15. Februar 2010

Tale of a Would-Be Spy

Category: Literatur — Christian @ 14:30

Eine schöne Spionagegeschichte mit schlechter Kryptographie:

    When Brian Regan was arrested at Dulles Airport, he was carrrying papers containing different types of encrypted messages. To figure out what secrets he was selling and where they were hidden, investigators had to crack three kinds of codes.

Der komplette Text bei Wired. Viel Spaß beim Lesen

14. Februar 2010

Belgien, Island, Türkei – das gleiche Schema

Category: Politik — Christian @ 19:26

Die Türkei hat für Staatsbürger der benachbarten bzw. befreundeten Länder Syrien, Libyen, Libanon und Jordanien die Visumpflicht für die Einreise in die Türkei aufgehoben. Eigentlich gut, weil dadurch Reisehemmnisse abgebaut werden und die gegenseitige Völkerverständigung gefördert wird. Nur die Europäische Union ist jetzt verärgert, weil (a) die Türkei bereits jetzt als Zwischenstation bei der illegalen Einreise aus diesen Ländern in die EU genutzt wird und (b) diese Entscheidung nicht gerade zur Harmonisierung des türkischen mit EU-Recht beiträgt. Nur ist das (a) ein Problem der EU, nicht der Türkei und ist (b) für die Grenz- und Visaharmonisierung die Verhandlung zwischen der Türkei und der EU noch gar nicht eröffnet worden. Und wenn die Türkei tatsächlich irgendwann der EU betreten sollte, wird sich das schon recht zügig harmonisieren. Warum das für uns von Interesse ist?

Island wird angeblich der neue Hafen der Pressefreiheit. Zumindest wenn es nach Julian Assange und der Islandic Modern Media Initiative (IMMI) geht. Ganz ehrlich, ich glaube nicht daran. Denn gleichzeitig drängt Island auch aufgrund der finanziellen Probleme in die Europäische Union. Was das bedeutet sehen wir beispielsweise oben an der Türkei. Da gibt es ruck-zuck Verhandlungen zwischen Island und der EU und dann wird sich herausstellen, dass dieser Freihafen, die neue Pressefreiheit und die moderne Informationsfreiheit leider, leider mit EU-Recht nicht vereinbar ist. Alleine dieses Zitat: „Als ein Beispiel für diese positiven Gesetze nennen die Verantwortlichen ein Gesetz des US-Bundesstaates New York, das die Durchsetzung britischer Gerichtsentscheidungen, die die Pressefreiheit einschränken, verhindert.“ Erwartet ernsthaft jemand, dass die demokratische, freiheitliche Europäische Union ein Land aufnimmt, das ernsthafte Versuche unternimmt, die Einschränkung der Pressefreiheit zu verhindern?

Womit wir bei Belgien wären. Das Europäische Parlament hat in einem historischen Akt des Ungehorsams gegenüber den Regierungen der Länder der Europäischen Union das Swift-Abkommen mit den USA durchfallen lassen. Ich glaube, das war ein klassischer Pyrrhus-Sieg. Die USA haben bereits angedroht, bilaterale Verhandlungen durchzuführen. Auf Deutsch heißt das, wenn die EU nicht einknickt gegenüber den USA, dann droht die USA eben solange direkt dem Land Belgien in dem Swift seinen Sitz hat, bis die belgische Regierung (vermutlich in geheimen Vereinbarungen mit den USA) das Absaugen der Daten wieder zulässt. Und weil die Belgier klein und die Verhandlungen geheim sind, dürfen die Amerikaner hinterher mehr, als sie jetzt hätten absaugen können.

Und wenn man die drei scheinbar unabhängigen Fälle betrachtet die eigentlich jeder für sich genommen positiv betrachtet werden können, ist bereits absehbar, dass die globale Bürokratie alle drei Ereignisse ins Gegenteil verkehren wird. Und deshalb ist es meiner Ansicht nach zu früh, in den Jubel um Swift und die isländische Freiheit einzustimmen. Obwohl es im Hafen von Reykjavik diesen hervorragenden Imbiss gibt.

Blindhead

(ein typisches isländisches Verkehrsschild)

Windows 7 erkennt Aktivierungsexploits

Category: Produkte — Christian @ 16:58

schreibt u.a. Golem.

Alle 90 Tage lädt das Microsoft-SWAT-Team (für Secure Windows Activation Technologies) ein neues Patternupdate und wen dem was an der Windows-Installation nicht gefällt, dann ist die boooom nicht mehr aktiviert. Ich bin sicher, das mit den Pattern funktioniert genauso zuverlässig wie die Patternupdates bei McGorilla, Bierdefender oder GehtDaten. Aber das deckt sich mit dem amerikanischen Rechtsverständnis. Erst tasern, dann fragen.

Ich wünsche mir ja, dass irgendein Virenautor so einen Exploit auf die Systeme bringt um damit großflächig das Internet abzuschießen. Wie früher der AOL Hoax. Hat auch viele Deppen vom Internet ferngehalten. Ich würde sogar dafür bezahlen! Aber leider ist ein kaputter Rechner kein guter Botnet-Rechner. Darum mache ich mir wenig Hoffnung, dass die Russenmafia so eine Schadprogramm unter die Windows-User bringt.

Ach ja, der kluge Mensch lehnt die Installation natürlich ab. Sie ist im Grunde freiwillig. Nur erzählt einem Microsoft gerne was vom Pferd und dem Weltuntergang, wenn man das Zeug nicht installiert. Ich bin ja gespannt, ob man die wieder deinstallieren kann. Microsoft behauptet ja. Bei WGA und der Windows Genuine Notification ging’s nicht. Wahrscheinlich lügt der Microsoft-Pressesprecher und redet sich hinterher mit Fehlinformation raus.

Also nichts neues. Seufz.

13. Februar 2010

YouTube’s Audio Content ID System

Category: Internet — Christian @ 22:37

Ein interessanter Beitrag, wie YouTube Musik in Videofiles erkennt und mit welchen Tricks man das verwendete Verfahren aushebeln kann bzw. eben nicht.

Prinzipiell ist das verwendete Verfahren recht immun gegen Änderungen der Lautstärke, auch die gespielte Geschwindigkeit muss man um mehr als 5% verändern, bevor der Fingerprinter ein Musikstück nicht mehr erkennt. Auch gegen Rauschen ist das Verfahren recht gut. Wenn man allerdings ein kurzes Liedstück von weiter hinten anstatt vom Anfang verwendet, kommt man offensichtlich recht gut durch den Filter.

(via carta.info)

12. Februar 2010

Ultrascan KPO

Category: Hacking — Christian @ 23:24

Hat eigentlich irgendjemand nochmal was von Ultrascan KPO gehört? Das war der Laden der angeblich mit Hilfe eines manipulierten Nokia 1100, das unbedingt in Bochum gefertigt sein musste, mTANs abgefangen haben will. Seither ist aber Schweigen im Walde und die Webseite anscheinend tot?

Oder wollten die nur ihre Nokia 1100 teuer auf eBay verkaufen?

11. Februar 2010

Gedankenspiel zu SSL-VPN

Category: Hacking — Christian @ 10:05

Wir sind in einer Diskussion auf folgende Überlegung gekommen:

Ich sitze an einem Windows-PC (ohne Desktop-Firewall) in einem geschützten Netz hinter der großen Firmen-Firewall. Surfen im Internet ist erlaubt. Außerdem ist auf dem Rechner hier ein SSL-VPN Client installiert, in meinem Fall Juniper Network Connect der Juniper SSL-VPN SA-Serie. Welches Produkt von welchem Hersteller verwendet wird, ist für die Fragestellung aber egal. Das Network Connect wird normalerweise gestartet, indem man auf die Anmeldeseite des SSL-VPN-Gateways geht und sich dort anmeldet. Abhängig von der Konfiguration wird der eigentliche Network Connect Client dann automatisch gestartet. Ich habe dann ein SSL-basiertes VPN von meinem Windows-PC durch die große Firmen-Firewall hindurch zu meinem Juniper Gateway.

Die klassische Diskussion ist dann, dass ich da natürlich beliebige Daten hinaus schleusen kann, weil der Juniper Gateway z.B. Uploads erlaubt und das ja SSL-verschlüsselt ist, d.h. die Firmen-Firewall nichts mehr sieht. Geschenkt.

Die interessante Frage die sich in unserer Diskussion jetzt gestellt hat geht genau anders herum:

    Kann ein Angreifer im Internet einen bösartigen Webserver aufsetzen der automatisch diesen Network Connect startet und so einen VPN-Tunnel aufbauen, wenn der Benutzer ihn ansurft?

Das würde nämlich bedeuten, ich habe dann eine IP-basierte VPN-Verbindung von diesem Webserver im Internet durch die Firmen-Firewall hindurch zum eigentlich geschützten Client im LAN und kann diesen direkt angreifen. Eine fehlende Desktop-Firewall natürlich vorausgesetzt.

Das ist eine ähnliche Frage wie mit den diversen ActiveX-Controls die sich im Browser wiederfinden. Die können im Grunde auch von einem beliebigen Webserver gestartet werden, wenn sie „safe“ sind. Und wenn dann eine Sicherheitslücke bekannt wird, muss Microsoft wie diesen Monat wieder, Killbits für ActiveX verteilen. Oder haben die Hersteller von SSL-VPN Clients ein Verfahren implementiert mit dem der Client feststellen kann, ob er mit einem unmodifizierte Gateway des Herstellers kommuniziert?

10. Februar 2010

Die Spinnen die Norweger

Category: Offtopic — Christian @ 11:36

Wir haben uns ja daran gewöhnt, dass Norweger ab und an etwas seltsam sind. Beispielsweise wenn die Bergen Linux User Group den RFC 1149 (IP over Avian Carrier) implementiert.

Aber Norweger, die ein Google Streeview Auto in Taucheranzügen mit Harpunen angreifen ist dann doch neu. Und lustig 🙂

(via BT)

9. Februar 2010

Paypal in Indien … wolle Rose nich bezahle!

Category: Produkte,Recht — Christian @ 22:45

Paypal zahlt in Indien kein Geld mehr aus. Nicht etwa nur bei einzelnen Accounts sondern bei allen!

Begründung: „to respond to enquiries from the Indian regulators“. Meine Interpretation auf Deutsch: Paypal hat gegen diverse indische Gesetze verstoßen und die Inder haben den Laden erstmal zugemacht.

Wie lange das dauert: „Personal payments to and from India will be suspended for at least a few months until we fully resolve the questions from the Indian regulators“. Auf Deutsch: Wir wissen nicht, ob wir die  Geschäftstätigkeit in Indien überhaupt wieder aufnehmen dürfen.

Klingt sehr vertrauenswürdig. Aber in Deutschland will Ebay die Händler zwingen, dieses Paypal zu verwenden. Ein wenig mehr im Paypal-Blog hier und hier. Und viel mehr hier.

Der seltsame Samba Zero-Day Exploit

Category: Hacking,Produkte — Christian @ 22:28

Ab und zu gibt es so Geschichten die irgendwie schwer einzuordnen sind. Beispielsweise die seltsame Geschichte des Samba Zero-Day Exploits. Ich rekapituliere mal kurz die Ereignisse:

Fr, 05.02.: Kingcope veröffentlicht einen Exploit mit dem sich via Symlink Beschränkungen auf Samba-Freigaben aufheben lassen. Dazu hat er einen Sambaclient modifiziert um diese Symlinks anlegen zu können.

    „A remote attacker can read, list and retrieve nearly all files on the System remotely.
    Required is a valid samba account for a share which is writeable OR a writeable share which is configured to be a guest account share, in this case this is a preauth exploit.“

Die Samba-Entwickler sind relativ schnell mit einem Advisory zur Hand, das dieses Problem erklärt.

Mo, 08.02.: Paul Szabo weist den Fehler zurück es handle sich um eine Fehlkonfiguration wenn diese Symlinks vom Sambadienst berücksichtigt werden.

    „Nothing breaks if the admin sets „wide links = no“ for that share: the link is not followed.“

Und dann driftet die Diskussion in das Verhalten von SMB auf Windows 2008 ab:

    „Since Windows 2000 NTFS supports „junctions“, which pretty much resemble Unix symlinks, but only for directories. And at least since Vista, it also supports symlinks, which are designed to mimic Unix symlinks, and can point to files or directories. Junctions and symlinks can cross volumes; symlinks can also refer to files or directories on network filesystems.“

Ende der Diskussion. Was praktisch nicht zur Sprache kommt ist, ob z.B. die Defaultkonfiguration von Samba einfach schlecht ist und nicht das erwartet, was der typische Administrator erwartet. Zumindest kann man nicht von „Safe Defaults“ sprechen. Aber wenigstens soll die Standardeinstellung in der nächsten Version behoben werden:

    „All future versions of Samba will have the parameter „wide links“ set to „no“ by default, and the manual pages will be updated to explain this issue.“

Und daraus kann man eine recht einfache Lehre ziehen. Wenn ein Programm in einer Konfiguration Defaulteinstellungen vornimmt, müssen diese der Erwartungshaltung der Administratoren entsprechen. Alles andere ist genauso ein Sicherheitsrisiko wie wenn es sich bei diesem Fehler um einen echten Zero-Day Exploit gehandelt hätte. Erstaunlich ist meiner Ansicht nach, dass es immer noch so viele Programme gibt, die sich nicht an diese Regel halten.

8. Februar 2010

Stuttmann Archiv

Category: Offtopic — Christian @ 10:26

Ich habe nach langer Zeit mal wieder bei Klaus Stuttmann im Karikaturenarchiv geblättert:

    Der liebe Gott weiß immer, was du machst und wo du gerade bist!“ „Auch wenn ich alle meine Internet-Daten verschlüssel und und mein Handy immer ausschalte?“

und

    Warum Frau Zypries bald auch Bäume und Büsche in öffentlichen Parks, Friedhöfen und Freibädern flächendeckend verwanzen muss …“

wie wahr.