22. Dezember 2007
… ich glaube noch an den Weihnachtsmann und den Osterhasen und die Gründung der geplanten Bundesabhörzentrale ist eine reine IT-Maßnahme bei der die Trennung von Polizei- und Geheimdienst erhalten bleibt.
Andererseits … endlich gibt es ein richtig cooles High Profile Hacking-Ziel hier bei uns in Deutschland. Da wird es garantiert nicht lange dauern, dann geht es uns wie 2006 den Italienern mit ihrem Abhörskandal oder wie in Griechenland, wo Vodafone den größten Abhörskandal in der Geschichte des Landes zu verantworten hatte weil das Netz nicht ausreichend gegen Hacker gesichert war. Vodafone wurde zur Rekordstrafe von 76 Millionen Euro verurteilt.
Interessanterweise wurden sowohl in Italien als auch in Griechenland überwiegend Politiker abgehört, in Griechenland z.B. die Mobiltelefone des Ministerpräsidenten Karamanlis sowie weiterer Mitglieder der Regierung. Das kann eigentlich nicht schlecht sein. Gut, Kanther ist bereits verurteilt worden aber ich denke so tauchen sicher noch Beweise gegen Schäuble (Verdacht auf Schwarze Koffer) und Schily (Verdacht auf illegale Nebenverdienste) auf.
21. Dezember 2007
Eigentlich kaum überraschend, dass die Erkennungsrate der Virenscanner schlechter wird. Das Computermagazin c’t hat die gängigen weit verbreiteten Virenscanner getestet und viele schneiden deutlich schlechter in der Erkennung ab als vor einem Jahr.
Korrekt ist natürlich, dass die Malware-Szene immer professioneller wird, ich habe das hier ja auch schon angedeutet. Vor der Veröffentlichung werden die Schadprogramme auf Webseiten wie Virustotal oder AvCheck auf ihre Erkennbarkeit getestet und zumindest AvCheck bietet einen kostenpflichtigen Service der garantiert, dass die Schadprogramme nicht an die Virenscannerhersteller weitergegeben werden. Erschreckend ist aber auch, dass die Scanner mit ihren Heuristiken Schadprogramme nicht mehr erkennen, die sie vor einem Jahr noch erkannten.
Beim Behaviour-Blocking konnte nur ein Produkt, F-Secure, überzeugen während die Heuristik von Esets NOD32 mit 68% der unbekannten Schädlinge die beste Erkennungsrate aufwies. Kaspersky und BitDefender gehören laut The Register auch zu den besseren Produkten.
Das einzige was mich erschreckt ist, dass F-Secure auch Computer Bild Testsieger bei den Online-Virenscannern geworden ist. Und das ist normalerweise ein Hinweis, dass ein Produkt für den professionellen Einsatz gar nicht zu gebrauchen ist.
Ach ja … Whitelists irgendwer?
IT-Security per Gesetz? Eine Polemik.
Ok, das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI, nicht zu verwechseln mit BSE) befindet sich gelegentlich in einem Morphischen Feld, das verhindert einen klaren Bezug zur Realität herzustellen. Das es aber mit BSI-Präsident Dr. Udo Helmbrecht so rapide abwärts geht, war nicht abzusehen.
In einem Interview von Technology Review sagte er laut Heise in einem Interview:
„Wenn das im Wettbewerb und auf freiwilliger Basis funktioniert, brauchen wir keine gesetzlichen Regelungen. Wenn man allerdings sieht, dass man Themen wie Phishing oder Trojaner oder Bot-Netze kurzfristig nicht in den Griff bekommt, dann muss man sich andere Schritte überlegen“, sagte Helmbrecht. Ebenso stelle sich die Frage, ob das BSI eine Art Revisionsrecht bekommen sollte, „um nachzuschauen, ob das, was gemacht werden sollte, wirklich gemacht wird“.
Oder anders ausgedrückt, Helmbrecht hätte gerne eine gesetzliche Regelung die es Unternehmen in der freien Wirtschaft vorschreibt, welche IT-Sicherheitsmaßnahmen notwendig und zweckführend sind und das BSI würde dann zu einer Mammutbehörde ausgebaut, die das dann alles kontrollieren sollte.
Ich will mir das gar nicht weiter ausmalen. Alleine die weltfremde Sicht, dass eine „kleine Institution“ (PDF) mit drei Mitarbeitern ihre IT-Sicherheit nach BSI Grundschutz organisieren soll ist so 100% daneben, das kann sich nur ein Beamter einer Behörde ausdenken, die seit Jahren nicht mehr mit realen IT-Abteilungen zu tun hatte. Vermutlich würde die Helmbrecht’sche IT-Sicherheit verlangen, nur noch BSI-zertifizierte Firewalls (z.B. GeNUA, die Kisten sind so sicher, die muss man neu booten wenn man eine Regel oder das Routing ändert, damit niemand im laufenden Betrieb daran herumfummeln kann … ich stelle mir das gerade in einer echten Produktivumgebung vor!), BSI-zertifizierte Virenscanner (gibt es leider nicht, macht aber nichts), BSI-zertifizierte IPS (gibt es auch nicht) und BSI-zertifizierte Hacking-Tools (die dann hoffentlich vor dem § 202c schützen).
Ist das BSI zufällig auch für die IT-Sicherheit im Bundeskanzleramt zuständig? Dann ist mir das mit den chinesischen Trojanern die jetzt unter Verschluss gehalten werden auch klar. Wahrscheinlich plant Herr Dr. Helmbrecht IT-Sicherheit nach dem Monte Carlo Verfahren zu implementieren … naja, damit kennt er sich ja aus.
20. Dezember 2007
From - Wed Dec 19 00:48:45 2007X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <postmaster@swa.army.mil>
X-Spam-Checker-Version: SpamAssassin 3.2.1 (2007-05-02) on XXX.XXX.XXX
X-Spam-Level: ***
X-Spam-Status: No, score=3.6 required=5.0 tests=BAYES_99,RDNS_NONE
autolearn=no version=3.2.1
Delivered-To: XXX@XXX.XXX
Received: (qmail 32945 invoked from network); 18 Dec 2007 18:52:49 -0000
Received: from unknown (HELO XXX.XXX.XXX) (XXX.XXX.XXX.XXX)
by XXX.XXX.XXX with AES256-SHA encrypted SMTP; 18 Dec 2007 18:52:49 -0000
Received: (qmail 22785 invoked by uid 4207); 18 Dec 2007 18:52:48 -0000
Delivered-To: XXX@XXX.XXX
Received: (qmail 22781 invoked from network); 18 Dec 2007 18:52:48 -0000
Received: from unknown (HELO XXX.XXX.XXX) (XXX.XXX.XXX.XXX)
by XXX.XXX.XXX with AES256-SHA encrypted SMTP; 18 Dec 2007 18:52:48 -0000
Received: from bhubb3afgn002 (bhubb3afgn002-2.swa.army.mil [214.13.0.13])
by XXX.XXX.XXX (XXX) with ESMTP id 96C5811F8089
for <XXX@XXX.XXX>; Tue, 18 Dec 2007 19:52:47 +0100 (CET)
MIME-Version: 1.0
Content-Type: text/plain; charset="US-ASCII"
Content-Transfer-Encoding: 7bit
Subject: Rename .zip to .zzz
To: XXX@XXX.XXX
Message-Id: <20071218195944.A1618324019@bhubb3afgn002>
Date: Tue, 18 Dec 2007 19:59:44 +0000 (WET)
From: postmaster@swa.army.mil
You have tried to send a .zip file through the Army
Email Network. Per NETCOM 9TH ASC TECHCON
Implementation Memorandum Number 2004-011a archive
file types are blocked(.zip,.rar,etc), but if this is
a legitimate file please rename it to .zzz and resend
it.
(via hier und hier)
19. Dezember 2007
Amazon S3 (Simple Storage Service) ist eigentlich ein cooler Dienst …
„Amazon hat S3 mit dem erklärten Ziel gestartet, Entwicklern eine günstige Speicher-Infrastruktur zur Verfügung zu stellen. […] Dazu verspricht Amazon Ausfallsicherheit, schnelle Verfügbarkeit, Einbindungsmöglichkeiten in Web-Applikationen und dergleichen mehr. Doch das beste Argument für S3 ist und bleibt der Preis: Nutzer zahlen 15 US-Cent pro Gigabyte Speicherplatz pro Monat und 20 Cent pro Gigabyte verbrauchter Bandbreite – und zwar ganz nach Bedarf. Zusätzliche Fixkosten gibt es nicht.“
Nur, die eigenen Daten liegen halt jetzt Offsite, d.h. bei Amazon oder einem anderen vergleichbaren Anbieter. Und jetzt wird es wieder spannend. Nein, diesmal meine ich gar nicht den Fall der aneignenden AGB, eher, was ist wenn z.B. eine Behörde Zugriff auf die Daten fordert? Das muss gar nicht mal eine deutsche Behörde mit korrekter von einem Richter ausgestellten Durchsuchungserlaubnis sein, das können gerne auch US-Behörden sein, die sich die Erlaubnis zum Zugriff gerne mal selbst ausstellen.
The Register hat unter der Überschrift „don’t be evil“ die wichtigsten Knackpunkte zumindest aus amerikanischer Sicht zusammengestellt.
„So what happens when Google gets a subpoena or court order for my documents and spreadsheets – whether in a civil or a criminal case? As noted, the law generally requires an entity to produce any „evidence“ – including documents and records – within its possession, custody or control. So my records are in the „possession“ of Google in the same way that, if I left a smoking gun in your living room, the cops could either search your house for the gun, or get a subpoena compelling you to give up the gun.“
Für jeden, der erwägt z.B. seine Backups extern zu speichern (und ja, ich gehöre auch dazu) ist der Artikel von Mark Rasch, früher im US Justizministerium Chef der Computer Crime Unit, ein klares „must read“!
Natürlich ist es sinnvoll und notwendig, alle Daten vor der Übertragung zu verschlüsseln. Aber das hilft inzwischen auch nur eingeschränkt weiter, wie spätestens der Hushmail-Fall oder die nächste Reise nach Großbritannien zeigen werden.
18. Dezember 2007
17. Dezember 2007
Infinity Exists hat ein paar „Full Disclosure“ Videos gepostet, die typische Hacking-Themen abdecken. Die Videos findet man entweder bei YouTube oder direkt zum Download bei Infinity Exists. Nichts so wirklich neues spektakuläres aber trotzdem nicht schlecht. Es zeigt vor allem, wie gut und einfach die Tools inzwischen zu bedienen sind.
Ich hab sie schon mal auf meine Platte gezogen, anschauen kann ich sie mir in nächster Zeit immer noch.
So Videos scheinen übrigens langsam beliebt zu werden. In der Certified Ethical Hacker Schulung sind Videos dabei, ein Verlag ist bezüglich eines solchen Projekts auch schon auf mich zugekommen.
(mal wieder via Security4All)
16. Dezember 2007
Eine Folge des schwachsinnigen § 202c, den wir unserer inkompetenten Bundesregierung, insbesondere dem paranoiden Innenminister und der noch unfähigeren Justizministerin verdanken: Wichtige Sicherheitsprogramme sind in Deutschland nicht mehr zu bekommen. Beispielsweise Core Impact:
Hi Christian,
Per the new German law, we are unable to sell to German consulting
companies.
Best regards,
Eric Marhafer
Account Executive
Core Security Technologies
Danke, Ihr unfähigen Minister. Ihr ruiniert gerade den deutschen Mittelstand mit Eurer gesammelten Inkompetenz!
Nur eine kurze Linksammlung …
die kommerziellen Pakete
lasse ich mal außen vor. Weitere Tools? SecurityForest hat auch nicht mehr.
15. Dezember 2007
An der Hacking Front tut sich mal wieder etwas neues. Max, Muts, Martin und Co. haben die erste Beta der BackTrack 3 veröffentlicht.
Die Gegenseite rüstet jedoch ebenfalls auf. Als aktuelle Forensic Software wird die Deft Computer Forensics Version 3 zum Download angeboten.
Na gut, dann müssen wir halt wieder ein paar Schulungsunterlagen und Screenshots aktualisieren und uns in ein paar neue Tools einarbeiten. Zum Glück ist gerade Jahresende, der Chaos Communication Congress ist auch, da kann man sich in Ruhe über das Thema austauschen.
(via Securit4all, hier und hier)
