Mitternachtshacking

Diesmal spamt mich M86 voll. Ich fürchte die haben meine Mailadresse durch die Übernahme von Finjan. Aber so schnell können die gar nicht gucken, wie sie bei mir auf der Sperrliste stehen.

Jedenfalls habe ich eine nette Mail bekommen auf der sich M86 berufen fühlt, Vorhersagen für das Jahr 2010 zu machen:

• Botnets Grow in Sophistication
• Continued Rise of Scareware
• Poisoning Search Engine Results
• Evolution of Web Site Infections
• Setting Sights on SaaS and Cloud Services
• Exploiting Third Party Applications
• International Domain Name Abuse
• Attacking Application Programming Interfaces
• URL Shortening Services Hide Nefarious Means

Das meiste davon ist 2009 schon da gewesen. Beispielsweise, dass Botnets immer cleverer werden. Einige nutzen bereits Social Websites oder Cloud Services um darüber das Botnet zu steuern. Scareware wird natürlich mehr, die Leute fallen schließlich auf jeden Blödsinn rein. Da gab es letztes Jahr auch genug Beispiele. Und so weiter, ich will das gar nicht alles kommentieren.

Im Grunde scheint es doch so zu sein: die Firmen die so Vorhersagen machen, gucken was wird den aktuell auf Security Konferenzen diskutiert und kann eventuell von eigenen Produkten eingedämmt werden und so macht man dann seine Vorhersagen. Ich würde z.B. auch vorhersagen können, dass Daten- und Identitätsdiebstahl in Social Networks zunehmen wird. Oder, dass die Britischen Behörden weiterhin Unmengen von Daten verlieren. Oder, dass Cloud-Serviceanbieter zukünftig vermehrt in den Fokus von DDoS-Schutzgelderpressern geraten. Aber für keine dieser drei Vorhersagen kann ich ein Produkt anbieten. Und schlechter als die Vorhersagen von Frank Rieger auf dem 26C3 sind die auch nicht.

Wir haben einen neuen Toaster in der Firma bekommen. Und was schreibt die Kollegin:

Bitte aktiviere SNMP, damit ich den Toaster remote managen kann.
Community string = verkohlt

http://msdn.microsoft.com/en-us/library/aa914975.aspx

🙂

Ich suche ein Stück Software, das folgende Anforderungen erfüllen sollte:

Required:

• SSL-Portforwarding, d.h. eine TCP-Verbindung (mind. SSHv2) über HTTPS
• muss mit Web-Proxys und Proxy-Authentisierung zurechtkommen
• muss im Kontext eines vorhandenen Apache Webservers laufen, weil nur eine IP-Adresse zur Verfügung steht und dort bereits ein Webserver läuft
• Darf Geld kosten, muss aber nicht 😉

Nice to have:

• SSL-VPN, d.h. eine echte IP-Verbindung über HTTPS
• Open Source

Die Software soll auf einem meiner Webserver installiert werden und das Problem lösen, dass ich ab und an in fremden Firmen sitze, eine SSH-Verbindung nach Hause brauche aber nur HTTP und HTTPS über den Proxy bekomme. Es gibt nur eine (dynamische) IP-Adresse und ich kann auch nicht einfach einen SSH-Dienst an 443 binden, weil da weiterhin ein normaler Webserver laufen muss.

Insbesondere die Anforderung, dass das im Kontext einen vorhandenen Webservers laufen muss, scheint ein Problem zu sein. Die diversen SSL-VPN Appliances wollen alle den Port 443 alleine haben. Das ließe sich bei nur einer IP-Adresse zwar mittels Port-Forwarding auf dem DSL-Router lösen, nur brauche ich an Port 443 trotzdem noch einen normalen HTTPS-Webserver. Eine zweite IP-Adresse geht leider auch nicht.

Ich habe jetzt mit Webtunnel rumgespielt, das macht aber nicht so ganz das was ich gern hätte. Außerdem habe ich HTTPTunnel gefunden, das eine Version enthält die das in PHP implementiert. Nur kriege ich über die PHP-Version kein SSHv2 zum Laufen. Da bricht mein SSH-Server immer mit einer Fehlermeldung ab. Außerdem können beide nur TCP-Forwarding, kein echtes IP-VPN. Die üblichen Verdächtigen wie OpenVPN oder GNU HTTPTunnel scheiden aus, weil sie nicht im Kontext meines Webservers laufen. Und PHP kann ich nicht so gut programmieren, dass ich den HTTPTunnel-Fehler beheben könnte.

Alternativ wäre auch ein PHP-SSH, also ein SSH-Server im Kontext des Webservers ok. Ich finde nur gar nix, das mein Problem lösen würde. Open Source Lösungen werden bevorzugt, was nicht heißt, dass es nichts kosten darf.

Ach ja, und welchen PHP-Proxy (mit ähnlichen Anforderungen wie oben, d.h. muss über HTTPS im Kontext eines Apache Webservers laufen) würdet Ihr mir empfehlen?

Wie sagt Fefe: Captain Obvious war auch schon da:

Secondary credit card security systems for online transactions such as Verified by Visa are all about shifting blame rather then curtailing fraud, Cambridge University security researchers argue.

schreibt The Register. Also wenn man mit so einer Aussage schon Wissenschaftler an der Cambridge University werden kann, dann wundert mich nicht mehr, dass da keine Nobelpreise mehr gewonnen werden. Bei der ganzen vorgeblichen Sicherheit von Kredit- und EC-Karten geht es nicht um Sicherheit sondern darum, wer am Ende der Dumme ist der für den Schaden aufkommen muss.

In Deutschland ist der Dumme fast immer der Kunde, weil die Richter am BGH nicht rechnen können. In Großbritannien haben sie intelligentere Richter (also nicht den typischen Alois Eschenberger, der bei uns in den meisten Gerichten Recht spricht). Deshalb gibt’s bei den Briten eben Chip&PIN, bei uns Magnetstreifen und Skimming.

Ich kenne viele Sicherheitssysteme deren Aufgabe nicht die höhere Sicherheit sondern lediglich das Verschieben des Schuldigen ist. Aber mal ehrlich, wundert das jemanden?

Bill Gates findet, die chinesische Zensur ist doch ganz ok. Microsoft löscht aus Bing natürlich alles, was die Chinesen da nicht drin haben wollen. Immerhin sei die Zensur ja umgehbar. Hauptsache das Internet floriert (und Microsoft kann ganz viel Geld verdienen). Ok, das in Klammern hat er jetzt im Interview nicht gesagt aber ich ich konnte den Gedanken in seinem Hirn förmlich hören.

Man muss sich eben entscheiden, ob man in einem Land wie China Geschäfte machen will oder lieber seinen Grundsätzen und seiner Moral treu bleibt. Aber ok, es macht keinen Sinn das einem Herrn Gates erklären zu wollen. Gier frisst meistens das Hirn.

Viel spannender finde ich ja die Frage, warum Google so einen Aufstand veranstaltet. Der Grundsatz „do no evil“ kann es jedenfalls nicht sein. Eher dürfte die Ursache sein, dass Google in China kein Geld verdient aber einen eleganteren Grund sucht, das Verlustgeschäft dort aufzugeben. Und da kommt die Zensur natürlich ganz recht. Wenn die Chinesen das Büro von Google in China zumachen, sind die Chinesen die bösen, nicht Google. Und im günstigsten Fall braucht Google nicht mal eine Abfindung zu zahlen. Sie waren es ja schließlich nicht.

Ich bin mal gespannt, was da noch heraus kommt.

Ach ja, das BSI. Warnt, man solle den Internet Explorer vorerst nicht verwenden. Sondern? Ich habe da eben noch eine uralte Opera Version auf meiner Festplatte gefunden. Bestimmt zwei Jahre nicht aktualisiert. Und irgendein Firefox 1.5 liegt auch noch drauf. Egal. Das BSI hat nur gesagt, man solle den Internet Explorer nicht verwenden. Nehme ich halt das Opera und Firefox.

Also ich persönlich halte die Warnung für ausgesprochenen Blödsinn. Ein alter Opera oder Firefox ist nicht wirklich besser als ein fehlerhafter Internet Explorer. Ganz im Gegenteil, wenn in einer Woche die Lücke im Internet Explorer behoben ist, dann surfen viele Leute immer noch mit ihrem alten Opera oder Firefox durch die Gegend. Und wundern sich, warum sie Schadprogramme auf dem Rechner haben obwohl sie doch gemacht haben was das BSI empfiehlt. Viel sinnvoller wäre, das BSI würde mal über die Notwendigkeit informieren, Programme aktuell zu halten. Meinetwegen mit dem Secunia PSI oder dem Heise Update Check. Statt dessen spielt das BSI beim „Safer Internet Day“ mit. Manchmal frage ich mich echt, ob wir das BSI überhaupt noch brauchen.

So, ich muss also demnächst mal Morgens von München nach Amsterdam, Abends weiter nach Zürich und darauf von Zürich zurück nach München. Auf 2000 km in drei Tagen mit dem Auto habe ich natürlich keine Lust. Also geschaut, was die Flüge so kosten.

Einfacher Flug von München nach Amsterdam: 450,- Euro. Einfacher Flug von Amsterdam nach Zürich: 450,- Euro. Einfach Flug von Zürich nach München: 450,- Euro. Plusminus ein bisschen was und natürlich abhängig wie weit im Voraus man buchen kann.

Hin- und Rückflug München – Amsterdam (den Hinflug am gewünschten Termin, den Rückflug an irgendeinem beliebigen obskuren anderen Tag): 150,- Euro. Hin- und Rückflug Amsterdam – Zürich (den Hinflug wieder am gewünschten Termin, den Rückflug ebenfalls an irgendeinem beliebigen obskuren anderen Tag): 150,- Euro. Hin- und Rückflug Zürich – München (wie gehabt): 150,- Euro. Kann mir das mal bitte jemand erklären?

Wenn der beliebige obskure Tag an einem Donnerstag liegt scheinen die Flugpreise generell am günstigsten zu sein. Und dann wundert sich noch jemand über no-show Passagiere?

Der Video-Stream läuft natürlich nicht stabil. Peinlich, peinlich, der Pfusch beim CCC.

Ui, Dan ist immer noch bei IOActive. Bisher war er jedes Jahr bei einer anderen Firma. Es geht mit Authentisierung los. Authentisierung mit Passwörtern im Internet ist Mist.  Aber das ist nichts neues. Die Federation-Ansätze sind jedenfalls alle gescheitert. Zertifikate sind hilfreich und die Unternehmen haben viel investiert. Trotzdem funktioniert irgendwas nicht richtig. Dan meint, das ist X.509. Nebenbei schmeißt er zusammenhanglos ein paar andere Begriffe wie DNSSEC in die Runde.

X.509 wird praktisch für alles (SSL, IPSec, PKI, …) außer SSH verwendet. SSL ist vermutlich eh das beste was in Consumer-Crypto je passiert ist. Jetzt kommt die Analogie zu Reisepässen. Deutschland akzeptiert einen Ausweis der USA für Dan Kaminsky. Eine Webseite erhält den Ausweis von z.B. Verisign. Da hat er bei Dick Hardt geklaut. Der kann das jedoch besser präsentieren.

Es gibt heute ganz viele Zertifizierungsstellen und die prüfen den Eigentümer von Webseiten. Aber das nützt nicht viel, weil ein Browser sehr vielen  Zertifizierungsstellen vertraut und nicht alle den gleichen Sicherheitslevel  einhalten. Die bösen Jungs holen sich halt ihr Zertifikat von Joe’s Certificate-Shack. Die Gesamtsicherheit des Systems ist deshalb nur so gut wie die Sicherheit des schwächsten Glieds und das ist irgendeine obskure Zertifizierungsstelle.

DNS ist besser, weil es nur eine Root gibt (ok, 13 Root-Server). Den Inhalt kontrolliert die US-Regierung aber Dan ist Amerikaner, der findet das ok. DNS ist auch gut, Ausschlüsse zu definieren. So gibt es für jede Toplevel-Domain nur eine Domain-Registry und nicht mehrere. Das hat Vorteile aber auch Nachteile. Und nun träumt Dan von einer zentralen Stelle, die für praktisch alle Geräte im Internet Zertifikate ausstellt um sich zuverlässig identifizieren zu können.

Viele Zertifikate nutzen immer noch MD5. Inzwischen kann man jedoch recht gut gefälschte Zertifikate mit Hilfe von MD5-Kollisionen ausstellen. Findet man nun eine CA (am besten eine, die zu Verisign gehört) die im CA-Zertifikat MD5 verwendet, hat man einen guten Angriffspunkt. Der Angriff wurde 2008 umgesetzt. Ganz alte CAs verwenden sogar noch MD2.

Ich hab ja langsam den Eindruck, Dan gehen die Themen aus. Darum kramt er immer wieder die alten DNS- und MD5-Themen raus und recycled die. Aber gut, ich bin sicher die amerikanischen Black Hat Kunden lieben das. Das Bashing von ASN.1 BER
ist auch ganz witzig aber ASN.1 funktioniert nunmal und man darf nicht vergessen,
das wurde entwickelt, damit es auf beliebigen Plattformen mit beliebigen
Zeichensätzen funktioniert. Der \0-Bug in Zertifikaten ist meiner Meinung nach auch eher ein Fehler der C-Programmierer. Aber da kann man natürlich unterschiedlicher Meinung sein.

Egal. Bei Dan zählt die Show und die ist Klasse.

Der Fnord-Jahresrückblick beginnt und natürlich sind die Video-Streams wieder mal schlechter als die von Wikimedia.

Fnords:

• Change we can believe in
  • LDS-Löschpapier mit Barack Obama-Bildern
  • Barack Obama Fotos in Guantanamo Bay
• Die Weltregierung
  • Nicolas Sarkozy kuckt nach den Frauen
  • Dmitri Medwedew sauft
  • Muammar al-Gaddafi will die Schweiz auflösen
  • Angela Merkel kuckt böse wie Gaddafi
  • Zur Maueröffnung wird das Brandenburger Tor gesperrt
  • Polizeischüler bilden die Jubelperser das Publikum
  • Merkel hat die Standardhandhaltung
• China
  • die Global Warming Propaganda sauft ab
  • Kopenhagen wurde von China sabotiert (und die USA sind schuld)
  • China produziert 50% des Stahls und Zements in der Welt
  • die USA produzieren 50% der Rüstungsausgaben der Welt
  • dafür haben die Chinesen neue teure leere Städte
• Umweltschutz
  • Brasilianer sollen während des duschen pinkeln
• Inspector Clouseau Award
  • Uwe Schünemann mit dem Login und Passwort am Monitor
  • CDs von der DPA beschriftet mit Raubkopie und Kinderpornografie
  • Das Phantom von Heilbronn mit den DNS-verseuchten Wattestäbchen
• Atommafia
  • Die Simpsons-Atom-Kanzlerin
  • Der schwedische Staat haftet für Vattenfall in Deutschland
  • In Biblis werden Arbeiten nicht gepfuscht sondern verweigert
  • Finnland stoppt einen Reaktorbau mangels Professionalität der Unternehmen
  • „Police Hunt for dangerously radioactive teacher“
  • Asse droht einzustürzen, jede Menge Plutonium drin, Laugeneinbruch, Deckeneinsturz und die damalige Umweltministerin Merkel weiß seit 1986 Bescheid!
  • Verseuchte Leichenteile im Atommülllager Asse
  • Lehman Brothers besitzt genug Uran für eine Atombombe
• Finanzkrempel
  • Fed kauft Regierungsanleihen
• Franz-Josef Strauß Bailout-Award
  • Josef Ackermann der die Fäden der Merkel in der Hand hält
  • AIG weil deren Kohle an die großen Banken gegangen ist
  • ein japanisches Ehepaar hat an der italienischen Grenze 134 Milliarden Dollar dabei
  • drei Monate später werden wieder 100 Milliarden konfisziert
• Finanzkrempel 2
  • Goldman Sachs lebt quasi komplett von Geldern des Steuerzahlers
  • praktisch das gesamte US-Finanzministerium besteht aus Ex-Goldman Sachs Mitarbeitern
  • Siemens beschäftigt Theo Weigel um Schmiergeldzahlungen zu bekämpfen
  • Kennzeichen 2BG2FAIL
• Automobilindustrie
  • das österreichische Bundesheer verschießt Nebelgranaten die zu einer Massenkarambolage führen
  • in Holland werden Smart in die Grachten geschubst
  • in Berlin werden die Autos einfach angezündet
  • die USA machen ihre Werke gleich komplett zu
• Schiffahrtsindustrie
  • Tausende Tanker parken vor Singapur
  • die somalischen Piraten sind auch betroffen
  • einzelne Boote sind durch das Gewicht des Lösegelds schon abgesoffen
  • jetzt gibt es dort sogar eine Piratenbörse
  • eine Oma hat die somalischen Piraten mit der Piratenpartei verwechselt
• Wirtschaft
  • Spionage durch least-cost Routing durch Israel
  • Israel hat Abhöreinrichtungen im Libanon installiert gehabt
• Forschung
  • Terrorist im LHC
  • LHC Konsole: Exception: Not yet imp…
  • Ein LHC-Direktor hat von „unknown unknowns“ und Portalen erzählt
• Russland
  • In Russland ist das größte Wasserkraftwerk explodiert
  • Puting jagt Tiger und Fische
  • der 9. russische Test einer Rakete ist über Norwegen explodiert
• Großbritannien
  • passiert bei den Briten (Trident Rakete) auch
  • Fogbank ist alle, darum können die Briten keine Atombomben mehr reparieren
  • im Atlantik sind ein französisches und ein britisches Atom-U-Boot kollidiert
• weitere Unfälle
  • zwei Iridum-Satelliten sind kollidiert
  • Windows for Submarines: der Conficker schießt die Royal Navy und die Bundeswehr ab
  • große US-Drohnen haben sich selbständig gemacht (Wargames, Skynet)
  • Psyop-Zettel aus dem Flugzeug haben ein Mädchen erschlagen
  • Ölfelder des Irak sind an Russland und China versteigert worden
• Nebenjobs
  • Joschka Fischer macht in Pipelines
  • Rumsfelds Briefings sind geheimer als geheim
• Waffenhandel
  • der Iran will russische Flugabwehr kaufen
  • Russland beschäftigt die USA mit dem Iran
  • der Iran bastelt weiter an der Bombe
• Krankheiten
  • Beulenpestinfizierte Mäuse verschwunden, tauchen im Al-Qaida-Camp wieder auf
  • Afghanistan stellt ihr einziges Schwein unter Quarantäne
• Richard M. Nixon Lame Excuse Award
  • Wikipedia mit der Löschdiskussion
  • Diverse Politikerprobleme
  • Kein Geld um Guantanamo zu schließen
  • US-Provider wollen keine Antworten zum Kundenausspähen liefern
  • Prügelpolizisten wehren sich gegen Kennzeichnung
  • Kindesmisshandlung in der katholischen Kirche ist gar nicht so schlimm
  • AT&T findet clevere Ausreden um keine Daten herausrücken zu müssen
• Balls of Steel Award
  • Mann verprügelt Bär mit Baseballschläger
  • Greenpeace in Russland
  • Karotten mit Wecker = Bombe
  • Verkleidet als Waffen- und Drogenhändler
  • Eishockeyschläger gegen Tränengas
  • Kopenhagener Demonstranten trotz Polizeigewalt
  • Hanfpflanzer vor der DEA-Zentrale
  • Guantanamo-Insasse hat Al-Jazeera angerufen

Wenn jetzt noch die Video-Streams vernünftig funktioniert hätten, wäre das sicher auch für die Fernkucker eine lustige Veranstaltung gewesen.

Es geht um den neuen elektronischen Personalausweis mit RFID-Chip. Die meisten technischen Details sind ja schon bekannt. Für die, die noch nicht alles Wissen gibt es einen kurzen Abriss der Technik von Henryk. Die Zuordnung zum Inhaber erfolgt über das Bild, optional über einen Fingerabdruck sowie im Internet über eine Inhaber-PIN. Der elektronische Identitätsnachweis funktioniert dabei wie der elektronische Reisepass. Die Felder der eID sind nicht digital signiert, lassen sich ändern, außerdem kann die eID deaktiviert werden.

Die Kommunikationsprotokolle zwischen Ausweis und PC sind PACE und EAC 2.0. Die Protokolle scheinen recht gut zu sein, insbesondere kann PACE ein Geheimnis verifizieren ohne es zu übertragen (Zero Knowledge). Das Protokoll ist patentfrei und wurde formal bewiesen. Der Beweis wurde auf der ISC09 vorgestellt.

Die ganzen technischen Details will ich hier nicht notieren.