31. Januar 2008
Wie Fefe schon Anfang des Monats bemerkte, das das Bundesinnenministerium eine FAQ zum Bundestrojaner veröffentlicht. Natürlich ist für jeden Informatiker leicht erkennbar, dass die Antworten des Bundesinnenministeriums großer Quatsch sind. Leider gibt es bisher keine korrigierte Fassung, daher habe ich mich des Problems einmal angenommen.
Frage: Wird bei der geplanten Online-Durchsuchung der Datenschutz genügend berücksichtigt? Wird meine Privatsphäre ausreichend geschützt? Wie bleiben meine privaten Dokumente geschützt? Wie bleiben gewerbliche und berufliche Unterlagen geschützt?
Antwort: Natürlich nicht. Es gibt schlichtweg keine Möglichkeit für ein Stück Software, zwischen sprachlich kodierten Texten eines Terroristen und harmlosen Texten eines Schülers zu unterscheiden. Kai Raven hat das Problem der Analyse von Schlüsselwörtern schön dargestellt und selbst der BKA-Präsident warnt ja davor, den privaten Lebensbereich vom Bundestrojaner auszunehmen, da die mutmaßlichen Terroristen ihre Anschlagspläne sonst ja einfach in einer Datei „privates tagebuch.doc“ verstecken könnten. Der geplante Richtervorbehalt ist leider auch nur ein Feigenblatt, wie die regelmäßigen verfassungswidrigen Hausdurchsuchungen zeigen.
Frage: Werden die Betroffenen von einer erfolgten Online-Durchsuchung informiert?
Antwort: Die Betroffenen werden praktisch nie informiert, auch wenn das gesetzlich vorgeschrieben wird. Diese Erfahrung mit dem großen Lauschangriff zeigt, dass Polizisten und Staatsanwälte sehr kreativ werden, sich um diese gesetzliche Verpflichtung zu drücken.
Frage: Ist sichergestellt, dass durch die Installierung der Ermittlungssoftware die auf dem betroffenen Rechner installierte Sicherheitssoftware nicht beeinträchtigt wird und dadurch Unbefugte zu anderen, zum Beispiel kriminellen Zwecken in die Rechner von Bürgern eindringen können?
Antwort: Nein, das ist technisch auch kaum möglich. Jede Software enthält Fehler, Standardsoftware hat sogar bis zu 25 Bugs pro 1000 Zeilen Programmcode und Software die über das Netzwerk kommuniziert ist immer auch über das Netzwerk angreifbar. So enthielt beispielsweise der Sasser-Wurm einen Programmierfehler über den weitere Schadprogramme in den Rechner eindringen konnten.
Frage: Könnte die Ermittlungssoftware entdeckt und dann zu eigenen Zwecken missbraucht werden?
Antwort: Das ist natürlich möglich und sogar sehr wahrscheinlich. Alle Viren und Schadprogramme die von Virenscannern erkannt werden sind schließlich irgendwann
entdeckt und analysiert worden. Bekanntes Beispiel ist das Sony BMG Rootkit, das von Mark Russinovitch entdeckt wurde. Auch speziell entwickelte Schadprogramme können (manchmal zufällig) entdeckt werden. Und natürlich werden einmal entdeckte Schadprogramme auch missbraucht.
Frage: Wie werden Dienstleister geschützt, welche vertraglich zum Schutz der ihnen anvertrauten und bei ihnen zur Auftragserfüllung gespeicherten Kundendaten verpflichtet sind?
Antwort: Vermutlich wird tatsächlich kein Dienstleister oder Provider zur aktiven Mithilfe verpflichtet. Das wird in der Praxis aber auch gar nicht nötig sein, notfalls werden einfach die Server des Providers beschlagnahmt. Der Richtervorbehalt ist wie oben gezeigt sowieso nutzlos und beschlagnahmt wurden sogar schon die AN.ON-Server des Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein. Wenn Behörden sich gegenseitig die Server wegnehmen hat vor der Privatwirtschaft sowieso keiner mehr Respekt.
Frage: Es wird behauptet, dass die Online-Durchsuchung Bürgerinnen und Bürger unzulässig unter einen Generalverdacht stellen würde – stimmt das und wie verhält sich dies zu der rechtsstaatlichen Unschuldsvermutung?
Antwort: Mit der Online-Durchsuchung wird es sich wie mit dem Abhören von Telefonen verhalten. Ursprünglich auch nur zur Aufklärung schwerer Straftaten eingeführt, wird inzwischen sogar wegen Bagatelldelikten abgehört. Abhören ist inzwischen Massengeschäft und nur in wenigen Ländern wird mehr abgehört als in Deutschland. Wenn es um vermeintliche Terroristen oder Kinderschänder geht, stehen inzwischen ja sämtliche Grundrechte zur Disposition. Noch problematischer halte ich jedoch die Heimlichkeit der Online-Durchsuchung. Die Väter des Grundgesetzes der Bundesrepublik Deutschland haben nicht umsonst aus den Erfahrungen der Nazizeit verlangt, das Hausdurchsuchungen öffentlich sein müssen und ein Zeuge hinzugezogen werden kann. Heimliche Durchsuchungen kennen die nach 45 geborenen nur aus Unrechtsregimen (Gestapo, Stasi).
Frage: Wie sollen die bei den Online-Durchsuchungen anfallenden Datenmengen durch die Sicherheitsbehörden bewältigt werden?
Antwort: Bei der Vielzahl der erwarteten Online-Durchsuchungen wird es ein paar private Unternehmen geben, die Hilfsdienste übernehmen. Das gleiche kennen wir von der Festplattenanalyse bei Kinderpornographie sowie aus dem Urheberrecht. In wieweit dann jedoch die Privatsphäre erhalten bleibt kann niemand garantieren.
Frage: Welche Rechtsmittel werden gegen Online-Durchsuchungen zugelassen?
Antwort: Da keine Benachrichtigung der Betroffenen (siehe oben) stattfindet, sind Rechtsmittel praktisch nicht notwendig.
Ich frage mich ja schon manchmal: sind die Beamten um Schäuble im Bundesinnenministerium wirklich so inkompetent wie sie sich hier geben oder ist das eine bewusste Täuschung und vorsätzliches Belügen der eigenen Bevölkerung?
Weitere Hinweise:
Es wird höchste Zeit, dass Schäuble, Zypries und Konsorten abgewählt werden!
30. Januar 2008
Problem: Ein D-Link DES-3224 Switch ohne Passwort und mit alter Firmware
Auf der Webseite von D-Link wird das Gerät gar nicht mehr aufgeführt, das ist offensichtlich schon seit geraumer Zeit aus Wartung und Support. Allerdings gibt es noch den DES-3226 und so viel werden sich die Geräte zumindest was den Support angeht vermutlich nicht unterscheiden. Bei der Firmware hat man auf der D-Link Seite leider Pech gehabt.
Für dieses Gerät auf der Webseite sowie für das alte Gerät in mehreren Support-Foren steht der Hinweis, dass man mit Hilfe der MAC-Adresse des Geräts ein Masterpasswort bekommen kann. Ein direktes Zurücksetzen des Geräts ist jedoch nicht möglich. Damit kann ich gut leben. Wenn die Konfiguration so erhalten bleibt, habe ich im Prinzip auch nichts dagegen. Anfragen möge man doch per E-Mail an die Adresse support@dlink.de richten.
Also gut, dann kurz eine E-Mail mit allen Informationen (MAC-Adresse etc.) hingeschickt. Die Antwort kam per E-Mail zurück, vollständig, korrekt, kostenfrei, soweit alles schön und gut. Nur hat sich D-Link mit der Beantwortung 42 Stunden Zeit gelassen. Das ist für meinen Geschmack ein wenig zu langsam. Höchstens 24 Stunden sind meiner Meinung nach eine akzeptable Reaktionszeit.
Die gleiche Anfrage nach 24 Stunden per Telefon: nach der Menüführung per Computer kam ich in etwa 30 Sekunden an einen kompetenten Support-Mitarbeiter, nach höchstens drei Minuten hatte ich das Passwort. Das ganze über Telefonnummer 01805-2787 (9:00-17:30, 14 ct/min), die zwar nicht in meiner Flatrate enthalten ist aber damit kann ich ausnahmsweise leben. Die Österreicher (11,6 ct/min) und Schweizer (8 Rappen/min) kommen jedoch günstiger weg.
Insgesamt macht der D-Link Support auf mich einen fachlich kompetenten Eindruck. Der Telefonsupport ist sofort erreichbar, ein Zeichen, dass D-Link (oder das dahinterstehende Callcenter) ausreichend Mitarbeiter beschäftigt. Der Mitarbeiter sprach perfekt deutsch, das Callcenter scheint sich in Deutschland zu befinden. Auch das ist heute nicht mehr selbstverständlich.
Schade finde ich, dass für ältere Geräte auf der D-Link Seite keine Firmware, keine Handbücher und keine Informationen mehr zu finden sind. Das halte ich generell für eine Unsitte der Hersteller, alle Daten zu Geräten die nicht mehr unter Wartung sind von der Webseite zu nehmen. Es kommt schließlich öfter vor, dass man ältere Geräte wieder ausgräbt und vielleicht mit der letzten Firmware auffrischen möchte, auch wenn die vielleicht schon drei Jahre alt ist. Hier könnte D-Link noch nachbessern.
Nachtrag:
Alte Firmware gibt es doch noch in einem speziellen Unterverzeichnis: ftp://ftp.dlink.de/des/@archive/des-3224/, allerdings auch kein Handbuch.
29. Januar 2008
Ab und an findet man tatsächlich ein paar interessante Bücher die komplett Online veröffentlicht werden. Dazu zählt beispielsweise das Openbook-Projekt des Galileo Verlags oder das Handbook of Applied Cryptography.
Ein anderes intessantes Buch ist von CWNP (eigentlich Planet3 Wireless), einer Firma die hauptsächlich Seminare und Zertifizierungen im Wireless LAN Umfeld anbietet, z.B. den Certified Wireless LAN Analysis Professional (CWAP). Die Zertifizierung ist meiner Meinung nach in Deutschland weitgehend wertlos, es gibt jedoch ein halbwegs brauchbares Buch mit den Inhalten der Zertifizierung.
Dieses Buch ist jetzt von CWNP als Wireless LAN Analysis HTML-Online-Buch veröffentlicht worden. Zugegeben, aus IT-Security Sicht sind vermutlich nur die Kapitel 2 (Scanning), 3 (WEP, WPA), 9 (diverse Sicherheitsmaßnahmen) und vielleicht noch 10 (WLAN IDS) interessant. Da jedoch jede Seite als eigene HTML-Datei dargestellt wird, kann man schön im Buch blättern und hat das Inhaltsverzeichnis im linken Frame immer im Blick.
Kennt eigentlich jemand weitere Online IT-Security Bücher? Ich würde dann eine Liste pflegen, die sicher von allgemeinem Interesse sein könnte.
(via Security4all)
28. Januar 2008
Neben dem bekannten Bullshit Bingo gibt es für Fortgeschrittene auch den Sprücheklopfomat.
„Wir upgraden unsere zukunftsweisen Wachstumschancen, um das nutzbare Moment der interaktiven Marktbewegungen zu realisieren.“
Sehr schön 🙂
27. Januar 2008
Was macht man nun aber, wenn man überall seine peinlichen privaten Fotos in diversen sozialen Netzwerken wie StudiVZ, Facebook, Xing und Co. verteilt hat und sich dann doch auf einen seriösen Job bewerben will? Die Amerikaner haben da einen ganz tollen neuen Dienst erfunden: Reputation Defender, auf deutsch der Reputationsverteidiger.
Thomas Knüwer vom Handesblatt hat schon seine Erfahrungen gemacht, allerdings noch in einer relativ positiven und seriösen Art. Der Reputation Defender hat ihn höflich angeschrieben, einen Verweis auf einen Kunden zu entfernen. Thomas Knüwer hat das nicht gemacht sondern die Mail veröffentlicht. Aus meiner Sicht vielleicht nicht ganz fair aber naja.
Wenn man als Reputation Defender jedoch die Bitte, eine Mail aus einem Mailarchiv zu löschen, an die komplette Mailingliste schickt … dann hat man es nicht anders verdient, verspottet zu werden:
Dear Full Disclosure,
We are writing to you in behalf of Bart Cilfone. He has asked us to contact you and see if you will consider removing the content about him at:
http://seclists.org/fulldisclosure/2008/Jan/0497.html
Please allow us to introduce ourselves. We are ReputationDefender, Inc., a company dedicated to helping our clients preserve their good name on the Internet. Our founders and employees are all regular Internet users. Like our clients, and perhaps like you, we think the Internet is sometimes unnecessarily hurtful to the privacy and reputations of everyday people. Even content that is meant to be informative can sometimes have a significant and negative impact on someone's job prospects, student applications, and personal life. We invite you to learn more about who we are, at www.reputationdefender.com.
Tja, da haben ein paar Leute noch nicht verstanden wie das Internet funktioniert. Aber gut zu wissen, dass da irgendwo anscheinend was negatives über Bart Cilfone steht. Und gut, dass es jetzt auch ein paar tausend Leute wissen.
Manchmal kann man echt nur noch den Kopf schütteln.
26. Januar 2008
Die meisten Menschen gehen ja recht fahrlässig mit ihren persönlichen Daten um. Ein wenig Suche im Internet und man findet praktisch alles, was man sich so vorstellen kann.
Die Welt hat das Thema plakativ mit „Wie Google Karrieren zerstört“ überschrieben und damit vermutlich nicht mal so unrecht. Das Problem ist … wie schützt man sich dagegen?
„Selbst wenn die „formalen“ Anforderungen erfüllt sind, weigern sich Webseiten-Betreiber häufig, Beiträge zu löschen. Dann können sich Betroffene entweder an den Datenschutz-Beauftragten wenden oder rechtliche Schritte einleiten. Letzteres will … gut überlegt sein.“
Hmm … der Welt-Artikel erwähnt den Reputation Defender, der angeblich die ganze Arbeit übernehmen soll … da schreib ich im nächsten Artikel noch was dazu. Eine einfache Lösung ist aber nicht in Sicht und die Persönlichkeitsrechte werden von einigen Gerichten überraschend hoch eingeschätzt. Für mich sieht das so aus als würden noch spannende Probleme die nächsten Jahre auf die juristische Zunft zukommen.
25. Januar 2008
24. Januar 2008
Bei manchen Security Testern frage ich mich ja wirklich: denken die noch selbst oder lassen die die Tools denken und wenn die Tools keine vernünftige Aussage machen, dann rufen wir Mami um Hilfe?
Hier ist wieder so ein Beispiel. Der Autor SkyOut beispielsweise schlägt eine coole Technik vor, um Nikto zu täuschen: ErrorDocument redirects.
Die Kurzusammenfassung lautet in etwa, man verwende
ErrorDocument 400 http://example.com
ErrorDocument 401 http://example.com
ErrorDocument 403 http://example.com
ErrorDocument 404 http://example.com
ErrorDocument 405 http://example.com
ErrorDocument 500 http://example.com
und schon liefert Nikto einen Haufen False Positives:
"+ /admin/config.php - Redirects to http://example.com/ , PHP Config file
may contain database IDs and passwords."
SkyOut schreibt dazu:
„This will be annoying and means a lot of work to filter out, what is wrong and what is interesting. […] Summarizing this we could say, that Nikto is useless or let’s say, it is not that automatic as it was before our changes because now the user does have to do A LOT of work by him- or herself.“
Stimmt: grep -v „Redirects to http://example.com/“ Ich gebe zu, das ist krass viel eigene Arbeit.
Ich versteh’s manchmal echt nicht. Penetrationstests sind ein wenig mehr als nur automatische Tools wie Nmap, Nessus, Nikto, LANguard und Co. zu starten, aus der Ausgabe ein PDF zu machen und an den Kunden zu schicken. Natürlich steckt die meiste Arbeit in der Auswertung aber genauso gibt es bessere Tools als Nikto und mit ein wenig Kenntnissen von grep und awk (ich empfehle das Buch Unix Power Tools!) hat man den Schrott ruck-zuck ausgefiltert. Seufz.
Naja, coole Domainnamen (Smash the Stack) und leet Kapitelnummern (0x01) garantieren halt noch keinen brauchbaren Inhalt.
23. Januar 2008
In der ZDF Mediathek findet man jetzt komplett alle sechs bisher verfilmten Episoden der Sterntagebücher von Stanislaw Lem. Die kommen heute Nacht auch im Fernsehen.
Die DVD wünsch ich mir zum Geburtstag 🙂
22. Januar 2008
Manchmal hab ich echt den Eindruck ich steh im Wald … heute war wieder so ein Tag.
Ein Kollege und ich hatten ein Gespräch mit einem potentiellen Kunden über Penetrationstests. Wir haben so unsere Leistungen vorgestellt und das Gespräch drehte sich dann über potentielle Einstiegspunkte in ein Netzwerk. Ich sehe da vor allem Webapplikationen und Mails, die User auf Drive-by-Schadprogramme lotsen.
Irgendwann kam dann das Gespräch auf Virenscanner und irgendwer hatte dem Penetrationstest-Interessenten erzählt, Virenscanner seien das absolut übelste was es gibt und man könne mit einer einzigen Mail jeden beliebigen Virenscanner so übernehmen, dass dann ein Programm installiert wird, das dann automatisch eine Verbindung nach außen aufbaut und sensible Programme hinausschleust.
Ich habe mich irgendwie an den Vortrag von Sergio Alvarez auf dem Chaos Camp erinnert, der sich ja mit Sicherheitslücken in Virenscannern beschäftigt hatte aber so krass kam das damals bei ihm nicht rüber. Ich sehe das auch ein klein wenig anders:
- Virenscannerhersteller sind gewohnt, schnelle Updates zu verteilen. Wenn so eine Lücke auftritt, wird die normalerweise in relativ kurzer Zeit per Scannerengine-Update automatisch aktualisiert. Das „Window of Vulnerability“ dürfte daher meistens relativ klein sein.
- Mit einer einzelnen Mail lässt sich bestimmt nicht jeder Virenscanner übernehmen. Ich halte es vielleicht gerade noch für denkbar, dass für (fast) jeden Virenscanner ein Attachment konstruiert werden kann mit dem dieser Virenscanner übernommen werden kann.
- Die meisten Unternehmen haben mehrere Virenscanner verschiedener Hersteller im Einsatz, am Gateway und auf den Clients, das erschwert zumindest solche Angriffe.
- Defense-in-Depth bedeutet auch, dass nicht jeder Client beliebig Verbindungen ins Internet aufbauen kann, das sollte also dadurch schon verhindert werden.
Insgesamt stellte sich für mich die Frage: Welchen Sinn hat es, auf Virenscannern rumzureiten, wenn die Ausgangsposition des potentiellen Kunden war, mit Hilfe eines Penetrationstests die Sicherheit der von den Administratoren verwalteten Systeme von Extern überprüfen zu lassen. Ich habe für die verwendete Firewall vielleicht sogar noch einen Zero-Day in der Hinterhand aber das beweist nicht, dass die Administratoren schlechte Arbeit leisten oder das Produkt an sich schlecht wäre. Das beweist lediglich, dass man mit Glück und zum richtigen Zeitpunkt (genau, schon wieder das Window of Vulnerability) eigentlich immer einen Weg irgendwo rein findet.
Ich hab dann mal beim Arbeitgeber von Sergio auf die Webseite gekuckt. Siehe da, die haben ein Produkt mit dem Namen „Parsing Safe“ entwickelt, mit dem sich Virenscanner anscheinend in eine gekapselte Umgebung einbetten lassen, die Exploits verhindern soll. Erinnert mich einerseits an die Sandbox-Technik z.B. von Finjan, auf der anderen Seite an PivX, die irgendwann mal einen Sicherheitslösung für den Internet Explorer entwickelt hatten.
Und klar, wenn man einen Penetrationstest als Verkaufsveranstaltung für die eigenen Sicherheitsprodukte betrachtet, dann macht dieses Vorgehen plötzlich Sinn.