16. März 2008
Das BKA (auf deren Webseite verlinke ich lieber nicht, die spionieren gerne mal illegal harmlosen Surfern nach) hat ein paar Zahlen für 2007 veröffentlicht:
- 4200 Phishing-Fälle, 700 mehr als 2006
- Durchschnittliche Schadenshöhe zwischen 4000 und 4500 Euro, 2006 noch rund 2500 Euro
Der Gesamtschaden durch Phishing (abzüglich eventuell sichergestellter Gelder) dürfte damit bei etwa 18 Millionen Euro gelegen haben. Im Vergleich zur Schadenssumme von 9 Millionen Euro 2006 eine glatte Verdopplung.
- Etwa 750.000 mit Schadprogrammen infizierte Rechner in Deutschland
- Etwa 150.000 Rechner in Deutschland, die von Hackern ferngesteuert werden
und natürlich ist die Kinderpornographie laut BKA-Chef Ziercke auf dem Vormarsch. Da helfen große Zahlen wie die 240.000 Zugriffe auf 4.600 Dateien. Wenn man das allerdings runterrechnet kommt man auf einen Kreis von vielleicht 53 Nutzern. So kann man sich die Gefahr auch großrechnen, um Mikado und ähnliche Eingriffe in die Privatsphäre zu rechtfertigen.
Die Aufklärungsquote liegt bei Piraterie übrigens zwischen 96 und 98%, bei allen anderen Straftaten deutlich unter 50%. Die Täter sind übrigens zu 80% männlich und über 21.
(via Focus)
Die China Cyber Army wird irgendwie immer erwähnt, wenn in den USA mal wieder ein paar Tausend Systeme der Airforce, Marines oder Army gehackt werden. Manchmal beschleicht einen dabei das Gefühl, die China Cyber Army wird quasi zu einer digitalen Al-Qaida aufgebaut. Die Angriffe werden sogar detailliert in Präsentationen (PDF) beschrieben, man könnte meinen man sei direkt betroffen.
Ich kann mir durchaus vorstellen, dass es in China einen Regierungsauftrag für Hacker gibt und ich wäre überrascht, wenn es in den USA, UK, Russland, Israel, Frankreich und vermutlich auch in Deutschland anders wäre. Praktisch überall wo ein fähiger Geheimdienst existiert, werden natürlich auch Cyberangriffe in Auftrag gegeben.
Andererseits ist mir nicht ganz klar, welchen Sinn es macht gerade bei den Chinesen so eine „Überorganisation“ zu verorten. In Deutschland werden die Angriffe der Chinesen z.B. auf das Bundeskanzleramt praktisch komplett geheimgehalten. In den USA kommt so etwas auch nur dann an die Öffentlichkeit, wenn der politische Wille dazu besteht. Der mediale Aufbau einer „chinesische Al-Qaida“ könnte natürlich politisch gewollt sein, um z.B. den chinesischen Einfluss auf die US-Wirtschaft begrenzen zu können. Wenn genug „terroristische Angriffe“ den Chinesen zugeordnet werden, dann darf man auch damit rechnen, dass anti-chinesische Gesetze gebastelt werden. Vermutlich vergleichbar der anti-japanischen Gesetzgebung so um 1990 herum. Die US-Drohung konventioneller Gegenschläge für Cyberangriffe deutet in die gleiche Richtung.
Und dann macht es natürlich Sinn, einen gefährlichen chinesischen Feind aufzubauen. Also behauptet in fünf Jahren nicht, ich hätte Euch nicht gewarnt wenn die USA gegen die „gelbe Gefahr“ (nein, nicht Symantec) vorgehen.
15. März 2008
In Österreich gibt es das schon … bezahlen durch den Provider, ermittelt anhand der IP-Adresse. Die Montax Payment Services GmbH bietet das an und noch bevor deren Produkt Billiteasy oder vergleichbare Leistungen überhaupt in Deutschland angeboten werden, warnt die Seite Computerbetrug.de schon davor. Das sieht ja recht vielversprechend aus 🙂
Die Idee ist eigentlich die gleiche wie beim Telefon- oder Handy-Billing. Der Provider erkennt anhand der IP-Adresse, welcher Kunde (d.h. welches Anschlusskonto) wann gerade online ist und bucht Mehrwertdienste direkt auf dieses Anschlusskonto. Da die meisten Provider ihre Rechnung per Einzugsermächtigung beim Kunden abholen, ist das für die Anbieter der Mehrwertdienste genauso bequem wie die Abrechnung über eine 0900-Nummer oder eine Premium-SMS. Allerdings mit dem feinen Unterschied, dass IP-Payment nicht gesetzlich reguliert ist, man kann also für den Abruf einer einzelnen Seite auf einem Webserver auch gerne 500 Euro in Rechnung stellen, wenn der Provider da mitspielt.
Technisch funktioniert das in etwa so, dass der Provider mit dem IP-Payment-Anbieter einen Vertrag schließen müssen, der IP-Payment-Anbieter dann wieder mit den eigentlichen Mehrwertdienstanbietern. Ob sich die IP-Payment-Anbieter als Clearingstelle halten können oder ob die Provider diese Provision ebenfalls einstecken wollen wird sich zeigen. Anbieter wie Firstgate können sich jedenfalls im Markt (noch) behaupten. Bei einem Zugriff auf kostenpflichtige Angebote schickt der Mehrwertdienstanbieter eine entsprechende Nachricht an den IP-Payment-Anbieter, der diese Information mit der IP-Adresse des Kunden an den Provider weiterleitet. Wenn die IP-Adresse entweder zu einem Provider gehört, der nicht vom IP-Payment-Anbieter unterstützt wird oder gesperrt ist, dann ist der Zugriff auf das kostenpflichtige Angebot so nicht möglich.
Die Probleme die dabei entstehen können sind vielfältiger Natur. Erstmal die technischen Probleme:
- Es gibt nur ein paar Telefongesellschaften aber viele Provider. Ein IP-Payment-Anbieter braucht daher viele Verträge
- Eine Telefonnummer beim Versand einer SMS lässt sich eindeutig zuordnen, eine IP-Adresse beim Zugriff auf eine Webseite kann auch ein Proxy sein
- Was ist mit Zugriffen aus einem Internet-Café? Werden die vom Provider zuverlässig ausgeschlossen?
- Was ist mit IP-Adressen die Hotels zugeordnet sind und von den Hotelgästen genutzt werden? Im Grunde sind das ja auch Dienstanbieter in irgendeiner Form.
- Was ist mit nicht oder schlecht geschützten WLANs? WEP ist zwar ausreichend im Sinne des § 202a StGB (Ausspähen von Daten) aber nicht sicher um nicht doch kompromittiert zu werden. Ist der Betreiber dann der Dumme? Ok, eine Mitstörerhaftung ist klar, aber eine Willenserklärung wurde nicht abgegeben.
- Was ist mit Webseiten, die automatische Redirects auf kostenpflichtige Angebote durchführe? Das kann schon in einem IFrame passieren. Das ist dann quasi die Dialerproblematik im Quadrat.
Juristisch ist es ähnlich kompliziert:
- Genügt eine IP-Adresse als Nachweis des Einverständnisses in eine Willenserklärung?
- Handelt es sich um ein Opt-In, d.h. muss der Kunde beim Provider erklären er will so einen Mehrwertdienst (dann wird es niemand tun) oder um ein Opt-Out, aber dann sind AGB-Änderungen notwendig, die vielleicht vielen Kunden ein Sonderkündigungsrecht erlauben.
Und schließlich … will sich wirklich einer der großen Provider einen Haufen Ärger einhandeln, wenn Kunden geschröpft werden und ihre Rechnungen nicht mehr bezahlen? Ok, Arcor wird sicher mit dabei sein. Aber alle anderen?
Andererseits … für Hacker tut sich da eine ganz neue Spielwiese auf. Ich würde mich ja auf einen IP-Payment-Hack vergleichbar zum BTX-Hack freuen 🙂 Vielleicht stellt die Hamburger Sparkasse oder eine andere Bank ja freundlicherweise einen Webserver mit ein paar PHP-Code-Injections zur Verfügung?
14. März 2008
CONsultant n. 1. Somebody you hire to borrow your watch, so you can find out the time. 2. Somebody you hire to tell you you’re right — after you become disgusted with all the „yes-people“ around you. [Also see CON, to swindle or defraud a victim by first winning his (sic) confidence, to dupe.]
Auch von David Isenberg. Sehr treffend.
Rise of the Stupid Network von David Isenberg, geschrieben im Mai 1997 aber immer noch mit erstaunlicher Aktualität. Sehr lesenswert, finde ich.
13. März 2008
Das hätte ich ja beinahe übersehen, in der Deutschen Presse steht noch gar nichts dazu. Nur bei The Register ist der Artikel sogar die Hauptseite wert. Der leicht verwirrende Titel „Microscope-wielding boffins crack Tube smartcard“ verdeckt jedoch ein wenig den Blick auf das Wesentliche.
Henryk Plötz, Karsten Nohl und Starbug haben ihre Ankündigung auf dem 24C3 wahr gemacht und sich weiter mit der Mifare Classic Verschlüsselung beschäftigt. Karsten Nohl hat inzwischen eine komplette Kryptoanalyse des bisher von NXP geheim gehaltenen Algorithmus veröffentlicht.
Wie schon auf dem 24C3 angekündigt ist es aufgrund von Implementierungsschwächen des Algorithmus möglich, die Verschlüsselung einer Karte mit geeigneter Hardware in wenigen Minuten, auf Standard-PC-Hardware etwas länger, zu brechen. Um beispielsweise damit umsonst in der Londoner U-Bahn zu fahren oder Zugang zu einer versperrten Chemiefabrik zu bekommen ist das ein überschaubarer Aufwand.
Im Grunde ist die Migration auch technisch nicht besonders schwierig. NXP bietet mit Mifare DESfire (DES-Algorithmus) und Mifare Plus (AES-Algorithmus) auch sichere Varianten der Karte an, allerdings zu einem deutlich höheren Preis. Die einfachen Mifare Classic Karten gibt es schon für wenige Cent. Entsprechend wurden laut NXP bisher auch weit über eine Milliarde Karten verkauft. Die alle abzulösen wird mehrere Jahre dauern, wenn überhaupt das wirtschaftliche und politische Interesse dazu besteht.
Oder wie Karsten Nohl formuliert: „Standardisierte Verschlüsselungsverfahren (wie DES oder AES, Anm.) bieten einen sehr gut untersuchten und verstandenen Sicherheitslevel. Mit einem proprietären Algorithmus kann man das nie garantieren.“
Mal sehen, wann das BSI das mit ihrem Chiasmus auch kapiert. Chiasmus ist der BSI-eigene geheime Blockverschlüsselungsalgorithmus mit 128 Bit Schlüssellänge (160 Bit, davon aber 32 Bit Prüfsumme), der in der gleichnamigen Software und in den SINA-Boxen eingesetzt wird. Ich vermute ja, die Sicherheit von Chiasmus basiert lediglich darauf, dass niemand der Ahnung hat die Software in die Finger bekommen darf.
Nachtrag:
Inzwischen sind die Ergebnisse verifiziert und bestätigt. Sogar Heise hat inzwischen einen Artikel dazu. Ein paar Niederländer haben den skizzierten Angriff auf Crypto-1 inzwischen so optimiert, dass Ergebnisse bereits nach wenigen Sekunden verfügbar sind. Die Betreiber des Niederländischen Nahverkehrsnetzes schätzen, dass weitverbreitete Angriffe und Betrugsversuche in spätestens zwei Jahren zu erwarten sind. Bis dahin wollen sie auf Mifare Plus umstellen. Ich frage mich ja, ob die Umstellung alleine der Steuerzahler finanzieren muss oder der Mifare-Hersteller NXP wenigstens mit den Preisen für die neuen Karten ordentlich nach unten geht.
Untertitel aus der Meldung von Golem:
„Wissenschaftler aus den USA haben herausgefunden, dass Herzschrittmacher mit einer Funkschnittstelle gehackt werden können – mit tödlichen Folgen.“
Inzwischen haben auch implantierte Geräte wie Herzschrittmacher, an die man halt nur schwer herankommt eine Funkschnittstelle und wenn die nicht sauber abgesichert ist, dann rumpelt es eben in der Kiste.
Das untersuchte Gerät (PDF) sendet auf 175 KHz, eine Frequenz die bequem mit einem Oszilloskop analysiert werden kann. Dann noch ein wenig Reverse Engineering und man kann aus dem Gerät sensible Daten auslesen und sogar die Programmierung verändern. In den USA gibt es inzwischen sogar einen eigenen reservierten Frequenzbereich, das 402–405 MHz Medical Implant Communications (MICS) Band auf dem neuere Geräte senden.
In andere Herzschrittmacher ist sogar nur ein einfacher Bluetooth-Chip eingebaut. Die Teile sind extrem günstig und brauchen wenig Energie. Außerdem senden sie nur über geringe Entfernung und sind kompatibel zu normalen Notebooks und Handys. Vermutlich wird als Peering-PIN „0000“ verwendet.
Erschreckend finde ich vor allem, dass das gesamte Equipment, Oszilloskop, Datenkabel, PC, GNU Radio Software (bis auf Mathlab) praktisch komplett bei mir vorhanden ist. Ok, das Oszilloskop müsste ich von meinem Vater ausleihen aber der Rest ist da.
12. März 2008
Eigentlich ist das Thema Economics of Information Security, d.h. die betriebswirtschaftliche Betrachtung von IT- und Informationssicherheit kein neues Thema. Vom 25. bis 27. Juni findet in Hanover, NH (USA) der WEIS 2008 (der 7. Workshop on the Economics of Information Security) statt. Themen der letzten Jahre waren u.a.
Das ganze Thema ist jedoch irgendwie unbefriedigend gelaufen. Ich frage mich immer wieder, welchen Aufwand will/muss man eigentlich treiben um Systeme vernünftig abzusichern:
- Firewall (ok, sehe ich ein)
- Virenscanner (hmm, auf PCs bestimmt, aber auf Servern und für Mail?)
- VPN (sehr praktisch aber oft genügt auch SSH)
- Datenverschlüsselung (wichtig!)
- Intrusion Detection/Prevention Systeme (teuer, teilweise recht nutzlos)
Und warum eigentlich? Weil alle diese Funktionen vom Betriebssystem entweder nicht mitgebracht werden (Datenverschlüsselung und VPN wandert gerade hinein) oder damit Schwachstellen des Betriebssystems behoben werden. Von den Kosten für Patchmanagement gar nicht zu reden.
Jedenfalls wird das Thema aktuell, die ENISA, die European Network and Information Security Agency, von der ich schon mal schrieb hat das Thema Security Economics für sich entdeckt. Die ENISA hat jedenfalls einen Forschungsbericht mit dem Titel „Security Economics and the Internal Market“ (PDF) finanziert, der interessante Forderungen aufstellt:
- ein EU-weites Gesetz zur Veröffentlichung von Sicherheitsvorfällen
- Regelungen, dass neu angeschlossene Geräte per Default abgesichert sein müssen
- Hersteller sollen für ungepatchte Software verantwortlich gemacht werden
Insgesamt ein eindrucksvoller Forderungskatalog. Ich war beim Lesen wirklich überrascht und beeindruckt.
Der letzte Punkt ist natürlich ein ganz heißes Eisen. Zur Zeit stehlen sich die Anbieter von Software aus der Verantwortung, weil sie jede Haftung für Fehler in den Lizenzbedingungen ausschließen können. Microsoft hat beispielsweise noch nie für einen Software-Fehler haften müssen, egal wie hoch der Schaden war. Autohersteller zum Beispiel können von so einer Welt nur träumen. Selbst wenn die Haftung auf den Anschaffungspreis begrenzt wäre, eine sinnvolle Lösung, um z.B. freie und Open Source Software nicht zu sehr einzuschränken, wäre das Interesse des Herstellers, mehr in die Sicherheit seiner Produkte und etwas weniger in die reinen Funktionen zu investieren auf einen Schlag gewaltig.
Und das ist natürlich nicht national durchsetzbar, mit der inkompetenten Politikerkaste in Deutschland schon gar nicht. Eine Europäische Union, die gegen Microsoft ein Bußgeld von 497 Millionen Euro in der ersten und 899 Millionen Euro in der zweiten Runde verhängen konnte, ist jedoch ein ganz anderer Gesprächspartner.
Mitautor war übrigens Rainer Böhme von der TU Dresden, das ist jemand, den man in den nächsten Jahren im Auge behalten sollte.
11. März 2008
Die Zeit hat (schon vor einigen Tagen) einen sehr schönen und fundiert argumentierten Beitrag von Kai Biermann zum Grundsatzurteil des Bundesverfassungsgerichts betreffend Online-Durchsuchung veröffentlicht. Auf diesem Niveau kann man sonst höchstens noch Heribert Prantl oder Hans Leyendecker, beide bei der Süddeutschen Zeitung lesen.
Im Kern geht es um das neue „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Das bedeutet vermutlich mehr, als uns allen zur Zeit bewusst ist. Natürlich ist das IT-Grundrecht erst einmal ein Abwehrrecht gegen staatliche Begierde in Person eines paranoiden Rollstuhlfahrers.
Doch das neue Recht betrifft nicht nur den Staat. Grundrechte schützen beispielsweise auch vor dem Nachbarn, dem Arbeitgeber oder dem Ehepartner. Möglicherweise ist eine Folge dieses neuen Grundrechts, dass der Arbeitgeber private Daten eines Arbeitnehmers auch dann nicht mehr betrachten dürfen, wenn private Nutzung ausdrücklich verboten ist. Was ist mit Logfiles, z.B. auf Web- und Mailservern? Von all dem konnte ich bisher nur in der Zeit lesen.
Ich denke, das neue IT-Grundrecht wird noch spannend.
Ich schrieb schon ein paar mal über Captchas, unter anderem wie man Mathe-Captchas knackt und warum Captchas auf Dauer nicht funktionieren werden. Das war am 8. Februar. Inzwischen sind wir von der Realität überholt worden.
Anscheinend ist auch die letzte Antispam-Bastion gefallen, die Captchas die Google Mail vor den Spammern schützen. Moderne Spambots können inzwischen 20-30% der Captchas korrekt erkennen. Das reicht leicht, um flächendeckend Google Mail Spamaccounts anzulegen. Der Vorteil eines Spammers bei Google Mail ist insbesondere, dass diese Domains noch kaum blockiert werden, da bisher das Spamaufkommen relativ niedrig war. Ganz im Gegensatz z.B. zu Yahoo Mail oder Hotmail. In meinem direkten Bekanntenkreis findet sich niemand, der noch Yahoo Mail oder Hotmail verwendet. Alles was von dort kommt, ist 100% Spam. Beide Domains werden daher von mir inzwischen komplett blockiert.
Interessanterweise scheint sich das Problem noch nicht rumgesprochen zu haben. Da gibt es die Seite PWNtcha, die diverse Captchas dekodieren kann (aber keinen Source Code veröffentlicht). Dort ist man immer noch der Meinung, dass es gute Captchas geben kann, die auch in Zukunft funktionieren. Ich widerspreche dieser Ansicht ganz entschieden. Moderne Captchas wie sie z.B. Yahoo einsetzt sind so kompliziert, dass die Erkennungsrate echter Menschen teilweise unter der von Captcha-Dekodern liegt. Da lässt man den Schutz besser ganz weg.
Komplett vernachlässigt wird in der ganzen Diskussion die Barrierefreiheit. Was macht denn ein Anwender, der leider nicht sehen kann? Arschkarte gezogen? Das sollte eigentlich nicht sein. Ich frage mich ja, wann in Amerika die ersten Blindendiskriminierungsprozesse stattfinden, weil sich Blinde bei Google Mail nicht anmelden können.
Ein paar Wirrköpfe glauben zwar noch, das Gelbe vom Ei erfunden zu haben, praktisch steckt aber nur heiße Luft dahinter. Ein Beispiel ist dieser Programmierer, der glaubt durch geschickt benannte Eingabefelder das Spam-Problem zu lösen. Wenn man sich den daraus resultierenden HTML-Code anschaut, dann sind zwar die Formularfeldnamen kodiert, irgendwo muss aber noch eine verständliche Beschreibung stehen denn Menschen müssen die ja auch richtig ausfüllen können.
<tr><td>Name:</td><td><input name="7f0f3f86b0bcd308584728af6ab2335d"
style="width: 200px;" type="text"></td></tr>
<tr><td>E-Mail:</td><td><input name="dc7b8fd4bf5bc84ea95ce39b7b625bc5"
style="width: 200px;" type="text"></td></tr>
<tr><td>Betreff:</td><td><input name="2d9f7da47a267ae7d2e69e535ec9315a"
style="width: 200px;" type="text"></td></tr>
Ich schätze, in etwa drei Minuten kann ich einen kleinen Parser schreiben, der die Texte neben den Eingabefeldern richtig den Formularfeldnamen zuordnet.
Der Autor schreibt übrigens ganz stolz, dass noch niemand sein geniales Verfahren überlistet hat und er seither keinerlei Spamprobleme hat. Das hat einen einfachen Grund. Die Seiten auf denen dieses Verfahren eingesetzt wird sind so unwichtig, dass sich kein einziger Spammer bisher die Mühe gemacht hat, drei Minuten in einen Parser zu investieren. Sobald sich das Verfahren jedoch auf mehr Seiten durchsetzen sollte wird es sofort gebrochen und ist auch gleich wieder verschwunden.
Ich persönlich tendiere ja zu mathematischen Rechenaufgaben. „Berechnen Sie den Cosinus des zweiten Logarithmus der vierten Nullstelle der Riemannfunktion!“ oder so wäre z.B. eine Aufgabe die zwei Probleme mit einem Streich löst. Zum einen bleiben die Spammer draußen, zum anderen steigt das Niveau der Kommentare denn die Flachmaten dürften mit dieser Aufgabe leicht überfordert sein.
Aber mal im Ernst … gerade bei Angeboten die sich an die breite Masse richten werden Captchas in Zukunft nicht mehr funktionieren. Für die muss das Captcha so trivial sein, dass es irgendwie noch richtig eingegeben werden kann und das bedeutet, irgendeine Software kann garantiert das gleiche.
Das Problem: Ich sehe keine echte Alternative. Audio-Captchas sind zwar nett aber helfen nicht bei Schwerhörigen, JavaScript-Gelumpe wird mittelfristig auch überlistet, sobald es weiter verbreitet ist (oder die Spammer steuern einfach einen Browser fern). Und dann darf nicht vergessen werden, dass es in China eine Menge Leute gibt die den ganzen Tag vor dem Computer sitzen, World of Warcraft spielen und die gewonnenen Artikel in der realen Welt verkaufen. Die könnten genauso gut auch Captchas eingeben.
Ich fürchte wir haben zumindest technisch den Kampf gegen Spam verloren.