30. April 2008
Die Vorträge von der Troopers ’08 sind verfügbar. Ein paar Sachen sehen auf den ersten Blick ganz interessant aus aber vieles ist einfach wieder aufgekocht ohne neue Erkenntnisse.
Raoul Chiesa („SCADA and national critical infrastructures“) beispielsweise bringt überhaupt keine neuen Erkenntnisse. Ein paar altbekannte Hüte wie der Wurm im Kernkraftwerk oder das Schmutzwasser in Queensland und ein wenig Blabla über die Vielzahl an Problemen (Mitarbeiter, Hersteller, Kunden, Techniken, …). Und wo ist das Fazit? Wo ist die Hilfestellung was nun zu tun wäre? Im Grunde ist das so ein „Es gibt viele Probleme und ich mach dann noch Werbung für meine Firma“-Vortrag. Na danke, da kann ich drauf verzichten.
Andrej Belenko („Faster Password Recovery with modern GPUs“) berichtet über die Fortschritte die Elcomsoft gemacht hat, um MD5-Cracker auf GPUs zu parallelisieren. Anscheinend war das gar kein besonders großer Aufwand, dafür sind die GPUs fast 10x so schnell wie normale CPUs. Für mich ist das ja eher ein Vortag für eine Hardware-Konferenz. Ein Faktor 10 bei der Hash-Berechnung ist jetzt auch noch nicht so spektakulär. Das ist in den meisten Passwort-Hashverfahren schon mit integriert. Ab etwa 10.000 würde ich anfangen mir Gedanken zu machen.
Horst Speichert („Criminal Hackertools“) hat einen Vortrag über den §202c gehalten. Ich halte Hr. Speichert ja für einen guten Anwalt aber zu dem Thema ist eigentlich alles gesagt worden.
Wirklich gut und neu waren meines Erachtens nur zwei Präsentationen: die von Roger Klose zu ESX-Security und Problemen in der Sicherheit von Virtualisierungslösungen allgemein (DoS durch Fuzzer ist ein beliebtes Problem) und die Vorträge von Michael Thumann. Nur sind beide von ERNW und eine Konferenz von ERNW um die eigenen Vorträge zu promoten ist jetzt doch ein wenig übertrieben.
Kurz, wenn nächstes Jahr nicht deutlich mehr an Neuigkeiten und nicht nur aufgewärmte Vorträge von der Blackhat präsentiert werden, wird sich die Konferenz vermutlich nicht dauerhaft etablieren können.
29. April 2008
Irgendwann musste es ja soweit sein …
Russische Hacker haben ihre Viren und Schadprogramme mit einem „License Agreement“ versehen. Die Jungs von Symantec haben das mal übersetzt:
- Does not have the right to distribute the product in any business or commercial purposes not connected with this sale.
- May not disassemble / study the binary code of the bot builder.
- Has no right to use the control panel as a means to control other bot nets or use it for any other purpose.
- Does not have the right to deliberately send any portion of the product to anti-virus companies and other such institutions.
- Commits to give the seller a fee for any update to the product that is not connected with errors in the work, as well as for adding additional functionality.
Gut, das ist in Deutschland natürlich nicht bindend. Erstens stand das da in Russisch und wenn es sich an deutsche Kunden richtet, muss es natürlich verständlich sein. Zweitens fehlt bei so installierter Software natürlich das Einverständnis des Kunden.
Aber die Idee ist natürlich nicht schlecht. Nur nicht neu. Ich hatte sie schon letztes Jahr, hätte allerdings zwecks Verbreitung der Schadprogramme die GPL empfohlen. 🙂
Nachtrag:
Ob die Defcon-Viren auch einen Copyright-Hinweis bekommen?
28. April 2008
… geplant auf der Defcon und natürlich maulen die Virenscanner-Hersteller.
Und wer mault am lautesten? Sophos natürlich. Das sind die, die von n.runs gefundene Sicherheitslücken auch mal gerne herunterspielen. Graham Cluley ein (Achtung, Bullshit Bingo Buzzwörter!) Senior Technology Consultant bei Sophos fürchtet u.a.: „Race to Zero’s website is linking to known virus exchange websites.“ und „The last thing the world needs is more malware.“
Also bitte … die von Race to Zero verlinkten Webseiten sind VX Heaven und Offensive Computing. Ups, jetzt habe ich die versehentlich auch verlinkt. Na egal. Wer die nicht kennt hat im „Underground“ eh nichts verloren. Und die paar zusätzlichen Schadprogramme machen den Virenscanner auch nicht fett. Andere Hersteller sind da übrigens entspannter. Vielleicht haben die bessere Scanner?
Obwohl … ich warte ja drauf, dass Symantec behauptet, Norton Antivirus wäre deshalb so langsam, weil wegen des Defcon-Wettbewerbs so viele Pattern eingebaut werden mussten. 🙂
27. April 2008
Ich schrieb letztes Jahr schon mal darüber, dass von belgischen und israelischen Forschern das am weitesten verbreitete elektronische Autoschlüsselsystem KeeLoq gebrochen haben und mit ein paar Rechner in einigen Tagen den Schlüssel errechnen können.
Forscher der Ruhr Universität Bochum haben einen noch dramatischeren Angriff entwickelt. Dabei benötigt der Angreifer für etwa 3000 Euro Hardware und Zugriff auf einen Schlüssel. Mit Hilfe eines Side-Channel Angriffs, bei dem die Stromaufnahme gemessen wird, kann der Masterkey für dieses Schlüsselmodell ermittelt werden. Mit dem Masterkey lassen sich dann alle anderen Schlüssel des gleichen Typs simulieren.
„The most devastating practial consequence of the side channel analysis is an attack in which keys can be cloned by intercepting only two messages sent by the legitimate key from a distance of up to 100 metres (330 ft). (aus Wikipedia)“
Oder anders ausgedrückt: mit dem Schlüssel eines VW Golf lassen sich alle anderen VW Golf auch öffnen.
Der KeeLoq-Algorithmus ist etwa 20 Jahre alt, wurde jedoch erst vor kurzer Zeit auf Wikipedia veröffentlicht. Die Wissenschaftler konnten anhand des Algorithmus sofort potentielle Schwachstellen identifizieren. Das erinnert mich stark an die Mifare-Thematik. Da war der Algorithmus Crypto-1 auch lange geheim. Aber kaum wurde er veröffentlicht, stellt sich raus, das taugt alles nichts. Snakeoil halt.
Was wir jetzt brauchen sind vermutlich neue Verfahren gegen Side-Channel-Angriffe. Aber da schreibe ich in einem anderen Artikel was dazu.
23. April 2008
The Register hat einen kurzen Artikel zur Gefahr von Ajax-Applikationen zusammengestellt. Da sind ein paar Punkte drin die auf den ersten Blick lächerlich trivial klingen aber gar nicht so einfach zum Umsetzen sind:
Mit Toolkits wie dem Google Web Toolkit (GWT), das automatisch Teile des Programmcodes Java nach Javascript übersetzt und auf dem Client ausführt, muss man sich Gedanken machen, welcher Teil wo ausgeführt wird. Ungünstig ist, wenn sensible Teile des Codes wie z.B. die Authentisierung auf dem Client ausgeführt werden.
- Keep data separate from code
Das vermeidet Injection-Angriffe bei denen Daten so manipuliert werden, dass sie wie Code ausgeführt werden.
Tja, das mit den verschiedenen Encoding-Standards und der Interpretation im Browser ist so eine Sache.
Zum Artikel „Simple Ajax Security“ und mehr bei OWASP.
22. April 2008
CEOs fallen öfter rein, zumindest wenn es um Schadprogramme geht. Wenn irgendwo „klicken Sie bitte hier“ steht, dann klicken die Manager um so schneller und gedankenloser, je wichtiger sie sich fühlen.
Beispielsweise der ehemalige bayrische Innenminister und jetzige Ministerpräsident Beckstein. Wenn der eine Mail vom BKA mit einem Attachment bekommt, dann klickt er. Könnte ja dienstlich sein. Außer, seine intelligente Frau warnt ihn. Die sollte besser Ministerpräsidentin sein. Aber so sind die Franken halt.
Eine Betrugsmail, die an 20.000 Senior Executives, also vermutlich Vorstandsmitglieder gibt, provozierte immerhin 2.000 Antworten. Also rund 10% der Vorstände haben auf das Attachment geklickt, das auf eine Webseite leitet die angeblich einen Durchsuchungsbeschluss enthält, der erst eingesehen werden kann, wenn ein kleines Addon installiert wird.
Da stellt sich für mich die Frage:
- Warum kriegen die Pappnasen Administratorrechte?
- Wenn die so blöd sind, wie können die dann eine Firma führen?
Aber vermutlich muss das so sein. Das ist wie mit Luftballons. Die wo am meisten Helium drin sind, fliegen am höchsten. The Register nennt diese Phishing-Versuche inzwischen Whaling … sehr schön.
21. April 2008
Wer auf einem der letzten Chaos Communication Congress war, erinnert sich sicher noch an die Vorträge von Dan Kaminsky. Eines seiner Themen ist immer wieder der böse Internetprovider, der Daten während des Transfers verändert. Gut, in UK sind wir mit Phorm bald soweit, aber Dan ist auf ein anderes aktuelles Problem gestoßen.
Viele Provider in den USA leiten Domains die es nicht gibt auf eigene Seiten um, die dann munter Werbung einblenden. Wir hatten das Problem schon einmal bei Verisign, die alle ungültigen .com-Domains auf ihre Seiten umgeleitet haben. Bei den Providern wird es jedoch noch schlimmer. Hier werden nicht nur komplett unbekannte Domains abgefangen sondern auch Subdomains oder Tippfehler, beispielsweise ww.example.com (man beachte das fehlende „w“). Das kann ganz schön unangenehm werden, beispielsweise mit Persistent Cookies die für eine ganze Domain gelten (also z.B. google.com) und dadurch vom Provider (oder dem Adbroker der die Werbung einblendet) abgefangen werden können.
Dan Kaminsky hat das auf der Toorcon auch schön vorgeführt.
Langsam fange ich an, mir Sorgen zu machen. Wenn schon die Internetprovider solche Schweinereien anfangen. Wie war das mit der alternativen DNS-Infrastruktur?
20. April 2008
Ich muss nochmal einen alten Heise-Artikel herauskramen. Da wurde ein neuer Bootsektor-Virus (man dachte ja schon, die seien ausgestorben) entdeckt, der Windows beim Starten so manipuliert, dass er getarnt ist. Weil die Antivirenhersteller trotzdem eine Möglichkeit gefunden haben den Virus zu entdecken, wurde der Virus jetzt weiterentwickelt (Heise spricht von mutiert) und versucht sich besser zu tarnen. Im Grunde also nichts neues. Außer halt, dass eine Reihe von Virenscannern mal wieder nichts entdeckt.
Interessant finde ich, dass scheinbar überholte Techniken (Bootsektor-Viren galten ja schon als ausgestorben, seit kaum noch jemand Disketten verwendet) plötzlich wieder aggressiv eingesetzt werden können. Ich schrieb schon mehrfach darüber, dass Virenscanner irgendwann keinen großen Schutz mehr bieten werden. Dazu hatte ich neulich auch ein nettes Gespräch mit einem Repräsentanten von Kaspersky auf einer Hausmesse. Die Argumentation geht im Moment so:
Antivirus steht in allen Standards und Best-Practive Empfehlungen, sämtliche IT-Sicherheitsberater empfehlen Antivirus, kein IT-Leiter traut es sich, Systeme und Server ohne Virenschutz zu betreiben. Warum sollte also ein Antivirenhersteller ohne Not schlafende Hunde wecken wenn gerade gut Geld verdient wird?
Ich bin ja gespannt, welche Hersteller in 10 Jahren noch leben. Einige bereiten sich auf die Zeit nach dem Virenscanning bereits vor und entwickeln oder kaufen Technologien für Whitelisting. Andere werden vermutlich verschwinden. Aber solange die Virenscannerhersteller gerade noch gut Geld verdienen denkt kaum jemand so richtig an die Zukunft.
19. April 2008
Sowas bastel ich mir auch …
Nachtrag:
Eigentlich erstaunlich, dass es das bei Pearl nicht gibt, die haben doch von USB-Tassenwärmern bis zu USB-Raketenwerfern jeden Blödsinn.
18. April 2008
HTML Version 5 wird lustig, sehr lustig. Der Artikel hier auf webkit.org beschäftigt sich mit den neuen Funktionen und eine davon ist „client-side database storage„. Ganz cooles Zeug.
Wenn der Anwender eine lokale SQL-Datenbank hat und die Skripte nicht sauber implementiert sind, dann kann man lokal beliebigen Unsinn ablegen. Am schönsten ist natürlich der Zugriff auf sensible Daten wie Adressbücher etc. Ich bin mir aber sicher, dass vielen Leuten da noch viel mehr Spaß einfallen wird. Client-side data storage außerhalb von simplen Flat Files halte ich ja für gewaltigen Unsinn. Aber wir werden sehen …