Mitternachtshacking

Das UK „Centre for the Protection of National Infrastructure“ in Person von Fernando Gont hat ein hervorragendes Dokument über die Schwachstellen in TCP veröffentlicht:

„During the last twenty years, many vulnerabilities have been identified in the TCP/IP stacks of a number of systems. Some of them were based on flaws in some protocol implementations, affecting only a reduced number of systems, while others were based in flaws in the protocols themselves, affecting virtually every existing implementation. Even in the last couple of years, researchers were still working on security problems in the core protocols.

For some reason, much of the effort of the security community on the Internet protocols did not result in official documents (RFCs) being issued by the IETF (Internet Engineering Task Force). This basically led to a situation in which ‚known‘ security problems have not always been addressed by all vendors. In addition, in many cases vendors have implemented quick ‚fixes‘ to the identified vulnerabilities without a careful analysis of their effectiveness and their impact on interoperability.“

Das sind 130 Seiten, die vom CPNI heruntergeladen werden können. Das ist ein „must read“ für alle Penetrationstester, die sich mit Portscans, Denial-of-Service Angriffen, TCP/IP Fingerprinting oder Session Injection Angriffen beschäftigen. Das Dokument enthält Beispiel-Source-Code, Erklärungen und Hintergrundinformationen die ich in dieser Form und Tiefe weder aus dem Stevens noch aus dem Comer kenne. Nehmt euch die Zeit, so zwei bis drei Stunden um das zu lesen und so gut wie möglich zu verstehen. Und wenn ihr weder den Stevens noch den Comer kennt, kauft euch einen von den beiden. Ich persönlich bevorzuge den Stevens aber das ist mehr so eine Geschmacksfrage.

Sowas würde ich gerne mal vom deutschen Bundesamt für Sicherheit in der Informationstechnik sehen und nicht immer nur die alte Leier vom Grundschutz.

Randbemerkung:

„Die inzwischen an den Gesprächen beteiligten acht Zugangsanbieter würden zwar 95 Prozent des Marktes abdecken, aber eben nicht 100 Prozent.“

steht hier bei Heise.

Interessant. Mir war nicht bewusst, dass es lediglich noch acht relevante Zugangsanbieter gibt und der Rest völlig marginalisiert ist. Das ist ja schlimmer als bei den Mineralölgesellschaften. Erstaunlich eigentlich, dass es da noch Wettbewerb gibt.

In den letzten Tagen sind über 6000 bisher geheime Dokumente des Congressional Research Service bei Wikileaks aufgetaucht. Der Congressional Research Service ist die Forschungs- und Informationsgruppe des US Congress mit einem Budget von etwas über 100 Millionen USD pro Jahr. In Deutschland gibt es so etwas ähnliches, da nennt sich das „Wissenschaftliche Dienste des Bundestags„. Ein Ärgernis des CRS ist vor allem, dass die dort erstellten Berichte und Empfehlungen zwar qualitativ sehr hochwertig sind, der Öffentlichkeit jedoch nicht zur Verfügung stehen. Einzelne Berichte sind zwar bei OpenCRS aufgetaucht, nicht jedoch komplette Jahresarchive. Wikileaks hat das jetzt ein wenig geändert. Ein paar der Reports sind auch für IT-Security-Leute interessant, den einen oder anderen möchte ich deshalb hier kurz erwähnen.

CRS Report RL31787: Information Operations, Electronic Warfare, and Cyberwar: Capabilities and Related Policy Issues

Der Bericht RL31787 vom 5. Juni 2007 beschäftigt sich mit den Möglichkeiten des US Department of Defense zur elektronischen Kriegsführung. Sehr interessant finde ich bereits die Begrifflichkeiten, die das DoD verwendet:

• DoD Information Operations Core Capabilities
  • Psychological Operations (PSYOP)
  • Military Deception (MILDEC)
  • Operational Security (OPSEC)
  • Computer Network Operations (CNO)
    • Computer Network Defense (CND)
    • Computer Network Exploitation (CNE)
    • Computer Network Attack (CNA)
  • Electronic Warfare (EW)
    • Domination of the Electromagnetic Spectrum
    • Electromagnetic Non-Kinetic Weapons

Das DoD verwendet dafür generell den Überbegriff „Information Operations (IO)“, der Fokus von IO liegt darin, den Entscheidungsprozess des Gegners zu stören bzw. zu beeinflussen. Explizit genannt wird die Beeinflussung von Computersystemen durch Schadprogramme, die Zerstörung von Computersystemen durch Hochenergie-Impulse (vermutlich EMPs) sowie die Störung von Sensoren und Radar.

Die Unterscheidung zwischen Computer Network Exploitation (CNE) und Computer Network Attack (CNA) liegt hauptsächlich darin, dass für die Exploitation die Hackingtools so modifiziert werden müssen, dass die Systeme selbst nicht zerstört werden, gleichwohl aber sensible Daten von diesen Systemen gesammelt werden können (Intelligence Collection). Allerdings scheint es dazu noch keine abschließenden Strategien zu geben (wörtlich: „CNE is an area of IO that is not yet clearly defined within DOD“). Unter CNA dagegen versteht das DoD die Zerstörung der Systeme durch einen geeigneten Datenstrom (vermutlich sind Viren, Trojaner oder andere Exploits gemeint). Die Zerstörung oder Beschädigung durch einen Hochenergie-Impuls wird im Gegensatz dazu als Electronic Warfare (EW) bezeichnet. Electromagnetic Non-Kinetic Weapons sind beispielsweise (meist nicht-lethale) hochenergetische Microwellenemitter, die Schmerzen und Verbrennungen einige Millimeter unter der Hautschicht erzeugen können.

Mein persönlicher Eindruck ist, dass das US-Verteidigungsministerium (noch) zu viel Wert auf technologischen Vorsprung legt. Dazu gehört die Dominanz in wichtigen elektromagnetischen Frequenzbereichen, Mikrowellenwaffen, Elektromagnetische Impulse und in Flugzeugen montierte Laserwaffen (Airborn Laser Weapons). Das klassische Hacking, d.h. Einbrechen in Computersysteme mittels Exploits hat sich noch nicht so recht bis zum Militär durchgesprochen. Vermutlich liegt das auch in der Philosophie des US-Militärs begründet, Gefechte primär mit dem Säbel und weniger mit dem Florett auszufechten.

Zumindest Stand dieses Reports mache ich mir persönlich mehr Sorgen um die hervorragend organisierten staatlichen chinesischen Hacker und weniger um amerikanische Hacker. Aber wie ich schon schrieb: die USA geben solche Aufgaben gerne auch mal in private Hände ab … irgendwo findet sich garantiert ein Schwarzwasserhacker.

Die Webseite des Snake Oil- Virenscanner-Herstellers Kaspersky in den USA wurde offensichtlich ein klein wenig gehackt. Genau genommen mittels SQL-Injection komplett übernommen. Inklusive Kundendaten, Vertragsinformationen, License-Keys, etc. Kaspersky hat sich noch nicht dazu geäußert.

Naja, Pech. Das kommt vor. Bei einem IT-Security-Anbieter ist das natürlich doppelt peinlich. Aber trotzdem, das kommt vor. Im Grunde zeigt das nur meine alte Leier, dass Webseiten und Webapplikationen viel zu oft von Schnarchnasen erstellt werden, die HTML für eine Programmiersprache halten.

Es zeigt aber auch noch etwas anderes … Kaspersky war auf so einen Vorfall in keinster Weise vorbereitet. Das zeugt entweder von einiger Überheblichkeit („uns passiert so etwas nicht“) oder schlichter Ignoranz („wir kümmern uns, wenn es soweit ist“). Und das macht mir mehr Sorge denn es zeigt, wie wenig Risikomanagement bei Kaspersky ausgeprägt ist. Risikomanagement besteht nämlich nicht nur daraus, zu bewertet wie gefährlich z.B. der Betrieb einer Webapplikation ist sondern auch daraus, Vorkehrungen für den Fall der Fälle zu treffen, um die Schadensauswirkungen zu minimieren.

Man könnte beispielsweise Kundendaten auf verschiedene Datenbanken verteilen, ein Zugriff auf eine Datenbank gibt dann noch nicht direkt alle Informationen heraus. Typische Aufteilung ist eine Datenbank zur Nutzerauthentisierung und eine zweite Datenbank mit den eigentlichen Kundendaten. Man könnte auch eine interne Sprachregelung vorbereiten um aktiv mit Informationen an die Medien zu gehen, bevor sich so ein Ereignis verselbständigt und offizielle Medien sowie Blogger wild über Ursachen und Folgen spekulieren. Bei Marketingfritzen nennt man das wohl die Informationshoheit zu behalten. Jedenfalls dürfte Kaspersky einiges zu tun haben, um dieses Ereignis intern vernünftig aufzuarbeiten.

(via Fefe, Heise)

Die Portalwut der Bundesregierung, insbesondere im Rahmen des Bürgerportalgesetzes beschränkt sich nicht nur auf E-Mail, diverse andere lustige Sachen wie Online-Datenspeicher sollen auch fleißig reguliert werden. Die Bundesregierung nennt das dann De-Safe.

Ich bin ja mal gespannt, was so ein De-Safe dann kosten soll. Vermutlich wird den niemand verwenden wollen weil ein sicherer Truecrypt-Container bei Amazon S3 ist billiger, schneller und besser als alles, was uns der Staat da unterjubeln kann. Egal.

Falls sich doch jemand für Details interessieren sollte, gibt es eine nette FAQ dazu, die ich neulich entdeckt habe. Die von den Bürgern in der Mitmachphase abgegebenen Kommentare hat man anscheinend vorsichtshalber aus dem Netz entfernt, im Gesetzestext wurden die eh nicht berücksichtigt. Dazu gibt es aber bei Gelegenheit noch einen anderen Beitrag.

Ein paar allgemeine erhaltene Beiträge will ich hier jedenfalls dokumentieren, bevor sie auch verschwinden:

• Die „zuständige Behörde“ (BSI) ist nicht vertrauenswürdig, siehe § 3 Abs. 6 BSIG. Da kann ich meine gesamte Kommunikation sowie alle sozialen Kontakte und privaten Dokumente auch gleich selbst dem Verfassungsschutz zuleiten. Das beauftragte Unternehmen (Telekom) ist ebenfalls nicht vertrauenswürdig, denen würde ich noch nicht einmal die Uhrzeit glauben.

• Ich vertraue doch dem Staat meine Dokumente nicht an. […] In Zeiten von Bundestrojaner, Vorratsdatenspeicherung, Steueridentifikationsnummer & Co. ist es wichtiger denn je, seine Daten zusammenzuhalten und nicht auf einem Silbertablett zu liefern.

• Alleine die Idee mit der Speicherung von Daten für über 30 Jahre an einer zentralen Stelle ist für mich keine Sicherheit, sondern ein Alptraum.

• Steckt hinter dem ePort vielleicht die Absicht, die DE-Mail zur Pflichtadresse zu machen?

• Ich halte das Projekt einzig und allein für eine Methode, T-Systems & Co. möglichst unauffällig Steuergelder zukommen zu lassen.

• Ich finde es wirklich dreist, das ganze „Bürgerportal“ zu nennen! Es ist nicht für den Bürger, sondern für den Staat, damit dieser besseren Überblick der Bürger hat.

• Mir ist die Koppelung von „Sicherheit“ und Aushorchung des Bürgers zu unheimlich.

Hihi, gerade den letzten Satz finde sich lustig. Dabei liegt es doch auch im Interesse von uns Bürgern, dass uns der Staat nicht nur zufällig sondern endlich auch mal sicher und zertifiziert ausspähen kann. Oder?

Unglaublich … das muss man sich bei Heise durchlesen.

Mittelfristig wird man sich Gedanken machen müssen, ob für den Diebstahl virtueller Gegenstände in Spielwelten vielleicht ein neuer Straftatbestand notwendig wäre. Der klassische Diebstahl deckt bekanntlich nur reale bewegliche Gegenstände ab. Wäre doch nett:

Cyberdiebstahl

(1) Wer eine virtuelle, nicht real existierende Sache einer fremden Spielfigur in der Absicht wegnimmt, die Sache seiner oder einer dritten Spielfigur rechtswidrig anzueignen, wird mit Internetverbot bis zu fünfhundert Tagen oder mit Spielgeldstrafe bestraft.

(2) Der Versuch ist strafbar.

(3) Wer eine Straftat nach Absatz 1 vorbereitet in dem er Passwörter, Sicherungscode oder Computerprogramme für diesen Zweck herstellt, wird mit einem IT-Job nicht unter 40.000 Euro belohnt.

(4) Wer sich die Passwörter, Sicherungscode oder Computerprogramme nur verschafft ohne zu verstehen, wie sie funktionieren, den erwartet eine Verdopplung der Strafe.

Und man könnte im Strafgesetzbuch beispielsweise den Paragraphen 202c dafür verwenden. Der aktuelle Inhalt gehört sowieso schnellstens abgeschafft.

Ich habe lange gewartet, bevor ich mich heute dazu aufgerafft habe, De-Mail zu kommentieren. Das liegt daran, dass DE-Mail einige brauchbare Ideen hatte und ich erst die konkreten Pläne der Umsetzung abwarten wollte bevor ich das Projekt verbal in Grund und Boden ramme. Inzwischen sind die wichtigsten Karten auf dem Tisch und wenn nicht noch ein Wunder (oder ein typisches Zypries-Gesetz) passiert, dann ist De-Mail so eine Fehlgeburt wie die meisten IT-Großprojekte der Bundesregierung und wird uns wie die Gesundheitskarte oder Elster oder der ePass zwangsweise auf’s Auge gedrückt.

Zuerst zu den guten Ideen: Fehlende rechtssichere E-Mail Kommunikation ist schon länger ein Hindernis in der wirtschaftlichen Entwicklung hier in Deutschland. Insbesondere die im Signaturgesetz geforderte fortgeschrittene digitale Signatur mit ihren komplexen und umfangreichen Sicherheitsanforderungen hat sich als massiver Hemmschuh herauskristallisiert. Die fehlenden Smartcards und teuren Signaturkomponenten sind ein weiteres Problem, insbesondere die gedachte Kopplung mit dem Personalausweis oder der Gesundheitskarte hat nicht gerade für Vertrauen in der Bevölkerung gesorgt.

Die Umsetzung ist jedoch alles andere als vertrauenerweckend

Zum einen behält das Bundesinnenministerium die Federführung des Projekts. Das betrifft sowohl die E-Mail Adresse als auch den geplanten sicheren Datenspeicher „De-Safe“. Im Ergebnis werden wir zwar vermutlich eine per Gesetzesdefinition rechtssichere Kommunikation bekommen, die dafür leider nicht vertraulich sein wird. Ich bin sicher, mit De-Mail sieht Schäuble die einmalige Chance, einen Schnüffelstaat Orwell’scher Dimension einzurichten und der paranoide Verfassungsfeind wird sich diese Möglichkeit vermutlich nicht entgehen lassen wollen.

Dann ist das BSI für die Akkreditierung der De-Mail Anbieter zuständig. Das BSI, das sind die mit den BSI Grundschutzkatalogen. Die Umsetzung des Grundschutzes ist recht umfangreich und verlangt so viele Ressourcen, dass sich voraussichtlich nur große Provider eine solche Zertifizierung leisten wollen. Die Parallelen zur typischen Wirtschaftspolitik in Deutschland, bei der großen Konzernen das Geld nachgeworfen wird, auch wenn diese die Arbeitsplätze ins Ausland verlagern während gleichzeitig der Mittelstand vor die Hunde geht ist frappierend.

Ein weiterer grundsätzlicher Fehler im Design ist die fehlende lebenslange universelle Adresse. Der Aufbau der Adresse soll nach dem Format „erika.mustermann.123@providerxy.de-mail.de“ erfolgen. Die Nummer ist notwendig, um verschiedene Nutzer gleichen Namens zu unterschieden. Bei einem Providerwechsel erhält der Nutzer jedoch eine neue Mailadresse, die alte Adresse wird vermutlich nach einigen Monaten wieder freigegeben. Ein Nutzer gleichen Namens kann so potentiell Zugriff auf wichtige Mails seines Namensvetters erhalten.

Am meisten aber amüsiert mich die Vorstellung, für De-Mail-Mails auch noch Porto zu bezahlen. Ich bin ja gespannt, wie man einem an Flatrate gewöhnten Internet-Nutzer vermitteln will, für eine De-Mail-Mail Geld zu bezahlen, auch wenn es nur 10 Cent sein sollten wenn es bei Web.de und GMX kostenlose Postfächer für jeden gibt.

Warum etwas wie De-Mail trotzdem kommt!

Die Behörden suchen schon seit geraumer Zeit eine günstige Möglichkeit, digital aber rechtssicher mit dem Bürger zu kommunizieren. Die vom Gesetzgeber gestellten Anforderungen an digitale Signaturen sind jedoch so hoch, dass außer ein paar Datev-Steuerberater und die Finanzbehörden niemand sie erfüllen will. Die Kosten dafür liegen einfach in keinerlei Verhältnis zum Nutzen für den Bürger. Weil der Staat aber immer mehr Arbeit auf den Bürger verlagern will, erfolgt das eben per Gesetz.

Beispiel Elster. Ich habe selten in meinem Leben eine so grottenschlecht gestrickte peinliche Software gesehen, wie die erste Version der Elster-Software. Eigentlich sollten sich die verantwortlichen Pappnasen in Grund und Boden schämen. Trotzdem wurden Unternehmen per Verordnung verpflichtet, ihre Umsatzsteuererklärung zukünftig mit dieser Dreckssoftware digital einzureichen. Ohne digitale Signatur, ohne ausreichende IT-Sicherheit, ohne zuverlässige Identitätskontrolle, das war alles scheißegal. Für die Unternehmen gab es die Kosten, für die Finanzbehörden den Vorteil.

Das gleiche wird jetzt mit De-Mail auch passieren. Warum noch ein teures Einschreiben verschicken, wenn man dem Bürger irgendwelche Mails einfach in sein De-Mail-Postfach stecken kann. Mit der Zustellung in das De-Mail Postfach ist die Mail zugestellt. Ob der Bürger darüber irgendwie informiert werden kann, z.B. per SMS oder selbst dran denken muss, täglich in das De-Mail-Postfach zu gucken ist doch den Behörden egal. Und wenn der Bürger vergisst ins Postfach zu gucken und damit Fristen versäumt … selber schuld. Die Behörden profitieren, für den Bürger wird alles schlechter.

Natürlich ist das den aufgeklärten Internetnutzern recht egal. Deshalb wird es in absehbarer Zeit eine nette Verordnung geben. Beispielsweise, dass Steuererklärungen nur noch digital über einen De-Mail Account eingereicht werden können. Wenn der Bürger also zuviel gezahlte Steuern zurück will, dann nur via De-Mail. Und schon kann man die anderen Mails auch rechtssicher zustellen.

Ich fürchte, De-Mail wird noch ein schönes Ärgernis

Zwei Wochen nicht ganz gesund und schon geht es hier mit dem Spam rund. Naja, egal … ist sicher schneller von mir gelöscht als von den ganzen SEO-Deppen getippt.

Jedenfalls … darüber musste ich dann doch herzlich lachen:

Das meinen die hoffentlich nicht ernst? Sonst muss ich in den SMTP-Dialog meines Mailservers noch reinschreiben, dass dieser Rechner nur kommuniziert und nicht berechtigt ist, in meinem Namen eine Policy anzunehmen.

Naja, ist der Mailgateway der Stadt München. Ich fürchte, da war einem Beamten mal wieder langweilig und er konnte nicht schlafen.

ich bin dieses Jahr mit einem Asus Eee 1000H auf dem Congress unterwegs, der ist klein  und leicht und gut tragbar und das Akku läuft auch schön lange. Natürlich habe ich das System neu installiert, Dual-Boot, Linux und XP, alle Hackingtools drauf, die Festplatte ist verschlüsselt, BIOS-Passwort, alle Schikanen. War ’ne Menge Arbeit zu Weihnachten. Aber man weiß ja nie unter den ganzen Hackern auf dem Congress 😉

Jedenfalls verlangt die Asus-Software wie bei den meisten Herstellern die Annahme einer Lizenz:

Und ganz ehrlich, das ist mal eine Lizenz ganz nach meinem Geschmack. Jetzt muss ich mir nur noch eine passende Lizenz ausdenken und einfügen 🙂

Nachtrag zum Cold Boot Attack-Vortrag von Jacob Appelbaum. Die Genies von Princeton (dort liegt die Software zum Download) sind leider manchmal nicht so genial. Der folgende Screenshot ist von einem Server des Center for Information Technology Policy der Princeton Universität. Wo liegt der Hund begraben?

Genau: Der Code, die Signaturen und der Public Key liegen im gleichen Verzeichnis auf dem gleichen Server. Wenn ein Angreifer also den Server kompromittiert und die Software manipuliert, kann er trivial mit seinem eigenen privaten Schlüssel neue Signaturen erzeugen und seinen Public Key auf dem Server ablegen. Eine standardmäßige Kontrolle würde eine Kompromittierung daher nicht erkennen.  Da könnte man auch billige MD5-Hashes verwenden, die sind genauso toll und leichter zu bedienen.

Wenn man schon Archive signiert, dann muss der Public Key entweder mittels Zertifikat auf einen bekannten Root-CA Key zurückgeführt werden oder auf einem anderen Server liegen. Ansonsten kann man sich den Unsinn mit den Signaturen gleich sparen.