13. September 2007

Cybercrime bäd

Category: Internet,Politik — Christian @ 19:21

Zufällig entdeckt:

Im United States Department of Justice gibt es eine eigene Abteilung „Computer Crime & Intellectual Property Section„. Der Schwerpunkt scheint wie in den USA zur Zeit üblich auf der Intellectual Property zu liegen. So wurde das auf der Homepage verlinkte Manual „Prosecuting Intellectual Property Crimes“ im Oktober 2006 auf den neuesten Stand gebracht, das Manual „Prosecuting Computer Crimes“ aber erst im März 2007. Interessant finde ich am ehesten noch den Abschnitt „Manual on Electronic Search and Seizure„, leider von Juli 2002.

Ich frage mich ja nur, was die mit der tollen Seite Rules in Cyberspace für Kinder wollen? You can get in real trouble for hacking? Da lachen die doch drüber. Und das Layout ist sowas von annodazumal.

12. September 2007

Intel vPro PEBCAK

Category: Offtopic — Christian @ 18:54

Intel hat zu vPro ein paar lustige Werbespots gemacht, die sich auf PEBCAK (problem exists between chair and keyboard) beziehen. Sehr schön:

Support: „IT, this is Matt.“
PEBCAK: „My Computer is having a major problem right now!“
Support: „Ok, what were you doing right before this happened?“
PEBCAK: „I opened an attachment to see if it had a virus.“

Und ein Video gibt es auch dazu:

Lizenzen: Symantec, Microsoft und die Lizenzen

Category: Produkte — Christian @ 18:54

Eigentlich ist das ja ein älteres Thema aber es passt mir gerade gut, das hier jetzt aufzugreifen.

Intel hat sich eine richtig clevere Idee ausgedacht, um PCs vor diversen Problemen und Sicherheitsrisiken zu schützen: vPro. Das ist jetzt nicht ironisch gemeint. Ich halte das Modell wirklich für gut, wenn es richtig umgesetzt wird. Bei vPro läuft das Betriebssystem nicht direkt auf der Hardware sondern in einem leichtgewichtigen hardware-unterstützten Hypervisor. Der Hypervisor unterstützt mehrere virtuelle Systeme gleichzeitig, die dann für verschieden Funktionen verwendet werden können. Eine Idee ist, in so einem virtuellen System parallel zum normalen Windows Betriebssystem diverse Sicherheitsfunktionen ablaufen zu lassen. Intel nennt das „Virtuelle Appliances“.

In der Praxis würde das z.B. bedeuten, neben dem Betriebssystem gibt es eine virtualisierte leichtgewichtige „Appliance“, in der eine Firewall mit integriertem Intrusion Detection/Prevention System abläuft, die zwischen Hauptbetriebssystem und Netzwerk geschaltet wird. Dieses Konzept hat den wichtigen Vorteil, dass alle Funktionen in diesem virtuellen System vor dem Hauptbetriebssystem geschützt sind. Das Abschalten der Firewall-Funktion oder des Virenscanners durch einen Trojaner ist daher keine direkte Gefahr mehr. Ebenso könnte man in der virtuelle Appliance VPN-Gateways z.B. zum Sicheren Zugriff auf das Firmennetz einrichten. Ich kann mir hier unzählige spannende Möglichkeiten vorstellen.

Symantec hat diese Ideen offensichtlich fertig implementiert, es nennt sich VSS, Virtual Security Solution. Leider hat Symantec dabei einen bösen Fehler begangen. Nach dieser Meldung von Heise ist die Lösung auf Microsoft Windows CE implementiert (wohl eher XP Embedded, macht aber keinen Unterschied), ein leichtgewichtigeres Betriebssystem als ein komplettes Windows XP. Die VSS läuft und funktioniert, aber Symantec wird sich mit Microsoft bezüglich der Lizenzen nicht einig. Am Preis kann es eher nicht scheitern, nach Informationen der Seite Windowsfordevices kostet eine CE-Lizenz gerade mal drei (3) US-$. Ich würde daher vermuten, Microsoft sieht z.B. einen VPN-Gateway als „Server“ und lässt es daher nicht zu, diese Software auf Windows CE laufen zu lassen. Statt dessen ist die volle Lizenz für einen Windows Server fällig. Natürlich ist das Konzept dann finanziell nicht mehr attraktiv. CNet schreibt, dass Symantec nun daran arbeitet, VSS auf ein Open Source Betriebssystem zu portieren.

Und an der Stelle verstehe ich Symantec ja gleich gar nicht mehr. Gibt es da überhaupt ein Management, das kompetente Entscheidungen trifft? Oder nach Marty McFly: „Hallooo“ klopf auf den Kopf „irgendjemand zu Hause?“

Einerseits streitet Symantec seit geraumer Zeit mit Microsoft wegen den Schwierigkeiten, die durch die Beschränkung in Vista bestehen nur signierte Kernelmodule ablaufen zu lassen. Oder weil Microsoft die API nicht zeitnah veröffentlicht. Und weil Microsoft Security-Software zum Dumpingpreis anbietet.

Andererseits hatte Symantec bis zur Abkündigung alle Funktionen bereits auf einem Open Source Betriebssystem am Laufen: die Symantec Gateway Security (SGS) als Firewall mit VPN, Intrusion Prevention, SSL Gateway und Antivirus, auf einem gehärteten Red Hat Betriebssystem. Meinetwegen wechselt man noch schnell zu CentOS (dann braucht man Red Hat nichts mehr bezahlen) oder nimmt ein Embedded Linux. Wenn die Software unter Linux mal läuft, ist die Anpassung einfach. Aber nein, man will ja den Monopolisten Marktführer unterstützen.

Das Traurige daran: ich könnte mir vorstellen, dass VSS eine echt zukunftsweisende Technologie mit wichtigen Sicherheitsfunktionen sein könnte und jetzt halt zwei oder drei Jahre später erscheint. Allerdings hätte die Episode auch was gutes, wenn andere Hersteller davon lernen würden. Wird nur leider wohl eher nicht passieren. Andere Hersteller, z.B. hier RSA mit der SecurID-Appliance verwenden jetzt schon Windows Server 2003 in einer Appliance. Da würde ich doch niemals eine Appliance kaufen, wenn sowieso Windows drin ist.

Falls zufällig ein Hersteller einer tollen innovativen Appliance hier mitliest: nehmt ein Open Source Betriebssystem, meinetwegen auch FreeBSD oder OpenBSD anstatt Linux (dann müssen die Änderungen nicht veröffentlicht und an die Community zurückgegeben werden) aber Finger weg von Microsoft.

11. September 2007

Arcor zensiert

Category: Internet,Politik — Christian @ 02:25

diesmal nur Pornographie und natürlich lässt sich die Zensur trivial umgehen, aber es ist ein interessanter Präzedenzfall, dass ein Provider nicht mehr nur DNS-Einträge sperrt sondern jetzt auch komplette IP-Adressen nullroutet. Lustigerweise diesmal anscheinend auf Wunsch von Juguard, einem Verein der  die heimischen Videoverleiher vor der bösen Internet-Pornographie mit dem Argument des Jugendschutzes schützen soll.

Die AGB von Arcor erlauben das, also scheint Arcor sich formal im Recht zu befinden (sofern die AGB wirksam sind, für mich wären die jetzt überraschend). Meine Empfehlung daher: Finger weg von Arcor.

Zum Umgehen nimmt man halt einfach einen beliebigen Anonymisierungsdienst:

oder meinetwegen auch Tor. Aber bitte darauf achten: Das sind alles nur Anonymisierungsdienste, die die Identität schützen, nicht die Datenübertragung. Das kann (und wird) wie Deranged Security gezeigt hat alles abgehört. Also bitte möglichst immer HTTPS, SSL, SSH, PGP, GPG, etc. verwenden.

Oder mit Martin Niemöller:

Als die Nazis die Kommunisten holten, habe ich geschwiegen, ich war ja kein Kommunist.
Als sie die Sozialdemokraten einsperrten, habe ich geschwiegen, ich war ja kein Sozialdemokrat.
Als sie die Gewerkschafter holten, habe ich geschwiegen, ich war ja kein Gewerkschafter.
Als sie mich holten, gab es keinen mehr, der protestieren konnte.

Deranged Security veröffentlicht „Phishing“-Anleitung

Category: Hacking,Internet — Christian @ 01:46

Vor einigen Tagen hat der schwedische Sicherheitsexperte Dan Egerstad in seinem Blog eine Liste von Passwörtern einiger ausländischer Botschaften veröffentlicht. Hier ein kleiner Ausschnitt:

Uzbekistan Foreign Affairs 57.66.151.179 Qohira 5gx7n1e4w9
Iran Embassy in Ghana 217.172.99.19 iranemb_accra@mfa.gov.ir accra
Iran Embassy in Kenya 217.172.99.19 iranemb_kenya@mfa.gov.ir kenya
Iran Embassy in Oman 217.172.99.19 iranemb_muscat@mfa.gov.ir muscat
Iran Embassy in Tunisia 217.172.99.19 iranemb_tunisia@mfa.gov.ir tunisia
Iran Ministry of Foreign Affairs 217.172.99.19 bagheripour@mfa.gov.ir amir1368
Kazakhstan Embassy in Italy 213.21.159.23 kazakstan.emb@agora.it rfywkth
Kazakhstan Embassy in Egypt 213.131.64.229 kazaemb piramid

Die vollständige Liste findet sich in Dans Blog. Ich will jetzt nicht über die Qualität der uzbekischen Passwörter und die tollen iranischen Passwörter reden, das ist dann doch ein wenig langweilig.

Irgendeine wichtige US-Behörde hat die Seite dann ein paar Tage aus dem Netz nehmen lassen, aber natürlich viel zu spät. Die Passwort-Liste hatten ich und viele andere natürlich längst gespeichert. Wenn der Geist erstmal aus der Flasche und im Internet ist, lässt er sich kaum noch wieder einfangen. Das ist wie mit dem geheimen Virtual Earth Bildern.

Interessant ist eigentlich die Art und Weise, wie Dan an die Passwörter gekommen ist. Er hat fünf Exit-Nodes des Anonymisierungsnetzwerks Tor modifiziert und einen Passwort-Sniffer für POP3 und IMAP integriert. Tor bietet halt nur anonymen Zugriff auf einen Client, aber keinen Schutz der übermittelten Daten. Das Problem ist, eigentlich ist das jedem bewusst, aber so richtig Gedanken macht sich keiner darüber.

Egerstad vermutet außerdem, dass einige der Exit-Nodes von staatlichen Behörden, beispielsweise aus den USA, Russland oder China betrieben werden und so gezielt eine große Menge von Daten abgefischt wird. Wichtige Daten sollte man deshalb nur verschlüsselt, per SSL oder HTTPS übertragen.

Der komplette Blog-Eintrag und Heise hat es auch schon gemerkt.

Ach ja, bevor ihr jetzt alle einen Tor Exit-Node aufsetzt: StGB § 202b sagt dazu, wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

Also 1. Hacker-Gebot nicht vergessen: Lass Dich nicht erwischen!

Google Maps lässt schwimmen

Category: Internet,Offtopic — Christian @ 00:04

Weil wir gerade bei Live Earth waren … Google Maps ist auch manchmal lustig:

Swim across the Atlantic Ocean, 3462 mi

🙂

10. September 2007

Presseschau zum Bundestrojaner (Teil 5)

Category: Datenschutz,Literatur,Politik — Christian @ 23:28

Nachdem N-TV ja die Nachrichten von Sat.1 produziert, können wir vermutlich davon ausgehen, dass die N-TV Webseite auch die autoritative Nachrichtenquelle der ProSiebenSat.1 Media AG ist. Deshalb interessiert es mich durchaus, im Vergleich zur eher linken Süddeutschen Zeitung, der rechten Welt, der konservativen FAZ und der öffentlich-rechtlichen ARD, was die privaten Sender so dazu schreiben.

Insgesamt kommt mir die Berichterstattung bei N-TV überraschend kompetent und kritisch daher, ganz im Gegensatz zur scheinbar seriöseren Welt. Der folgende Absatz aus dem Kommentar vom 13.07.2007 ist bezeichnend:

    Würde der Regierung tatsächlich an der öffentlichen Sicherheit gelegen sein, hätte sie nicht tatenlos zugesehen, wie seit dem 11. September 2001 tausende (!) Stellen bei der Polizei gestrichen wurden. Die kosten allerdings Geld – ganz im Gegensatz zur sinnfreien und hysterischen Debatte über „gezielte Tötungen“ und Online-Razzien. Das wirft letztlich die Frage auf, ob der Innenminister, der diese Debatte betreibt, sich lediglich als „harter Hund“ profilieren will, oder ob bei diesem Mann, der immerhin durch einen Anschlag schwer traumatisiert und fast um seine Karriere gebracht wurde, noch mehr dahinter steckt. Beide Alternativen sind allerdings nicht gerade ermutigend.

Sehr gute Einschätzung.

Virtual Earth zeigt geheimen U-Boot Antrieb

Category: Datenschutz,Hacking,Internet — Christian @ 22:28

Sehr schön! Ab und zu ist Microsoft sogar zu was gut … Jetzt haben die von Microsoft in Virtual Earth veröffentlichten Satellitenbilder eine geheimen U-Boot Antrieb mit einer interessant geformten Schiffsschraube veröffentlicht. Die USA waren „not amused“.

Der U-Boot Antrieb bei Live Search

Und vorsichtshalber eine lokale Kopie:

Vielleicht stößt das in den USA auch mal eine Privacy-Diskussion an. Die vielen spannenden Bilder in der Google Street Search machen einem langsam Angst. Demnächst muss man wirklich damit rechnen, unversehens im Internet zu stehen und kann sich kaum vernünftig dagegen wehren. Aber gut, wenn es das US-Militär auch mal erwischt.

(via Welt)

9. September 2007

12 weitere Security Features die garantiert nicht funktionieren

Category: Hacking,Offtopic — Christian @ 20:50

Nachtrag zur Liste von gestern:

am wahrscheinlichsten … nutzlos
… in der Tasche der Jacke die in die Reinigung gegeben wurde USB-Stick mit vertraulichen Unternehmensdaten
… der Mitarbeiter mit den vertraulichen Daten auf einem USB-Stick der Mitarbeiter der sich am wenigsten an Sicherheitsregeln hält
… mit Sicherheitslöchern wie ein Schweizer Käse aus dem Internet angreifbar eine selbst entwickelte interne Anwendung, die „niemals aus dem Internet erreichbar sein wird“
… geeignet, um Mitarbeiter in die Paranoia zu treiben Webfilter mit drastischen Warnhinweisen, wenn Seiten blockiert werden
… geeignet, um Mitarbeiter in die Paranoia zu treiben Überwachungslogs der Internetnutzung die einen starken Anstieg der Nutzung von Anonymisierungsdiensten nachweisen
… desillusionierend anzunehmen, dass Mitarbeiter den praktischen Nutzen von Sicherheitspolicies verstehen
… nur dann jemals in Verbreitung wenn günstiger als alle vergleichbaren Lösungen Quantenkryptographie
… außer Kontrolle geraten und vollkommen nutzlos Role-based Access Control (RBAC) Projekte, die alle Anwendungen mit allen Benutzerrechten zu erfassen suchen
… nicht vorhanden, wenn sie dringend benötigt wird Geschäftskritische Informationen, die auf einem Desktoprechner gespeichert waren und vom Anwender selbst gesichert wurden
… das System bei dem nicht jeder rechtzeitig erreicht wird ein manuelles telefonisches Stafettenbenachrichtigungsverfahren
… nicht im Business Continuity Plan enthalten Geschäftsbereiche und Niederlassungen, die in den letzten sechs Monaten hinzukamen
… von einem Auditor gefragt egal, auf jeden Fall ist es etwas, das vergessen wurde

Das Original kommt wieder vom Gartner Security Blog.

8. September 2007

Raucher sind das größte Sicherheitsrisiko

Category: Hacking,Work — Christian @ 20:39

Die Warnung kennen wir schon. Diesmal jedoch in der Visualisierung von NetworkWorld. Besonders amüsant finde ich den eingeblendeten Hinweis „Dramatization“ …

… und den Kommentar: „Thankfully in this case, the voice over IP system was seperated from the data network, meaning the witty intruder could not surf for porn.“ 🙂