Mitternachtshacking

Kann man immer mal brauchen:

The Lazy Man’s Way to Linux Screenshots

Die Kurzzusammenfassung:

The Import Screenshot Method

$ netscape -display servername:0 &
$ import -window root -display servername:0 myfile01.pcx

Resolution and Color Reduction

$ import -window root -geometry 640:480 -display servername:0 myfile01.pcx
$ import -window root -colors 16 +dither -display servername:0 myfile01.pcx

The xwd Screenshot Method

$ netscape -display servername:0 &
$ xwd -display servername:0 -root > myfile.dmp
$ convert myfile.dmp myfile.pcx

Color Reducing the Screenshot

$ convert -depth 24 $1 $1
$ convert -depth 16 $1 $1
$ convert -depth 8 $1 $1
$ convert -colors 16 $1 $1

Das war’s auch schon

Spiegel Online hat ein paar Ratschläge zur persönlichen Abhör-Abwehr zusammengestellt:

1. Mobiltelefone meiden

Gut, das ist jetzt nichts neues. Mobiltelefone lassen sich einfach abhören, wir hatten ja in Deutschland die Diskussion um den IMSI-Catcher und es ist inzwischen wohl auch allgemein bekannt, dass die Polizei gerne mal stille SMS verwendet, um daraus die Positionsdaten eines Mobiltelefons zu ermitteln oder Bewegungsprofile zu erzeugen. Moderne Telefone die sich von den Providern stillschweigend mit Softwareupdates bestücken lassen, bieten vermutlich auch die Möglichkeit, selbst bei ausgeschalteten Telefonen Raumgespräche abzuhören. Und die Anzahl der abgehörten Telefongespräche ist in Deutschland sowieso extrem hoch.

2. Satellitentelefone vermeiden

Das ist irgendwie auch nicht überraschend. Bin Laden wird abgehört, der BND wird abgehört und angeblich sind auch schon Al-Qaida-Terroristen über ihre Satellitentelefone lokalisiert worden. Irgendwie verständlich wenn man bedenkt, dass so ein Telefon mit hoher Leistung senden muss um einen Satelliten zu erreichen und da oben sicher nichts herumschwirrt (außer ein paar reinen Fernsehsatelliten), wo nicht irgendein nationaler Geheimdienst die Finger drin hat.

3. Finger weg von Skype

Zu Skype hatte ich hier schon was geschrieben, die Hauptprobleme liegen in der proprietären Verschlüsselung, dass die Kommunikation von Servern in den USA gesteuert wird, in den seltsamen Supernodes und eben der fehlenden Kontrolle, was da eigentlich genau passiert. Noch schlimmer ist die unverschlüsselte Sprachübertragung im Internet, da verweise ich auf die Präsentationen hier auf dem Server, wie man die Kommunikation z.B. mit Cain&Abel bequem mitschneiden und dann abhören kann.

4. Nicht drahtlos surfen

Zumindest nicht unverschlüsselt oder mit WEP und schon gar nicht über einen der tollen Zugänge z.B. in der Flughafen-Lounge. Es überrascht mich immer wieder, welche Daten da im Klartext übertragen werden, von E-Mails (GMX und Web.de sind auch bei Managern sehr beliebt) über diverse Zugangsdaten (Webmail-Passwörter, POP3 etc.) bis hin zu kompletten Firmendaten als Attachment. Und alles sehr einfach zum Mitlesen, die Tools dafür sind frei verfügbar. Solange die Daten nicht verschlüsselt sind, ist das sogar legal, die Strafbarkeit nach § 202a StGB setzt einen Schutz der Daten voraus.

5. E-Mails immer verschlüsseln

E-Mails sind wie Postkarten, sie werden im Klartext (SMTP) im Internet verschickt und jeder der ein wenig Ahnung hat und an den richtigen Knoten sitzt, kann sie bequem mitlesen. Dabei gibt es genug Tools zur E-Mail Verschlüsselung. Es muss ja nicht das teure PGP sein, GNU PG tut es sicher genauso. Es gibt sogar eine schöne Version für Windows: Gpg4Win. Und nicht vergessen, der deutsche Steuerzahler bezahlt sogar dafür. Das Bundesamt für Sicherheit in der Informationstechnik (und damit indirekt wiederum das Bundesministerium des Inneren, das ja so dringend mehr Abhörbefugnisse verlangt) unterstützt Gpg4Win, die Entwicklung von GnuPG wurde vom Bundesministerium für Wirtschaft und Arbeit (BMWA) und Bundesministerium des Innern (BMI) im Rahmen der Aktion „Sicherheit im Internet“ direkt unterstützt.

6. Keine Office Dokumente weitergeben

Spiegel Online kennt jetzt nur Word (klar, Redakteure), das Problem betrifft aber Excel und Powerpoint ganz genauso. In den Office-Dokumenten finden sich einerseits lustige Metadaten, andererseits darf die Änderungshistorie nicht unterschätzt werden.

7. Keine Technik verwenden

Das ist vermutlich direkt an alle Politiker gerichtet: Finger weg von der Technik. Ihr habt keine Ahnung davon und macht es nur kaputt. Knöpsche drücke dürfe nur die Ekschperte. Gell, Herr Beckstein.

Nach einem Bericht auf SecurityFocus will die NATO sich zukünftig auch darum kümmern, kritische IT-Infrastruktur abzusichern.

Ich habe ja schon ein paar mal angemeckert, dass in Europa zu wenig passiert. Aber ob ausgerechnet die NATO dafür geeignet ist … ich habe meine Zweifel. Das erinnert mich ein wenig an das Überfliegen von Demonstranten mit Kampffliegern.

Ich meckere ja immer gerne, dass gerade im Bereich der IT-Sicherheit kritischer Infrastruktur in Europa zu wenig und vor allem nichts koordiniert passiert. In Deutschland hat das BSI ja ein wenig dazu veröffentlicht (rückt aber die Werkzeuge wie Excel-Tabellen nicht raus), in Norwegen ist Sintef recht aktiv, in den Niederlanden z.B. FHI. Das ist aber mit den USA nicht zu vergleichen.

Ich hatte vor einiger Zeit zu diesem Thema ein sehr interessantes Gespräch mit Richard Jackson, dem Head of Global Information Risk Management und Chief Information Protection Officer der Chevron Corporation. Chevron wie praktisch alle Firmen in der Branche der Energieversorgung hat vor einiger Zeit wohl einiges an Ressourcen vom US Department of Homeland Security bekommen, d.h. Geld, Know-how, Forschungskapazitäten an Universitäten etc. und das DHS scheint da auch einiges zu koordinieren.

Und jetzt taucht bei mir auf dem Radarschirm die European Network and Information Security Agency (ENISA) auf. Ob man davon was halten soll weiß ich noch nicht. Die Liste der wichtigen Ereignisse der ENISA lässt jedenfalls nichts gutes vermuten:

• March 2005: Decision by the ED/Management Board to move ENISA to Crete
• 13 April 2006: Visit of Commissioner Viviane Reding in Crete
• 12 May 2006: ENISA Changing domain name .europa.eu
• 16 June 2006: First informal Management Board – Permanent Stakeholders Group workshop meeting

Das ist übrigens auch der letzte Eintrag, vom 16. Juni 2006. Vermutlich sitzen die Sesselpupser immer noch im Meeting. Zumindest haben sie ein ordentliches Organigramm und ausreichend Assistenten. Ich frag mich ja, ob man sich da bewerben kann. Ein Job auf Kreta wäre schon lässig.

Trotzdem, ein vernünftiger europäischer Ansatz zum Schutz kritischer Infrastruktur, meinetwegen auch ein European Department of Homeland Security oder so, das fehlt hier eindeutig. Und nicht nur reine Marketing-Shows wie dieses Microsoft-sich-im-Netz.

Nun gut, das Konradin TechForum ist vorbei und der zweite Tag hat den ersten bezüglich der Aussteller und Teilnehmer meiner Meinung nach bestätigt. Zu wenig ausstellende Big Player und zu wenig Teilnehmer. Und viel zu viel Pause statt einer straffen Agenda.

Ich habe nicht alle Vorträge gehört, aber bei den Security-Themen war ich dabei. Hier meine ganz persönlichen subjektiven und stark von Security Vorwissen gefärbten Eindrücke, die keinen Anspruch auf eine sachliche Beurteilung legen:

Industrial Firewalls – Funktionen und Einsatzmöglichkeiten, Ralf Kaptur, Hirschmann

Hirschmann hat ja eine eigene Firewall, Eagle, eigentlich Innominate Software, aber Hirschmann ist da zur Zeit wohl noch OEM, und die Möglichkeiten der Firewall sind im Detail vorgestellt worden. Nichts wirklich neues. Interessant war für Leute aus der Produktion vielleicht noch, dass die Firewall sowohl auf Layer 3 als auch Layer 2 funktioniert und wie man NAT in Produktionsumgebungen einsetzen kann und oft auch muss. Hirschmann verwendet dafür den Begriff Security Compartment. Für IT-Sicherheitsleute eher langweilig. Im großen und ganzen war der Vortrag eine Präsentation aus dem Security Whitepaper (PDF), das Hirschmann auch zum Download anbietet. Für die Eagle gibt es übrigens ein Security Data Sheet, da ging dann der nächste Vortrag drüber.

Management – Schritt für Schritt, Marcus Tangermann, Weidmüller

Die Weidmüller-Jungs haben ein paar sehr ambitionierte Ideen, die vermutlich grandios scheitern werden. Trotzdem ist das eine oder andere nicht schlecht, z.B. die Idee der Security Data Sheets (SDS). Jedes Gerät, jeder Controller, jeder Router etc. bekommt ein Data Sheet in dem die Security Parameter festgehalten werden. Dazu gehört z.B. welche Ports für den Betrieb benötigt werden etc. Mit den Informationen kann man ganz einfach dann eine Firewall einrichten. Dummerweise hat die Security Data Sheets die IAONA entwickelt, und die wickelt sich gerade selbst ab. Die Tools zur Erstellung des SDS kann man jedenfalls nur als Mitglied beziehen aber nicht mehr Mitglied werden. Sieht sehr nach Totgeburt aus, wenn da nicht bald was passiert. Angeblich macht die SecIE da zukünftig weiter, aber außer einem Aufnahmeantrag kann man eigentlich nichts bei denen runterladen. Das einzige Online-SDS das ich gefunden habe ist von WuT (PDF) , falls sich das jemand ankucken will.

Eine richtig krasser Totgeburt ist jedenfalls deren zweite Idee. Weidmüller lässt gerade eine Software entwickeln, da kann man irgendwie seine Firewall-Policy eintragen, und ein Regel-Generator bildet das dann auf eine konkrete Firewall ab. Die Hersteller sind dann aufgerufen, entsprechende Plugins für ihre Firewalls zu schreiben. Weidmüller ist wohl dabei und Hirschmann eventuell auch. Ich kann mir ja ganz toll vorstellen, dass Check Point oder Cisco nur auf so etwas gewartet haben. Am liebsten ist den großen Herstellern sicher, dass man damit auf ihre teure Management-Software verzichten könnte, oder dass die (sehr stark unterschiedlichen) Funktionen ihrer Firewall da irgendwie abgebildet werden müssen und das vielleicht auch noch gepflegt werden sollte. Nein Freunde, da macht kein namhafter Hersteller mit. Lediglich Hirschmann gewinnt, weil Innominate deren neue Management-Software nicht an Hirschmann lizenzieren will und Weidmüller die Entwicklungskosten trägt.

Firewalls in Industrie- und Produktionsumgebung, Dror-John Röcher, ERNW

Der Vortrag von Hr. Röcher klang von der Thematik her sehr spannend und Hr. Röcher ist auch ein guter Redner. Was dann kam hat mich allerdings schon enttäuscht. Ein bisschen ein Projektbericht, wie toll sie für einen großen Kunden Firewalls evaluiert haben. Dazu ganz kurz die Evaluationskriterien angerissen aber oft nur unzureichend begründet, warum z.B. bestimmte Kriterien als „must have“ ausgewählt wurden und andere nicht. Und anschließend die Firewalls aufgezählt und welche sie dann verwendet haben. Für jemanden der sich mit Firewalls ein wenig auskennt (und nicht nur eine oder zwei Produkte sondern wirklich gut) war das furchtbar langweilig und ohne echten Ergebnisgewinn.

Ganzheitliche IT-Sicherheit für Produktionsanlagen, Susanne Ginschel, Defense AG

Der Vortrag von Susanne war im Grunde der gleiche wie von der Systems. Wenig neues. Interessant fand ich lediglich die Einleitung. Die Defense hat da eine Excel-Tabelle entwickelt (oder lassen), mit der man anhand eines Fragebogens eine Übersicht des Geschäftsrisikos und des Sicherheitslevels abschätzen kann.Das ist als Einleitung für ein Informationsgespräch sicher ganz praktisch. Das war es aber auch schon.

Ich kenne so etwas ähnliches von IBM (NDA, darf ich nicht zeigen) und das BSI hat für Kritis etwas ähnliches entwickelt, rückt es aber nicht raus. (Das BSI hat aber hirnrissigerweise die Excel-Tabelle in Form eines PDF-Dokuments beschrieben. Anhand des PDFs kann man an einem Nachmittag die Excel-Tabelle rekonstruieren. Ich fürchte, da wiehert mal wieder der Amtsschimmel. Wer die Excel-Tabelle will, soll mir kurz eine Mail schicken.)

Podiumsdiskussion: Wer verantwortet eigentlich die Sicherheit in der Produktions-IT?

Nun ja, 6 Leute, 45 Minuten, jeder hat jeden bestätigt und sich indirekt selbst gelobt aber eigentlich hat das keine neuen Erkenntnisse gebracht. Ich denke, da ist der (vom kurzen Eindruck her) hervorragende Prof. Dr. Frithjof Klasen ein wenig verheizt worden. Dem hätte man lieber eine vernünftige Keynote gegeben.

Ach ja, mal gucken ob ich da nächstes Jahr wieder hinfahre. Wenn das Tech Forum wieder zwei Tage dauert, werde ich sicher nur einen Tag dabei sein. Das zieht sich einfach viel zu sehr und mit den Herstellern kann man auch an einem Tag reden.

So, hier der erste Teil zu meinem Besuch auf dem Konradin Tech Forum „Industrial Ethernet/Security“

Vorneweg ein wenig Lob:

Die Organisation von Konradin ist im allgemeinen gut. Außerdem hat Konradin ein unschlagbares Preis-/Leistungsverhältnis. Reguläre Teilnehmer zahlen 150,- Euro, ich hatte freundlicherweise eine Freikarte, da darf man sich nicht beschweren. Gut, die Kosten übernehmen vermutlich die ausstellenden Unternehmen, in der Regel als Sponsoren bezeichnet. Wenn ich das mit IIR vergleiche ist das sehr angenehm. IIR lässt sich auch von den beteiligten Unternehmen sponsern, nimmt von jedem Teilnehmer aber trotzdem noch 1895,- Euro, da schüttelt es mich.

Das Catering auf diesem Event war hervorragend, aber dafür ist die Lokation im Konferenzbereich des Millenium-Hotel in Stuttgart (genau da, wo die Musicals laufen) vermutlich auch teuer genug. Das Abendessen konnte man sich danach jedenfalls definitiv sparen, am Nachmittag haben die ersten schon gejammert: „Ach, schon wieder Essen“ 🙂

Die Veranstaltung selbst muss leider ein wenig Kritik abbekommen:

Zum einen ist das Programm viel zu gestreckt. Die komplette Agenda mit den zwei echten Vorträgen morgen noch und der Podiumsdiskussion hätte man etwas gestrafft locker in einem Tag unterbringen können. Dann halt um 9:00 Uhr anfangen und um 18:00 Uhr ist Ende. Das ziehen auf zwei Tage lässt zwar extrem viel Zeit für die Gespräche mit den anwesenden Herstellern, aber das ist mein zweiter Kritikpunkt.

Von den Big Playern in der Produktion war eigentlich nur Hirschmann da. Den Rest verorte ich jetzt aus meiner persönlichen Erfahrung mal in die Nischen. Ok, Weidmüller und Leoni-Kerpen oder meinetwegen auch Huber+Suhner sind schon groß, aber bieten halt nur einen Teil der in der Prozessautomation benötigten Produkte und Komponenten an. Hirschmann ist da noch der kompletteste Anbieter. Viele wichtige Player wie Siemens, Endess+Hauser, GE, aber auch z.B. die Lösungsanbieter wie Honeywell, ABB etc. waren leider nicht dabei.

Die Präsentationen zu den Vorträgen gab es teilweise auf Papier, teilweise demnächst dann irgendwann (versprochen ist in drei Wochen) zum Download auf der Webseite. Ich verstehe ja nicht ganz, warum man die Präsentationen aller Vortragenden nicht eine Woche vorher einfordern und den Teilnehmern auf CD-ROM mitgeben kann. So kenne ich das zumindest, wenn ich einen Vortrag auf so einer Veranstaltung halte.

Im Ergebnis saßen in den Vorträgen dann so ca. 40 Leute drin, plus vielleicht noch ein paar, die vor der Tür standen. Das war es aber dann auch schon. Wenn ich als Aussteller da ein paar Tausend Euro verballert hätte, wären das schon teure Kontakte.

Die Vorträge selbst waren im großen und ganzen ok. ERNW hat das ganze zwar massiv zum Selbstpromoting verwendet und die konkreten Informationen kamen etwas sehr kurz, aber damit kann ich leben. Dafür gab es von Weidmüller ein paar brauchbare Informationen und Hirschmann hatte cooles Material auf dem Stand ausliegen. Vielen Dank übrigens nochmal für den kleinen Löwen. Mehr dazu morgen wenn ich wieder zuhause bin.

Soso, da beschwert sich auf SecurityFocus der Herr Miller, dass er beim Verkauf seiner Zero-Day Vulnerabilites über den Tisch gezogen wurde. Da hat ihm eine Regierungsbehörde 10.000 USD angeboten, an eine andere Behörde wäre er die Lücke für 80.000 USD losgeworden, wenn sie für eine bestimmte Linux-Variante funktioniert hätte und bekommen hat er am Ende 50.000 USD. Und glaubt jetzt, er hätte doch mehr verlangen können und ist beschissen worden. Eigentlich will ich das gar nicht kommentieren.

Interessant scheint mir eher, wie sich der Markt entwickelt. Die öffentlichen Angebote von Firmen wie das iDefense Vulnerability Contributor Program, das jetzt zu Verisign gehört oder die 3Com Zero-Day Initiative, ursprünglich von TippingPoint ins Leben gerufen, sind ja allgemein bekannt. Allerdings ist die Bezahlung nicht so üppig. Mehr Geld haben ganz offensichtlich die Behörden und dort wohl die Geheimdienste zur Verfügung.

Und da stellt sich vor allem die Frage, wie findet man den passenden Käufer? eBay fällt ja leider aus, die Versteigern keine Sicherheitslücken. Ich muss da wohl mal drüber nachdenken.

Es gibt ein erstes Seminar „IT-Sicherheit in der Produktion„. Von IFTT EDV-Consult.

Ein weiterer Nachtrag aus der Reihe Mitternachtshacking. Hier ist die Präsentation zum Mitternachtshacking Web-Applications (PDF, 400 KB). Die Präsentation geht nur ganz kurz auf Cross Site Scripting und SQL-Injection ein, die spannenden Sachen wurden dann im Praxisteil gemacht.

Als Webanwendungen zum Hacken haben wir die frei verfügbaren Foundstone Demoanwendungen HacmeBank und HacmeBookstore verwendet. Beide Anwendungen enthalten bewußt einprogrammierte Sicherheitslücken die typisch für reale Webanwendungen sind. Außerdem gibt es eine nette Anleitung, wie man mit den Lücken tatsächlich was anstellen kann und die Erklärung ist durchaus ganz brauchbar.

Schon etwas länger her, aber die Überschriften von The Register sind einfach zu gut …

Virus writers have girlfriends – official
And some don’t even need inflating

Aha.

Das erinnert mich an einen früheren Job in einer Bank. Da gab es zum Surfen im Internet einen sehr restriktiven URL-Filter. Alles was irgendwie anstößig war, wurde verboten. Hacking, Rotlichtseiten (um das böse P-Wort zu vermeiden), sogar die Seiten von anderen Banken wurden blockiert. Und nur der Vorstand durfte über Ausnahmen entscheiden.

Und dann geht Beate Uhse an die Börse …