Mitternachtshacking

Infinity Exists hat ein paar „Full Disclosure“ Videos gepostet, die typische Hacking-Themen abdecken. Die Videos findet man entweder bei YouTube oder direkt zum Download bei Infinity Exists. Nichts so wirklich neues spektakuläres aber trotzdem nicht schlecht. Es zeigt vor allem, wie gut und einfach die Tools inzwischen zu bedienen sind.

• IEFD ep. 1 – Network Hacking – Arp Poisoning
• IEFD ep. 2 – Wireless Hacking – Cracking WEP
• IEFD ep. 3 – Wireless Hacking – DeAuth
• IEFD ep. 5 – Lock Picking – Bump Key
• IEFD ep. 6 – Phone Phreaking – Beige Box
• IEFD ep. 7 – Phone Phreaking/Network Hacking – Sniffing VOIP
• IEFD Ep. 8 – Lock Picking – DIY Padlock Shims
• IEFD Ep. 9 – Lock Picking – Mult-Disc Combo Locks
• IEFD Ep. 10 – Hacking Basics – MD5
• IEFD Ep. 11 – Website Hacking – Sql Injection Part 1
• IEFD Ep. 11 – Website Hacking – Sql Injection Part 2
• IEFD Ep. 12 – Hacking Basics – Backtrack Part 1
• IEFD Ep. 12 – Hacking Basics – Backtrack Part 2
• IEFD Ep. 13 – Website Hacking – XSS part 1
• IEFD Ep. 13 – Website Hacking – XSS part 2

Ich hab sie schon mal auf meine Platte gezogen, anschauen kann ich sie mir in nächster Zeit immer noch.

So Videos scheinen übrigens langsam beliebt zu werden. In der Certified Ethical Hacker Schulung sind Videos dabei, ein Verlag ist bezüglich eines solchen Projekts auch schon auf mich zugekommen.

(mal wieder via Security4All)

zumindest die klassischen Spiele … wie schön 😉

Und Commander Keen spiele ich immer noch gerne. Das läuft sogar auf meinem XP. Erinnert sich eigentlich noch jemand an den Dopefish?

Ich brauche noch eine Kategorie „Nostalgie“ glaube ich. Oder ich werde alt.

Das MIT stellt schon seit geraumer Zeit diverse Vorlesungen und Kurse für Studenten unter dem Titel MITOpenCourseware online. Weil ich den Link immer wieder verliere stelle ich ihn hier erstmal rein 🙂

Die Kurse decken wirklich alle Bereiche ab, auch wenn die am häufigsten gesehenen Kurse aus den Bereichen Physik und Chemie kommen. Ein paar echte IT-Perlen sind jedoch auch dabei:

• Den Kurs 6.857 Network and Computer Security finde ich beispielsweise recht interessant. Alleine das Einstiegsbild mit dem SSL-Handshake schreckt bestimmt schon ein paar Verzagte ab. Andererseits finde ich diese Grafiken immer recht hilfreich um zu zeigen, wie kompliziert IT-Security insgesamt und SSL im speziellen sein kann.
• 6.875 Cryptography and Cryptanalysis kommt auch nicht schlecht aber da wird es schon richtig kompliziert. Das ist dann nur noch für Profis und solche die es werden wollen. Ich glaube, wenn ich die Hälfte davon verstehe bin ich schon zufrieden.
• Und eine Vorlesung die ich auch gerne empfehle ist diese: 6.171 Software Engineering for Web Applications. Es treten so viele Sicherheitslücken in Webapplikationen auf, da braucht es definitiv etwas mehr Software Engineering.

Einziger Nachteil: man braucht sehr viel Zeit, das alles zu Lesen.

Und wem das alles nicht taugt, der findet vielleicht hier etwas. Gödel, Escher, Bach irgendwer? Oder lieber The Anthropology of Computing?

Ich weiß gar nicht, ob ich einen Artikel über Paypal schreiben will. Ich weiß einfach viel zu wenig über diesen Dienst und das wenige, das ich weiß ist so, dass ich Paypal vermutlich niemals verwenden werden.

Paypal Phishing

Phishing bei Paypal ist viel zu einfach.

Daran ist Paypal indirekt mit Schuld. Das Login mit einem selbst gewählten Login und Passwort ohne TANs macht es Hackern einfach viel zu leicht, notwendige Daten abzufangen. Jede normale Bank wäre dadurch längst in die Haftung geraten aber die AGB von Paypal scheinen jeden Schmu abzudecken. Mir persönlich wäre es viel zu gefährlich, da in irgendetwas unerwünschtes hinein zugeraten.

Paypal Zwang

Der Ebay-Konzern zu dem Paypal gehört versucht mit Gewalt, Nutzer an seinen hauseigenen teuren Zahlungsdienst zu binden. Heise schreibt dazu:

„eBay nutzt offenbar den Hype um Apples iPhone, um Verkäufer zu zwingen, sich beim Bezahldienst Paypal zu registrieren und diesen als Bezahlweise anzubieten: Bei der Online-Auktion dürfen nur PayPal-Mitglieder Apples iPhone in einer Versteigerung anbieten. Paypal ist ein Tochterunternehmen des Online-Marktplatzes und trägt nicht unerheblich zu dessen Umsatz bei. Bislang war es Verkäufern freigestellt, ob sie den Bezahldienst nutzen, bei dem außer Einstellungsgebühr und Verkaufsprovision noch zusätzliche Transaktionskosten anfallen.“

Eine einfache Überweisung in Deutschland kostet mich (ein geeignetes Konto vorausgesetzt) gerade mal gar nichts, bei Paypal ich weiß gar nicht wie viel der Überweisung. Im Hinblick auf die real anfallenden Kosten empfinde ich das persönlich schon nahe an der Wucher, egal wie legal das alles noch ist.

Paypal Datenschutz

Der Datenschutz bei Paypal ist leider nicht wirklich existent. Statt dessen ist Paypal immer sehr schnell um persönliche Daten zu sammeln, die Paypal nun wirklich nichts angehen:

Um meine beiden Paypal Konten (werden gewerblich genutzt) mit 1000 Euro Guthaben nach einer vollkommen unverhofften Sperrung im Januar wieder freigeben zu können, musste ich PayPal folgende Sachen schicken: Telefonrechnung, Ausweiskopie, Gewerbeschein und Stromrechnung […]

Und was passiert mit diesen Daten? Nun, Paypal gehört Ebay und zu den Datenschutzbestimmungen von Ebay schreibt beispielsweise die Deutsche Vereinigung für Datenschutz, dass sie vollkommen unzureichend sind.

„Besonders unangenehm ist allerdings die Tatsache, dass Ebay sich erlaubt, sämtliche erhobenen Daten an Dritte weiterzugeben. Vor allem das Versatzstück „zur Abwehr von Gefahren für die staatliche (…) Sicherheit“ sollte bei jedem Datenschützer die Alarmglocken klingeln lassen“

Aha. Das begeistert mich.

Paypal Sicherheitslücken

Leider ist Paypal selbst nicht gerade der sicherste Dienst. Alle paar Ecken tauchen neue Probleme auf. Mal ist es der Security Key, der nicht funktioniert. Dann werden über Paypal die eBay-Kundendaten abgephischt (und wenn sogar das ZDF berichtet, dessen Zielgruppe ja bekanntlich der „Silver Surfer“ ist, der wenig mit Ebay zu tun hat, dann muss es wirklich dramatisch sein. Die Warner von Falle Internet decken regelmäßig Sicherheitsprobleme auf, die mit Ebay und Paypal zu tun haben. Beispielsweise hier:

„Dieser (teilweise unkenntlich gemachten) Codezeile ist zu entnehmen, dass hier ein Programmmodul (cgi-xxx/webscr) der US-amerikanischen Website von PayPal mit dem Befehl aufgerufen wurde, um Daten zu dem eBay-Mitgliedskonto der angegebenen Variable buyer zu liefern.“

Alleine diese extreme Verknüpfung der Datenbanken von Paypal mit der von Ebay macht mir schon Sorge. Wenn an einer Stelle ein Problem auftritt gibt es an allen Ecken ein Problem.

Paypal Schweinereien

So schnell wie Paypal Konten sperrt und dann das Geld einbehält wäre jede andere Bank pleite. Es lohnt sich, dazu den Wikipedia-Artikel zu Paypal und insbesondere die Kritik dazu zu lesen:

„Immer wieder treten im Internet in einschlägigen Foren und Zeitschriften Berichte darüber auf, dass Paypal die Konten seiner Nutzer sperrt, wenn nur der geringste Verdacht besteht, der Kunde gehe terroristischen Aktivitäten nach, oder auch beim behaupteten Verdacht betrügerischer Aktivitäten. Dies trifft auch viele unschuldige Personen, die dann vom Zugriff auf ihr Guthaben ausgeschlossen sind.“

Wenn meine Bank mein Konto sperren würde, alleine auf den vagen Verdacht oder die vage Anschuldigung, ich sei eventuell vielleicht möglicherweise aber doch nicht sicher ein Betrüger … zum Glück gibt es hier noch eine halbwegs funktionierende Bankenaufsicht. Auch wenn wir von ähnlichen Willkürentscheidungen in Deutschland nicht mehr weit entfernt sind.

Fazit

Ich glaube, das kann einfach und kurz ausfallen … Finger weg!

Es ist das Jahr 2010.

Erinnert sich noch irgendjemand an Arcor? Dieser Internetprovider, der irgendwann um die Jahrtausendwende versucht hat dem Magentariesen Konkurrenz zu machen? Nicht? Macht nichts. Ende 2007 begann Arcor ohne Not und sogar freiwillig Webseiten zu sperren. In kurzer Folge trudelten anschließend, nachdem ein paar ahnungslose Honks dieses Providers gezeigt hatten, dass Webseitensperrung wohl doch möglich wären, erste Verfügungen ein. Am Anfang traf es nur Porno-Seiten wie YouPorn für die sich natürlich niemand öffentlich einsetzen wollte. Außer ein paar Unverzagte, die bereits den Untergang der deutschen Internetanbindung kommen sahen. Und Arcor beteuerte, dass sie keine weiteren Seiten sperren wollten.

Heute, wir schreiben das Jahr 2010 existiert Arcor nicht mehr.

Während andere Provider sich weigerten, Webseiten zu sperren wurde Arcor in kurzer Folge von weiteren einstweiligen Verfügungen überzogen. Der „Huch„-Effekt kam, als die gleichnamige PornoMediengruppe eine einstweilige Verfügung gegen Arcor erwirkte, Google zu sperren, da in der Google Bildersuche nackte Brüste zu finden waren. Als Arcor damit anfing große Suchmaschinen zu sperren, denn Google war nur der Anfang, Yahoo und MSN folgten, wendeten sich die Nutzer in Scharen ab. Innerhalb von nur zwei Jahren sank die Kundenzahl von noch 2,43 Millionen im November 2007 auf weniger als 100.000 Ende 2009. Die hohen Betriebskosten konnten so nicht mehr finanziert werden und Arcor wurde zum 1. Januar 2010 von 1&1 übernommen.

Vielleicht wird es so kommen, vielleicht auch ganz anders.

Schön finde ich auch, wie die Heise-Leser das Thema im Forum auf den Punkte gebracht haben: „Tja Arcor, so ist das nunmal: einmal gef*ckt, nie wieder Jungfrau„

Schon einige Zeit online aber bisher übersehen, die aktuelle neue SANS Top 20 ist online.

Client-side Vulnerabilities in:

• C1. Web Browsers
• C2. Office Software
• C3. Email Clients
• C4. Media Players

Server-side Vulnerabilities in:

• S1. Web Applications
• S2. Windows Services
• S3. Unix and Mac OS Services
• S4. Backup Software
• S5. Anti-virus Software
• S6. Management Servers
• S7. Database Software

Security Policy and Personnel:

• H1. Excessive User Rights and Unauthorized Devices
• H2. Phishing/Spear Phishing
• H3. Unencrypted Laptops and Removable Media

Application Abuse:

• A1. Instant Messaging
• A2. Peer-to-Peer Programs

Network Devices:

• N1. VoIP Servers and Phones

Zero Day Attacks:

• Z1. Zero Day Attacks

Webbrowser und Webapplikationen ganz oben sind natürlich kein Wunder. Office hat die zweite Stelle bei Client-side Vulnerabilities gewonnen, aber mein Eindruck ist eher, die Angreifer ziehen bereits weiter (z.B. Quicktime). Neu ist der Punkt H3, unverschlüsselte Laptops und Datenträger. Mal sehen, ob das bei Ernst & Young jemand zur Kenntnis nimmt.

Jeff Jones ist wieder da. Jeff ist der Komiker, der schon mal aufgefallen ist, als er behauptet hat, Microsoft würde Sicherheitslücken schneller schließen als die Linux-Distributoren. Der Originaltext zum Nachlesen und Lachen findet sich auf csoonline.com.

Diesmal hat er eine Grafik gemalt, nach der Firefox viel unsicherer ist als der Internet Explorer. Schauen wir uns die Werte mal an:

Und wenn man sich die nackten Zahlen so anschaut, könnte man tatsächlich meinen, dass der Internet Explorer viel weniger Probleme hat als Firefox. Der komplette Text als PDF findet sich auf der Microsoft Technet Seite.

Natürlich vergleicht Jeff mal wieder Äpfel mit Birnen. Während Microsoft die Lücken nur einmal im Monat schließt und deshalb für 15 Lücken nur einen (übrigens vollkommen intransparenten) Hotfix benötigt, gibt die Mozilla Foundation für jede Lücke direkt ein Update heraus, so dass die Zahl der Lücken natürlich viel größer aussieht. Dazu kommt, dass Microsoft für intern entdeckte Fehler kein Advisory herausgibt, Mozilla jedoch schon. Auch das bläht die Anzahl der Lücken auf. Mike Shaver, der Cheftechnologe der Mozilla Foundation erklärt in seinem Blog alle Schwächen der Zählweise. Danach wäre der Internet Explorer 4 sogar das sicherste Produkt, weil Microsoft in den letzten Jahren keinen einzigen Fix mehr veröffentlichen musste.

Ich frage mich ja langsam ernsthaft, was will Jeff Jones mit diesen leicht zu durchschauenden Kindergartenmethoden erreichen? Ok, er veröffentlicht das auf blogs.csoonline.com, einer Webseite die sich an „Security Executives“ wendet. Also vermutlich Leute, die von praktischer Sicherheit nichts mehr verstehen sondern bei einem harmlosen uralten Denial-of-Service Angriff, den ihr ISO 27001 Auditor vorführt, bereits in Panik verfallen. Aber ist Microsoft wirklich so verzweifelt, dass ihnen nichts besseres mehr einfällt?

Zugegeben, mit einem Punkt hat auch Jeff recht. Microsoft wird besser, was die IT-Sicherheit betrifft. Leider nicht transparenter, aber zumindest etwas sicherer.  Das zeigen unter anderem die vermehrt auftretenden Exploits für Quicktime, Flash und Co. Die Angreifer weichen inzwischen auf schwächere Ziele aus.

PS: Ja, ich habe eine ähnliche Tabelle mit genauso unsinnigen Zahlen vor einiger Zeit für Virenscanner gemacht. Nein, ich habe nicht behauptet, Aladdin eSafe wäre deshalb der beste Virenscanner. Vielleicht ist er es, ich weiß es nicht. Ich verwende Avira und F-Secure.

Eine coole Idee von Heise: Alle Programme und Tools direkt auf einem USB-Stick immer lauffähig dabeihaben und private und dienstliche Programme getrennt verschlüsselt noch dazu.

Pimp my Stick von Axel Vahldiek

unbedingt lesenswert!

Googles Wurzeln an der Stanford University: Die wissenschaftliche Arbeit von Sergey Brin und Lawrence Page, die Google begründet hat.

Natürlich hat sich der Suchalgorithmus inzwischen mehrfach geändert und PageRank dient heute eher dazu, kommerziellen Verlinkern und potentiellen Mitbewerbern zu schaden als wirklich die Suchergebnisse zu steuern. Aber trotzdem spannend zu lesen, wie einfach und daher genial ein paar Ideen waren.

Manche Webserver sind einfach übelst konfiguriert. Da wird man von Haus aus auf Fehlermeldungen gestoßen, die man sich kaum ausdenken kann. Eben hab ich mich ein wenig vertippt und statt www.spiegel.de www-spiegel.de eingegeben. Und bin prompt auf die Seite www.cityname24.de weitergeleitet worden. Mit folgender Fehlermeldung:

Nicht uninteressant:

• Versionsinformationen: Microsoft .NET Framework Version:1.1.4322.2407; ASP.NET-Version:1.1.4322.2407
• System.Data.OleDb.OleDbException
• D:\www-kunden\Kunde11492\329\mtrport.aspx
• Zeile 45: row[„zaehler“] = int_zaehler;
  Zeile 47: adapter.Update(dataset,“zaehler“);
  Zeile 49: myDataGrid.EditItemIndex = -1;

Da kann man schon was mit anfangen 🙂

Die Startseite sieht auch nicht besser aus:

Die Fehlermeldung sagt u.a.:

• Versionsinformationen: Microsoft .NET Framework Version:1.1.4322.2407; ASP.NET-Version:1.1.4322.2407
• System.NullReferenceException: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.
• [NullReferenceException: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.]
  _ASP.index_aspx.__Render__control1(HtmlTextWriter __output, Control parameterContainer) +9305
  System.Web.UI.Control.RenderChildren(HtmlTextWriter writer) +27
  System.Web.UI.Control.Render(HtmlTextWriter writer) +7
  System.Web.UI.Control.RenderControl(HtmlTextWriter writer) +243
  System.Web.UI.Page.ProcessRequestMain() +1926

Und dabei schreibt die Seite dem Entwickler doch sogar extra noch:

„This error page might contain sensitive information because ASP.NET is configured to show verbose error messages using <customErrors mode=“Off“>. Consider using <customErrors mode=“On“/> or <customErrors mode=“RemoteOnly“/> in production environments.“

Da ist nichts mehr zu retten. Jetzt brauch ich nur noch einen kleinen Exploit.