27. Juni 2007
Matt, der Hauptentwickler von WordPress, der hier in diesem Blog eingesetzten Blog-Software schreibt über die in WordPress in letzter Zeit aufgetretenen Sicherheitsprobleme:
Nun ja. Ich fürchte, jede Software die auf PHP basiert wird zwangsläufig irgendwann Probleme bekommen. Entweder durch ein Sicherheitsproblem in PHP selbst oder durch einen Programmierfehler in der Webanwendung. Wenn man bei Securityfocus in der Vulnerability Datenbank nach PHP sucht bekommt man (Stand heute) 4499 Resultate geliefert.
Im Grunde ist es doch so: wer freiwillig eine PHP-Software auf seinen Servern einsetzt muss sich auch selbst um die Sicherheit kümmern. Bei größeren Lücken erfährt man meistens auch schnell über die typischen Medien wie Heise, SecurityFocus oder TheRegister, was los ist. Und wer sich gar nicht darum kümmern will ist vermutlich bei Blogger.de oder -.com sowieso besser aufgehoben.
Was könnte WordPress selbst besser machen? Mir fallen zwei Sachen ein:
- die Veröffentlichungspolitik von WordPress könnte ein wenig besser sein. Eine Mailingliste nur für Security Announcements wäre z.B. nett
- das Upgrade könnte etwas einfach sein. Jedes mal manuell Dateien löschen, andere Dateien hereinkopieren, das ist etwas fehleranfällig. Das könnte man auch skriptbasiert lösen
Aber wenigstens steckt noch Potential in der Software. Und hey, man bekommt fast immer, wofür man bezahlt … und manchmal auch weniger.
26. Juni 2007
Ein weiteres Thema der Mitternachtsreihe war WEP-Cracking. Darum folgt hier auch die Präsentation zum Mitternachtshacking WEP Un-Security (PDF; 1,0 MB). Die Angriffe wurden alle mit der BackTrack 2.0 CD-ROM durchgeführt, daher stammen auch die Screenshots in der Präsentation.
WEP, Wired Equivalent Privacy, ist die veraltete Verschlüsselungstechnik in Wireless LANs. Bereits kurz nach der Veröffentlichung wurden erste Schwächen in WEP aufgezeigt, die dazu führten, dass durch das Mitsniffen ausreichend vieler Pakete der statische Teil des Verschlüsselungskeys rekonstruiert werden kann. Während Anfangs noch mehrere Millionen Pakete und schwache Initialisierungsvektoren (IVs) notwendig waren, wurden die Angriffe im Laufe der Zeit verfeinert, so genügen inzwischen wenige hunderttausend Pakete und schwache IVs die von vielen Access Points gefiltert werden, sind gar nicht mehr notwendig.
Die Präsentation zeigt eine übliche Angriffsfolge. Dabei wird zuerst die SSID ermittelt, die von vielen Netzwerken nicht mehr in Broadcast-Frames übertragen wird. Anschließend wird, sofern nötig, die MAC-Adresse angepasst, um MAC-Filter zu umgehen. Danach findet eine Paketinjektion von ARP-Paketen statt. Dadurch werden innerhalb von wenigen Minuten die nötigen Pakete erzeugt, die zum Cracken des Keys notwendig sind. Das eigentliche Cracken des WEP-Keys erfolgt zum Abschluss, danach steht das WEP-geschützte WLAN offen.
25. Juni 2007
Microsoft hat sich mal wieder etwas eigenes ausgedacht, eine proprietäre Implementierung eines VPNs über SSL. Der Cable Guy erklärt, worum es geht.
Das Secure Socket Tunneling Protocol (SSTP) ist ein neues Protokoll, das eine sichere VPN-Verbindung auch über Adresstranslation (NAT) herstellen soll. Dabei kommen primär die bekannten TLS-Sicherungsverfahren zum Einsatz. Die ersten sechs Schritte im Tunnelaufbau sind identisch zum normalen SSL-Handshake:
- Der Client baut eine Verbindung zum TCP-Port 443 (HTTPS) des Servers auf
- Der Client sendet eine SSL Session Setup Message die anzeigt, dass der Client eine SSL-Verbindung zum Server aufbauen will
- Der Server sendet dem Client sein SSL-Zertifikat
- Der Client überprüft das Zertifikat, bestimmt die Verschlüsselungsmethode für die SSL-Sitzung, generiert einen Sitzungsschlüssel und verschlüsselt diesen mit dem öffentlichen Schlüssel des Zertifikats des Servers
- Der Client sendet den verschlüsselten SSL-Sitzungsschlüssels zum Server
- Der Server entschlüsselt den SSL-Sitzungsschlüssel mit dem zugehörigen privaten Schlüssel. Die gesamte Kommunikation wird mit diesem Sitzungsschlüssel verschlüsselt
Soweit kein Problem, das ist bewährter Standard. Aber nun kommt die Erweiterung:
- Der Client sendet eine HTTP-über-SSL-Anforderungsnachricht zum Server und handelt mit dem Server einen SSTP-Tunnel aus
- Der Client handelt mit dem SSTP-Server eine PPP-Verbindung aus. Zu dieser Aushandlung gehören die Authentifizierung der Anmeldeinformationen des Benutzers mit einer PPP-Authentifizierungsmethode und die Konfiguration der Einstellungen für den Datenverkehr
- Der Client beginnt, über die PPP-Verbindung Datenverkehr zu senden
Das kommt mir irgendwie bekannt vor. PPP ist anscheinend das Lieblingsprotokoll von Microsoft. Das kam ja schon in PPTP zum Einsatz.
Der Overhead ist jedenfalls lustig: IP-Header, TCP-Header, SSTP-Header, PPP-Header und dann erst das eigentliche Datenpaket. Ok, gegenüber IPSec over HTTPS ist das ein wenig effizienter, der PPP-Header hat 8 Byte, der ESP-Header hat 20 Byte. Trotzdem erscheint mir PPP nicht wirklich zwingend notwendig. Die meisten mir bekannten SSL-VPN-Verbindungen kommen jedenfalls ohne PPP aus und bieten direkt IP over HTTPS. Und das scheint recht stabil zu funktionieren.
Na mal sehen, wie es sich verbreitet und ein Vorteil gegenüber PPTP dürfte es allemal sein.
Kann man immer mal brauchen:
The Lazy Man’s Way to Linux Screenshots
Die Kurzzusammenfassung:
The Import Screenshot Method
$ netscape -display servername:0 &
$ import -window root -display servername:0 myfile01.pcx
Resolution and Color Reduction
$ import -window root -geometry 640:480 -display servername:0 myfile01.pcx
$ import -window root -colors 16 +dither -display servername:0 myfile01.pcx
The xwd Screenshot Method
$ netscape -display servername:0 &
$ xwd -display servername:0 -root > myfile.dmp
$ convert myfile.dmp myfile.pcx
Color Reducing the Screenshot
$ convert -depth 24 $1 $1
$ convert -depth 16 $1 $1
$ convert -depth 8 $1 $1
$ convert -colors 16 $1 $1
Das war’s auch schon
24. Juni 2007
Die FON-Nutzer beschweren sich über Wireless LAN Probezugänge, die anonym 15 Minuten genutzt werden können. Für die Registrierung ist nicht einmal eine gültige E-Mail Adresse notwendig und die Authentisierung basiert alleine auf der MAC-Adresse.
Ok, den Rechtsverdrehern ist klar, die Risiken eines solchen Konstrukts sind in Deutschland nicht kalkulierbar. Das Abmahnunwesen und die ausufernde Mitstörerhaftung (das es so übrigens in keinem anderen Land der Welt gibt) führen dazu, dass jeder vernünftig denkende Mensch solche Dienste am besten komplett abschaltet.
Und den Hackern ist natürlich klar, die MAC-Adresse aller modernen Netzwerkkarten lässt sich sowohl unter Windows als auch Unix beliebig verändern. So wird aus dem 15 Minuten Zugang schnell ein kostenfreier dauerhafter internationaler WLAN-Zugang. Sehr praktisch eigentlich.
Ich frage mich ja, wie die Haftung von Hotels aussieht, die ihren Kunden einen kostenfreien Wireless LAN Zugang anbieten. Kommentare irgendwer?
Die russische Firma Elcomsoft, bekannt geworden durch diverse Key Recovery Programme und die cleveren Hacks in Adobes eBook hat eine Hintertür in der weit verbreiteten Finanzsoftware Quicken von Intuit gefunden. Laut Mitteilung von Elcomsoft und diversen Berichten (und ich glaube denen, die Leben davon) gibt es die Hintertür seit 2003, als Intuit angefangen hat, Dateien mit starker Verschlüsselung zu sichern um gleichzeitig einen Passwort Recovery Service anzubieten.
Da fallen mir doch gleich mehrere Sachen auf:
1. Sichere Verschlüsselung in Kombination mit Password Recovery Service sollte einen stutzig machen. Entweder die Verschlüsselung ist sicher, dann kann aber keiner mehr herankommen, oder eben nicht. Und nur dann ist Password Recovery Service überhaupt realistisch. Wenn die Verschlüsselung tatsächlich mit einem starken, standardisierten Algorithmus erfolgt, z.B. AES-128, muss eine Hintertür vorhanden sein, anders ist ein Password Recovery innerhalb von 10 Minuten wie von Intuit versprochen gar nicht möglich.
2. Password Recovery wird von Intuit seit 2003 angeboten. Vernünftig denkenden Menschen sollte daher auch seit 2003 klar sein, dass die Quicken Software eine Hintertür haben muss. Aber erst jetzt 2007 kommt Elcomsoft mit der nötigen Software zum Ausnutzen der Hintertür. Entweder haben die Jungs aus Russland so lange gebraucht, um die Hintertür zu finden (was ich nicht glaube) oder auch erst vor ein paar Monaten angefangen zu suchen. Warum hat eigentlich sonst niemand seit 2003 darauf hingewiesen?
3. Die Hintertür ist laut Elcomsoft mit einem 512-Bit RSA Schlüssel geschützt. Also bitte, wer ist den so blöd, 2003 noch einen 512-Bit RSA Schlüssel zu verwenden? 512-Bit RSA Schlüssel wurden schon 1999 erfolgreich faktorisiert (d.h. in ihre Primfaktoren zerlegt, woraus sich dann problemlos der zugehörigen private Schlüssel ermitteln lässt). Das mindeste, was man für eine solche Hintertür hätte erwarten können ist ein sicherer Schutz durch ausreichend lange und starke Schlüssel. 1024 Bit hätte ich noch akzeptiert, lieber aber 2048 Bit.
Ich bin ja mal gespannt, wie Intuit darauf reagiert …
Anmerkung: 2001 wurde Dmitry Sklyarov auf der Def Con Hackerkonferenz nach seinem Vortrag über die Schwächen in Adobes eBook Software verhaftet und mit einer Anklage gegen den DMCA belegt. Sklyarov wurde im Dezember 2001 unter der Voraussetzung wieder freigelassen, gegen seinen Arbeitgeber auszusagen. Im Dezember 2002 wurde Elcomsoft von allen Anklagepunkten freigesprochen.
Aus einem Law Blog Kommentar:
Wenn Sie sich eine Fußstreife der Polizei nähern, sagen Sie einfach mal “Was seid denn Ihr für zwei Schlümpfe”. Dann kriegen Sie so richtig Ärger. Das kostet richtig viel Geld.
Wenn Sie sich aber der gleichen Streife nähern und sagen “Polizisten sind Schlümpfe”, dann kriegen Sie zwar auch Ärger, aber der Staat übernimmt hinterher die Prozesskosten.
Also immer auf die korrekte Verwendung des Plurals achten, dann kann einem gar nichts passieren.
Gut so, das muss ich mir merken.
23. Juni 2007
Äh ja. Läuft eigentlich noch irgendwas normal zur Zeit?
Heise meldet, dass Google drohe seinen Maildienst in Deutschland zu schließen, sollte die Bundesregierung an ihrer Gesetzesinitiative zur Überwachung des Internetverkehrs festhalten. Diese Pläne seien ein „schwerwiegender Schlag gegen die Privatsphäre“, kritisierte Peter Fleischer, weltweit zuständig für den Schutz der Google-Nutzerdaten, in einem Interview mit der Wirtschaftswoche.
Das ist die gleiche Firma Google, die von Privacy International zur schlimmsten Datenkrake überhaupt gekührt wurde. Privacy International hat sechs Abstufungen aufgestellt und 23 sogenannte Web 2.0 Firmen (ich zähle die BBC und Wikipedia da jetzt mal großzügig dazu) auf ihre Sensibilität gegenüber privaten Daten untersucht. In der schlechtesten Kategorie („Comprehensive consumer surveillance & entrenched hostility to privacy“) fand sich nur eine Firma wieder: Google. In der fünftschlechtesten Kategorie („Substantial and comprehensive privacy threats“) fanden sich wenig überraschend die Firmen AOL, Apple, Facebook, Hi5, Reunion.com, Yahoo! und Microsoft mit Windows Live Space wieder (die ich alle mal lieber nicht verlinke).
Ganz realistisch vermute ich ja, dass Google die meisten der geforderten Daten sowieso sammelt. Google hat sich wahrscheinlich ausgerechnet, was die zukünftig von Staats wegen geforderte zuverlässige Identifizierung der Nutzer kostet, was die folglich anzuschaffende Sina-Box zur Übermittlung der Daten kostet, was die Mitarbeiter kosten, die die Daten manuell an die Behörden übermitteln müssen, die mit der Sina-Box nicht zurechtkommen, … und irgendwann wird der Dienst für Google halt nicht mehr lukrativ.
Wenn ich mir die ganzen Pläne von Herrn Schäuble so angucke frage ich mich ja manchmal: Wann greift eigentlich Artikel 20 (4) GG?
- Die Bundesrepublik Deutschland ist ein demokratischer und sozialer Bundesstaat.
- Alle Staatsgewalt geht vom Volke aus. Sie wird vom Volke in Wahlen und Abstimmungen und durch besondere Organe der Gesetzgebung, der vollziehenden Gewalt und der Rechtsprechung ausgeübt.
- Die Gesetzgebung ist an die verfassungsmäßige Ordnung, die vollziehende Gewalt und die Rechtsprechung sind an Gesetz und Recht gebunden.
- Gegen jeden, der es unternimmt, diese Ordnung zu beseitigen, haben alle Deutschen das Recht zum Widerstand, wenn andere Abhilfe nicht möglich ist.
Vielleicht nach der nächsten Wahl, wenn Schäuble wieder Innenminister wird?
22. Juni 2007
Das US Department of Defense musste also 1500 Computer stillegen, weil das Mailsytem von Hackern angegriffen wurde. Weitere Details: Fehlanzeige.
Soso
21. Juni 2007
Spiegel Online hat ein paar Ratschläge zur persönlichen Abhör-Abwehr zusammengestellt:
1. Mobiltelefone meiden
Gut, das ist jetzt nichts neues. Mobiltelefone lassen sich einfach abhören, wir hatten ja in Deutschland die Diskussion um den IMSI-Catcher und es ist inzwischen wohl auch allgemein bekannt, dass die Polizei gerne mal stille SMS verwendet, um daraus die Positionsdaten eines Mobiltelefons zu ermitteln oder Bewegungsprofile zu erzeugen. Moderne Telefone die sich von den Providern stillschweigend mit Softwareupdates bestücken lassen, bieten vermutlich auch die Möglichkeit, selbst bei ausgeschalteten Telefonen Raumgespräche abzuhören. Und die Anzahl der abgehörten Telefongespräche ist in Deutschland sowieso extrem hoch.
2. Satellitentelefone vermeiden
Das ist irgendwie auch nicht überraschend. Bin Laden wird abgehört, der BND wird abgehört und angeblich sind auch schon Al-Qaida-Terroristen über ihre Satellitentelefone lokalisiert worden. Irgendwie verständlich wenn man bedenkt, dass so ein Telefon mit hoher Leistung senden muss um einen Satelliten zu erreichen und da oben sicher nichts herumschwirrt (außer ein paar reinen Fernsehsatelliten), wo nicht irgendein nationaler Geheimdienst die Finger drin hat.
3. Finger weg von Skype
Zu Skype hatte ich hier schon was geschrieben, die Hauptprobleme liegen in der proprietären Verschlüsselung, dass die Kommunikation von Servern in den USA gesteuert wird, in den seltsamen Supernodes und eben der fehlenden Kontrolle, was da eigentlich genau passiert. Noch schlimmer ist die unverschlüsselte Sprachübertragung im Internet, da verweise ich auf die Präsentationen hier auf dem Server, wie man die Kommunikation z.B. mit Cain&Abel bequem mitschneiden und dann abhören kann.
4. Nicht drahtlos surfen
Zumindest nicht unverschlüsselt oder mit WEP und schon gar nicht über einen der tollen Zugänge z.B. in der Flughafen-Lounge. Es überrascht mich immer wieder, welche Daten da im Klartext übertragen werden, von E-Mails (GMX und Web.de sind auch bei Managern sehr beliebt) über diverse Zugangsdaten (Webmail-Passwörter, POP3 etc.) bis hin zu kompletten Firmendaten als Attachment. Und alles sehr einfach zum Mitlesen, die Tools dafür sind frei verfügbar. Solange die Daten nicht verschlüsselt sind, ist das sogar legal, die Strafbarkeit nach § 202a StGB setzt einen Schutz der Daten voraus.
5. E-Mails immer verschlüsseln
E-Mails sind wie Postkarten, sie werden im Klartext (SMTP) im Internet verschickt und jeder der ein wenig Ahnung hat und an den richtigen Knoten sitzt, kann sie bequem mitlesen. Dabei gibt es genug Tools zur E-Mail Verschlüsselung. Es muss ja nicht das teure PGP sein, GNU PG tut es sicher genauso. Es gibt sogar eine schöne Version für Windows: Gpg4Win. Und nicht vergessen, der deutsche Steuerzahler bezahlt sogar dafür. Das Bundesamt für Sicherheit in der Informationstechnik (und damit indirekt wiederum das Bundesministerium des Inneren, das ja so dringend mehr Abhörbefugnisse verlangt) unterstützt Gpg4Win, die Entwicklung von GnuPG wurde vom Bundesministerium für Wirtschaft und Arbeit (BMWA) und Bundesministerium des Innern (BMI) im Rahmen der Aktion „Sicherheit im Internet“ direkt unterstützt.
6. Keine Office Dokumente weitergeben
Spiegel Online kennt jetzt nur Word (klar, Redakteure), das Problem betrifft aber Excel und Powerpoint ganz genauso. In den Office-Dokumenten finden sich einerseits lustige Metadaten, andererseits darf die Änderungshistorie nicht unterschätzt werden.
7. Keine Technik verwenden
Das ist vermutlich direkt an alle Politiker gerichtet: Finger weg von der Technik. Ihr habt keine Ahnung davon und macht es nur kaputt. Knöpsche drücke dürfe nur die Ekschperte. Gell, Herr Beckstein.