Mitternachtshacking

ohne Wort:

(via Wortfeld)

Multics … schon mal gehört? Nein? Vielleicht im Zusammenhang mit den Anfängen von Unix? Ab 1963 von AT&T und anderen in der Programmiersprache PL/I entwickelt bis 2000 auf Installationen verschiedener Hersteller in Betrieb.

Multics hatte 1963 bereits ein besseres Sicherheitskonzept als die meisten modernen Betriebssysteme. Hier eine Beschreibung der Funktionen (PDF). Sehr lesenswert, auch die Literaturliste.

Ok, es ist vorbei. Das ganze Thema „Hacking“ ist offensichtlich gelaufen. Wir sind jetzt endgültig absolut sicher. Aber nicht wegen dem § 202c, nein, nein. Statt dessen haben wir das der EADS und ihrem Ectocrypt-System zu verdanken.

„A team of researchers and engineers at a UK division of Franco-German aerospace giant EADS has developed what it believes is the world’s first hacker-proof encryption technology for the internet.“

Quelle: Telegraph.co.uk. Hier gibt es sogar ein lustiges Video und ein Datenblatt (PDF) dazu.

Hmm, mal testen …

• Secret System … ja, geheime EADS Technologie ohne veröffentlichten Details
• Technobabble … ja, z.B. „High Assurance Internet Protocol Encryptor (HAIPE)“, „lightning speed key scambling and re-formatting“
• Unbreakable … ja, offensichtlich
• One-time Pads … nein, leider nicht

75% Übereinstimmung mit der Definition für Snake Oil Cryptography.

Ich persönlich gebe der Technologie ja so ca. 12 Monate, bevor die NSA eine fette Lücke gefunden hat und das System wertlos ist. Ich fürchte, die Jungs bei der EADS sollte nicht so viel Ghostbusters kucken. Viel witziger hätte ich ja gefunden, wenn die Jungs ihre Verschlüsselung „Clearstream“ genannt hätten. 🙂

Matasano hat einen sehr lesenswerten Artikel über sichere Passwort-Hashes, Rainbow-Tables und unfähige Software-Entwickler geschrieben:

Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes

Das Fazit daraus ist, Passwörter dürfen niemals im Klartext sondern müssen immer als Salted Hash gespeichert werden. Der Salt kann im Klartext zum Passwort-Hash dazugespeichert werden, sollte jedoch mindestens 16 Bit lang sein. Als Hash sollte nicht MD5 oder SHA1 zum Einsatz kommen, die viel zu schnell sind und einem Angreifer die Möglichkeit geben, viele Hashes in sehr kurzer Zeit zu testen. Statt dessen sollte etwas wie bcrypt() von OpenBSD verwendet werden, das auf Blowfish aufsetzt und sehr langsam und umständlich ist.

Nachtrag:

Matasano hat eine neue Blog-Adresse und einen neuen Link.

Manchmal sollte man besser nicht weiter nachbohren, sonst findet man lauter Kuriositäten.

Die Chicago Sun-Times verbietet ihren Lesern in den „Terms of Use“ die Nutzung von Ad-Blockern:

5. Your Use Of The Web Site
As a user of the Web Site, you agree that you will not:

• cover or obscure any banner or other advertisement on the Web Site;

Der Blogger Danny Carlton hat sogar ein Skript implementiert, das gezielt Firefox-Nutzer mit AdBlock bzw. AdBlockPlus aussperrt. CNet hat einen netten Artikel zu dieser Problematik.

Umgekehrt rüsten auch die Werbefuzzis auf. Buenos Dias Elias beschreibt, wie man Werbung trotz Adblocker anzeigen lassen kann.

Ich warte ja auf die ersten Prozesse in den USA. Da wurde 1979 schon Betamax verklagt, da die Nutzer Werbung durch Vorspulen überspringen können (übrigens erfolglos).

Ich schrieb bereits darüber, warum ich mein Blog lieber selbst hoste und es niemand anderem anvertraue. Das was ich schreibe gehört so erstmal mir, zumindest was das deutsche Urheberrecht dazu sagt und jede anderweitige Nutzung (ausgenommen Zitate) ist daher erstmal unzulässig. Klar, in der Praxis interessiert nicht groß, was ich hier schreibe aber ein gewisser abstrakter Schutz vor Missbrauch ist zumindest gegeben.

Besonders krass ist der Fall jetzt bei unseren „Don’t be evil“ Freunden von Google.

Google bietet Nutzern die kostenfreie Möglichkeit, mittels Google Text & Tabellen Dokumente und Kalkulationen auf den Servern von Google zu erstellen. Die dort von vielen Nutzern erstellten Informationen sind vielleicht sogar teilweise vertraulich, auf jeden Fall aber nicht für jeden gedacht. Selbst wenn es im Prinzip unwichtig ist, geht das andere Leute gleich gar nichts an.

Auch hier hilft wieder ein Blick in die von Google verfassten AGB, die jeder Nutzer akzeptieren muss. In der Fassung vom 18.12.2006, noch gültig am 16.09.2007 steht darin unter Punkt 11.1 folgender Abschnitt:

„Durch Übermittlung, Einstellung oder Darstellung der Inhalte gewähren Sie Google eine dauerhafte, unwiderrufliche, weltweite, kostenlose und nicht exklusive Lizenz zur Reproduktion, Anpassung, Modifikation, Übersetzung, Veröffentlichung, öffentlichen Wiedergabe oder öffentlichen Zugänglichmachung und Verbreitung der von Ihnen in oder durch die Services übermittelten, eingestellten oder dargestellten Inhalte.“

Faktisch bedeutet das, alle bei Google Text & Tabellen eingestellten Daten und Informationen kann Google beliebig weiterverwenden, veröffentlichen, damit werben und da die Lizenz unwiderruflich ist, kann Google die Daten sogar noch nutzen, wenn sie aus Google Text & Tabellen vom Nutzer längst wieder gelöscht wurden.

Laut Golem behauptet Google zwar, das sei so nicht gemeint aber wenn es halt doch zum Streit kommt, gelten die schriftlich fixierten AGB und der Nutzer ist der Dumme.

Wenn das nicht „evil“ ist, was dann?

Schon länger im Backlog aber jetzt passend zum Thema:

Disclaimer: Achtung, enthält möglicherweise jugendgefährdende Fotos und Dateien 🙂

Ich finde das ja durchaus interessant. Da bekomme ich also (mühsam aus dem Spamordner gefischt) folgende E-Mail:

Die liebe (mir unbekannte) Maria Webber hat also eine Webseite aufgesetzt, und lädt mich ein ihre Bilder zu betrachten. Die Webseite selbst sieht so aus (Unkenntlichmachung von mir, ich weiß nämlich nicht, ob die Dame mit der Veröffentlichung des Bildes einverstanden ist oder ob das Bild irgendwo einfach geklaut wurde):

Beim Anklicken von „Andere Fotos finden Sie im Archiv“ bekommt man eine Datei „photos.exe“ (ZIP-File, Achtung Download auf eigene Gefahr) angeboten. Ich habe die Datei an Virus Total geschickt, um sie testen zu lassen, nachdem mein lokaler Virenscanner nichts gefunden hat. Das Ergebnis ist relativ eindeutig:

Zumindest 10 der vorgeschalteten Virenscanner kommt die Datei suspekt vor, im Allgemeinen wird ein Trojan Dropper (d.h. ein Programm, das weiteren Schadcode nachlädt) mit dem Namen PolyCrypt erkannt.

Mich beeindruckt ja der Aufwand, mit dem das Verbreiten von Schadcode inzwischen erfolgt. Früher wäre die Datei einfach als Attachment in der Mail enthalten gewesen. Heute setzen die Angreifer eigene Webseiten auf (ok, enthält nur ein Photo, aber die URL muss zumindest registriert werden), verbreiten passenden Spam und warten darauf, dass die nichtsahnenden Nutzer sich den Schadcode selbst auf den Rechner laden.

Ich bin mir sicher, das Verfahren lässt sich auch hervorragend für gezielte Social Engineering Angriffe gegen Unternehmen missbrauchen. Einfach eine ähnlich klingende Domain registrieren, eine passende Mail gezielt an einzelne Mitarbeiter verschicken und abwarten, was passiert …

Anmerkung: AntiVir  7.06.00.05 vom 06.09.2007 erkennt den Schadcode noch nicht,  AntiVir 7.06.00.10 vom 15.09.2007 erkennt den Schadcode. Da sieht man mal wieder, wie wichtig aktuelle Virenscanner-Updates sind. Auch interessant, AntiVir sucht inzwischen nach 1071077 Virenstämmen, über 1 Million, schon krass. Vielleicht doch langsam Whitelists einführen?

Microsoft spielt anscheinend heimlich Updates auf die Rechner von Windows XP und Windows Vista Usern ein, auch wenn Windows Update das ausdrücklich untersagt.

Wer einmal lügt, dem glaubt man nicht, auch wenn er dann die Wahrheit spricht.

Im vorliegenden Fall, der von Windows Secrets detailliert analysiert wurde, ging es (noch) nur um die Aktualisierung der Windows Update Software selbst. Die Erklärung von Microsoft dazu klingt mir persönlich ja etwas hanebüchen:

„Had we failed to update the service automatically, users would not have been able to successfully check for updates and, in turn, users would not have had updates installed automatically or received expected notifications.“

Auf deutsch: Wenn Microsoft die Updates nicht heimlich eingespielt hätte, hätten die Anwender keine Updates mehr zum Einspielen mit Bestätigung angezeigt bekommen. Ich frage mich ja, wieso findet die Update-Software dann heimliche Updates, solche die der Anwender bestätigen kann aber nicht?

Unabhängig von der technischen Thematik entsteht jedoch ein gefährlicher Präzedenzfall. Wenn ich mich nicht mehr darauf verlassen kann, dass mich Windows Update informiert, bevor Updates eingespielt werden, muss ich die Software komplett deaktivieren.

Von Microsoft sind wir inzwischen leider gewohnt, nicht immer die ganze die Wahrheit zu erfahren. Tatsachen werden verdreht, wichtige Informationen „vergessen“ und nur das zugegeben, was wirklich herauskommt. Die Gefahr ist mir persönlich zu groß, dass Microsoft mir sonst heimlich DRM, WGA oder ähnlichen Schrott unterjubelt, den kein Mensch haben möchte, der die Systeme verlangsamt, den Anwender entmündigt und die Kontrolle des Systems an den Hersteller überträgt. Und natürlich könnten andere Unternehmen ebenfalls auf den Geschmack kommen, heimlich Updates einzuführen.

Spitblog berichtet, dass sich der Informatiker Michael Kubert selbst angezeigt hat, wegen Verbreitung von Hacker-Tools. Damit könnte die längst fällige Klärung der Rechtslage angestoßen werden.