Mitternachtshacking

In Neuss war wie jedes Jahr die Architecture, die Hausmesse von Ingram Micro. Ich hatte wie die letzten Jahre auch die Einführungs-Livehacking Präsentation und habe einen kleinen Mix aus verschiedenen Themen vorgeführt … ein wenig Industrispionage mit Hardware-Keyloggern, ein wenig Abhören von unverschlüsselter Datenkommunikation und ein wenig zu Rootkits, die sich im System einnisten. Nichts besonders spektakuläres aber ein ganz amüsanter Mix, wie ich fand. Das Feedback war jedenfalls gut.

Hier die Präsentation (PDF).

Nächstes Jahr ist mal wieder Sprachkommunikation dran. Ich möchte VoIP und DECT abhören und mal sehen, was dann der Stand von GSM ist.

Ansonsten war der Vortrag von Matthias Leu sehenswert. Ich hoffe den gibt es irgendwann online. Matthias gräbt gerne die Security Trends der nächsten Jahre aus, er hat da echt eine Nase für. Und die Übersicht falscher Virenscanner war lustig 🙂

Heiraten ist eigentlich ganz einfach. Also, jetzt so aus Sicht des Datenbankverwalters, in dessen Datenbank die Hochzeiten gespeichert werden sollen. Ein Mann, eine Frau, Hochzeitsdatum, fertig. Oder?

Naja, ein wenig komplizierter ist es schon. Beispielsweise gibt es gleichgeschlechtliche Lebensgemeinschaften. Also gut, eine Person, noch eine Person, Hochzeitsdatum, fertig. Oder?

Naja, ein klein wenig komplizierter ist es doch nicht. Beispielsweise darf sich eine Person nicht selbst heiraten. Bei Mann und Frau war das automatisch ausgeschlossen. Jetzt wird das schwierig. Also gut, ein wenig Application-Logic, fertig.

Äh ja, aber die Software soll universell eingesetzt werden. Beispielsweise bei den Mormonen in Utah. Oder in Saudi-Arabien. Da gibt es unter Umständen mehrere die miteinander verheiratet sind (auch wenn meistens nur ein Mann dabei ist). Also gut, dann wird eben die Ehe als Verbindung zwischen einer Person a (männlich/weiblich) und n Personen (ebenfalls männlich oder weiblich) definiert. Dabei dürfen die n Personen nicht Person a enthalten.

Ja gut, aber was ist wenn sich eine Person in n scheiden lässt und jemand anderes heiratet? Und ist Person x (in n) die mit Person a verheiratet ist dann gleichzeitig mit Person y (in n) verheiratet? Oder kann Person x (in n) Person y (in n) heiraten und sich dann von Person a scheiden lassen?

Oder wie? Oder was? Gay marriage: the database engineering perspective. Rein technisch natürlich. Gegen heiraten bin ich geimpft.

Heute nicht ganz so zufällig, die Themen haben das gemeinsame Leitmotiv des Urheberrechts und geistigen Eigentums und wie man sich eine gewisse Unabhängigkeit schaffen kann.

All Your Apps Are Belong to Apple

Die Electronic Frontier Foundation (EFF) hat sich von der NASA den Lizenzvertrag der Software-Entwickler mit Apple erklagt und erschreckendes zu Tage gefördert:

„If Apple’s mobile devices are the future of computing, you can expect that future to be one with more limits on innovation and competition than the PC era that came before. It’s frustrating to see Apple, the original pioneer in generative computing, putting shackles on the market it (for now) leads.“

Erstaunlich, dass bei diesen Lizenzbedingungen überhaupt jemand für Apple Software schreibt. Aber Gier frisst bekanntlich Hirn.

Dein Twitter gehört dir nicht!

„Viele, die munter Fotos hochladen, anderen Applikationen Zugriff auf ihre Social Media gewähren oder sonstwo etwas posten, haben noch nie wirklich nachgelesen, welche umfassenden Rechte sich viele Betreiber auf das geistige Eigentum der Teilnehmer vorbehalten.“

Wovon schreib ich eigentlich die ganze Zeit?

Jetzt backe ich sie mir selbst

„Micro blogging wird immer poulärer. Doch Dienste wie Twitter haben ein 140-Zeichen-Limit für die Nachrichten. In der Kürze liegt die Würze, ja, doch wenn manchmal die halbe Nachricht für lange URLs draufgeht, macht es keinen Spaß mehr. […] Aber wer weiß, wann so ein kostenloser URL-Kürzer seinen Laden dicht macht – und dann sind alle Short-URLs futsch! Nicht so, wenn ich meinen eigenen Dienst nutze.“

Sehr schöne Anleitung 😉

Easterhegg 2010 in München. Im EineWeltHaus, Schwanthalerstraße 80.

Ich bin dabei.

Verehrte Kohlenstoffeinheit,

Wir haben deine Anmeldung zum Easterhegg 2010 in München erhalten.

Woher wissen die das mit der Kohlenstoffeinheit? Nur weil da ein billiges Captcha vor dem Anmeldeformular hängt? Oder ist das schon Speziesismus? Oder hätte ich vorgestern Nacht nicht Tron kucken sollen? Und wo sind eigentlich meine Pillen?

Inzwischen ist die Anmeldung geschlossen, es gibt eine Warteliste.

Mich hat folgende Anfrage erreicht:

Ich bin dabei eine Seminararbeit zum Thema Methoden und Konzepte zur Mitarbeitersensibilisierung schreiben. Nun meine Frage: Gibt es hierzu einschlägige und gute Literatur?

Ich tue mir da ein wenig schwer. Viel Material das ich verwende habe ich mir selbst ausgedacht oder ist im Rahmen von Projektarbeiten entstanden. Aktuell arbeite ich gerade wieder für und mit einem Kunden an mehreren Filmen, Fotostories und einer Plakataktion zur Mitarbeitersensibilisierung.

Mir fiel so spontan deshalb gar nicht viel ein (Reihenfolge ohne Wertung):

• Bücher
  • Der Klassiker: Das Buch „Die Kunst der Täuschung“ von Kevin Mitnick
• Broschüren und Artikel
  • Die secure-it in NRW Broschüre: Mitarbeitersensibilisierung (PDF)
  • Die LanLine hat ein paar Artikel online
• Webseiten
  • MindfulSecurity.com – The Awareness Resource
  • Microsoft Security TechCenter – Security Awareness
  • Die Security Awareness Toolbox der Information Warfare Site (UK)
  • Das SANS Reading Room Security Awareness
• Öffentliche Dokumente
  • Der Baustein B 1.13 Sensibilisierung und Schulung im BSI Grundschutz
  • Die ENISA-Anleitung „A Users‘ Guide: How to raise information security awareness“ der EU
  • Der NIST-Standard SP800-50 „Building an Information Technology Security Awareness and Training Program“ (PDF)

Das sind im großen und ganzen die Sachen die ich gelesen haben. Über Ergänzung in den Kommentaren würde ich mich freuen.

Voraussetzung zur Aufnahme in diese Liste ist natürlich, dass es sich um öffentliche, frei zugängliche und zitierfähige Dokumente sind. Irgendwelche Pressemitteilungen und Werbeflyer von Firmen helfen nicht weiter. Reine Firmenwerbung ohne Inhalte in den Kommentaren wird von mir deshalb auch nach Gutdünken gelöscht.

Ich mag das iPhone ja auch nicht, aber das ist wirklich lächerlich.

„Zur selben Zeit beschränkte Microsoft seine Bestimmung für die Übernahme der Netzwerkbetreibergebühren für Mitarbeiterhandys ausdrücklich auf Endgeräte mit Windows Mobile beziehungsweise das Nachfolgerprodukt.“

Ich frage mich ob das nach deutschem Recht überhaupt zulässig ist …

Ich habe nicht die geringste Ahnung wie gut oder wie schlecht der Victorinox Secure USB-im-Taschenmesser-Stick abgesichert ist. Als regelmäßiger Flugpassagier habe ich für Taschenmesser auch nicht mehr so viel Verwendungszweck. Die Fummler am Flughafen nehmen einem die gerne mal ab. Und zu guter Letzt muss ich bei Victorinox immer an das Bild aus Asterix und der Arvernerschild denken, in dem Vercingetorix seine Waffen Cäsar auf die Füße knallt.

Was ich aber bei Bruce Schneier gelernt habe ist, dass ein Crypto-Wettbewerb mit der Aufgabe für eine Summe x (bei Victorinox sind das immerhin 100.000 Pfund) eine Verschlüsselung zu brechen kein Hinweis für gute Verschlüsselung sondern viel häufiger ein Hinweis auf Snake Oil Cryptography ist:

Warning Sign #9: Cracking contests: Contests are a terrible way to demonstrate security. A product/system/protocol/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products/systems/protocols/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don’t produce useful data.

Ob das alles jetzt für oder gegen Victorinox spricht, kann ich leider nicht beurteilen. Vielleicht wurde Victorinox auch nur von einer schlechten Marketingagentur beraten.

Foto: AskDaveTaylor, Lizenz: CC

Ich überlege gerade für einen Freund, wie man eine Beschreibung von Denial-of-Service Angriffen (DDoS ist nur ein Randthema) und möglichen Gegenmaßnahmen sinnvoll gliedern kann. Meine Idee geht dazu, die verschiedenen Angriffsebenen als Gliederungspunkt heranzuziehen, weil man auf Netzwerkebene halt andere Gegenmaßnahmen hat und braucht als auf Anwendungsebene.

1. Einleitung
2. Definitionen
3. DoS im Systembetrieb
   1. Redundante Netzverbindungen
   2. Redundante Stromversorgung
   3. Sonstige Hardware-Fehler
4. DoS in der Netzwerkkommunikation
   1. DoS auf Layer 2 (ARP, …)
      Praktisch irrelevant, da Angreifer vor Ort sein müssten
   2. DoS auf Layer 3/4 (Smurf, Fraggle, Land, SYN-Flooding, …)
      Praktisch irrelevant, da von Firewalls zuverlässig erkannt und im OS gefixt (SYN-Flooding)
5. DoS auf Betriebssystemebene
   1. OS resource exhaustion (RAM, CPU, …)
      Mehr eine Frage der Kapazitätsplanung
   2. Implementierungsprobleme
      Lösung könnte ein OS-Wechsel oder Stack-Tuning bringen
6. DoS auf Anwendungsebene
   1. Application resource exhaustion (Memory Allocation, …)
      Programmierfehler, Code Analyse hilft
   2. Sonstige Fehler in Anwendungen
      Logikfehler, Concurrency, …
7. DoS auf sonstigen Ebenen
   1. Benutzeraccounts blockieren
      DoS gegen Sicherheitsmaßnahmen
   2. Überlastung durch überraschendes Benutzerverhalten
      „Heise-DoS“, Frage der Kapazitätsplanung
8. Distributed DoS
   1. DDoS auf Netzwerkebene
   2. DDoS auf Betriebssystemebene
   3. DDoS auf Anwendungsebene
9. Gegenmaßnahmen
   1. Schutz auf Layer 2
   2. Schutz auf Layer 3/4
   3. Schutz auf Betriebssystemebene
   4. Schutz auf Anwendungsebene
10. Kosten/Nutzen-Relation

Ist das sinnvoll? Habe ich was wichtiges vergessen?

Nachtrag:

Ideen von Tobias bereits eingearbeitet.

Symantec schließt einen großen Teil von SecurityFocus und führt einige Inhalte in Symantec Connect über. Zumindest die Bugtraq-Mailingliste und die Vulnerability Datenbank sollen aber (vermutlich erstmal) erhalten bleiben.

Eigentlich habe ich darauf ja schon seit der Übernahme gewartet. Kaum war @stake bei Symantec sind die ganzen Tools wie LC (das ehemalige LophtCrack) verschwunden. So schnell konnte man gar nicht sichern wie Symantec da bereinigt hat. Nicht sehr freundlich, wenn man mich fragt. Andere Firmen (namentlich wären hier McAfee und Foundstone zu nennen) sind da etwas cooler.

Ich persönlich glaube ja, Symantec hätte SecurityFocus am liebsten schon direkt nach der Übernahme zugemacht. Insbesondere die öffentliche Schwachstellendatenbank mit den Exploits dürfte einigen Leuten bei Symantec ein Dorn im Auge sein. Aber vermutlich hat Symantec den öffentlichen Aufschrei gefürchtet. Ich bin ja mal gespannt wie lange es die Schwachstellendatenbank noch öffentlich und kostenlos gibt.

(via Heise)

Das ist fast schon so krass wie die Blackberry-Geschichte in den Vereinigten Arabischen Emiraten: Forscher von TippingPoint haben eine scheinbar nützliche Anwendung mit dem Namen „WeatherFist“ auf einem Portal zum Download und zur Installation auf Mobiltelefonen angeboten. Innerhalb von wenigen Stunden haben über 700 User die Anwendung heruntergeladen und installiert. Innerhalb einiger Tage waren es bereits 8000 infizierte Telefone. Neben der harmlosen Wetteranzeige hat die Anwendung nur den Standort des Telefons gemeldet, genauso einfach hätte man jedoch auch echten Schaden anrichten können. Erstaunlich, dass es bisher nicht mehr Schadanwendungen für Mobiltelefone gibt. Oder hat die nur noch niemand entdeckt?

Das Problem ist … was will man dagegen tun? Nur Anwendungen aus vertrauenswürdigen Quellen herunterladen? Aus dem iTunes Store für das iPfusch, aus dem Google Store für das Android und aus dem Ovi Store für Nokia? Und was, wenn es das benötigte da nicht gibt? Beispielsweise war Putty für das TouchUI eine der ersten Anwendungen die es auf mein neues Telefon geschafft haben. Inzwischen laufen da mehrere Tools, die nicht aus dem Ovi Store sind.

Das Problem wird sein, dass Virenscanner keine echte Chance haben, solche Anwendungen zu finden. Ja, es gibt für mein Mobiltelefon beispielsweise einen Schadcode-Scanner von Trend Micro und einen weiteren von F-Secure. Der von F-Secure ist sogar vorinstalliert. Ich wette, das hätte TippingPoint-Trojaner auch nicht erkannt. Dafür kostet der Adobe Reader 10,- Euro. Das ruft doch nur so nach infizierten Raubkopien. Und mit etwas Geschick kann man einen Trojaner immer so programmieren, dass der Virenscanner ihn nicht findet.

Lösungen? Tja, eine echte habe ich nicht. Nur signierte Anwendungen zuzulassen ist jedenfalls keine. Dann bekommt man ein Lock-in-Gerät wie mit dem iPfusch von Apple. Was ich mir für mein Telefon wünschen würde, wäre beispielsweise eine einfache Übersichtsseite, welche Anwendung auf welche Funktionen(GPS, Datenübertragung eingehend/ausgehend, welche IP-Adressen/Server, etc.) zugreift und eine Möglichkeit das (a) zu Beschränken und (b) zu Widerrufen. Das AccuWeather auf meinem Mobiltelefon fragt mich bei jedem Aufruf ob ich eine Netzverbindung erlauben will. Das ist zwar nett aber nervig. Ich würde das dieser Anwendung beispielsweise pauschal erlauben. Google Maps fragt mich nicht sondern greift einfach auf GPS und Datenverbindung zu. Ich wüsste nicht wie ich das verbieten kann. Andere Anwendungen haben mich bei der Installation einmal gefragt und fertig. Widerrufen ist nicht vorgesehen nur Deinstallation. Ich denke, da müssen die Mobiltelefonhersteller noch von den Desktopfirewallherstellern lernen.

Ach ja, weiß jemand zufällig ob es Truecrypt für das N97 mini gibt?

(Danke Sören)