7. Februar 2010

Eine E-Mail? 20 Cent!

Category: Internet,Politik — Christian @ 23:01

Angeblich will die Post 20 Cent für jede innerhalb von DE-Mail zugestellte E-Mail.

Es gibt nur noch eine Möglichkeit, wie das kein Flop wird: wenn der Staat diese Form des Mailens verbindlich für Kontakte zum Finanzamt, Arbeitsamt etc. vorschreibt. Ansonsten ist das wie die ePost, die hat auch keine 5 Jahre überlebt.

(via Heise)

Security Kalender 2010

Category: Allgemein,Work — Christian @ 19:54

Mein Security Kalender 2010 ist mit leichter Verspätung online aber im Januar war eh nicht viel zu erwarten. Falls ich Termine vergessen oder nicht im Netz gefunden habe, bitte entweder hier in die Kommentare oder mir per Mail schicken. Ich nehme die gerne mit auf.

6. Februar 2010

Erderwärmung? Streusalzmangel!

Category: Offtopic — Christian @ 23:59

Hier im Real-Komma-Strich gesehen:

Jodstreusalz

Jodstreusalz. Wird Zeit für die Erderwärmung.

Random Stuff – 1

Category: Hacking,Internet — Christian @ 17:42

Ein paar Sachen die schon seit geraumer Zeit in meiner Inbox vorsichhinschimmeln:

ADS

ADS is where some file metadata is stored.  Yes, it’s not viewable in Windows Explorer, but if you want more transparency with ADS, you can add ADS to the Properties tabs of the file system and view ADS for every file in the GUI by using StrmExt.dll. See: http://msdn.microsoft.com/en-us/library/ms810604.aspx

Shellcode

If you are interested in shellcoding then check out www.projectshellcode.com for heaps of shellcode tutorials, whitepapers, tools and resources.

Metasploit Addon

MetaScanner is a script in ruby to scan a host for exploits than are already in metasploit framework. This is not a vulnerability scanner and may report some few false puritives. How many times have you scanned a host using nmap and then tried different exploits from the framework? This tool automates that for you. You can find it on http://kalgecin.110mb.com/index.php?id=codes.

Fuzzer

Krakow Labs maintains a current list of security driven fuzzing technologies: http://www.krakowlabs.com/lof.html

Ich denke ich werde in Zukunft öfter Links mit so einer Kurzbeschreibung für Sachen posten, die bisher unter den Tisch gefallen sind, weil sie eigentlich keinen kompletten Blogeintrag rechtfertigen.

5. Februar 2010

Trojaner-Werbung

Category: Hacking,Internet,Work — Christian @ 13:14

Das kennen wir doch schon: Auf seriösen Webseiten werden nichtsahnende Benutzer durch bösartige Werbung mit Schadprogrammen infiziert. Dieses mal waren u.a. Golem.de, Zeit.de und Handelsblatt.de betroffen. Davor gerne auch mal Heise, die New York Times, The Register und andere.

Die Ursache für dieses wiederkehrende Problem findet sich an zwei Stellen:

  1. Die Werbung wird nicht von den Servern der Redaktion ausgeliefert. Statt dessen enthalten die Seiten lediglich einen Verweis auf einen Server der typischerweise bei einem Werbevermarkter steht. Dies kann Google sein aber auch kleinere Vermarkter wie Falk eSolutions. Von dort wird die Werbung eingeblendet auf die die Redaktion nur eingeschränkt Einfluss hat. Wenn bei diesen Vermarktern etwas passiert ist immer direkt eine größere Anzahl von Webseiten mit einer Vielzahl von Benutzern betroffen.
  2. Werbung bedient sich massiv dynamischer Inhalte wie Javascript und Flash, um die Aufmerksamkeit der Nutzer zu erlangen.  Würden nur statische Inhalte wie Bilder oder Texte ausgeliefert, wäre die Gefahr generell geringer.

Als Lösung für den Anwender lässt sich meiner Ansicht nach nur empfehlen, Werbung so konsequent wie möglich auszublenden und gar nicht erst zu laden. Adblock Plus im Firefox erledigt das recht zufriedenstellend und ist einfach genug auch für weniger technisch versierte Benutzer bedienbar. Leider können es sich die etablierten werbefinanzierten Online-Medien schlecht leisten, Werbeblocker zu empfehlen. Statt dessen gibt es bei Heise nur eine Anleitung wie man die unerwünschte Scareware wieder los wird. Wenn das Kind also erst einmal in den Brunnen gefallen ist.

4. Februar 2010

Blog Link

Category: Hacking,Internet,Literatur — Christian @ 20:12

Nur ein Link: http://extraexploit.blogspot.com/. Kommt in meine Blogroll.

Vertrauen

Category: Hacking,Internet,Politik — Christian @ 08:11

Hach ja, SSL ist ein lustiger Dienst. Da braucht man so Zertifikate (X.509v3 ist recht beliebt) nur um dann feststellen zu können, die Webseite www.commerzbank.de gehört wirklich der Commerzbank in Frankfurt.

Wobei, wieso wirklich? Im Fall der Commerzbank bestätigt mir das die TC Trustcenter GmbH in Hamburg, seit neuestem eine Tochter der PGP Corp. Mein Mozilla Firefox (3.0.x) zeigt mir das in blauer Farbe vor der URL. Die Frage ist jetzt natürlich, ob ich TC Trustcenter glaube. Also quasi ob ich denen vertraue, dass sie die Prüfung korrekt durchgeführt haben und mich nicht belügen. Ich persönlich halte TC Trustcenter für recht seriös seit sie mal ein Zertifikat von mir nicht signieren wollten, das zugegeben geringfügig phishy aussah.

Wenn ich bei Verisign schaue, dem vermutlich weltweit wichtigsten Zertifikatsanbieter, bekomme ich sogar einen grünen Balken in meinem Firefox. Grün! Viel besser als blau! Weil Verisign hat sogar ein „Extended Validation“-Zertifikat. Übrigens von Verisign selbst ausgestellt. Die bescheinigen sich also selbst, dass sie Verisign sind. Das Extended Validation Zertifikat ist meiner Ansicht nach ja Beutelschneiderei par Excellenz. Da verlangt Verisign doppelt so viel Geld für das Zertifikat nur um den Antragsteller „genauer“ zu prüfen als für weniger Geld. Als ob eine vertrauenswürdige Zertifizierungsstelle nicht sowieso genau prüfen sollte. Aber gut, von Verisign kann man vermutlich nichts anderes erwarten. Die haben auch schon mal ohne Prüfung Zertifikate auf den Namen Microsoft ausgestellt. (Die sind übrigens immer noch im Internet Explorer als „Fraudulent“ zu finden). Außerdem war Verisign bis Oktober 2008 Haupteigentümer von Jamba. Das ist die Firma, die kleine Kinder mit Klingeltonabos über den Tisch zieht. Ob ich die wirklich vertrauenswürdig finde … ich bin mir da gar nicht so sicher. Verisign wäre jedenfalls der letzte Anbieter bei dem ich ein Zertifikat kaufen würde.

Der Chaos Computer Club greift übrigens auf die Dienste von CACert zurück. Die kennt mein Firefox nicht, und der Internet Explorer erst recht nicht. Obwohl ich die für recht vertrauenswürdig halte. Beim IE ist das aber klar. Ich habe mir sagen lassen, dass Microsoft rund 50.000 USD will, damit eine Zertifizierungsstelle in den IE aufgenommen wird. Und da CACert die Zertifikate kostenlos anbietet, vertragen sich die beiden Geschäftsmodelle recht schlecht. Vertrauen hin oder her.

Über die lustigeren Zertifizierungsstellen will ich gar nicht lästern, auch wenn mir ein Zertifikat einer deutschen Onlinebank ausgestellt z.B. vom „Autoridad Certificadora del Colegio Nacional de Correduria Publica Mexicana“ etwas … naja, spanisch … vorkommen würde. Obwohl die laut Internet Explorer sicher sehr vertrauenswürdig sind. Leider ist deren Zertifikat Mitte 2009 abgelaufen. Aber es gibt ja auch noch die „Saunalahden Server CA“ aus … na? … genau, Finnland. Wo soll so ein Saunala(h)den auch sonst herkommen 😉

Warum ich das alles schreibe? Weil es bei SSL-Zertifikaten eben einfach nur um das Vertrauen zum Aussteller geht. Ist die Zertifizierungsstelle (CA) vertrauenswürdig? Stellt sie nur Zertifikate aus wenn die Identität korrekt verifiziert worden ist? Oder kann jeder dahergerollte Schäuble zu so einer CA gehen und ein falsches Zertifikat bekommen um einen staatlichen Man-in-the-Middle Angriff durchzuführen? Dann will ich so eine CA gar nicht im Browser haben.

Die Mozilla Foundation hat sich genau diese Diskussion nämlich jetzt eingefangen, nachdem die staatlich kontrollierte chinesische Domainregistry CNNIC mit ihrer Zertifizierungsstelle in den Firefox-Browser aufgenommen wurde. Dabei wurden die Anforderungen der Mozilla Foundation strikt erfüllt. CNNIC hat eine Zertifikatspolicy (CSP) die formal allen Anforderungen genügt. Meine Freunde von Ernst & Young haben geprüft, dass diese Policy formal ok ist. Webtrust hat gekuckt, dass Ernst & Young formal korrekt geprüft hat. Und die Mozilla Foundation verlässt sich darauf, dass die Anforderungen von Webtrust formal korrekt sind. Formal eben. Nur das mit dem Vertrauen, das ist halt schwierig.

Aber wenn mich jemand fragt … das Sicherheitsmodell von SSL ist sowieso für’n Arsch.

(via Fefe)

Nachtrag:

Die Mozilla Foundation hat die CNNIC-SSL-Zertifikate wieder aus der Standardinstallation entfernt.

3. Februar 2010

ASLR, DEP in Zukunft wirkungslos?

Category: Hacking — Christian @ 20:12

Dave Aitel schrieb heute auf seiner Dailydave-Mailingliste:

      Not so long ago,

ASLR

      and

DEP

    were gaining wide acceptance. Execshield was on almost all Linux systems, and the „golden age“ of buffer overflow exploitation looked like it was coming to a close.
    […]
    Today, Immunity released a working version of the Aurora exploit for Windows 7 and IE8 today to CANVAS Early Updates. It does this by playing some very odd tricks with Flash’s JIT compiler. This technique is extendible to almost all similar vulnerabilities. In other words, ASLR and DEP are not longer the shield they once were.

Wenn das alles so stimmt (Dave Aitel will primär sein Canvas verkaufen, da ist einiges mit Vorsicht zu genießen) schließe ich zwei Sachen daraus:

  1. Just-in-Time Compiler sind böse, weil die meisten JIT Compiler ASLR und/oder DEP abschalten und damit Angriffe erleichtert werden.
  2. ASLR und DEP sind längst nicht die goldenen Schilde die vor allen möglichen Programmierfehlern und Schlampereien der Entwickler schützen, insbesondere was Puffermanagement angeht, sobald der Anwender z.B. Flash, Java, etc. verwendet.

Ob da jetzt Adobe (wie bei Apple) der Böse ist oder der Flash JIT nur verwendet wird, weil er weit verbreitet ist, kann ich noch nicht sagen. Die Canvas Early Updates in denen das bisher released wurde sind derart teuer, die will ich mir nicht leisten. Aber ich denke es lohnt sich nicht nur für Exploitprogrammierer, das Thema zu beobachten.

Nachtrag:

The Register hat das Thema aufgegriffen.

Emissionshandel zerlegt

Category: Hacking,Politik — Christian @ 17:32

Wie inzwischen alle Medien berichten, ist der europäische Emissionshandel großflächig zerlegt worden. Angeblich haben sich Hacker mittels Phishing-Mails Zugriff auf die Accounts einzelner Nutzer der bei der Deutschen Emissionshandelsstelle (DEHSt) verschafft, deren Emissionsrechte auf andere Accounts übertragen und für mehrere Millionen Euro verkauft.

Ich finde ja spannend, was da offensichtlich alles schief gelaufen ist. Da richtet also das Bundesumweltamt, ein Geschäftsbereich des Bundesministeriums für Umwelt, Naturschutz und Reaktorsicherheit eine Webseite ein, auf der Emissionsrechte im Wert von vielen Millionen Euro gehandelt werden können. Und wie wird das abgesichert? Mit einem popeligen Passwort. Das der User selbst wählen muss. Einzige Bedingung: das Passwort muss mindestens 10 Zeichen, eine Ziffer und einen Buchstaben enthalten. Fertig. Dazu gibt es dann den freundlichen Hinweis:

    „Transaktionen müssen mit großer Sorgfalt durchgeführt werden, da die DEHSt grundsätzlich keine Möglichkeit hat, abgeschlossene Transaktionen (z. B. falscher Empfänger, falsche Zertifikateanzahl) rückgängig zu machen.“

Keine Einmalpasswörter, Token oder Smartcards für die Anmeldung, keine TANs, iTANs oder mTANs zur Absicherung der Transaktionen, nix, null, niente. Selbst die schlechteste Onlinebank ist besser abgesichert als so eine Monsterbehörde. Statt dessen macht man den Laden laut FTD lieber zu:

    „Die Stelle in Berlin hat am Freitag den Betrieb eingestellt. „Dabei bleibt es mindestens für den Rest dieser Woche“, sagte eine Sprecherin.“

Das sind dann die Momente in denen ich mich frage, welcher Versager das Sicherheitssystem entworfen und welcher Stümper das abgenommen hat. Im Impressum steht unter „Technische Unterstützung“ die Materna GmbH. Für jeden halbwegs gebildeten Menschen ist klar, dass derart hohe Werte natürlich Kriminelle anziehen wie Gesetzesentwürfe von Schäuble die Fliegen. Gleichzeitig sind für diesen Handel in den meisten Firmen Mitarbeiter verantwortlich, denen man IT-Kenntnisse nicht unbedingt zutrauen muss. Optionale Angebote wie die Möglichkeit, Transaktionen von zwei Personen genehmigen zu lassen werden sowieso nicht genutzt, weil viel zu umständlich.

Da hätte man mal besser die Anmeldegebühren von 200 Euro auf 250 Euro hoch gesetzt und dafür allen Nutzern einen Smartcard-Reader und eine Smartcard für die Authentisierung geschickt. Im Verhältnis zu den zu schützenden Werten und dem möglichen Schaden ist das eine lächerlich kleine Investition.

Das einzige das fehlt um die Pleite komplett zu machen ist lediglich noch so ein TÜV-Siegel „Safer Shopping“ oder so, auf der Seite der DEHSt. Ich kann mir nicht vorstellen, dass eine Bundesbehörde was online gehen lässt, ohne sich eine TÜV-Bescheinigung einzuholen. Und dann würde sich der Kreis natürlich schließen.

2. Februar 2010

US-Hacker schlimmer als Chinesen?

Category: Hacking,Internet — Christian @ 13:02

Nach einer Studie von McAfee glauben 70% der Befragten, dass die chinesische Regierung hinter Cyberangriffen stecken würde. Für die USA und Russland nehmen das 60% an. Allerdings fürchten sich die befragten mehr vor Cyberangriffe aus den USA, als aus China oder Russland.

Zumindest behauptet das der Inquirer. Auf der Webseite von McAfee konnte ich die Studie leider nicht finden. Da ist nur Werbung, nach der McAfee „Coolest Cloud Security Vendor“ sei. Ich interpretiere das mal so, dass McAfee in der Cloud nix tut und deshalb die Server kühl bleiben.

Die spannende Frage ist natürlich, wie kommt es zu diesen Ergebnissen? Sind die US-Hacker so präsent in den Medien während man von den Chinesen hauptsächlich die Vorfälle im Bundeskanzleramt und bei Google hört? Fühlen sich die Unternehmen deshalb weniger bedroht? Ist die Angst vor US-Hackern wegen Industriespionage oder ganz allgemein wegen Datenklau und Imageschaden?

In meiner persönlichen Wahrnehmung würde ich die Chinesen als gefährlicher einstufen, weil da einfach mehr finanzielle Ressourcen dahinter stehen. Das kann aber auch daran liegen das meine Kunden tatsächlich eher von Chinesen als Amerikanern bedroht werden. Wie nehmen das eigentlich andere Firmen war?