13. Oktober 2011
Haha, das war ja wirklich nicht zu erwarten: Antiviren-Software versagt beim Staatstrojaner schreibt Heise.
Gut, zum einen basieren die meisten Virenscanner im Kern immer noch auf Signaturen und ohne Sample kann keine Signatur erzeugt werden. Zum Anderen ist der Trojaner so schlau, dass er weiß wie er sich vor der Heuristik tarnen muss. Das ist im Prinzip nicht so schwierig macht aber die Entwicklung eines Schadprogramms relativ teuer. Und da genug Leute komplett ohne Schutz im Internet unterwegs sind und gleichzeitig auf alles klicken, das nicht bei drei von der Platte verschwunden ist, brauchen sich die meisten kommerziellen Schadcode-Autoren keine Gedanken über das Austricksen der Heuristiken machen.
Naja, jetzt haben erstmal alle Anbieter nachgerüstet und werden beim nächsten Bundestrojaner wieder eiskalt überrascht. Oder wie war das bei Stuxnet nochmal?
8. Oktober 2011
Der CCC hat offensichtlich eine Kopie des Bundestrojaners bekommen und analysiert. Wobei der CCC anscheinend vermutet, es handelt sich um einen in Bayern eingesetzten Trojaner, zumindest legt der Name 0zaptis einen bayrischen Hintergrund nahe. Das wäre jetzt wenig überraschend, weil nach einem Prozess in Landshut bereits bekannt ist, dass das bayerische LKA mit Hilfe eines Trojaners unerlaubt Screenshots vom PC eines Verdächtigen gemacht hat. Der Bund, in Form des Zolls hat dabei wohl Amtshilfe beim Rechtsbruch geleistet.
Und wie erwartet ist der Trojaner schlecht programmiert, öffnet angreifbare Hintertüren und späht die grundrechtlich geschützte Privatspähre aus. Ich bin echt gespannt ob das diesmal in irgendeiner Form Konsequenzen für die Verbrecher in Uniform hat.
22. September 2011
Vasco macht Diginotar zu, schreibt Heise. Die Holländer werden sich freuen, weil Diginotar auch deren Staats-CA war.
Jedenfalls hat jetzt nach RSA auch Vasco seinen größten anzunehmenden Unfall. Ich bin ja mal gespannt, wen es als nächstes erwischt.
31. August 2011
Ui, Google wird rabiat und sperrt mit einem Update 247 Zertifikate, die vermutlich alle aus dem Diginotar-Hack stammen. Und die Reaktion von Diginotar: Man soll Fehler und Warnungen im Browser ignorieren, schreibt Sophos. Na Danke. Dümmer geht’s offensichtlich immer.
30. August 2011
Jetzt ist es öffentlich: Diginotar, eine niederländische Tochter von Vasco, die als Zertifizierungsstelle u.a. Zertifikate für den niederländischen Staat ausstellt ist gehackt worden. Und nicht nur ein bisschen. Bereits am 19. Juli hat Diginotar nach eigenen Angaben einen Einbruch festgestellt und die ausgestellten Zertifikate zurückgezogen. Dabei ist dann vermutlich eines übersehen worden. Dummerweise ein Wildcard-Zertifikat von Google.
Die Angreifer werden in Iranischen Staatskreisen vermutet, weil das falsche Zertifikat zuerst von einem Iraner entdeckt wurde. Wer tatsächlich dahinter steckt wird sich wie üblich nie völlig aufklären und wenn, dann höchstens aufgrund von Indizien aus denen man Rückschlüsse ziehen kann. Für Diginotar sehe ich schwere Zeiten aufziehen. Wenn wie angekündigt wichtige Browser die Zertifikate von Diginotar sperren sind sie für Webseitenbetreiber völlig wertlos. Und da das Zertifikatsgeschäft stark auf Vertrauen basiert ist ein Vertrauensverlust schnell fatal.
Unabhängig davon und egal wie das Diginotar-Problem gelöst wird bleibt das grundsätzliche Problem von SSL jedoch bestehen: Es gibt ein paar hundert mehr oder weniger vertrauenswürdige Zertifizierungsstellen, davon diverse die verschiedenen Staaten gehören. Was in den ganzen CAs passiert, wie die abgesichert sind und welche Leichen noch in den diversen Kellern versteckt sind lässt sich für den normalen Anwender gar nicht feststellen. Im Grunde kann man nur allen SSL-Anbietern gleich wenig vertrauen. Und damit sind die Zertifikate nur noch Snake Oil. Es „sieht“ soll aus, mit dem farbigen Sicherheitsbalken im Browser aber ob das was taugt … keine Ahnung.
Es wird höchste Zeit einen Ersatz für die völlig kaputte SSL-Infrastruktur zu finden.
20. August 2011
Die Pwnie Awards 2011 sind vergeben. Soweit so gut so interessant und so lustig.
Allerdings sticht dieses Jahr der Most Epic Fail heraus:
Pwnie for Most Epic FAIL
Sometimes giving 110% just makes your FAIL that much more epic. And what use would the Internet be if it wasn’t there to document this FAIL for all time?
This award is to honor a person or company’s spectacularly epic FAIL. And the nominees are:
- SonyAfter Fail0verflow and GeoHot published how to jailbreak the PS3, Sony got a bit miffed. Apparently unfamiliar with how the Internet works and how difficult it is to remove the piss from a swimming pool, Sony proceeded to try erase the information from the Internet and sue GeoHot et al. into oblivion. Needless to say, this was about as successful as the MiniDisc.
- SonySpeaking of piss in a swimming pool, that just happened to be how well Sony protected their Sony Online Entertainment (SOE) users‘ account info and roughly 25 to 77 million account details were stolen by unknown hackers. That metaphor makes just about no sense at all, but you get the point: FAIL.
- SonySony is definitely good at one thing: keeping the hits coming and their fans entertained. Oh wait, did we say Sony? We meant LulzSec. I guess that counts as another FAIL for Sony.
- SonyAfter learning the hard way that their PlayStation Network was about as porous as air, Sony had to shut it down for over two months to rebuild it from scratch. In doing so, they made everyone from your 8-year old cousin to your barber learn about the importance of security. Hooray for us, sorry Sony shareholders.
- SonyNoticing a pattern here? But wait, it gets better. Sony might have been able to better repel the multitude of attacks if they hadn’t just recently laid off a significant number of their network security team. Great timing, guys.
Ich finde, das hat schon wieder was. Und nun ratet mal, wer gewonnen hat. Der erste der mir die richtige Lösung schickt, bekommt einen kostenlosen E-Mail-Account bei Hotmail 🙂
20. Juli 2011
Chip Online hat zwischen dem 1000sten „die besten Gratis-Downloads“- und dem 100sten „geniale iPhone-Apps“-Artikel ab und an auch eine Perle versteckt. Die ist in dem ganzen Schrott schwer zu finden aber man kann auch mal Glück haben.
Die Perle des Tages ist die erfreulich leicht verständliche Anleitung, AntiVir bootfähig auf einen USB-Stick zu ziehen, damit man z.B. auch Windows Netbooks ohne CD-Laufwerk auf möglichen Schadcodebefall überprüfen kann. Man kann jetzt über Virenscanner denken was man will und ich persönlich halte die ja auch weitgehend für Snake Oil aber wenn man sich so fieses Zeug mal eingefangen hat, dann wird man das eventuell so wieder los. Für Firmenrechner gilt natürlich die Prämisse, nach einem Schadcodebfall wird das System immer neu installiert. Aber bei Privatrechnern kann ich verstehen wenn man sich die Arbeit lieber nicht machen will. Besonders wenn diverse Anwendungen von Hand neu installiert und alle Daten erst gesichert und dann wieder hergestellt werden müssen.
Ich rate lediglich dazu, die Dateien direkt vom Originalanbieter herunterzuladen und nicht von Chip Online. Für meinen Geschmack gab es leider schon zu viele Fälle bei denen so ein Software Archiv kompromittiert wurde oder der Anbieter seine Downloads mit Adware versehen hat um sich zu refinanzieren.
14. Juli 2011
Artikel zum IT-Recht, insbesondere die zum Strafrecht sind für den Otto-Normalhacker recht spannend, wie Udo Vetter regelmäßig beweist. Und weil das anwaltliche Standesrecht bezüglich Werbung recht restriktiv ist gibt es inzwischen eine große Zahl bloggender Anwälte. Nicht alle sind jedoch IT-begriffstechnisch auf dem neuesten Stand.
Herr Hönig, der mit dem ehemaligen Polizeifahrzeug als Werbebus in Berlin, bloggt unter dem Titel „Der Exploid und die Quellen-TKÜ“ wie die Polizei vor Gericht das Abhören von Skype mit Hilfe der Quellen-TKÜ erläutert. Inhaltlich durchaus lesenswert. Nur das mit dem Exploit, das üben wir noch 🙂
1. Juli 2011
… sind sie auch schon – geklaut. Ok, der hat auch schon einen Bart bis Meppen.
Aber man kann das leider gar nicht oft genug wiederholen. Oder wie Heise schreibt: US-Behörden können auf die Daten in den europäischen Rechenzentren US-amerikanischer Unternehmen zugreifen. Weil US-Recht das erlaubt. Unternehmen die mit diesem Wissen trotzdem personenbezogene Daten in so eine Cloud hochladen verstoßen damit gegen europäische Datenschutzgesetze, meint Thilo Weichert.
Also: Finger weg von amerikanischen Cloud-Anbietern.
30. Juni 2011
Netragard hat einen netten Marketing-Stunt geliefert. Sie haben eine USB-Maus mit einem Teensy Board ausgestattet, das sich am USB-Anschluss wie ein Human Interface Device (in diesem Fall eine Tastatur) die ohne Zutun des Anwenders einfach Befehle eintippt. Technisch ist das gar nicht so schwierig. Die Teensy Boards kann man einfach bestellen, auch wenn man in Deutschland da ein wenig vorsichtig sein muss, weil die gleichen Boards wohl für irgendwelche illegalen Cracks an Playstations verwendet werden. Die benötigte Software ist frei verfügbar.
Interessant sind solche Angriffe insbesondere, weil der klassische Angriffsvektor mit der autorun.inf bei USB-Sticks schon länger nicht mehr funktiuoniert und Virenscanner wie Avira die autorun.inf sogar schon auf U3-Sticks und CD-ROMs blockieren.
Ich denke ich werde mir bei Gelegenheit auch mal so eine Maus basteln. Zumindest für Awareness Kampagnen ist das eine ganz nette Idee.