Mitternachtshacking

Ich bin ja generell recht knauserig was Links auf andere Blogs betrifft aber der folgende ist es Wert, aufgenommen zu werden:

Darknet – The Darkside

Und jetzt auch in diesem Kino rechts in der Blogroll-Spalte.

Heute mit Links von den Inseln …

Komplettausschluss aller Haftungsregeln in Software-Lizenzen ist unfair

In Großbritannien hat der High Court (also keine kleine Amtsgerichtsklitsche) entschieden, dass bestimmte Klauseln in Software Lizenzen unfair und damit unwirksam sind. Im speziellen Fall ging es um eine Hotelsoftware, die wohl nicht ganz den Vorgaben entsprochen hat. In den Lizenzbedingungen stand jedoch, der Kunde könne bei Problemen nur auf den Supportvertrag zurückgreifen und keine Rückerstattung verlangen, egal wie schlecht die Software ist. Diese Klausel hat das Gericht als unwirksam verworfen. Ich hoffe ja, dass wir in Deutschland auch irgendwann stärker entweder Produkthaftungsregeln für Software anwenden oder, wenn das nicht möglich oder praktikabel ist, Lizenzbedingungen zumindest wie AGB einer Inhaltskontrolle unterliegen. Naja, abwarten.

Large-Scale Cyber-Attacks

Ebenfalls in Großbritannien wurde vom House of Lords der 5. Bericht zum Schutz der EU vor Large-Scale Cyber-Attacks veröffentlicht. Dabei wurden insbesondere die (vermutlich aus Russland durchgeführten) Angriffe gegen Estland im April/Mai 2007 und die chinesischen Angriffe gegen Systeme des Dalai Lama vor den olympischen Spielen im August 2008 als Beispiele herausgegriffen. Und die ENISA bei der sich Udo Helmbrecht auf seine Pension vorbereitet hat auch einen Seitenhieb bekommen, da sie in Kreta in der Sonne weit ab vom Schuss ist.

UK will Big Brother (ein wenig) zurückfahren

Schreibt Heise. Also, eigentlich ja nicht, aber es ist einfach nicht mehr genug Geld für alles da. Vorratsdatenspeicherung kostet den Staat erst mal Geld und ob es was bringt, weiß eigentlich keiner. Ein paar Überwachungskameras (CCTV) werden vielleicht abgeschaltet. Ein klein wenig weniger DNA- und Fingerabdruckdatenbanken (an Stellen an denen der EUGH schon hinschauen wollte). Und das Auskunftsrecht bei Behörden „wie in Deutschland“ klingt eher wie eine Drohung als eine Verheißung. Auf Deutsch, ich bin extrem pessimistisch. Das hört sich an wie das Dialogangebot von Herrn de Maiziere und in Folge wird dann eben auch getrickst, getäuscht und verarscht.

Three Strikes in Irland

Die irren Iren sind da schon einen Schritt weiter. Der (noch) größte irische Provider Eircom hat inzwischen auf Druck der Contentmafia ein System der „abgestuften Erwiderung“ eingerichtet. Die IRMA droht schon mal, Eircom „jede Woche mit tausenden IP-Adressen von Copyright-Sündern versorgen zu können“. Wenn das stimmt, hat Eircom in einem Jahr nicht mehr 750.000 Kunden sondern nur noch die Hälfte. Und zu wünschen ist es dem Laden ja auch.

Eric Schmidt, der Evil Overlord CEO von Google findet, dass das Abfangen von WLAN-Daten straffrei sein muss mit der Begründung, es wurde ja niemandem (der nennbar wäre) Schaden zugefügt. Die offizielle Meinung von Google laut Eric Schmidt ist:

„If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place.“

Auf deutsch: Wenn ihr nicht wollt, dass wir euer WLAN ausspionieren, dann nutzt einfach keines. Ausser, es betrifft ihn selbst.

Jens Ferner hat dazu auf Datenschutzbeauftragter-Online einen interessanten Kommentar (eine der wenigen Webseiten die ich ständig verlinke) veröffentlich.

Mobile Bank Dispenser … nur das Bild und das Original bei Flicker (leider keine CC-Lizenz, deshalb nur verlinkt)

Ultracool, was für ein Hack … auf The Register:

„Feihu Xu, Bing Qi and Hoi-Kwong Lo at the University of Toronto in Canada have developed a subtle „intercept and resend attack“ where they eavesdrop on some of the quantum bits sent during a quantum key exchange but not so many as push the error rate over the 20 per sent threshold. The boffins demonstrated such a „phase remapping“ attack against commercial quantum cryptography systems from ID Quantique.“

Um das zu verstehen, muss man wissen wie Quantenkryptographie funktioniert. Die Idee ist, man verschickt polarisierte Photonen (Lichtteilchen). Polarisierte Lichtteilchen haben den interessanten Effekt, dass sie durch einen identisch ausgerichteten Polarisationsfilter durchgehen, von einem anders ausgerichteten jedoch gefiltert werden. Einige 3D-Brillen basieren auf dem Prinzip, dass  ein Auge nur horizontal polarisiertes Licht erreicht, das andere Auge nur vertikal polarisiertes Licht und dadurch zwei Bilder dargestellt werden. Soweit so langweilig. Spannend ist jedoch, wenn man einen falsch ausgerichteten Polarisationsfilter verwendet, ist das Photon weg und man kann nachträglich auch nicht mehr feststellen, wie es richtig gedreht gewesen wäre. Für einen Man-in-the-Middle bringt das ein großes Problem mit sich. Ja, man kann im Prinzip die Übertragung abhören ABER der Empfänger bemerkt IMMER, wenn die Übertragung abgehört wird und kann entsprechend reagieren. Dieses Prinzip lässt sich physikalisch beweisen. Da gibt es in der modernen Physik auch keinen Weg drumherum.

Naja, fast. Das Prinzip stimmt nämlich genau genommen nur für EIN EINZELNES Photon. In der Praxis kann man aber keine einzelnen Photonen schicken, da treten viel zu viele Störungen auf. Deshalb schickt man z.B. mit einem Laser immer gleich ein ganzes Lichtbündel. Und schon stimmt die Annahme nicht mehr. Bei einem Lichtbündel ist es nämlich möglich, ein paar wenige Lichtteilchen abzuzweigen und auszulesen während der Rest unverändert weiter geschickt wird. Beispielweise mit einem halbdurchlässigen Spiegel. Die Quantenkryptographiesysteme wissen das und reagieren deshalb mit einem Fehler, wenn mehr als 20% der Photonen in einem Lichtbündel fehlen oder falsch sind.

Man kann sich das für meine Freundin Laien vielleicht so vorstellen, dass man Tischtennisbälle einen Fluss hinab schickt. Weil man nicht weiß, ob alle ankommen schickt man jeden Ball nicht einmal sondern 100 mal. Und Alarm geschlagen wird, wenn weniger als 80 Tischtennisbälle am Ziel ankommen. Der Trick ist also jetzt, weniger als 20 Bälle von jedem Schwung abzufangen und trotzdem die Nachricht zu analysieren.

Die Kanadier haben es jetzt geschafft, ihr Angriffssystem so genau einzustellen, dass es mit deutlich weniger als diesen 20% zurechtkommt.

„The ID Quantique system is not broken, they say, but requires tweaking to get over the unsafe assumption that error rates of less than 20 per cent must be due to noise and can be safely disregarded.“

Im Prinzip haben sie damit recht. Nur muss in Zukunft wohl jedes Quantenkryptosystem dort wo es eingesetzt wird auch kalibriert werden, um die Grenze herauszufinden, bis zu der Fehler typischerweise auftreten. Die Pauschalannahme von 20% ist jedenfalls nicht mehr hilfreich. Mehr auch in Technology Review.

Mal sehen wie sich das weiterentwickelt.

In der Zeit bin ich auf einen Artikel gestossen: „Auch Autos kann man hacken„.

Da beschreiben also die leet haxor amerikanischen „Sicherheitsforscher“,  dass man über den Diagnose-Port des Autos Zugriff auf sensible Systeme bekommen und den Fahrer komplett abklemmen kann. Ach? Ich dachte immer, das sei die Funktion des Diagnose-Ports, Komplettzugriff auf die gesamte Elektronik/IT des Fahrzeugs zu bekommen. Und in meinem Auto versteckt sich der Diagnose-Port hinter einer Klappe unterhalb des Aschenbechers im Amaturenbrett.

Wenn ich mir jetzt vorstelle, mit sagen wir mal 180 km/h über eine deutsche Autobahn zu brettern und mitten während der Fahrt springt mir so ein amerikanischer Sicherheitsforscher durch die Tür auf den Beifahrersitz, klemmt seinen Computer an den Diagnose-Port an und übernimmt mein Fahrzeug … ja, das klingt wie eine reale Gefährdung. In Zukunft werde ich bei Geschwindigkeiten oberhalb 130 km/h vorsichtshalber die Türen verriegeln. Kann man in der Elektronik irgendwie automatisch einstellen, ist bei mir aber aktuell aus.

Sehr cool auch der Absatz: „Sie manipulierten den Testwagen auch drahtlos […]. Dafür musste das Opfer-Fahrzeug allerdings bereits mit einem entsprechenden Rechner zum Empfang der Signale verbunden sein.“ Fällt mir auch gar nicht auf, so ein Laptop auf dem Beifahrersitz. Höchstens, wenn kein Platz mehr für meinen eigenen ist.

Aber im Ernst … das ist, wie wenn man auf einem Unix-System dem amerikanischen Sicherheitsforscher das root-Passwort in die Hand drückt und der dann erstaunt feststellt, dass man damit das System kontrollieren und berechtigte Benutzer aussperren kann.

Also wenn der aktuelle Stand der IT-Sicherheitsforschung in Fahrzeugen ist, den Diagnose-Port zu entdecken, na dann gute Nacht. Das ist im Grunde schon wieder peinlich.

Aktuell kenne ich vier:

• Brutus AET (Windows, sehr alt, letztes Update 12.04.2000)
• THC Hydra (Linux, Windows, Palm, Source Code, letztes Update 05.05.2006)
  
• Medusa (Linux, Source Code, letztes Update 10.02.2010)
• Bruter (Windows, Source Code, letztes Update 24.04.2010)

Bruter ist davon die neueste Software und hoffentlich endlich wieder ein Programm das vernünftig unter Windows funktioniert. Ich bin leider noch nicht zum Testen gekommen. Bei THC hat sich in letzter Zeit leider auch nicht mehr viel getan, was ich schade finde. Hydra könnte mal ein Update und ein paar Bugfixes vertragen. Ansonsten kenne ich nur noch ein paar Spezialprogramme wie TSGrinder (für RDP) oder diverse Share Scanner (für SMB).

Inzwischen kann die Gleichsetzung von Google mit Datenschutzverbrechern gar nicht mehr strafbar sein. Nach allem was man liest und was Google so zugibt handelt es sich um eine wahre Tatsachenbehauptung.

Wenn Google also (wie inzwischen zugegeben) mit Autos durch die Gegend fährt und Datenpakete aus unverschlüsselten WLANs mitsnifft, dann ist das meiner Ansicht nach ein Verstoß gegen § 202b StGB. Auch wenn die Datenübertragung unverschlüsselt ist, waren die Daten garantiert nicht für Google bestimmt. Ich kenne auch niemanden der Google dazu befugen würde. Komplizierter ist es nur mit der Öffentlichkeit. Nur weil die Daten unverschlüsselte Funkdaten sind, kann man jedoch noch nicht von Öffentlichkeit ausgehen. Eine unverschlüsselte Übertragung von E-Mails von mir zu einem anderen mittels SMTP abzuhören fällt explizit nämlich auch unter den § 202b StGB. Inzwischen gibt es für solche Fälle sogar Sekunderliteratur und ein wenig Rechtsprechung. Allerdings braucht es für eine Anzeige einen Betroffenen und der wird nicht zu ermitteln sein. Ich persönlich habe (leider) kein offenes Funknetz und müsste dann auch noch wissen, wann Google bei mir vorbeigefahren ist.

Die Frage ist: glaubt irgendjemand, dass der Vorfall „versehentlich“ erfolgt ist? Merkt Google nicht, wenn mehrere hundert Gigabyte Daten (laut Süddeutsche Zeitung 600 GB) gesammelt werden, weil statt nur der Positionsdaten auch Paketdaten mitgesnifft werden? Oder werden wir einfach nur belogen und betrogen?

Und zuletzt: Wo belügt uns Google eigentlich noch überall?

Nachtrag:

Der Clou ist jetzt, dass Google behauptet die Daten nicht mehr einfach löschen zu dürfen, weil sie ja Beweismittel in einem Kriminalfall sein könnten. Ich denke, Google hebt die Daten einfach mal auf bis Gras drüber gewachsen ist. Das wäre zumindest typisch für das bisherige Verhalten der Datenkrake.

Nachtrag 2:

Kris Köhntopp schreibt, dass das ein normales Verhalten einer Bibliothek wäre, dass im Monitor Mode einer Netzwerkkarte halt Pakete mitgeschrieben werden. Deshalb wäre das ein lässlicher Fehler und Spiegel und Co. übertreiben da alle (und ich natürlich auch). Naja, wenn man wie Kris grundsätzlich alles in eine MySQL-Datenbank schreibt und dann erst analysiert muss man wohl zu diesem Ergebniss kommen. Ich habe allerdings selbst schon WLAN-Sniffing Software programmiert. Und ja, natürlich liest die Bibliothek im Monitor Mode alle Pakete mit, aber nein, die landen nicht alle auf der Festplatte. Die werden in Echtzeit von der Software analysiert und die interessanten Pakete schreibe ich mit. Das darf Kris gerne mal mit seiner Aircrack Suite probieren. Die kann nämlich auch z.B. nur IVs mitschreiben und den Rest nicht. Und zwar OHNE, dass alle Daten auf einer Festplatte gespeichert werden müssen.

Ich glaube immer noch, jeder der von Anfang an so ein Projekt entwirft, überlegt sich welche Daten er braucht und schreibt genau diese Daten mit. Und wenn Google mehr Daten mitgeschrieben hat, dann nicht, weil das ein versehen war sondern weil von Anfang an geplant war, alle Daten mitzuschreiben. Warum, ist mir dann eigentlich auch völlig egal.

Drucker sind auch so ein gerne unterschätztes Sicherheitsrisiko. Darum mal ein paar mehr oder weniger aktuelle Links zum Nachdenken:

Ausdrucke rückverfolgen

Die meisten Farbdrucker drucken auf eine Seite automatisch kaum sichtbare Codes die unterschiedliche Informationen wie z.B. die Seriennummer des Druckers kodieren. Mit diesen Informationen wird es Strafverfolgungsbehörden beispielsweise ermöglicht, gefälschte Geldscheine zurückzuverfolgen. Ich persönlich halte das jedoch für ein Scheinargument denn Geldscheine haben heute so viele Sicherheitsmerkmale. Das was aus einem Farbdrucker herauskommt ist mit einem echten Geldschein nicht vergleichbar. Insbesondere weil praktisch alle Farbdrucker weitere Sicherheitsverfahren implementieren um keine Geldscheine auszudrucken. Man kann jedoch sehr schön damit auch veröffentlichte Geheimpapiere zurückverfolgen und Whistleblower einschüchtern. Und das liegt garantiert im Staatsinteresse. Die EFF hat schon seit ewigen Zeiten eine Liste mit Druckern, die Codes auf jedem Ausdruck hinterlassen.

Festplatten in Drucker und Kopierer

In Drucker und Kopierer eingebaute Festplatten sind ebenso ein Thema. Seit ewigen Zeiten bekannt und trotzdem sind immer wieder Leute überrascht, wenn deren persönliche Daten beim Kopieren auf dem Drucker gespeichert bleiben. Insbesondere die großen Geräte die alles können sind da recht gefährlich. Aber ich kenne kaum ein Unternehmen, das eine passende Datenschutzpolitik für Drucker und Kopierer hat. Obwohl das Thema immer mal wieder hochkommt.

(Danke Nikola)

Druckerregionalisierung

Noch lustiger (oder unlustiger für den Kunden) ist die Gängelei die sich HP mal wieder einfallen hat lassen. Nicht nur, dass HP die teuerste Tinte aller Zeiten verkauft und die Kunden damit so über den Tisch zieht, dass sie die Reibungshitze als Nestwärme empfinden, nein, jetzt werden die Drucker auch noch so regionalisiert, dass man für einen in Australien gekauften Drucker in Europa keine Patronen mehr kaufen kann. Pech für Leute die ab und an umziehen. Denen kann man nur empfehlen auf HP zu verzichten. Inzwischen scheint HP aber auch zu erkennen, dass das eine ganz dumme Idee ist und gibt Anleitungen heraus um den Regionalcode des Druckers zurückzusetzen.

Bei so etwas frage ich mich ja immer, welcher hirnamputierte Idiot da bei den großen Konzernen im Product Marketing sitzt und solche Entscheidungen trifft. Für vielleicht drei oder vier tatsächlich mehr verkaufte Geräte (der Graumarkt lässt sich dadurch nicht eindämmen) nimmt man einen erheblichen Imageschaden für das Unternehmen im Kauf. Aber das sind die klassischen Management-Söldner heute. Wenn der Karren an die Wand gefahren ist, verlässt man das Unternehmen mit einer hohen Abfindung und zieht weiter wie die Wanderheuschrecken. Middlehoff lässt grüßen.

Gute Frage.