24. November 2007
Unglaublich, sogar in UK ist bereits bekanntgeworden, dass es möglich ist VoIP-Gespräche abzuhören. Und noch unglaublicher, ein VoIP-Security „Experte“ namens Peter Cox (Mitgründer von Borderware) hat eine „Proof-of-Concept“ Software veröffentlicht mit der sich VoIP-basierte Telefongespräche abhören lassen. Und das allerkrasseste: das ist sowohl dem Inquirer als auch PC World eine Schlagzeile wert.
Wenn ich richtig informiert bin, hat Kollege Matthias das Abhören von VoIP-Gesprächen bereits am 24. April vorgeführt. Dazu genügt ein handelsübliches, d.h. frei erhältliches Cain & Abel. Mit diversen SIP-Tools kann man sogar noch viel mehr anstellen.
Ach ja … veröffentlicht ist übertrieben. Cox hat nur eine Webseite aufgesetzt, wo man ein paar aufgezeichnete VoIP-Gespräche mithören kann.
Es gibt also nichts zu sehen. Bitte gehen Sie weiter.
21. November 2007
Phishing via Tor-Exit-Nodes ist eigentlich nichts ganz neues und die Erfinder von Tor weisen auch immer wieder darauf hin, dass Tor keinen Schutz vor dem Ausspähen von Daten bietet. Inzwischen findet man sogar Tor-Exit-Nodes, die gezielt nur unverschlüsselte Protokolle erlauben. Das erleichtert natürlich massiv das Phishing. Es sind sogar schon Exit-Nodes aufgetaucht, die falsche Zertifikate für Man-in-the-Middle-Angriffe herausgeben. Interessanterweise sitzt der Node in Deutschland (217.233.212.114, Dt. Telekom).
Hmm … vielleicht könnte das ein neues Geschäftsmodell ergeben …. ?
20. November 2007
Cisco hat ein neues Corporate Security Blog. Ich bin ja mal gespannt, ob da mehr drin steht als das übliche Marketingblabla. Wenn das so wird, wie das Google Online Security Blog, in dem alle paar Monate mal ein Artikel drinsteht, wird es sich nicht lohnen da reinzukucken.
17. November 2007
ICANN diskutiert mal wieder, der alte Laberverein. Das sind die mutmaßlich korrupten Bürokraten, die den Vertrag für die com-Registry mit einem Blankovertrag bzgl. Preiserhöhungen an Verisign vergeben haben, weshalb die com-Domänen demnächst doppelt so teuer werden wie de-Domänen.
Diesmal geht es um Regionaldomains, also sowas wie „.cat“ (gibt es schon), „.eu“ (gibt es auch), „.asia“ (gibt es auch schon, aber ist noch nicht aktiv), „.berlin“ (braucht das wer?), „.africa„, „.lat„, usw. usf.
Ich verstehe jetzt (mal so aus bayrischer Sicht gesprochen) die Diskussion nicht ganz. Bayern Tourismus residiert doch unter der Domain www.bayern.by, scheint also ok zu sein. Gut, es gibt da irgendwie eine kleine Verwechslung: Laut Wikipedia gehört die Länderdomain „.by“ nicht Bayern sondern Weißrussland. Da scheint es sich um einen Fehler zu handeln. Weißrussland soll meinetwegen „.wr“ (white russia, wäre noch frei) oder „.br“ (belarus, Brasilien kann ja auf „.bl“ wechseln) verwenden.
Darum sollte sich ICANN mal kümmern! Ist doch nicht zumutbar, dass wir Bayern unsere Domains auf kyrillisch registrieren müssen.
(via Heise, die irgendwas von komische GeoTLDs erzählen. Brauche ich ein Pferd, wenn ich auch einen Metzger habe?)
16. November 2007
Neulich mal wieder in meiner Inbox:
Interessantes Social Engineering, insbesondere die deutsche Adressen. Wie üblich, das Exe einmal kurz Virustotal übergeben:
| Antivirus |
Version |
Letzte Akt. |
Ergebnis |
| AhnLab-V3 |
2007.11.17.0 |
2007.11.16 |
– |
| Authentium |
4.93.8 |
2007.11.16 |
W32/Trojan.AMBF |
| AVG |
7.5.0.503 |
2007.11.16 |
PSW.Generic4.FVG |
| CAT-QuickHeal |
9.00 |
2007.11.16 |
– |
| DrWeb |
4.44.0.09170 |
2007.11.16 |
Trojan.PWS.Lineage |
| eTrust-Vet |
31.2.5300 |
2007.11.16 |
– |
| FileAdvisor |
1 |
2007.11.16 |
– |
| F-Prot |
4.4.2.54 |
2007.11.16 |
W32/Trojan.AMBF |
| Ikarus |
T3.1.1.12 |
2007.11.16 |
Trojan-Spy.Win32.Goldun.lw |
| McAfee |
5165 |
2007.11.16 |
Generic PWS.y |
| NOD32v2 |
2664 |
2007.11.16 |
Win32/TrojanDropper.ErPack |
| Panda |
9.0.0.4 |
2007.11.16 |
– |
| Rising |
20.18.40.00 |
2007.11.16 |
– |
| Sunbelt |
2.2.907.0 |
2007.11.16 |
Trojan-Dropper.Delf.HT |
| TheHacker |
6.2.9.132 |
2007.11.16 |
– |
| VirusBuster |
4.3.26:9 |
2007.11.16 |
TrojanSpy.BZub.AFW |
Interessanterweise wurde der Downloadlink nicht irgendwie maskiert, die Datei liegt wirklich auf diesem Server. Ist das ein Trend?
Ach ja:
DNS: www.cristhmasx.com –> 58.65.239.99
APNIC: 58.65.239.99 –> HostFresh Internet Service Provider, Hong Kong
und besonders witzig: Auf der Webseite steht „this account temporally suspensed for security reason“ aber der Trojaner-Download funktioniert trotzdem
10. November 2007
Ein Amerikanischer Security Consultant (alles Verbrecher, alleine wer sich schon als „Security Consultant“ bezeichnet … wo ist mein Bullshit Bingo?), John Kenneth Schiefer (kennt den irgendwer?) ist mit einem Botnetz von 250.000 Rechnern erwischt worden. Er hat damit Identitäten gestohlen und Bankdaten ausgespäht.
Ich frage mich ja ab und an, wo der Nutzen dabei liegt. Bankdaten schön und gut, aber irgendwann muss man auch irgendwie das Geld cash auf die Tatze bekommen. Die vielen Phisher haben ja das gleiche Problem. PINs und TANs ausspähen scheint recht einfach zu sein. Irgendwelche Idioten zu finden, die das Geld auf ihrem Privatkonto entgegennehmen und dann mit Western Union nach Estland verschicken ist offensichtlich schwieriger. Und auf das eigene Konto überweisen lassen ist leider auch keine Lösung. Das Geld ist schneller wieder weg als man es ausgeben kann.
Und wie groß war der Gewinn? Er zahlt 19.128,35 USD zurück, die Summe die er mit Affiliate-Gebühren eingenommen hat. Ich vermute mal, ein brauchbarer Security Consultant kann das mit (halbwegs) ehrlicher Arbeit in einem Monat verdienen. Erinnert sich noch jemand an Andreas von Zitzewitz, den ehemaligen Vorstand von Infineon der sich bei einem Millionengehalt mit müden 300.000 Euro mutmaßlich hat bestechen lassen und dann zurücktreten musste? Ich denke, jeder ist käuflich oder würde für genug Geld kriminell werden. Aber dann muss die Summe auch stimmen. Ein schlappes Monatsgehalt wäre mir da zu wenig.
Mehr bei The Register.
9. November 2007
Die Schnarchnasen beim Bund kapieren es auch nach dem Ärger mit der Elster-Software immer noch nicht, dass es auch andere Betriebssysteme außer Windows gibt. Die Online-Vergabeplattform des Bundes (lustige Webadresse evergabe-online.info, ist das vielleicht in Wirklichkeit eine Phishing-Seite?) funktioniert leider nur mit Windows, berichtet Heise.
Der Berliner Fachanwalt Michael Schinagl geht daher davon aus, „dass sämtliche Ausschreibungen des Bundes zur Zeit angreifbar sind“.
Da kann man nur hoffen, dass möglichst viele Ausschreibungen auch wirklich angegriffen werden, damit die Bundesidioten endlich kapieren, dass es außer Windows auch noch was anderes gibt.
5. November 2007
Es gibt mehrere Möglichkeiten, einen Benutzer einer Webseite zu authentisieren. Die klassischen beiden Methoden sind:
- HTTP Basic/Digest Authentication
- Form-based Authentication mit Cookies
Die meisten Webseiten verwenden heute formularbasierte Authentisierung, d.h. irgendwo in der Webseite ein Eingabeformular für Login und Passwort, das an ein Programm auf dem Webserver geschickt wird der die Eingabe überprüft und bei korrekter Anmeldung ein Session-Cookie zurückgibt, das als Nachweis der erfolgreichen Anmeldung fungiert. Praktisch alle Seiten die ich kenne und auch alle Freemailer, egal ob z.B. web.de, GMX, Hotmail, etc. und alle Banken arbeiten so. Das hat mehrere Gründe:
- Das Formular lässt sich beliebig im Design der Webseite unterbringen während das HTTP Authentication Popup durch den Browser dargestellt wird und sich nicht im Corporate Design darstellen lässt.
- Die formularbasierte Authentisierung wird von einem serverseitigen Programm angenommen, das die Benutzer z.B. gegen eine SQL-Datenbank verifizieren lässt. Eine große Anzahl von Benutzern lässt sich so einfach verwalten.
- Die formularbasierte Authentisierung unterstützt problemlos auch Einmalpasswörter, Token (z.B. RSA SecurID) und Zertifikate. Die HTTP Basic/Digest Authentisierung wird meistens direkt vom Webserver durchgeführt und verwendet einfache Passwort-Dateien (ja, es gibt z.B. für den Apache Module die starke Authentisierung ermöglichen aber dann wird es schnell beliebig kompliziert).
- Das HTTP Basic/Digest Authentication Passwort wird vom Browser ohne eine Lebenszeit gespeichert während sich einem Cookie trivial eine Lebenszeit und damit eine Gültigkeitsdauer mitgeben lässt.
Wenn auf einer Webseite dann doch noch HTTP Basic/Digest Authentisierung verwendet wird ist das folglich ein Grund, einmal genauer nachzuschauen. Als Beispiel verwende ich hier eine Seite des CCC, das Paper Submission System für den 24C3 Kongress auf Pentabarf.org, viele andere Seiten leiden aber unter dem gleichen Problem.
Die Anmeldung auf der Seite nach Anlegen eines Benutzers und eines Passworts erfolgt über das Popup-Fenster des Webbrowsers: „Geben Sie Benutzernamen und Passwort für Pentabarf ein“. Das Fenster selbst wird durch den Browser erzeugt, hier wird offensichtlich HTTP Basic/Digest Authentisierung verwendet:
Firefox bietet mir hier an, das Passwort im Passwort-Manager zu speichern aber das will ich normalerweise lieber nicht haben. Nach der Anmeldung kann man dann seinen Vortrag für den 24C3 eintragen.
Ich will ja eigentlich schon seit geraumer Zeit mal was erzählen aber bisher habe ich weder ein ausreichend spannendes Thema noch genug Zeit gefunden, einen ansprechenden Vortrag vorzubereiten. Naja, vielleicht 2008 😉
Die Seite bietet in der linken Spalte einen Menüpunkt „Logout“. Das ist interessant, weil es keine triviale Methode gibt, das im Browser gespeicherte Passwort zu löschen. Mal sehen, was passiert:
Hier fangen die Probleme an. Da es keine einfache Möglichkeit gibt, den Browser das Passwort vergessen zu lassen, versucht die Seite hier einen etwas unsauberen Trick. Die einzige Möglichkeit, einen Browser das Passwort einer Domain vergessen zu lassen ist, den Browser für die gleiche Domain eine neue Login/Passwort-Kombination speichern zu lassen. Dafür richtet man üblicherweise eine spezielle Seite ein, für die z.B. die Kombination logout/<kein Passwort> gültig ist. Der Nutzer klickt auf den Logout-Link, das alte Passwort ist ungültig und wenn der Nutzer bestätigt, wird die gespeicherte Login/Passwort-Kombination im Browser überschrieben.
Leider kann man dabei ein paar Sachen falsch machen:
Wenn der Anwender oben auf „nein“ bzw. „cancel“ klickt, übernimmt der Browser die neuen Anmeldedaten nicht, das alte Login/Passwort bleibt weiterhin gültig.
Die Logout-URL verwendet „logout@cccv.pentabarf.org“, Benutzername in einer URL wird jedoch vom Internet Explorer seit dem kumulativen Sicherheitsupdate für den Internet Explorer (832894) vom 2. Februar 2004 nicht mehr unterstützt. Da gab es leider zu viele Phishing-Versuche und ahnungslose Nutzer sind reihenweise auf URLs wie www.postbank.de@xyz.hk reingefallen und haben ihre PINs und TANs eingegeben. Das Verfahren funktioniert mit dem Internet Explorer so folglich gar nicht.
Mein Firefox (2.0.0.9) ist davon auch nicht beeindruckt, er scheint sich das alte Passwort und das neue Passwort auch gleich zu merken. Jedenfalls komme ich mit der „Back“-Taste oder einem Relogin ohne Eingabe des Passworts wieder auf die Inhalte:
In meinem Firefox kann ich via Extras -> Private Daten löschen (Strg+Umschalt+Entf) alle gespeicherten Daten löschen, dann sind die Passwörter auch weg. Auf meinem Arbeitsplatzrechner ist mir das eigentlich auch egal, da kommt niemand außer mir hin. Im Internet Café muss man leider dran denken, die Passwörter niemals in den Passwort-Manager zu übernehmen und den Browser nach dem Zugriff auf so eine Seite immer schließen, damit die gespeicherten Daten verloren gehen.
Das ist jetzt sicher keine gefährliche Lücke aber mit den aufkommenden Cross Site Request Forgeries (CSRF) sollte man auf solche Probleme vermehrt achten. Ach ja, ich schätze die Schwachstelle nicht so kritisch ein, dass ich sie vorher hätte melden müssen.
2. November 2007
Also man kann ja von JavaScript denken was man will, man kommt kaum noch darum herum. Wie viele Sprachen entwickelt sich folglich auch JavaScript weiter, als nächstes folgt die Version 4, aktuell als „ECMAScript 4th Edition“ in der Standardisierung.
Und jetzt wird es mal wieder lustig.
Die Spezialisten von „Embrace and Extend„, von proprietären Erweiterungen die nur einem Hersteller nutzen und allen Kunden schaden, genau dieser Hersteller jammert jetzt herum, dass ECMAScript 4 zu viele Erweiterungen enthalte. Die Taktik ist natürlich klar. Wenn ECMAScript 4 eine vollwertige Programmiersprache wird dann braucht es weniger proprietäre Ansätze wie C# etc., d.h. ein einzelner Hersteller kann nur verlieren während alle anderen gewinnen. Irgendwie erinnert mich das an OOXML …
Unabhängig davon … JavaScript ist echt eine Seuche. Inzwischen taucht der Dreck sogar schon in PDF auf und ich muss meinem Acrobat Reader mühsam beibringen, dass er kein JavaScript ausführen darf (und der verdammte Reader warnt bei jedem File mit einem verdammten Popup, weil JavaScript deaktiviert ist). Ich frag mich ja, wo noch so JavaScript drin ist wo eigentlich nichts drin sein sollte.
Was noch?
31. Oktober 2007
eBay entwickelt sich langsam so in Richtung eines schweizer Käses … wenn irgendjemand Daten braucht, einfach bei eBay reinhacken und fertig. Ich hab mal ein paar Links von Heise zusammengestellt:
Also neee, oder?
