Mitternachtshacking

Na gut, das kommt vor. Eigentlich ist das auch keine Nachricht wert. Ich hab’s zufällig bei The Register gelesen.

Aber es gibt ein Video auf YouTube bzw. hier die hochauflösende Fassung (17,1 MB .mov) von jemandem, der auf die Seite geklickt und die Malware analysiert hat:

Bei der Analyse werden zwei Tools verwendet:

• WRremote v.2
• Browser Helper Object v.3

Wo bitteschön finde ich die Tools?

Skype fällt bei Heise mal wieder komisch auf:

Angeblich öffnet Skype auf Linux ein paar merkwürdige Dateien wie /etc/passwd (vermutlich nicht merkwürdig) und durchsucht das Firefox-Homeverzeichnis. Naja, das Password-File muss jedes Programm lesen, das für eine User-ID einen Loginnamen und ein Homeverzeichnis benötigt (wenn es sich nicht auf Environment-Variablen verlassen will) und im Firefox-Verzeichnis finden sich halt auch so sinnvolle Sachen wie Proxy-Einstellungen, die Skype braucht um ins Internet zu kommen. Erstmal harmlos soweit. Im Skype-Forum wird das auch relativ sachlich diskutiert.

Nur leider ist Skype nicht zum ersten Mal auffällig geworden. Ein Serientäter sozusagen. Bei Pagetable zum Beispiel mit einer Routine zum Auslesen des BIOS. Der Inquirer hat das dann verbreitet. Genutzt wurde so etwas zum Beispiel, damit nur Intel- und nicht AMD-Anwender in den Genuss der 10er-Konferenz kommen. Sogar Kaspersky hat zu Skype ein paar nette bunte Bildchen gemalt. Zwar nach dem Motto: haben wir keine Fakten, machen wir halt eine Umfrage. Aber sieht immerhin cool aus.

Ein Forum-Teilnehmer bringt die Skype-Misere zum Abschluss noch schön auf den Punkt:

What is so bad about Skype:

• Skype has been taken over by eBay for an ludicrous amount
• eBay has a history of cooperating with federal agencies far beyond the law
• Skype is using far more protection against reverse engineering than any software I am aware of
• Kazaa claimed not to be spyware but was found to be later. Skype has been developed by the very same people.

Dem kann man außer meiner Analyse von früher kaum was hinzufügen.

Wir kennen ja aus dem Fingerprinting der Webserver, dass Microsofts IIS gerne eine ASPSESSIONID mitschickt und Apache ein ETag. Das ist ganz praktisch, um den Webserver zu identifizieren, wenn kein brauchbarer Server-String mitgeschickt wird. (Alternativ kann man auch einfach Netcraft fragen.)

~> telnet www.mitternachtshacking.de 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Date: Sun, 26 Aug 2007 04:21:17 GMT
Server: Apache/2.2.0 (Linux/SUSE)
Last-Modified: Wed, 26 Apr 2006 15:56:38 GMT
ETag: "310f-2544-844df980"

Das ETag wird jedoch eigentlich verwendet, damit der Browser entscheiden kann, ob er ein Dokument bereits im Cache hat und nicht mehr neu laden muss oder ob er das Dokument neu anfordert.

Apache setzt das ETag normalerweise aus drei Informationen zusammen: aus der Inode-Nummer, dem Datum der letzten Dateiänderung und der Dateigröße. Das Datum und die Dateigröße sind bekannt. Kann man mit der Inode-Nummer nun etwas anfangen?

Einige Server setzen mit Hilfe der ETag-Direktive das ETag so, dass nur Änderungsdatum und Größe in das ETag einfließen. Das ist insbesondere dann relevant, wenn ein Reverse-Proxy Loadbalancing mehrerer Webserver anbietet. Wenn keine Inode-Nummer enthalten ist und Änderungsdatum und Größe bekannt sind, kann man dann mit dieser Information Cache-Informationen invalidieren?

Mal testen …

(via Joshua Schachter)

Skype-User hatten und haben gestern und heute anscheinend eine größere Zahl von Benutzern ein Problem mit der Anmeldung am Netzwerk. Im Skype-Blog gibt es dazu folgende Verlautbarung:

The Skype system has not crashed or been victim of a cyber attack. We love our customers too much to let that happen. This problem occurred because of a deficiency in an algorithm within Skype networking software. This controls the interaction between the user’s own Skype client and the rest of the Skype network.

Das spiegelt die häufigsten Kritikpunkte von Skype wieder:

1. Keine geprüfte, bewährte Technologie, die seit Jahren im Einsatz ist und die Skalierbarkeit bereits unter Beweis gestellt hat
2. Proprietäre Closed-Source Technologie, keiner weiß was die verwendeten Algorithmen oder das Verschlüsselungsverfahren wirklich taugen
3. Die rechtlichen Risiken z.B. was das Eigentum der Skype-ID betrifft oder die geschäftliche Nutzung sind nicht geklärt

Anwender, die geschäftlich auf die Nutzung von Skype angewiesen sind, haben hier leider verloren. Es freut mich ja, dass Skype seine Kunden liebt. Aber leider besteht kein Anspruch auf Ersatz irgendwelcher Schäden und freiwillig wird Skype (wir erinnern uns, as Unternehmen gehört zu eBay) vermutlich nichts rausrücken.

Damit nicht genug. Spiegel Online berichtet über ein zweites Problem mit Skype, das insbesondere in Deutschland die Anwender zu quälen scheint:

Auch in Deutschland hat Skype ein peinliches, für die betroffenen Kunden höchst irritierendes Problem: Zahlreiche Kunden mit einem kostenpflichtigen SkypeIn/SkypeOut-Vertrag verloren in den letzten Wochen ihre Telefonnummer und waren nicht mehr zu erreichen – oftmals ohne es zu merken und ohne von Skype darüber informiert zu werden. Offenbar kommt es vor allem bei Vertragsverlängerungen zur Abschaltung der gemieteten Telefonnummern, die Gebühren werden aber kassiert.

Sehr amüsant, dass Anwender aufgefordert werden, ihre Beschwerde an die E-Mail Adresse support@skype.net zu richten. An dieser Adresse schlägt vermutlich alles auf, von Benutzern die ihre Software nicht mehr starten können, zu Problemen mit der Installation, Rechnungsfehlern, etc. Wie gut sich amerikanische Firmen um die E-Mail Anfragen deutscher Kunden kümmern … dazu möchte ich mich lieber nicht äußern. Bei der Deutschen Telekom bekomme ich wenigstens noch einen echten Menschen an das Telefon. Skype lässt sich nicht mal per Skype anrufen. Da ist man froh, wenn man auf so einen Dienst geschäftlich gerade nicht angewiesen ist.

Ich kann mich nur wiederholen: Skype ist im Unternehmen ein klares no-go!

War eigentlich klar.

Ich frage mich ja, ob man analog zur Versteigerungsplattform von WabiLabiSabi eine Plattform zum Verkauf von Viren, Trojanern und Botnetzen einrichten könnte. Oder wird das durch den § 202c illegal?

Jetzt werden nicht nur menschliche Identitäten geklaut, nein, inzwischen sind sogar Pudel dran. Die Identität (Name, Fotos, etc.) eines preisgekrönten Pudels wurde auf fremden Webseiten verwendet, um potentiellen Kunden teure Rassepudelwelpen anzudrehen, die gar nicht so toll sind.

Irgendwie erinnert mich das an den Fall, wo Japanern junge Schafe als Pudel verkauft wurden!!1!

Die Zero-Day Initiative von TippingPoint hat ganz aktuell ein paar Zahlen veröffentlicht:

In den letzten zwei Jahren haben etwa 600 verschiedene Sicherheitsforscher 1000 Lücken an ZDI gemeldet. Aktuell bekommt ZDI rund 40 Lücken pro Monat und nimmt 10%, also 4 davon tatsächlich an (d.h. bezahlt Geld dafür).

Ich fürchte, unter diesen Bedingungen kann man noch nicht davon leben. Interessanterweise bezahlen Black Hats deutlich mehr für einen brauchbaren 0-Day als White Hats.

Der BSI Lagebericht 2007 zur IT-Sicherheit in Deutschland ist da.

Muahahaha, oder wie Fefe schreiben würde: Das merken die NIE !!!1!!

JdM von 23sr hat’s doch bemerkt, nämlich, dass man dem Verisign Trusted Shop Siegel falsche Daten unterjubeln kann. Dann sieht es so aus, als hätte man einen Verisign-zertifizierten Shop und in Wirklichkeit stimmt das gar nicht. Dazu stellt er die Frage: „Wie viele der Siegel klickst DU vor einer Bestellung an? Prüfst DU einen Shop wirklich?“

Meine Antwort: KEINE. Das macht auch gar keinen Sinn.

Ich rege mich sonst nur wieder über solche Shops auf:

www.watchbizz.de

• Die URL an sich ist schon genial: http://www.watchbizz.de/ssl/shop/index.htm. Schön, dass SSL wenigstens in der URL vorkommt, wenn auch sonst von SSL nichts zu finden ist.
• Auch Klasse ist die Shopsoftware. Mit der Maus über einen [Bestellen]-Button fahren zeigt, was aufgerufen wird: ArtNr=902527&Bez=OmegaSportuhrenHardcover&Preis=69,00&Anz=1, eine URL in der der Artikel und Preis enthalten sind. Manipulation trivial möglich, und wenn vielleicht gerade Weihnachtsgeschäft und viel los ist und man die Bezeichnung um „Promotion“ ergänzt, fällt ein günstigerer Preis gar nicht wirklich auf.

www.handy-discount-shop.de

• Der Shop hat ein schönes „Trusted Shops„-Logo, wenn auch nicht von Verisign. Gut, der nette Verisign-Trick funktioniert bei dem Logo nicht, sind leider nicht alle so doof.
• Die Freunde haben jedoch ein ähnliches Problem mit der Preisübergabe in der URL: bestellen_o2_genion_duo.php?handy=Nokia N95 und Motorola F3&preis=39. Aber vermutlich sagt das Logo eh nur, dass der Shop ein wenig ehrlicher als die anderen im Internet ist. Und das mit den Preisen … ist doch egal, oder?

Ach ja .. Verisign. Das sind übrigens die, die in die .com-Zone Wildcard-DNS eingeführt hatten und Jamba gehört denen auch. Da brauch ich auf das Siegel gar nicht klicken, da weiß ich vorher schon, dass ich da lieber nicht einkaufen will.

Der erste echte Virus außerhalb eines Testlabs, Elk Cloner, wurde im Juli 1982 veröffentlicht. Ironischerweise nicht für ein Microsoft-Betriebssystem, die spielten damals noch keine Rolle sondern für den Apple II. Für die Historiker deshalb hier ein kurzer Abriß der Geschichte:

1980: Jürgen Kraus verfasst an der Universität Dortmund eine Diplomarbeit mit dem Titel „Selbstreproduktion bei Programmen“
1981: „Computervirus“ taucht zum ersten Mal im Gespräch zwischen Prof. Adlemann und Doktorand Fred Cohen
1984: Fred Cohen veröffentlicht seine Dissertation über Computerviren: „Computer Viruses – Theory and Experiments“
1985: Zeitschrift „Apples“ veröffentlicht einen Virus für Apple II
1986: Erster Virus für MS-DOS: „Brain“ wird von zwei Software-Händlern in Pakistan programmiert um gegen Raubkopien ihrer Software zu protestieren.
1987: Leigh-Virus; Cascade-Virus (speicherresident!), Jerusalem-Virus
1989: erste polymoprhe Viren: Washburn-Virus
1990: Whale-Virus (Tarnkappen-Eigenschaften!), Virus Construction Set für MS-DOS wird verbreitet
1992: Michelangelo-Hysterie, Dark Avenger Mutation Engine veröffentlicht
1994: One_Half-Virus (Multipart, variable Entschlüsselungs-Engine)
1995: Win95.Boza – erste Virus für Win95, erste Makro-Viren (Concept, DMV)
1997: Stoag – der erste Linux-Virus; auf CeBIT wird Wazzu.C Makro-Virus verteilt
1998 Trojanische Pferde NetBus und BackOrifice
1999: Melissa-Wurm, Happy 99 (Wurm für Windows 95/98)
1999: Excel ODBC-Wurm
2000: I Love You Wurm (Basic-Programm)
2001: Wurm Anna Kournikova (*.vbs.jpg)
2001: Linux-Wurm Lion
2001: Linux/Windows-Virus W32.Winux
2003/2004: Netsky und andere Verbreiten sich mit bisher unbekannter Geschwindigkeit
2004: Source Code von vielen Würmern wird veröffentlicht, neue Virenwellen
2004: Erster Bluetooth Handy-Wurm „Cabir“

Man sieht, es kann nur noch schlimmer werden …