Mitternachtshacking

Das MIT stellt schon seit geraumer Zeit diverse Vorlesungen und Kurse für Studenten unter dem Titel MITOpenCourseware online. Weil ich den Link immer wieder verliere stelle ich ihn hier erstmal rein 🙂

Die Kurse decken wirklich alle Bereiche ab, auch wenn die am häufigsten gesehenen Kurse aus den Bereichen Physik und Chemie kommen. Ein paar echte IT-Perlen sind jedoch auch dabei:

• Den Kurs 6.857 Network and Computer Security finde ich beispielsweise recht interessant. Alleine das Einstiegsbild mit dem SSL-Handshake schreckt bestimmt schon ein paar Verzagte ab. Andererseits finde ich diese Grafiken immer recht hilfreich um zu zeigen, wie kompliziert IT-Security insgesamt und SSL im speziellen sein kann.
• 6.875 Cryptography and Cryptanalysis kommt auch nicht schlecht aber da wird es schon richtig kompliziert. Das ist dann nur noch für Profis und solche die es werden wollen. Ich glaube, wenn ich die Hälfte davon verstehe bin ich schon zufrieden.
• Und eine Vorlesung die ich auch gerne empfehle ist diese: 6.171 Software Engineering for Web Applications. Es treten so viele Sicherheitslücken in Webapplikationen auf, da braucht es definitiv etwas mehr Software Engineering.

Einziger Nachteil: man braucht sehr viel Zeit, das alles zu Lesen.

Und wem das alles nicht taugt, der findet vielleicht hier etwas. Gödel, Escher, Bach irgendwer? Oder lieber The Anthropology of Computing?

Ich weiß gar nicht, ob ich einen Artikel über Paypal schreiben will. Ich weiß einfach viel zu wenig über diesen Dienst und das wenige, das ich weiß ist so, dass ich Paypal vermutlich niemals verwenden werden.

Paypal Phishing

Phishing bei Paypal ist viel zu einfach.

Daran ist Paypal indirekt mit Schuld. Das Login mit einem selbst gewählten Login und Passwort ohne TANs macht es Hackern einfach viel zu leicht, notwendige Daten abzufangen. Jede normale Bank wäre dadurch längst in die Haftung geraten aber die AGB von Paypal scheinen jeden Schmu abzudecken. Mir persönlich wäre es viel zu gefährlich, da in irgendetwas unerwünschtes hinein zugeraten.

Paypal Zwang

Der Ebay-Konzern zu dem Paypal gehört versucht mit Gewalt, Nutzer an seinen hauseigenen teuren Zahlungsdienst zu binden. Heise schreibt dazu:

„eBay nutzt offenbar den Hype um Apples iPhone, um Verkäufer zu zwingen, sich beim Bezahldienst Paypal zu registrieren und diesen als Bezahlweise anzubieten: Bei der Online-Auktion dürfen nur PayPal-Mitglieder Apples iPhone in einer Versteigerung anbieten. Paypal ist ein Tochterunternehmen des Online-Marktplatzes und trägt nicht unerheblich zu dessen Umsatz bei. Bislang war es Verkäufern freigestellt, ob sie den Bezahldienst nutzen, bei dem außer Einstellungsgebühr und Verkaufsprovision noch zusätzliche Transaktionskosten anfallen.“

Eine einfache Überweisung in Deutschland kostet mich (ein geeignetes Konto vorausgesetzt) gerade mal gar nichts, bei Paypal ich weiß gar nicht wie viel der Überweisung. Im Hinblick auf die real anfallenden Kosten empfinde ich das persönlich schon nahe an der Wucher, egal wie legal das alles noch ist.

Paypal Datenschutz

Der Datenschutz bei Paypal ist leider nicht wirklich existent. Statt dessen ist Paypal immer sehr schnell um persönliche Daten zu sammeln, die Paypal nun wirklich nichts angehen:

Um meine beiden Paypal Konten (werden gewerblich genutzt) mit 1000 Euro Guthaben nach einer vollkommen unverhofften Sperrung im Januar wieder freigeben zu können, musste ich PayPal folgende Sachen schicken: Telefonrechnung, Ausweiskopie, Gewerbeschein und Stromrechnung […]

Und was passiert mit diesen Daten? Nun, Paypal gehört Ebay und zu den Datenschutzbestimmungen von Ebay schreibt beispielsweise die Deutsche Vereinigung für Datenschutz, dass sie vollkommen unzureichend sind.

„Besonders unangenehm ist allerdings die Tatsache, dass Ebay sich erlaubt, sämtliche erhobenen Daten an Dritte weiterzugeben. Vor allem das Versatzstück „zur Abwehr von Gefahren für die staatliche (…) Sicherheit“ sollte bei jedem Datenschützer die Alarmglocken klingeln lassen“

Aha. Das begeistert mich.

Paypal Sicherheitslücken

Leider ist Paypal selbst nicht gerade der sicherste Dienst. Alle paar Ecken tauchen neue Probleme auf. Mal ist es der Security Key, der nicht funktioniert. Dann werden über Paypal die eBay-Kundendaten abgephischt (und wenn sogar das ZDF berichtet, dessen Zielgruppe ja bekanntlich der „Silver Surfer“ ist, der wenig mit Ebay zu tun hat, dann muss es wirklich dramatisch sein. Die Warner von Falle Internet decken regelmäßig Sicherheitsprobleme auf, die mit Ebay und Paypal zu tun haben. Beispielsweise hier:

„Dieser (teilweise unkenntlich gemachten) Codezeile ist zu entnehmen, dass hier ein Programmmodul (cgi-xxx/webscr) der US-amerikanischen Website von PayPal mit dem Befehl aufgerufen wurde, um Daten zu dem eBay-Mitgliedskonto der angegebenen Variable buyer zu liefern.“

Alleine diese extreme Verknüpfung der Datenbanken von Paypal mit der von Ebay macht mir schon Sorge. Wenn an einer Stelle ein Problem auftritt gibt es an allen Ecken ein Problem.

Paypal Schweinereien

So schnell wie Paypal Konten sperrt und dann das Geld einbehält wäre jede andere Bank pleite. Es lohnt sich, dazu den Wikipedia-Artikel zu Paypal und insbesondere die Kritik dazu zu lesen:

„Immer wieder treten im Internet in einschlägigen Foren und Zeitschriften Berichte darüber auf, dass Paypal die Konten seiner Nutzer sperrt, wenn nur der geringste Verdacht besteht, der Kunde gehe terroristischen Aktivitäten nach, oder auch beim behaupteten Verdacht betrügerischer Aktivitäten. Dies trifft auch viele unschuldige Personen, die dann vom Zugriff auf ihr Guthaben ausgeschlossen sind.“

Wenn meine Bank mein Konto sperren würde, alleine auf den vagen Verdacht oder die vage Anschuldigung, ich sei eventuell vielleicht möglicherweise aber doch nicht sicher ein Betrüger … zum Glück gibt es hier noch eine halbwegs funktionierende Bankenaufsicht. Auch wenn wir von ähnlichen Willkürentscheidungen in Deutschland nicht mehr weit entfernt sind.

Fazit

Ich glaube, das kann einfach und kurz ausfallen … Finger weg!

Wo immer mögliche Nutzer Informationen aufnehmen wollen, sind die Spammer nicht weit. Das betrifft neben E-Mail natürlich auch und im besonderen, Wikis (Wikipedia kann zu Linkspam ein spezielles Lied singen), Foren und natürlich auch Blogs. Ok, man kann zur Definition von Blogspam unterschiedlicher Meinung sein. Ganz eindeutig Spam sind jedoch die diversen Verlinkungen zu Webseiten die Viagra oder sonstigen gefälschten Unsinn verscherbeln wollen.

Akismet hat dazu eine nette Grafik veröffentlicht, die regelmäßig aktualisiert wird:

Ich finde das durchaus interessant, weil sich das so gar nicht mit meiner eigenen Erfahrung deckt. Dieses Blog hat seit Anfang April bei 369 Beiträgen gerade mal 215 Spamkommentare bekommen. Ok, vielleicht ist das hier alles so uninteressant aber ich denke, gegen den Spam helfen mir hauptsächlich zwei Einstellungen:

1. Ich sperre bei Artikeln immer sofort die Kommentarfunktion, sobald ein erster Spameintrag erschienen ist. Bisher war es bei Spamkommentaren immer so, dass ein Beitrag (vermutlich über eine Suchmaschine) zufällig ausgewählt und dieser dann in kurzer Folge mit immer neuen Spameinträgen zugeballert wurde. Wenn das Kommentieren nicht mehr möglich ist, erscheint natürlich auch kein Spam mehr.
2. Alle Links in den Kommentaren sind mit „nofollow“ gekennzeichnet, d.h. sie werden von Suchmaschinen nicht weiterverfolgt. Dadurch sinkt das Interesse an Linkspam, weil diese Links ignoriert werden und daher wertlos sind. Die Diskussion zu nofollow und Linkspam kann man im SEO-Lexikon schön verfolgen. Wenn da einer schon extra darauf hinweist, das sei nicht für Spammer gedacht …
3. Ich verzichte komplett auf Trackbacks. Die sind einfach in keinem Artikel erlaubt. Das vermeidet den lästigen Trackback-Spam bei dem irgendein Leecher die Hälfte des Textes klaut und dann auch noch einen Link auf seine Seite einfordert. Wenn es sinnvoll ist, einen Link zu einem anderen Blog zu setzen, dann gerne als „(via x-blog)“ direkt im Text.

Alle Links im normalen Text sind natürlich ohne „nofollow“, das ist ja schließlich auch Sinn und Zweck von Links.

Ich stoße immer wieder auf eigentlich spannende oder interessante IT-Security Links, die ich aber entweder nicht kommentieren will oder zeitlich nicht schaffe. Bisher fallen diese Links komplett unter den Tisch, was ich schade finde. Besteht hier bei den Lesern ein Interesse an reinen Linkartikeln wie es sie z.B. im Lawblog gibt?

Antworten gerne in den Kommentaren.

Reverse Engineering ist eine der nützlichsten Techniken um zu verstehen, wie Programme in ihrem Inneren funktionieren. Im Allgemeinen ist Reverse Engineering daher in den Lizenzbedingungen untersagt. In den USA gibt es jedoch die Ausnahem des „fair use“, in Europa sind dafür die „Shrink Wrap Licenses“, die man vor der Installation der Software gar nicht zu Gesicht bekommt zumindest umstritten, wenn nicht gar automatisch unwirksam.

Eine Reihe von Dokumenten im Internet beschäftigen sich mit Reverse Engineering und ein paar Link über die ich in den letzten Tagen gestolpert bin, möchte ich hier kurz aufführen:

The Ethical Hacker Network

• Intro to Reverse Engineering – No Assembly Required
• Intro to Reverse Engineering – Part 2

Wikibooks

• Reverse Engineering

Communities

• Reverse Code Engineering Community

Sonstige Quellen

• Reverse Engineering Hostile Code
• Reverse Engineering Malware
• Reverse Engineering Links

Weitere Links, sobald ich noch was interessantes finde oder in den Kommentaren …

Es ist das Jahr 2010.

Erinnert sich noch irgendjemand an Arcor? Dieser Internetprovider, der irgendwann um die Jahrtausendwende versucht hat dem Magentariesen Konkurrenz zu machen? Nicht? Macht nichts. Ende 2007 begann Arcor ohne Not und sogar freiwillig Webseiten zu sperren. In kurzer Folge trudelten anschließend, nachdem ein paar ahnungslose Honks dieses Providers gezeigt hatten, dass Webseitensperrung wohl doch möglich wären, erste Verfügungen ein. Am Anfang traf es nur Porno-Seiten wie YouPorn für die sich natürlich niemand öffentlich einsetzen wollte. Außer ein paar Unverzagte, die bereits den Untergang der deutschen Internetanbindung kommen sahen. Und Arcor beteuerte, dass sie keine weiteren Seiten sperren wollten.

Heute, wir schreiben das Jahr 2010 existiert Arcor nicht mehr.

Während andere Provider sich weigerten, Webseiten zu sperren wurde Arcor in kurzer Folge von weiteren einstweiligen Verfügungen überzogen. Der „Huch„-Effekt kam, als die gleichnamige PornoMediengruppe eine einstweilige Verfügung gegen Arcor erwirkte, Google zu sperren, da in der Google Bildersuche nackte Brüste zu finden waren. Als Arcor damit anfing große Suchmaschinen zu sperren, denn Google war nur der Anfang, Yahoo und MSN folgten, wendeten sich die Nutzer in Scharen ab. Innerhalb von nur zwei Jahren sank die Kundenzahl von noch 2,43 Millionen im November 2007 auf weniger als 100.000 Ende 2009. Die hohen Betriebskosten konnten so nicht mehr finanziert werden und Arcor wurde zum 1. Januar 2010 von 1&1 übernommen.

Vielleicht wird es so kommen, vielleicht auch ganz anders.

Schön finde ich auch, wie die Heise-Leser das Thema im Forum auf den Punkte gebracht haben: „Tja Arcor, so ist das nunmal: einmal gef*ckt, nie wieder Jungfrau„

Schon einige Zeit online aber bisher übersehen, die aktuelle neue SANS Top 20 ist online.

Client-side Vulnerabilities in:

• C1. Web Browsers
• C2. Office Software
• C3. Email Clients
• C4. Media Players

Server-side Vulnerabilities in:

• S1. Web Applications
• S2. Windows Services
• S3. Unix and Mac OS Services
• S4. Backup Software
• S5. Anti-virus Software
• S6. Management Servers
• S7. Database Software

Security Policy and Personnel:

• H1. Excessive User Rights and Unauthorized Devices
• H2. Phishing/Spear Phishing
• H3. Unencrypted Laptops and Removable Media

Application Abuse:

• A1. Instant Messaging
• A2. Peer-to-Peer Programs

Network Devices:

• N1. VoIP Servers and Phones

Zero Day Attacks:

• Z1. Zero Day Attacks

Webbrowser und Webapplikationen ganz oben sind natürlich kein Wunder. Office hat die zweite Stelle bei Client-side Vulnerabilities gewonnen, aber mein Eindruck ist eher, die Angreifer ziehen bereits weiter (z.B. Quicktime). Neu ist der Punkt H3, unverschlüsselte Laptops und Datenträger. Mal sehen, ob das bei Ernst & Young jemand zur Kenntnis nimmt.

Das wäre mir ja beinahe entgangen: Max Moser hat sich die Funktastaturen von Microsoft ein wenig genauer angeschaut. Und wie zu erwarten war: Lächerliche Sicherheit.

„Zur Verschlüsselung wurde nur ein einfacher XOR-Mechanismus mit einem 1 Byte langen Schlüssel verwendet. Somit werden lediglich 256 verschiedene Schlüssel generiert, um die drahtlose Verbindung abzusichern. Dabei wird dieser eine Schlüssel so lange verwendet, bis die drahtlose Verbindung der Tastatur neu generiert wird, was üblicherweise selten geschieht.“

Auf deutsch, man kann die Verschlüsselung mit einem handelsüblichen Taschenrechner brechen. Passend fand ich auch den Kommentar vom vom Schnüffelblog: „Tja, der Teufel steckt nicht nur im Innenministerium, sondern auch im Detail.“ 😉

Ich empfehle ja schon seit Jahren, möglichst auf Funktastaturen und -Mäuse zu verzichten und nur wenn es nicht anders geht wenigstens Bluetooth-Geräte einzusetzen.

„Ganz Deutschland will am Mittwoch die 43 Millionen Euro gewinnen. […] Auch die Franzosen, Niederländer, Dänen, Schweizer und Österreicher stürmen die Annahmestellen in den Grenzregionen. Nur die Polen zeigen sich völlig unbeeindruckt vom Lotto-Jackpot.“ schreibt die Welt

Vielleicht liegt das ja daran, dass die Polen rechnen können. Der Pole Marian Rejewski hat als erster weit vor den Engländern die Enigma geknackt, die umgekehrte polnische Notation geht … genau, auf den Polen Jan Lukasiewicz zurück.

Bei Wikipedia gibt es einen brauchbaren Lotto-Artikel, der sogar die Gewinnwahrscheinlichkeiten enthält. Die Wahrscheinlichkeit, gar nichts zu bekommen liegt bei 98,1% und damit niedriger als bei praktisch allen anderen Glücksspielen. Die Stiftung Warentest hat 1999 das letzte mal die Lotterie-Angebote untersucht und irgendeine Klassenlotterie hat recht gut dabei abgeschnitten. Die Süddeutsche hat einen ganz netten Artikel dazu.

Jedenfalls ist die Wahrscheinlichkeit, dass mein Rechner mit Hilfe einer unbekannten 0-Day-Lücke übernommen wird deutlich größer als im Lotto zu gewinnen.

Jeff Jones ist wieder da. Jeff ist der Komiker, der schon mal aufgefallen ist, als er behauptet hat, Microsoft würde Sicherheitslücken schneller schließen als die Linux-Distributoren. Der Originaltext zum Nachlesen und Lachen findet sich auf csoonline.com.

Diesmal hat er eine Grafik gemalt, nach der Firefox viel unsicherer ist als der Internet Explorer. Schauen wir uns die Werte mal an:

Und wenn man sich die nackten Zahlen so anschaut, könnte man tatsächlich meinen, dass der Internet Explorer viel weniger Probleme hat als Firefox. Der komplette Text als PDF findet sich auf der Microsoft Technet Seite.

Natürlich vergleicht Jeff mal wieder Äpfel mit Birnen. Während Microsoft die Lücken nur einmal im Monat schließt und deshalb für 15 Lücken nur einen (übrigens vollkommen intransparenten) Hotfix benötigt, gibt die Mozilla Foundation für jede Lücke direkt ein Update heraus, so dass die Zahl der Lücken natürlich viel größer aussieht. Dazu kommt, dass Microsoft für intern entdeckte Fehler kein Advisory herausgibt, Mozilla jedoch schon. Auch das bläht die Anzahl der Lücken auf. Mike Shaver, der Cheftechnologe der Mozilla Foundation erklärt in seinem Blog alle Schwächen der Zählweise. Danach wäre der Internet Explorer 4 sogar das sicherste Produkt, weil Microsoft in den letzten Jahren keinen einzigen Fix mehr veröffentlichen musste.

Ich frage mich ja langsam ernsthaft, was will Jeff Jones mit diesen leicht zu durchschauenden Kindergartenmethoden erreichen? Ok, er veröffentlicht das auf blogs.csoonline.com, einer Webseite die sich an „Security Executives“ wendet. Also vermutlich Leute, die von praktischer Sicherheit nichts mehr verstehen sondern bei einem harmlosen uralten Denial-of-Service Angriff, den ihr ISO 27001 Auditor vorführt, bereits in Panik verfallen. Aber ist Microsoft wirklich so verzweifelt, dass ihnen nichts besseres mehr einfällt?

Zugegeben, mit einem Punkt hat auch Jeff recht. Microsoft wird besser, was die IT-Sicherheit betrifft. Leider nicht transparenter, aber zumindest etwas sicherer.  Das zeigen unter anderem die vermehrt auftretenden Exploits für Quicktime, Flash und Co. Die Angreifer weichen inzwischen auf schwächere Ziele aus.

PS: Ja, ich habe eine ähnliche Tabelle mit genauso unsinnigen Zahlen vor einiger Zeit für Virenscanner gemacht. Nein, ich habe nicht behauptet, Aladdin eSafe wäre deshalb der beste Virenscanner. Vielleicht ist er es, ich weiß es nicht. Ich verwende Avira und F-Secure.