Mitternachtshacking

Auch eine lustige Idee, der Webserver von Ebuyer.com:

Ich frag mich ja, ob der Apache auf C64 mehr als 8 Sprites beherrscht … 🙂

These:

Lottospielende BGH-Richter kennen sich mit Wahrscheinlichkeitsrechnung nicht aus.

Beweis:

Betrachten wir das Samstagslotto. Simples 6 aus 49. Die Wahrscheinlichkeit für x richtige berechnet sich nach der klassischen Wahrscheinlichkeitsrechnung als hypergeometrische Verteilung. Die Formel ist etwas komplizierter, ich schreibe hier nur mal die Wahrscheinlichkeit für x richtige in einer Tabelle auf. Die Zufallszahl lassen wir mal außer acht.

Um also sagen wir mal ein paar hundert oder tausend Euro zu gewinnen, braucht man als Spieler nach den aktuellen Quoten schon 5 Richtige, also eine Wahrscheinlichkeit von 1 : 54201 (BayernLotto vom 23.06.2007: Gewinnklasse 4 (5 Richtige) mit 3.572,90 Euro).

3.500 Euro könnte man jetzt auch von meinem Konto abheben, natürlich nur mit meiner EC-Karte und natürlich der Geheimzahl. Ich verrate jetzt sicher nicht zu viel wenn ich offenbare, daß „0000“ nicht die richtige PIN ist. Das ist auch nur zum einfacheren Rechnen. Bevor die Karte eingezogen wird, hat der Kartendieb 3 Versuche, bei 9999 verschiedenen PINs (die 0000 haben wir ausgeschlossen) also eine Wahrscheinlichkeit von 1 : 3333, an Geld zu kommen. Das ist mehr als Faktor 16 besser(!) als Lotto spielen. Und das schönste, man muß nichtmal einen finanziellen Einsatz tätigen. Lotto spielen kostet mindestens 1,25 Euro pro ausgefülltem Kästchen ohne Spiel 77 und Super 6. Ok, einen kleinen Nachteil hat das EC-Karten klauen, es ist strafrechtlich bewehrt.

Es ist also 16 mal so Wahrscheinlich, mit einer geklauten EC-Karte zufällig ein paar tausend Euro abzuräumen, als die gleichen paar tausend Euro im Lotto zu gewinnen. Nur der BGH sieht das offensichtlich anders. Die aktuelle Rechtsprechung ist da ganz eindeutig:

In solchen Fällen spricht „der erste Anschein“ dafür, dass der Inhaber die EC-Karte und die PIN-Nummer nicht ausreichend getrennt aufbewahrt hat

Ein Lottospielender BGH-Richter kann folglich keine Ahnung von Wahrscheinlichkeitsrechnung haben. Die Wahrscheinlichkeit, daß mit einer geklauten EC-Karte „zufällig“ die richtige PIN erraten wird, wird als so unwahrscheinlich abgetan, daß der Inhaber die PIN wohl irgendwo notiert haben muß. Aber dann Lotto spielen! qed.

Wie sicher ist die EC-Karte?

Soweit ich weiß, ist in jeden Geldautomaten ein Hardware-Chip eingebaut, der anhand von Daten auf der EC-Karte die PIN ermitteln kann. Das war früher notwendig, als die Datenleitung zum Rechenzentrum nicht zuverlässig genug war und der Nutzer sein Geld auch abheben sollte, wenn die PIN nicht zentral überprüft werden konnte. Davon ist man jedoch weitgehend abgekommen, weil jeder Kartendieb den Zähler der PIN-Eingabe wieder auf 0 zurücksetzen kann, wenn die Fehleingaben nicht zentral sondern nur im Magnetstreifen der Karte gespeichert wird.

Die Entschlüsselung ist außerdem auch nur mit dem Hardware-Chip möglich, eine Software zur Berechnung ist nicht bekannt. Eigentlich eine recht sichere Lösung. Eigentlich. Inzwischen werden nämlich auch komplette Geldautomaten gestohlen. Natürlich mit dem Chip drin. Ich kann mir sehr gut vorstellen, daß ein kluger Bastler mit dem Geldautomaten und dem Chip und ein wenig Elektronik was basteln kann, um anhand der EC-Karte die PIN zu ermitteln.

Und selbst wenn das nicht möglich sein sollte, es gibt immer wieder Fälle von manipulierten Geldautomaten. Schön dabei ist, daß der Nutzer nachweisen muß, daß so ein Geldautomat manipuliert war. Dabei erkennen oft sogar geschulte Kriminalbeamte die Manipulation nicht. Inzwischen gibt es sogar Diebesbanden, die in Geschäfte einsteigen, dort jedoch nichts klauen sondern nur die Geräte für die EC-Kartenzahlung manipulieren um sich die PIN-Eingaben der genutzten Karten zu verschaffen. Und wer ist schon in der Lage zu prüfen, ob ein Lesegerät nicht manipuliert wurde.

Und die PIN?

Ein Ärgernis ist die in Deutschland gebräuchliche PIN mit nur vier Stellen. Ein Freund von mir (Franzose) arbeitet in Basel und hat ein Konto bei der UBS. Die Schweizer Banken erlauben durchgängig 6-stellige PINs, da hat man eine erheblich höhere Sicherheit als in Deutschland. Vermutlich ist der Schweizer an sich intelligenter und kann sich eine 6-stellige PIN merken, der dumme Deutsche aber nur 4 Stellen. An der 4-stelligen PIN ist übrigens Mrs Shepherd-Barron schuld, die Frau des Erfinders der Geldautomaten:

One by-product of inventing the first cash machine was the concept of the Pin number. Mr Shepherd-Barron came up with the idea when he realised that he could remember his six-figure army number. But he decided to check that with his wife, Caroline. „Over the kitchen table, she said she could only remember four figures, so because of her, four figures became the world standard,“ he laughs.

Die BBC hat online einen längeren Beitrag über den Erfinder des Geldautomaten.

Vielleicht sind Kreditkarten doch keine so unsichere Erfindung?

Die Federation of American Scientists hat hier (PDF; 2,4 MB) unter dem Titel „Technology Collection Trends in the U.S. Defense Industry“ einen sehr interessanten Bericht über die Social Engineering Angriffe gegen amerikanische Wissenschaftler und Militärangehörige zusammengestellt.

Der generelle Trend ist steigend, von 37 identifizierten spionierenden Ländern im Jahr 1997 über 63 Länder im Jahr 2000 auf 106 Länder im Jahr 2005. Für das Jahr 2005 werden 971 Einzelvorfälle erfaßt. Die spionierenden Länder sind nicht einzeln aufgeführt, es gibt lediglich eine geographische Zusammenstellung der Vorfälle in der Ostasien mit 31% vor dem Nahen Osten mit 23%, Eurasien mit 19% und Südasien mit 13% führt. Afrika kann mit weniger als 3 % vernachlässigt werden. Dabei wird jedoch nicht zwischen Westeuropa und Russland (Eurasien) unterschieden und in Ostasien wird China zusammen mit Japan und Australien in einen Topf geworfen.

Die Hauptziele der Spionage waren (in dieser Reihenfolge):

1. Informations- und Datenverarbeitungssysteme
2. Laser und Optik
3. Flug- und Luftfahrttechnologie
4. Sensortechnik
5. Rüstungs- und Wehrtechnik
6. Elektronik
7. Raumfahrttechnologie
8. Marine und Schiffahrt
9. Materialforschung und Herstellungstechnik
10. Radartechnik

Die Teilbereiche sind dann noch aufgeschlüsselt in wichtige Themengebiete. Soweit so uninteressant. Spannend wird es wieder im Anhang, wenn die gängigsten Social Engineering Verfahren und typische Gegenmaßnahmen analysiert werden. Dabei werden folgende Bereiche unterschieden:

• Request for Information (RFI)
• Acquisition of Technology
• Solicitation and Marketing of Services
• Exploitation of Foreign Visit
• Targeting at Exhibits, Conventions, and Seminars
• Exploitation: Relationships
• Suspicious Internet Activity
• Targeting of U.S. Personnel Abroad

Zur allgemeinen Erheiterung sind auch ein paar konkrete Beispiele angegeben, z.B. dieses hier:

„A female foreign national seduced an American male translator to give her his password in order to log on to his unclassified network. Upon discovery of this security breach, a computer audit revealed foreign intelligence service viruses throughout the system.“

Hach ja, Mata Hari.

Auf jeden Fall gibt es für alle Bereiche eine Liste von mögliche Erkennungsmaßnahmen, beispielsweise für den Bereich Informationssammlung:

• Technologie unterliegt ITAR Exportbeschränkungen
• Der Vertragspartner des Verteidigungsministeriums hat keine normale Geschäftsbeziehung mit einem ausländischen Anfrager
• Die Anfrage kommt von einer Embargonation oder einer nicht-identifizierbarten Firma
• Die Anfrage erfolgt unaufgefordert und ist unerwünscht
• Der Anfragende behauptet von einer Regierungsstelle zu kommen, vermeidet jedoch offizielle Kommunikationskanäle
• Die Anfrage richtet sich an einen Mitarbeiter der den Absender nicht kennt und nicht in Vertrieb oder Marketing beschäftigt ist
• […]

Und natürlich eine Reihe von Gegenmaßnahmen, darunter an erster Stelle:

• Information und Schulung der Mitarbeiter bezüglich der Gefährdungen

Oder auf neudeutsch: Awareness!

Womit wir beim eigentlich Thema wären. Spionage kann jeden treffen. Angefangen von Informationen zu neuen Produkten und Dienstleistungen über Beziehungen zu Geschäftspartnern bis hin zu trivialen Sachen wie Gehälter oder private Daten. Es ist deshalb unerläßlich, alle Mitarbeiter auf mögliche Gefahren und Risiken hinzuweisen und bezüglicher der Social Engineering Thematik zu sensibilisieren. Und nur durch ein Awarenessprogramm, das die Gefahren regelmäßig immer wieder aufgreift ist ein dauerhaft hohes Sicherheitsniveau gewährleistet.

Ich bin neulich mit dem Auto durch Hessen gefahren und habe in den US Militärsender American Forces Network reingehört. Dort im Radio wurde das Thema alle 30 Minuten aufgegriffen!

LG Frankfurt a.M., Urteil v. 22.02.2007, Az. 2-3 O 771/06

Leitsätze

1. Der Anschlussinhaber haftet als Störer für Urheberrechtsverletzungen, die über seine ungeschützte WLAN-Verbindung begangen werden.
2. Das Ausschalten des PC reicht als Schutz für die WLAN-Verbindung nicht aus.
3. Der Anschlussinhaber hat sich über technische Möglichkeiten zum Schutz seiner WLAN-Verbindung zu informieren.

(via lawblog). Damit ist scheinbar alles gesagt. Aber nein, viele Fragen bleiben offen:

1. Genügt WEP den Anforderungen des Gerichts?
2. Was ist mit einem Hotel, das allen Gästen kostenfrei Internet zur Verfügung stellt?
3. Wie weit trifft das Fonera und die diversen privaten Hotspot-Betreiber?

Deutsches Recht ist Verhinderungsrecht. Kein Wunder, dass es weder ein deutsches Yahoo noch ein deutsches Google und erst recht kein deutsches YouTube gibt.

Das Fraunhofer Institut für Integrierte Schaltungen (IIS) hat laut Heise eine Software entwickelt, die menschliche Stimmungen analysieren soll. Das klingt auf den ersten Blick fast unmöglich, wenn man sich mit der dahinterliegenden Theorie jedoch ein wenig beschäftigt eigentlich gar nicht mehr so absurd. Weil Heise leider nichts dazu schreibt, hier ein paar Hintergundinformationen:

Zur Kodierung von menschlichen Stimmungen anhand des Gesichtsausdrucks gibt es das bereits 1978(!) das von Paul Ekman und Wallace V. Friesen entwickelte und als Loseblattsammlung mit Filmsequenzen publizierte Facial Action Coding System. Das FACS-Manual definiert eine Vielzahl sogenannter Action Units (AUs), das sind sichtbare Bewegungen der mimischen Muskulatur. Eine Action Unit kann entweder ein einzelner Muskel (z.B. Heben der Augenbraue) oder in mehreren Fällen eine Kombination aus mehreren Muskeln (z.B. Kußmund) sein, die zusammen einen bestimmten Gesichtsausdruck ergeben. In seltenen Fällen gibt es zu einem realen Muskel auch mehrere Action Units (z.B. Blinzeln und Senken der Augenlieder), wenn dieser Muskel verschiedene Mimiken erlaubt. Das FACS-Manual dekodiert den beobachteten Gesichtsausdruck in die spezifischen AUs, aus denen sich der Ausdruck zusammensetzt. Zusätzlich fließen in den FACS-Score Werte wie Intensität (auf einer Skala von A-E), Dauer und Asymmetrie des Gesichtsausdrucks ein.

Für jeden Gesichtsausdruck gibt es im Facial Action Coding System Affect Interpretation Dictionary (FACSAID) eine psychologische Interpretation. Die Gesichtsausdrücke in der Datenbank werden anhand ihres FACS-Score beschrieben und bestehen hauptsächlich aus emotionalen Einschätzungen. Eine Art Expertensystem oder Regelsätze kommt nicht zum Einsatz, um die Datenbank einfach benutzbar zu halten.

Da FACS extrem umfangreich ist, da es praktisch alle überhaupt möglichen Gesichtsausdrücke spezifiziert, kommt in der Praxis häufig eine abgespeckte Version zum Einsatz, die nur wichtige emotionale Gesichtsausdrücke kodiert, EMFACS (Emotion FACS). EMFACS wurde in den 80er Jahren hauptsächlich für US Behörden entwickelt, um die Zeit für ein Scoring zu veringern, wenn nur der aktuelle emotionale Gesichtsausdruck gefragt wird. Während eine komplette FACS-Analyse eines Fotos bis zu zwei Stunden dauern kann, ist eine EMFACS-Bewertung oft in weniger als einer Minute, manchmal auf den ersten Blick heraus möglich. Mindestens seit 2006 bildet Ekman auch Beamte des US Department of Homeland Security sowie Sicherheitsbeamte an Flughäfen aus, die möglicherweise nervöse Passagiere als Terroristen entlarven sollen. Beim DHS nennt sich das übrigens Screening Passengers by Observational Techniques, kurz SPOT.

Und jetzt ist es vielleicht an der Zeit, sich langsam Sorgen zu machen. Der Satz: „Als ein mögliches Einsatzszenario nennt das Institut die Messung der Reaktion auf öffentliche Werbung.“ ist natürlich Blödsinn. Die Technik wandert direkt in Schäubles Überwachungsarsenal. Das ist schließlich genau das, was sich Sicherheitsbeamte seit langem wünschen: Echtzeit-Auswertung des Gefühlszustand einer großen Anzahl von Personen.

Ach ja, das Fraunhofer Institut ist nicht das einzige, das daran arbeitet. Mindestens die Sandia National Labs sind auch mit dabei. Nur schreiben die ehrlicherweise: „Sandia is developing technology to help prevent border incidents“. Und in Holland gibt es sogar einen kommerziellen Anbieter.

kurz notiert:

iPhone Dev Wiki

Hackint0sh

kann man bestimmt mal brauchen … 🙂

158.048.276, in Worten 158 Millionen 48 Tausend 276 Datensätze mit sensiblen privaten Daten wurden laut Privacyrights.org seit Januar 2005 gestohlen.  Und das sind nur die bekanntgewordenen und offiziell bestätigteten Fälle. Die anderen werden nicht gezählt.

Ich wollte ja nicht über das Apple iPhone schreiben, bevor nicht die ersten echten Exploits da sind. Jeder weiß inzwischen, das Teil ist „hot baby“, Apple hat zwischen 200.000 und 700.000 Geräte verkauft (je nachdem, wen man fragt) und außer The Register (die keines umsonst bekommen haben, schämt Euch bei Apple) sind eigentlich auch alle zufrieden.

Ach ja, die Exploits … die ersten Sachen sind schon aufgepoppt:

Der Safari-Browser im iPhone enthält (wenig überraschend) einen Buffer Overflow den Errata Security entdeckt hat

Außerdem scheint das iPhone Passwörter zu besitzen, mit denen ein Programm root-Zugriff bekommen kann. Dazu haben ein paar Hacker das File analysiert, das man mit iTunes runterladen kann, wenn man die Firmware komplett neu auf dem Telefon installieren möchte und die Hashes durch John the Ripper gejagt. Herausgekommen sind übrigens „dottie“ (login: mobile) und „alpine“ (login: root).

Wie man damit allerdings root-Rechte auf dem Telefon bekommt ist noch nicht bekannt.

Ich persönlich gebe dem Gerät maximal noch drei Wochen.

Der Inquirer hat mich drauf gestoßen: Softpedia hat eine Liste der Programme zusammengestellt, bei denen Microsoft Vista die Nutzer in irgendeiner Art ausforscht (und sei es nur, um anonym Daten zur Qualitätsverbesserung zu sammeln) und diese Daten an Microsoft schickt. Ich persönlich (aber ich mag jetzt auch naiv sein) finde die Liste beeindrucken:

• Windows Update
• Web Content
• Digital Certificates
• Auto Root Update
• Windows Media Digital Rights Management
• Windows Media Player
• Malicious Software Removal/Clean On Upgrade
• Network Connectivity Status Icon
• Windows Time Service
• IPv6 Network Address Translation (NAT) Traversal service (Teredo)

Nicht schlecht. Natürlich ist alles durch die EULA abgedeckt:

„By using these features, you consent to the transmission of this information. Microsoft does not use the information to identify or contact you.“

Das klingt doch schon mal gar nicht so erfreulich, zumindest wenn man ein paranoider Datenschutzfreak ist. Es kommt aber noch besser. Es gibt nach Softpedia weitere 47 Teilfunktionen von Windows, die zumindest Daten sammeln auch wenn von diesen Programmen Daten nicht unbedingt oder nur nach Rückfrage und ebenfalls anonym zu Microsoft geschickt werden:

• Activation
• Customer Experience Improvement Program (CEIP)
• Device Manager
• Driver Protection
• Dynamic Update
• Event Viewer
• File Association Web Service
• Games Folder
• Error Reporting for Handwriting Recognition
• Input Method Editor (IME)
• Installation Improvement Program
• Internet Printing
• Internet Protocol version 6 Network Address Translation Traversal
• Network Awareness (somewhat)
• Parental Controls
• Peer Name Resolution Service
• Plug and Play
• Plug and Play Extensions
• Program Compatibility Assistant
• Program Properties—Compatibility Tab
• Program Compatibility Wizard
• Properties
• Registration
• Rights Management Services (RMS) Client
• Update Root Certificates
• Windows Control Panel
• Windows Help
• Windows Mail (only with Windows Live Mail, Hotmail, or MSN Mail)
• Windows Problem Reporting

Was im Detail von wem übertragen wird hier. Ach ja, Microsoft schreibt in die EULA außerdem, dass diese Liste nicht vollständig sein muss und bei der Nutzung weiterer Programme oder Dienste von Microsoft weitere Daten übertragen werden können.

Wie werden die Daten genutzt? Keine Ahnung, oder wie Softpedia schreibt:

Only God and Microsoft know the answer to that. And I have a feeling that God is going right now „Hey, don’t get me involved in this! I have enough trouble as it is trying to find out the release date for Windows Vista Service Pack 1 and Windows Seven!“

Und Microsoft hält sich zumindest in der US-Fassung der EULA die weitere Nutzung der Daten vor:

„Microsoft may disclose personal information about you if required to do so by law or in the good faith belief that such action is necessary to: (a) comply with the law or legal process served on Microsoft; (b) protect and defend the rights of Microsoft (including enforcement of our agreements); or (c) act in urgent circumstances to protect the personal safety of Microsoft employees, users of Microsoft software or services, or members of the public,“

Ich glaube, Vista kommt mir nicht auf die Rechner.

Ich muss mal ein paar Zeilen über Fuzzing schreiben. Wikipedia schreibt dazu nicht ganz zutreffend:

Fuzzing ist eine spezielle Technik für Software-Tests. Hierfür werden automatisch mit Tools zufällige Daten erzeugt, die über Eingabeschnittstellen eines Programms verarbeitet werden.

Das ist so nicht ganz richtig. Fuzzer sind nicht auf Dateien beschränkt, es gibt natürlich auch Fuzzer für Netzwerkdienste, die beispielsweise durch fehlerhafte oder zufällig erzeugte Datenpakete zum Absturz gebracht werden können. Fuzzer wurden lange Zeitlang kaum beachtet, haben jedoch u.a. durch die Arbeit von HD Moore eine Renaissance erlebt. Auf der Webseite des Month of the Browser Bug sind einige Fuzzer, u.a. AxMan, Hamachi, CSS-die, DOM-Hanoi und MangleMe verlinkt. Insbesondere der ActiveX-Fuzzer AxMan hat sich als sehr wirkungsvoll erwiesen, vermutlich weil die meisten ActiveX-Controls nur auf Funktionalität und nicht in Hinblick auf Sicherheit entwickelt wurde. ActiveX von Microsoft gehört meines Erachtens generell zu den Technologien, die besser nicht entwickelt worden wären.

Das beliebteste Ziel von Fuzzern sind weiterhin offensichtlich Browser, hier gibt es auch die größte Auswahl wie die Seite von HD Moore beweist. Sehr spannend finde ich auch SIP-Fuzzer, mit denen man beispielsweise Telefonanlagen und IP-Telefone sehr gut angreifen kann. Als Fuzzer gegen Webserver gibt es beispielsweise den Spike Proxy oder Wapiti, und kommerzielle Produkte wie beStorm sind natürlich auch nicht weit.

Aus Deutschland gibt es jetzt auch einen Browser-Fuzzer:

JdM (Jacques de Molay, ein großer Name) hat einen neuen Browser-Fuzzer aufgelegt, den BrowserCrashTest Ride the Monkey, aktuell in der Version 0.2 und komplett im Source Code unter der GPL freigegeben. Der Fuzzer ist in Visual Basic programmiert und lässt sich daher nur unter Windows kompilieren. Ich persönlich würde ja eine leichter portierbare Software z.B. in Java bevorzugen. Dafür integriert er Funktionen wie DLL-Injection von iDefense und kann damit recht mächtige Funktionen ausführen. Insgesamt jedoch durchaus ein interessantes Tool.

Ob es ökonomisch Sinn macht, sich mit Browsern zu beschäftigen wage ich jetzt mal zu bezweifeln. Bei Browsern gibt es nur wenige Anbieter (Microsoft IE, Mozilla Firefox, Opera, Konqueror, Safari und ein paar Nischenprodukte), wenn man da Lücken im Browser findet ist das für das Ego sicher gut, lässt sich aber kaum in klingende Münze umwandeln. Viel interessanter finde ich Fuzzer für Dienste oder Protokolle die neu und in vielen Unternehmen eingesetzt werden. Und da stößt man unweigerlich auf Dienste wie VoIP (SIP, SCCP, H.323) mit vielen verschiedenen Telefon- und Anlagenanbietern und immer wieder VPN (IKE, IPSEC, PPTP, HTTPS), das inzwischen überall verbreitet ist. Ich denke, angefangen mit diesen Protokollen ließe sich leicht auch ein kommerziell erfolgreicher Fuzzer entwickeln.

Die Finnen sind da schon auf dem richtigen Weg.