12. Juni 2010
So, der neue Jugendmedienschutzstaatsvertrag (JMStV) ist von den Ministerpräsidenten verabschiedet:
„Der neue Staatsvertrag setzt auf das Modell „Kennzeichnen und Filtern“. Eltern sollen mit Hilfe geeigneter Software dann die Inhalte filtern können, die nicht die entsprechende Altersfreigabe haben. Dafür sind Anbieter angehalten, ihre Inhalte als für bestimmte Altersgruppen freigegeben zu kennzeichnen (ab 6, ab 12, ab 16 oder ab 18).“
Das ist gar nicht so einfach, wie die Beispiele AK Zensur zeigen.
Nun ja, solche Staatsverträge (die Impressumspflicht im Staatsvertrag über Mediendienste ist auch so ein Beispiel) haben die Neigung, Fliegen, Geschmeiß und Abmahnanwälte aus den Löchern zu locken, wenn der Buchstabe des Gesetzes nicht korrekt eingehalten wird. Was regelmäßig nicht einmal das Bundesjustizministerium kann. Bei so einem komplizierten und unmöglichen Staatsvertrag wird der typische dem Anwaltskollegen zugeneigte Rechtsbeuger Richter natürlich auch nicht von einem „einfach gelagerten Fall“ ausgehen, der die Abmahngebühren begrenzt.
Deshalb sind ab sofort alle Inhalte in diesem Blog mit „Allgemein ab 18“ gekennzeichnet. Wem das nicht passt, der möge die Filtersoftware seiner Schule hacken, seinen Bundestagsabgeordneten anschreiben und bei der nächsten Wahl einfach die Piratenpartei wählen. Und in diesem Thema muss ich sogar mal Kris Köhntopp recht geben.
11. Juni 2010
Das Routing im Internet ist gar nicht so einfach. Zumindest in der Praxis. In der Theorie funktioniert das so, dass jeder Provider und jedes Unternehmen das providerunabhängige IP-Adressen hat über ein Autonomes System (AS) verfügt und mittels Border Gateway Protocol (BGP) anderen bekannten Routern die eigenen Netze und das eigene Autonome System mitteilt.
Für diesen Webserver mit der aktuellen IP-Adresse 88.217.143.204 kann man den Eigentümer (meist der Provider) und das Autonome System bei RIPE anfragen. Man findet dann schnell heraus, die IP-Adresse gehört M“Net (meinem Provider) und befindet sich im AS8767. Und natürlich darf ein Provider mittels BGP nur die Routen verteilen die entweder zu seinem Autonomen System gehören oder die er von anderen Autonomen Systemen gelernt und deshalb weiter verteilt.
Theoretisch kann man Filter einsetzen, die regeln welche Routen man von anderen AS lernen will. In so einer ACL kann man dann festlegen, dass man vom AS8767 nur das Netz 88.217/16 lernen will, nicht aber das Netz 88.220/16 (weil das nicht zu diesem AS gehören kann). Das dumme ist, solche Listen zu pflegen und aktuell zu halten erfordert eine Menge Arbeit und deshalb lassen die meisten Provider das einfach sein. Man vertraut sich gegenseitig, dass kein Provider Routen ankündigt, die ihm nicht gehören. Meistens geht das auch gut.
Meistens. Es gibt ein paar recht bekannte Beispiele wo das schief ging. Beispielsweise hat 2008 der pakistanische Provider Pakistan Telecom mit dem AS17557 IP-Adresse angekündigt und verteilt, die eigentlich YouTube mit dem AS36561 gehören. Pakistan Telecom wollte für diese IP-Adressen ein Null-Routing erreichen (d.h. Pakete an diese Netze einfach wegwerfen), damit deren Kunden nicht mehr auf YouTube zugreifen können. Eine klassische Zensurmaßnahme also. Dummerweise (ein kleiner Konfigurationsfehler, kann ja mal vorkommen) hat Pakistan Telecom die Null-Route nicht nur auf dem eigenen Router eingetragen sondern auch anderen Netzwerken bekanntgegeben und der Upstream-Provider PCCW Global (AS3491) hat sie in der ganzen Welt verteilt.
Wenn ein Router jetzt von verschiedenen Seiten IP-Adressen angekündigt bekommt, schaut er erstmal, wo die längste (d.h. am besten passende) Netzmaske verwendet wird. YouTube hat die eigenen Netze mit einer /22-Maske verteilt, Pakistan Telecom hat eine /24-Maske verwendet. Der meiste YouTube-Datenverkehr wird deshalb nach Pakistan geroutet und dort verworfen.
RIPE hat die Ereignisse mit einer Zeitachse detailliert zusammengefasst. Interessanterweise tritt das Problem gar nicht so selten auf.
Womit wir beim Anlass für diesen Beitrag sind. Heise hat schon vor einiger Zeit die Verläßlichkeit von ermittelten IP-Adressen als Beweismittel in Zweifel gezogen. Was ist, wenn die eigene IP-Adresse in Teilen des Internets gerade von einem fremden Provider „entführt“ wurde und deshalb falsche Beweisdaten erhoben werden?
Klar, das taugt erstmal nicht als Ausrede für illegales Filesharing aber man könnte sich überlegen mit einem guten Anwalt ein Verfahren anzufechten, das diesen Umstand nicht geprüft hat.
10. Juni 2010
Eigentlich weiß ich gar nicht, was ich heute so schreiben will. Naja, dann halt irgendwas buntes durcheinander:
Apple macht sich weiter unbeliebt
Apple zensiert munter weiter im App-Store. Der Bewertungsmaßstab scheint der durchschnittliche Hillbilly-Farmer im religiösen Mittleren Westen zu sein. Was der nicht gut findet, wird von Apple auch gesperrt. Inzwischen scheint sich sogar Fanboy und Springer-Chef Döpfner unsicher zu werden. Jedenfalls wird auf allen Kanälen um Hilfe gerufen. Apple schert das gar nicht, jetzt wird mittels iAd-Zensur gegen Google und Microsoft geschossen. Langsam hat man das gesamte IT-Lager (Adobe, Microsoft, Google, …) gegen sich. Und zu aller Freude verliert Partner AT&T auch noch jede Menge Daten.
Adobe macht sich weiter unbeliebt
Zumindest gibt es schon wieder einen Zero-Day Exploit für Flash. Ich verstehe ja manchmal Steve Jobs wenn er Flash nicht auf dem iPfusch haben will. Zusätzlich zu den Fantastilliarden (Enzyklopädie, my ass) an Safari-Lücken auch noch die Flash-Lücken auf seinen Geräten? Dabei gibt’s einen simplen Workaround. Einfach die ganze Adobe-Software deinstallieren. Schon ist Ruhe. Lustig ist nur, dass laut Advisory die Lücke gleichzeitig Flash, Reader und Acrobat betrifft. Da wird anscheinend heftig Code wiederverwendet.
Facebook macht sich weiter unbeliebt
Und zwar durch fleißig aus dem iPhone abgegriffenen Telefonkontaktdaten. Löschen der Daten ist nicht vorgesehen. Auskunft was mit den Daten passiert: keine. Auskunft, wie die Daten geschützt werden: keine. Reaktion vom Bundesdatenschutzbeauftragten Peter Schaar: keine (der wird sich notfalls einfach für „nicht zuständig“ erklären). Da kann man nur hoffen, dass man keine „Freunde“ hat, die gleichzeitig iPhone- und Facebookaccount-Besitzer sind.
Offtopic: Grätzel gewinnt Millenium-Preis (und macht sich nicht unbeliebt)
Da geht es um organische Solarzellen. Allerdings scheint die Versiegelung des Elektrolyt noch ein Problem zu sein (falls man Wikipedia trauen kann). Das Genie unserer Familie arbeitet in Dresden ebenfalls an organischen Solarzellen und kommentiert das mit: „Das Gute daran ist, dass der optische Anregungszustand durch das TiO2 schnell in Ladungen getrennt wird. Aber das Problem ist der Elektrolyt und das andere reine organische Solarzellen wie unsere und Polymer-basierte in der Effizienz aufholen und jetzt bei 8% sind (Anmerkung: Grätzel-Zellen sind bei 11%). Ich denke das sich unsere Technologie oder Polymersolarzellen durchsetzen werden.“
Nachtrag:
Fefe hat die wichtigsten aktuellen Lücken in Flash aufbereitet. Langsam machen CVE-Nummern für Adobe gar keinen Sinn mehr. Die brauchen eine eigene Datenbank nur für Adobe-Lücken.
Auf Golem.de gibt es gerade einen sehr schönen Artikel über eine Studie, die die Passwortsicherheit auf Webseiten untersucht hat:
„Das Ergebnis ihrer Untersuchungen zeigt, dass Webseiten im Umgang mit Passwörtern große Schwachstellen haben. So unterlassen es beispielsweise 57 Prozent der untersuchten Websites, Passwörter per TLS verschlüsselt zu übertragen. Knapp ein Drittel der Websites verschickte Passwörter im Klartext per E-Mail und über 80 Prozent der Websites setzten einem Brute-Force-Angriff praktisch keinen Widerstand entgegen.“
Dabei scheinen größere Webseiten prinzipiell besser zu sein als kleine und Webseiten mit Zahlungsfunktion besser als sonstige.
Ich persönlich sehe das größte Risiko ja immer noch darin, dass die Nutzer auf allen Webseiten das gleiche Passwort verwenden. Wenn dann eine Webseite kompromittiert wird und die Kombination aus Login/Passwort/E-Mail einem Angreifer bekannt geworden ist, kann sich der Angreifer oft direkt auf vielen verschiedenen anderen Seiten anmelden.
Aber das ist nichts neues. Ich empfehle mal wieder die OSCON 2005 Keynote von Dick Hardt. Schade, dass es immer noch keine vertrauenswürdige und verlässliche Identity 2.0 gibt.
9. Juni 2010
Auf der DailyDave-Mailingliste gefunden:
Auf dem „Workshop on the Economics of Information Security 2010“ hat der mir vorher nicht bekannte Sam Ransbotham ein Paper veröffentlicht mit dem Titel: „An Empirical Analysis of Exploitation Attempts based on Vulnerabilities in Open Source Software“ (PDF). Zu diesem Paper gibt es auch einen Artikel auf Technology Review.
Seine Kernaussage (und ich bin sicher, ein paar Leute bei Microsoft haben das mit Freude gelesen) ist, dass Open Source Software bezüglich Sicherheitslücken die vor der Veröffentlichung gefunden werden möglicherweise einen Sicherheitsvorteil gegenüber Closed Source hat. Falls Sicherheitslücken jedoch erst nach der Veröffentlichung gefunden werden, hat Open Source den Nachteil, dass jeder die Lücken sehen und leicht analysieren kann. Angreifer werden Lücken in Open Source deshalb bevorzugt ausnutzen.
Ich halte wie Dave Aitel sowohl die These für falsch, als auch die Zahlen die er zur Untermauerung verwendet.
Argument 1: Sicherheitslücken werden von Angreifern dann ausgenutzt, wenn es sich für den Angreifer lohnt. Die meisten Angriffe auf Rechner erfolgen heute durch Software wie Adobe Flash oder den Adobe Reader über den Webbrowser auf Windows. Der Grund ist einfach. Finanziell lohnt es sich eher, einen Angriff für das Betriebssystem von 94% der Rechner im Internet zu entwickeln als für die paar Mac OS X oder Linux-Rechner, selbst wenn z.B. der Linux-Source-Code komplett vorhanden ist. Und Flash ist als Browser-Plugin am weitesten verbreitet, auch deshalb werden Exploits speziell für Flash gesucht. Obwohl Flash Closed Source ist.
Argumtent 2: Die von ihm verwendeten Zahlen stimmen einfach nicht. Man kann die Anzahl der Einträge in der National Vulnerability Database (NVD) oder irgendeiner sonstigen Schwachstellendatenbank für Open Source und Closed Source einfach nicht vergleichen. Bei Open Source ist das Standard-Fehlerbehandlungsmodell, dass wenn eine Lücke bekannt wird, für diese Lücke ein Patch entwickelt wird und in den Source-Tree eingepflegt wird. Für die nächste Lücke gibt es den nächsten Patch und auch der wird direkt eingepflegt. Weil jeder den Source-Tree ansehen kann, gibt folglich jede Lücke einen eigenen Vulnerability-Datenbankeintrag. Bei Closed Source liegt es im Interesse des Herstellers (und meist auch der Kunden), dass nicht für jede Lücke direkt ein Patch veröffentlicht wird sondern alle Lücken in einem bestimmten Programm innerhalb eines gewissen Zeitraums in einem gemeinsamen Patch veröffentlicht werden, der hoffentlich gut getestet wurde. Microsoft macht das beispielsweise sehr gerne und behebt mit einem Patch in der Regel mehrere Lücken. Natürlich steht Closed Source dann bzgl. der reinen Zahl der Einträge in einer Schwachstellendatenbank besser da. Daraus jedoch Rückschlüsse auf die Sicherheit ziehen zu wollen ist dumm und naiv.
Im Ergebnis lässt sich mal wieder nur feststellen, dass Sam Ransbotham eine weitere Chance für einen realistischen und echten Vergleich der Sicherheit von Open und Closed Source vertan hat. Eine aussagekräftige und unabhängig überprüfbare Real-World Analyse fehlt mit leider bis heute. Aber egal, gehackt wird sowieso alles 🙂
8. Juni 2010
Problem exists between Keyboard and Chair. Auch in Deutschland, stellt völlig überraschend Bitkom fest, wie Heise notiert. 37 Prozent der Deutschen geben angeblich Passwörter weiter, häufig um sie nicht zu vergessen. Ich stelle mir das mal so vor:
Frau Maier: Grüß Gott, Frau Huber.
Frau Huber: Grüß Gott, wie geht’s ihnen denn so?
Frau Maier: Ja gut. Aber ich hab eine große Bitte an sie.
Frau Huber: Was kann ich denn tun?
Frau Maier: Sie passen ja schon auf unseren Haustürschlüssel auf und gießen Blumen wenn wir im Urlaub sind.
Frau Huber: Ja, schon. Und?
Frau Maier: Können sie bitte auch auf mein Facebook-Passwort aufpassen und für mich Status-Updates machen?
Frau Huber: Klar geht das.
Frau Maier: Und bei GMX die Post reinholen. Und bei Twitter die Tweet aktualisieren. Und bei MeinVZ den Rasen mähen. Aber nur einmal die Woche!
Frau Huber: Ja Herrgott, wie viele Passwörter soll ich mir den merken?
Frau Maier: Na nur eines natürlich. Josef, wie mein Mann heißt.
Frau Huber: Ach so, na dann kann ich das natürlich machen.
7. Juni 2010
Früher gab es ja immer die Diskussion, ob und wie Sicherheitslücken veröffentlicht werden sollen. Da gab es im großen und ganzen drei Schulen:
1. No Disclosure
No Disclosure bedeutet, man hält die Lücke einfach für sich selbst geheim. Kann man immer mal brauchen. Mit dem Risiko, dass natürlich jemand anderes die Lücke auch findet. No Disclosure war früher typisch bei Schadprogrammautoren. Wenn die mal eine Lücke hatten, wurden damit Schadprogramme verbreitet und irgendwann über Projekte wie das Honeynet wurde dadurch die Lücke irgendwann bekannt und gestopft.
2. Responsible Disclosure
Das war der Begriff den Firmen wie Microsoft geprägt haben, die Sicherheitslücken am liebsten vertuscht haben. Mit Responsible Disclosure sollte eine Sicherheitslücke nur dem Hersteller bekanntgegeben werden damit dieser dann beliebig lange Zeit hat die Lücke zu beheben. Ein paar Firmen wollten daraus sogar einen Standard (RFC) machen, der aber glücklicherweise dann nicht in den Standard aufgenommen wurde. Firmen wie eEye konnten zeigen, dass sich Microsoft bei „responsible“ bekanntgegebenen Lücken sehr viel länger Zeit lässt, diese zu beheben. In der Praxis hat sich eine Art Responsible Disclosure durchgesetzt, weil die Sicherheitsfirmen halt auf Aufträge der großen Softwarehersteller angewiesen sind.
3. Full Disclosure
Sicherheitslücken, möglicherweise inkl. Exploit werden auf einer öffentlichen Webseite oder Mailingliste bekanntgegeben und stehen damit Softwarefirmen genauso wie Angreifern direkt und gleichzeitig zur Verfügung. Ein Softwarehersteller muss dann natürlich schnell reagieren und einen Patch bereitstellen der möglichst keine Nebeneffekte haben darf d.h. unter Zeitdruck sorgfältig entwickelt und getestet werden muss.
Heute muss man meiner Ansicht nach andere Kriterien anwenden:
1. Free Disclosure
Sicherheitslücken bzw. Exploits werden (egal wann) auf einer kostenfreien Webseite oder Mailingliste bereitgestellt. Namentlich kann man SecurityFocus oder Metasploit nennen.
2. Disclosure über einen Exploit Broker
Eine Reihe von Agenturen kaufen Sicherheitslücken von Entwicklern auf und geben diese dann an den Herstellern weiter. ZDI (TippingPoint/3Com/HP), iDefense (Verisign) und Co. sind hier zu nennen. Ein Exploit Broker hat den Vorteil, dass man mit einem Exploit Geld verdienen kann, jedoch praktisch kein Risiko eingeht, wegen dieses Exploits auch verklagt zu werden. Gerade für einzelne Programmierer ist das eine brauchbare Alternative.
3. Kommerzielle Exploit-Software
Neben ZDI/iDefense gibt es auch Firmen wie Core oder Immunity, die Sicherheitslücken z.B. von freiberuflichen Exploitentwicklern kaufen und in ihre kommerziellen Frameworks mit aufnehmen. Dazu gibt es sogar eine „No more free bugs“ Initiative.
Mein Eindruck ist, dass sich der Trend zu kommerziell vermarkteten Sicherheitslücken in den nächsten Jahren verstärken wird. Das wird dazu führen, dass nur noch große finanzkräftige Firmen sich alle notwendigen Sicherheitslücken z.B. für Penetrationstests zusammenkaufen können. Ob das eine wünschenswerte Entwicklung ist, will ich mal offen lassen.
Literatur zum Nachlesen:
Ich bin gespannt, wie sich das weiterentwickelt.
6. Juni 2010
Aus einer Empfehlung via Full-Disclosure:
SecTechno (http://www.sectechno.com/) the excellent blog that publishes articles and whitepapers on a variety of IT security topics
Gefällt mir aktuell ganz gut und ist am rechten Rand jetzt dauerhaft verlinkt.
5. Juni 2010
Sehr schön. Für das angeblich so versehentliche und durch einen dummen Programmierfehler erfolgte umfangreiche Mitsniffen von Paketen hat Google sogar eine Patentanmeldung eingereicht, berichtet The Register.
Man beachte insbesondere Claim 10-13:
- 10. A computer-implemented method of estimating confidence in a status of a wireless device, the method comprising:obtaining one or more packets of data transmitted from a first wireless device to a second wireless device;evaluating the one or more transmitted data packets to identify a frame type for each respective data packet;identifying the first wireless device or the second wireless device as a wireless access point based upon the identified frame type for at least one of the data packets; andassigning a confidence value to the identification of the wireless access point.
- 11. The method of claim 10, wherein:if the frame type of at least one of the respective data packets is a management frame, then identifying the first wireless device as a wireless access point; andsetting the confidence value for the identification of the wireless access point to a maximum confidence value.
- 12. The method of claim 11, wherein:if the frame type of at least one of the respective data packets is not the management frame, then evaluating whether the frame type of any of the respective data packets is a control frame;if the frame type of at least one of the respective data packets is the control frame, then identifying the first wireless device as the wireless access point; andsetting the confidence value for the identification of the wireless access point to a value between the maximum confidence value and a minimum confidence value.
- 13. The method of claim 10, wherein identifying the first wireless device or the second wireless device as the wireless access point further includes analyzing a number of frames transmitted or received by each device.
Auf Deutsch: wir hören Datenpakete ab, analysieren die Inhalte und bestimmen damit wer Client und wer Access Point ist. Yup, hört sich für mich völlig illegal an. In den USA und in Europa sind auch schon diverse Klagen anhängig.
Aber das passiert halt, wenn man völlig amoralische Techniker an so eine Thematik heranlässt. Gemacht wird, was technisch machbar ist. Ob das legal oder moralisch in Ordnung ist, wird nicht mehr hinterfragt. Und irgendein naiver Fanboy findet sich garantiert auch, der so ein Verhalten verteidigt.
