACL auf dem Router, der die IP-Adressen blockiert. Der Betreiber kann jedoch oft schnell seine IP-Adressen wechseln
- Man erzeugt ein Null-Routing, d.h. die IP-Adressen werden ins Nirwana geroutet. Der Betreiber kann hier ebenfalls die IP-Adressen wechseln.
Interessant ist jedoch die Art die die Pakistanische Telecom vorgegangen ist. Sie haben dort eigene Server mit den IP-Adressen (208.65.153.238, 208.65.153.251 und 208.65.153.253) von YouTube aufgesetzt, vermutlich um Nutzern die auf diese Seiten gelangen einen Hinweis auf die Sperrung zu geben. Der Fehler von Pakistan Telecom war jedoch, diese Adressen auch auf den zentralen Routern einzutragen und global zu propagieren.
Aus dem Routing-Grundkurs wissen wir jetzt, dass bekanntlich die Route zieht, die mit der spezifischeren Netzmaske vorliegt. Da die Pakistani ihr Netz mit einer Class C Netzmaske (255.255.255.0) propagierten, eine Netzmaske die im globalen BGP-Netz eigentlich nicht vorkommt, weil bei so kleinen Netzen sonst die Routingtabellen gesprengt würden, hatte dieses Netz plötzlich global die höchste Priorität. Die globalen Router der großen Provider änderten auch prompt ihr Routing und YouTube war global für etwa eine Stunde aus dem Internet verschwunden. Natürlich versehentlich.
Ich stelle mir das jetzt gerade als „Large Scale“ Angriff auf die Internet-Infrastruktur vor. Nicht so schimmlige DoS-Angriffe gegen die DNS Root-Server. Eine Cisco IOS-Lücke und Übernahme zentraler Core-Router im Internet. Und dann falsche Routingtabellen propagieren. Auf diese Weise könnte man locker den Komplettzusammenbruch des Internets herbeiführen.
Ganz neu ist die Gefahr nicht. Ein paar Leute aus der älteren Generation erinnern sich noch an den Vorfall mit dem AS7007, das Routingeinträge von Kunden nicht korrekt ausfilterte und im Internet propagiert hat. Das war 1997. Die Regeln der Provider sagen inzwischen, dass man auf den Routern Filter hat und nur die eigenen Netzwerke propagieren darf aber wenn sich ein Provider wie hier die Pakistani nicht dran halten oder ein Router übernommen wird, dann kracht es halt.
In einem Bericht zum aktuellen Ausfall habe ich den Vorschlag gelesen, dringend Secure BGP (S-BGP) zu implementieren. Nur, das nützt gar nichts wenn die Core-Router der großen Provider den Fehler verursachen. Die haben ja korrekte Keys und können daher korrekt Routen austauschen. Ich habe ganz im Gegenteil den Eindruck, so richtig haben die großen Provider auch keine Vorstellung wie ein solcher Angriff in Zukunft verhindert werden kann.
Mal sehen, wann wir den nächsten Vorfall erleben.
