Mitternachtshacking

Der Server hier bekommt eine neue IP-Adresse und ist voraussichtlich ein paar Stunden nicht erreichbar. Sobald ich dazukomme, richte ich ihn wieder her. So wichtig ist das Blog jedoch nicht, es hat daher nicht die höchste Priorität. 😉

Vor ein paar Tagen (genauer am 24. Februar) beschloss die pakistanische Regierung alle nationalen Internet-Provider anzuweisen, YouTube zu blockieren. Regierungszensur in arabischen oder asiatischen Ländern ist nun eigentlich kein Thema für dieses Blog, da würde ich mit den vielen Einträgen nicht mehr mitkommen. Egal ob Burma, Thailand, Singapur, China oder jetzt Pakistan. Gut, Deutschland ist da nicht viel besser aber egal.

Normalerweise kann man Webseiten auf verschiedene Arten blockieren:

1. Man erzeugt falsche DNS-Einträge, die sich jedoch trivial umgehen lassen
2. Man erzeugt eine ACL auf dem Router, der die IP-Adressen blockiert. Der Betreiber kann jedoch oft schnell seine IP-Adressen wechseln
3. Man erzeugt ein Null-Routing, d.h. die IP-Adressen werden ins Nirwana geroutet. Der Betreiber kann hier ebenfalls die IP-Adressen wechseln.

Interessant ist jedoch die Art die die Pakistanische Telecom vorgegangen ist. Sie haben dort eigene Server mit den IP-Adressen (208.65.153.238, 208.65.153.251 und 208.65.153.253) von YouTube aufgesetzt, vermutlich um Nutzern die auf diese Seiten gelangen einen Hinweis auf die Sperrung zu geben. Der Fehler von Pakistan Telecom war jedoch, diese Adressen auch auf den zentralen Routern einzutragen und global zu propagieren.

Aus dem Routing-Grundkurs wissen wir jetzt, dass bekanntlich die Route zieht, die mit der spezifischeren Netzmaske vorliegt. Da die Pakistani ihr Netz mit einer Class C Netzmaske (255.255.255.0) propagierten, eine Netzmaske die im globalen BGP-Netz eigentlich nicht vorkommt, weil bei so kleinen Netzen sonst die Routingtabellen gesprengt würden, hatte dieses Netz plötzlich global die höchste Priorität. Die globalen Router der großen Provider änderten auch prompt ihr Routing und YouTube war global für etwa eine Stunde aus dem Internet verschwunden. Natürlich versehentlich.

Ich stelle mir das jetzt gerade als „Large Scale“ Angriff auf die Internet-Infrastruktur vor. Nicht so schimmlige DoS-Angriffe gegen die DNS Root-Server. Eine Cisco IOS-Lücke und Übernahme zentraler Core-Router im Internet. Und dann falsche Routingtabellen propagieren. Auf diese Weise könnte man locker den Komplettzusammenbruch des Internets herbeiführen.

Ganz neu ist die Gefahr nicht. Ein paar Leute aus der älteren Generation erinnern sich noch an den Vorfall mit dem AS7007, das Routingeinträge von Kunden nicht korrekt ausfilterte und im Internet propagiert hat. Das war 1997. Die Regeln der Provider sagen inzwischen, dass man auf den Routern Filter hat und nur die eigenen Netzwerke propagieren darf aber wenn sich ein Provider wie hier die Pakistani nicht dran halten oder ein Router übernommen wird, dann kracht es halt.

In einem Bericht zum aktuellen Ausfall habe ich den Vorschlag gelesen, dringend Secure BGP (S-BGP) zu implementieren. Nur, das nützt gar nichts wenn die Core-Router der großen Provider den Fehler verursachen. Die haben ja korrekte Keys und können daher korrekt Routen austauschen. Ich habe ganz im Gegenteil den Eindruck, so richtig haben die großen Provider auch keine Vorstellung wie ein solcher Angriff in Zukunft verhindert werden kann.

Mal sehen, wann wir den nächsten Vorfall erleben.

Köstlich … die Fuzzis von der Computerbild:

„Neue Gefahr: Roboter-Viren. Nur dieses Programm (Norton AntiBot 2008, Anm.) schützt Sie“

Was kommt eigentlich nach den Roboter-Viren? Der Terminator-Virus (vernichtet Computer und warnt „I’ll be back“)? Der Westerwelle-Virus (versucht 18% der Daten zu löschen, stürzt aber bei knapp 5% immer schon ab)? Weitere Beispiele hier.

Bei uns in der Firma heißen die Norton Programme auch die „Gelbe Gefahr„, unsere IT-Chefin wollte sich nicht einmal ein geschenktes Norton Antivir 2008 auf ihrem Privatrechner installieren. Ihr wörtliche Meinung zu Norton kann ich hier aufgrund der Gefahr, abgemahnt zu werden leider nicht wiedergeben.

„Achtung, dieser Virus ist vollkommen ungefährlich. Er hat lediglich einen normalen Systemabsturz zur Folge aber das kommt bei Windows sowieso öfter vor.“

Aha.

Nichts großes eigentlich, nur ein Fehler in Solaris 8-10 bezüglicher der Reassemblierung fragmentierter Pakete. Im Fehlerbericht weist Sun auf die Konsequenzen hin:

„A security vulnerability in Solaris Internet Protocol (IP – see ip(7P)) implementation may allow a remote privileged user to send certain packets bypassing the security policies set by a firewall or to cause the system to panic, creating a Denial of Service (DoS) condition.“

Oha … Umgehen der Firewall durch ein paar fehlerhafte Pakete, das ist was spannendes. Und jetzt ist Solaris eigentlich schon ein recht gutes System. Ich frage mich gerade wie das mit einer virtualisierten Firewall auf VMware sein könnte. Da gibt es ja zusätzlich den VMware-Stack, wenn dort eine vergleichbare Lücke auftritt dann wird es echt lustig.

Die Süddeutsche Zeitung schreibt recht gut recherchiert über den Feind im eigenen Büro:

„Gefährlicher als Hacker oder Spitzel der Konkurrenz sind die eigenen Mitarbeiter.“

Natürlich hat sie damit recht. Industriespionage durch Mitarbeiter ist gerade bei innovativen Unternehmen eines der größten Sicherheitsrisiken.

Im Grunde fehlt uns nur eine geeignete Versteigerungsplattform für geklaute Firmendaten. Wikileaks ist zwar ganz nett aber man verdient nicht gut damit. Eigentlich gar nichts. Selbst für Assassination Politics, das einen großen Markt gäbe, hat sich aber bisher kein Plattformanbieter gefunden.

Interessant finde ich, dass der Beitrag in der SZ unter der Kategorie „Karriere“ zu finden ist. Andererseits, Silicon bestätigt uns, dass der Markt für Industriespionage jährlich um 10 Prozent wächst. Da gibt es offensichtlich noch Chancen.

Das Ausspionieren der Nachbarn wird immer einfacher. Sowohl optisch als auch akustisch.

Spiegel Online berichtet beispielsweise, dass Forscher der Hochschule Saarbrücken mit einer Teleskopausstattung für etwa 1000 Euro aus 10 Meter Entfernung noch Bildschirminhalte anhand der Reflexion auf einer Kaffeetasse erkennen konnten. Zur Not geht das sogar mit den Brillengläsern des Anwenders. Besonders gut sollen Teekannen funktionieren. Ich frage mich, was ist daran neu? Jeder erfahrene eBay-Nutzer weiß, dass man die Artikel die man da einstellt nicht nackt fotografieren darf. Viel spannender finde ich ja die neue Transparenz bei vielen Banken. In Berlin ist mir neulich eine Dresdner Bank aufgefallen mit riesigen Schaufenstern. Da sitzt der Bankmitarbeiter auch mit dem Rücken zum Fenster und von der Straße aus kann man seinen Bildschirm beobachten. Ich hatte leider gerade keinen Fotoapparat dabei.

Für noch billiger, nämlich rund 900 USD haben laut Golem zwei US-Hacker ein Gerät gebaut, mit dem sich angeblich verschlüsselte Mobilfunkgespräche aus dem GSM-Netz abhören lassen. Natürlich ist das verboten, aber bei dem Preis sinkt die Hemmschwelle ganz massiv. Das ist wie bei den Radarwarnern. Bei GSM wird nämlich leider die nicht ganz so tolle A5-Verschlüsselung eingesetzt (meistens mit 64 Bit) und die kann zumindest theoretisch schon länger gebrochen werden. Der Rest ist eigentlich nur eine Frage intelligenter Software und guter Hardware. Insbesondere in Deutschland könnte das interessant sein. Endlich können auch die Bürger mal die Politiker abhören und da die Polizei bis heute keinen Digitalfunk bekommen hat, nutzen die auch oft und gerne noch das Mobiltelefon.

Naja, mal abwarten was wir auf der Black Hat zu hören bekommen.

Ich warte auch immer noch auf eine Bauanleitung so um die 1500 Euro für einen funktionsfähigen van-Eck Receiver. Ach ja, Cryptonomicon will ich Euch mal wieder nahelegen. Der und Snow Crash, beide von Neal Stephenson sind extrem lesenswert!