Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - 1. Hälfte 2008

von Philipp Schaumann

An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

20.06.2008 - Der perferkte High-Tech Polizeistaat

Naomie Klein schreibt im Rolling Stone einen sehr guten ausführlichen Artikel über die High Tech-Infrastruktur und den perfekten Polizeistaat, der derzeit in China (auch mit Hilfe von westlicher Technologie) installiert wird. Grundlage des Artikels sind ihre detaillierten Recherchen in China und in den USA. Assoziationen zu Orwells "1984" liegen sehr nahe.

Das Projekt in China läuft unter dem Namen "Golden Shield". Darunter fallen z.B. 2 Millionen Überwachungskameras allein in der Stadt Shenzhen und deren Vernetzung, die Implementierung und Weiterentwicklung von Software zum Erkennen der Gesichter, die mit diesem Kameras ständig aufgenommen werden (mit Hilfe des US-Unternehmens L-1 Identity Solutions), dem automatischen Erkennen von vielen Personen auf einem engen Raum und von Personen, die schnell rennen (was sofort verdächtig ist). Die Auflösung der Kameras ist gut genug für die Gesichtserkennung.

IBM installiert sein "Smart Surveillance System" in Beijing, Cisco hilft mit beim zentralen "Great Firewall", der alle Zugriffe nach außerhalb des Landes kontrolliert und protokolliert und Yahoo liefert die Identität von (bei der Regierung ungeliebten) Yahoo-Mail-Nutzern an die Behörden.

Natürlich gibt es für die Regierung auch keine Limitierungen beim Abhören und Auswerten von Telefongesprächen, E-Mail, Chat-Messages, Handy-Bewegungsprofilen, maschinen-lesbaren Ausweisen (auch über RFID, d.h. kontaktlos) etc. Alle Internet-Cafés mussten schon vor einiger Zeit Kameras installieren und und auf Grund der National-ID des Kunden eine Identitätskarte ausstellen, mit der verfolgt werden kann, wer was im Internet tut.

Solche Software steht auch im Westen zur Verfügung, z.B. von Siemens. Das heißt, alle Überwachungsmaßnahmen und -technologien, die ich auf meinen Webseiten zum Thema Verlust der Privatsphäre beschreibe, werden in China geballt und koordiniert zentral eingesetzt, der (Alp)-Traum eines "idealen" Polizeistaats.

Ebenfalls zum Thema: der Report "China's Golden Shield: Corporations and the Development of Surveillance Technology in the People's Republic of China".

 




31.05.2008 - Indiskretionsdelikte und neue Medien

Eine sehr interessante Masterthese beschäftigt sich damit, ob Indiskretionsdelikte wie das Ausspionieren von E-Mail in Österreich strafbar sind (pdf).

Ab Seite 30 diskutiert der Autor die immer wieder aufgeworfene Fragestellung, ob ein Email analog zu einem Brief zu behandeln sei und damit unter die entsprechenden Schutzvorschriften fällt (ein grundsätzlicher Schutz unabhängig von der Vertraulichkeit des Inhalts oder den Absichten des Angreifers). Er kommt zu einem negativen Ergebnis.

Dann untersucht er, ob das Strafgesetz, das Telekommunikationsgesetz, das Datenschutzgesetz oder ein anderes Gesetz das Lesen von Fremden E-Mails verbietet. Die kurze Zusammenfassung: das Datenschutzgesetz setzt einen materiellen Schaden voraus, die meisten Paragraphen des Strafgesetzes (Stichwort Cybercrime setzt eine Bereichungsabsicht, bzw. Schadensabsicht voraus). Das Telekommunikationsgesetz zielt hauptsächlich (§108) auf Provider und den Schutz des Transportvorgangs). Interessant ist, dass Abs 3 und 4 von §93 jedermann zur Einhaltung von Vertraulichkeit von Kommunikation verpflichten, allerdings ohne Strafandrohung bei Zuwiderhandlung. Das heißt, das Öffnen fremder E-Mails im privaten Bereich ist zwar rechtswidrig, aber straffrei.

 




24.05.2008 - Google Health puts you in charge of your health information. It's safe, secure, and free.

Organize your health information all in one place
- Gather your medical records from doctors, hospitals, and pharmacies
- Keep your doctors up to date about your health
- Be more informed about important health issues
Google stores your information securely and privately. We will never sell your data. You are in control, you choose what you want to share and what you want to keep private. View our privacy policy to learn more.

Klick für große Version

Irgendwie hinterlässt das bei mir ein komisches Gefühl, wenn ich daran denke, dass ich meine Gesundheitsdaten gerade Google überlassen soll. Anderseits ....

Wenn ich das mit den Konzepten für die östereichische Gesundheitsakte ELGA vergleiche [und die deutsche elektronische Gesundheitskarte (eGK) ist bestimmt nicht besser], so habe ich offenbar bei Google Health sehr viel mehr Kontrolle über die Daten, die über mich gespeichert werden.

Der Benutzer gibt die Daten bei Google Health nämlich selbst ein oder lädt sie selbst hoch, indem sie oder er entscheidet, welche der Krankenakten aus welchen Krankenhäuser geladen werden sollen (jedes einzeln). Und da gibt es auch die Möglichkeit zum Löschen von einzelnen Einträgen; ich bin sicher, dass ich meine Daten in ELGA nicht sehen oder gar gezielt löschen kann.

Und der Nutzer entscheidet, welche Daten er für welchen Arzt freigibt. D.h. wenn ich zum Orthopäden gehe, so kann er nicht meinen Hintergrund sehen, was z.B. psychische Krankheiten betrifft.

Was spricht gegen Google Health? Dass es in den USA liegt und dass die normale Google Datenschutzerklärung gilt. Z.B. ".... Google gibt personenbezogene Daten nur unter den nachfolgend beschriebenen Voraussetzungen an Dritte ... weiter: .... Wenn wir in gutem Glauben davon ausgehen, dass der Zugang, die Verwendung, die Aufbewahrung und die Weitergabe solcher Daten erforderlich ist, um (a) geltendem Gesetz und sonstigen Rechtsvorschriften zu entsprechen oder gerichtlichen Entscheidungen oder behördlichen Anordnungen zu folgen, ....."

Und da ich die US-Regierung in den letzten Jahren beobachtet habe, möchte ich meine Daten nicht deren Gesetzen unterwerfen. Mein Vorschlag: Google speichert die Daten in einem Land außerhalb der USA, unterwirft sich den kontinental-europäischen Datenschutzbestimmungen und lässt sich einmal im Jahr von einer neutralen Organisation auditieren. Dann ist mir dieser Service sympather als das, was unsere Regierung plant.

Hier einige interessante Artikel zu ELGA (mit vielen weiterführenden Links zu mehr Details). Rund im die Einführung von ELGA kommt es zu einem Streit zwischen dem Gesundheitsministerium und der Ärztekammer. Letztere besteht darauf, dass der Patient nicht bestimmen darf, welche der gespeicherten Unterlagen ein Arzt sehen darf. Zumindest für einige der teilnehmenden Stellen scheint es jedoch so zu sein, dass nur dann ein Zugriff auf einen bestimmten Patienten möglich ist, wenn dessen Ecard im Kartenleser steckt. Das ist der korrekte Weg der Implementierung.

Aktualisierung Juli 2008:
Ein Textvorschlag, der sehr gut meine Interessenlage bei diesem Thema wiedergibt:

 




19.05.2008 - Dümmste Webprogrammierung - öffentlicher SQL-String zum Selbstbasteln

Es scheint eine ganze Reihe von Websiste-Entwicklern geben, die noch viel schlampiger, unerfahrener, naiver und schlecht ausgebildeter sind, als man sich das überhaupt vorstellen kann. Da ist die Website der Oklahoma Department of Correction (Gefängnisbehörde), bei der eine Anfrage an eine Datenbank gestellt wird mit der z.B. die Liste der "Sex Offenders" ausgegeben wird. Die URL sah ungefähr so aus:

Das heißt, das volle SQL-statement steht in der URL und das heißt auch, dass jeder mit grundlegenden SQL-Kenntnissen diese Abfrage beliebig verändern kann und damit beliebige Kommandos an die Datenbank schicken kann. Z.B. kann man sich auch die Liste der tables anzeigen, mit den Elementen in jeder Tabelle. Oder man kann einzelne Datensätze löschen oder verändern (z.B. den Nachbarn als Sex Offender eintragen) oder auch ganze Tabellen einfachen "droppen" (wobei das noch am ehesten auffallen würde, die Veränderungen von einzelnen Einträgen würde wohl niemandem auffallen).

Die Behörde hat mehrere Anläufe gebraucht, um überhaupt zu verstehen, wo das Problem liegt. Jetzt ist es wohl behoben worden.

In den Kommentaren zu diesem Artikel (siehe oben) wird als Hintergrund angegeben, dass diese Website von einem externen Programmierer entwickelt wurde, dessen Firma ist nicht mehr gibt.

Und ein weiterer Kommentar zeigt auf, dass das alles andere als ein Einzelfall ist:

 




2017: In den USA (und einigen anderen Ländern) müssen immer mehr elektronische Geräte offen gelegt und übergeben werden. Hier ein Artikel aus Feb. 2017: NASA-Forscher bei Wiedereinreise zu Handy-Entsperrung gedrängt. Und das hat nicht mal was mit Trump zu tun, dies ist gängige Politik, wie die Bürgerrechtsorganisation ACLU in einer Analyse betont.

 

17.05.2008 - Reisen mit Laptop und Smartphone - Grenzübertritte mit Daten - Deniable File System

Feb. 2017:
Dieser Artikel im Standard gibt Tipps für Reisen in die USA mit elektronischen Geräten, es ist eine recht gute Zusammenfassung eines aktuellen Artikels Want to protect your data at the border? Delete it. Der Artikel gibt viele praktische Tipps was an der Grenze angeraten ist und was nicht, z.B. Geräte entsperren oder nicht, Herausgabe von Passworts, oder nicht, etc. Die EFF (Electronic Frontier Foundation) in den USA hatte bereits 2011 eine 24-seitige Anleitung für den Grenzübertritt mit digitalen Daten herausgegeben. Wie wichtig diese Vorsicht ist, das zeigt eine Veröffentlichung aus dem Juli 2013: Großbritannien saugt pro Jahr von 60.000 Personen die Handydaten an der Grenze ab.

Der folgende Artikel beschreibt, was David Miranda, der bei der Aufdeckung der Snowden-Affäre mitgeholfen hat, auf dem Heimflug auf dem Londoner Flughafen passiert ist: David Miranda, schedule 7 and the danger that all reporters now face. "Schedule 7" bezieht sich auf den Abschnitt 7 im britischen Anti-Terrorismus-Gesetz von 2000, das hier interessanterweise zum Einsatz kommt. Ganz wichtig ist, dass Miranda im Laufe dieser Stunden in keiner Weisung irgendeiner Tat beschuldigt wurde, denn dann hätte ihm ein Anwalt zugestanden. Ohne Beschuldigung gibt es auch kein Recht auf anwaltliche Unterstützung.

Ein weiteres Beispiel zeigt die US-Organisation ACLU auf: No Warrant, No Problem: How the Government Can Get Your Digital Data. Hier geht es um die Beschlagnahmung von elektronischen Geräten an US-Grenzen ohne dass ein Verdacht begründet werden muss indem ein sog. "Travel Alert" für diese Person ausstellt. In diesem Beispielfall ging es um jemanden, der für die Verteidigung vom Manning Geld gesammelt hat.

Der Artikel hier auf dieser Website zeigt, welche Rechtlosigkeit wir alle bei Grenzübertritten haben und wie gegen Personen vorgegangen wird, die unbequem sind. Es zeigt auch, dass viele der Gesetze die angeblich gegen Terroristen gemeint sind, mindestens so aktiv gegen Unbequeme eingesetzt werden.

Die obigen Anleitungen beziehen sich zwar hauptsächlich auf die USA, aber letztendlich gilt das für nahezu alle Grenzübertritte: Im Niemandsland gelten die Inlandsgesetze nur eingeschränkt. Der Zoll hat eigentlich immer das Recht, das Gepäck der Reisenden oder auch deren Körper zu durchsuchen. Hier ein Link zu einem Text zur juristischen Situation in den USA (vor Trump). Der Artikel verlinkt auf ein interessantes US-Urteil, in dem entschieden wurde, dass die Herausgabe eines Passworts nicht erzwungen werden kann, weil Angeklagte sich nicht selbst belasten muss - die Frage ist aber (Frühjahr 2012) noch weit offen - und für Nicht-US-Bürger kann natürlich jederzeit die Einreise verweigert werden. (Hier auf deutsch: US-Justiz: Passwörter müssen nicht zwingend offengelegt werden - aber einem Ausländer muss auch keine Einreise bewilligt werden)

Die NY Times berichtet in einem Artikel über dieses Thema: Traveling Light in a Time of Digital Thievery. Der Artikel vermeidet das Thema der US-Grenzen und berichtet, dass US-Firmen für Reisen nach Russland und China oft sehr strenge Regeln haben: nur spezielle Leihgeräte ohne irgendwelche Daten dürfen mitgenommen werden und falls ein Gerät von einem Zollbeamten inspiziert wurde, so darf er nie wieder an das Firmennetz angeschlossen werden. Eine sehr ähnliche Meldung kommt in der Frankfurter Rundschau: Verfassungsschutz warnt China-Reisende.

Letztendlich ist die einzige wirklich allgemeine Regel: kein Grenzübertritt mit sensiblen digitalen Daten, egal ob China, Russland, England oder USA.

März 2012:
Ein Artikel in der Futurezone greift dieses Thema auf weil auf der Blackhat Europe Konferenz darüber berichten: US-Einreise: Schutz vor Computer-Durchsuchung. Der Artikel fasst die Do's und Don't's auf Deutsch zusammen.

 

Hier jetzt mein Artikel aus dem Jahr 2008 mit vielen technischen Details (und das ist 2016 noch alles aktuell):

Wenig bekannt, aber doch unangenehm: Bei Reisen in die USA dürfen die Grenzbehörden

Großbritannien hat angeblich angefangen auf Laptops nach Pornographie zu suchen und andere Länder ziehen angeblich nach, wenn es um eingehende Inspektion von Laptops an den Grenzen geht.

Bedroht sind dadurch nicht nur persönliche Daten, sondern auch Firmengeheimnisse. Was die Behörde mit den sichergestellten Daten anfängt, ist offen, da könnte auch die Konkurrenz eine Kopie eines Angebots oder einer Kalkulation bekommen.

Festplattenverschlüsselung ist noch keine Lösung für dieses Problem (sehr wohl aber für das Problem des Verlusts des Laptops!). Der Grenzbeamte wird (mehr oder weniger) höflich nach dem Passwort fragen und kann die Einreise bei einer Verweigerung sehr lange verzögern oder ganz ablehnen. Experten empfehlen, einzelne Verzeichnisse zu verschlüssen, z.B. mit VeraCrypt, dem Nachfolger von TrueCrypt (kostenlos erhältlich). Dieses Verzeichnis sollte wenn möglich gut versteckt sein (was gegen Profis natürlich nicht wirklich schützt, aber gegen Anfänger beim Zoll ;-) ).

TrueCrypt bietet eine weitere Feature, die eine wirkliche Lösung sein könnte: Ein Deniable File System (DFS). Dabei wird ein verschlüsseltes Volume erzeugt, in dem dann 2 Daten-Volumes enthalten sein können: ein sichtbares und ein "hidden" Volume. Jedes wird mit einem separaten Passwort geöffnet, bzw. aktiviert. Wenn man an der Grenze aufgefordert wird, das Passwort einzugeben, so gibt man das ein, welches das unverfängliche Volume frei gibt. Der Grenzbeamte inspiziert diese Daten und ist zufrieden. Das nennt sich "plausible deniability", glaubwürdiges Verleugnen. Anderseits - wenn viele Leute TrueCrypt einsetzen und sich dies rumspricht, so wird der Grenzbeamte erkennen, dass TrueCrypt eingesetzt wird und dass es deswegen möglicherweise ein zweites Passwort gibt. Er wird dann beide verlangen, d.h. gegen wirkliche Profis hilft dies nicht, Pech für den, der TrueCrypt einsetzt und wirklich keine "hidden volume" hat.

Ein spezieller USB-Stick (2 GB), gefunden auf ThinkGeek. Aber natürlich ist hier immer noch Verschlüsselung notwendig, sicher zu sein. Auf der Website gibt es noch mehr solche Geräte

Nov.2008: Und es geht noch weiter, es gibt andere DFS bei denen ich mehr als 1 Hidden Volume haben kann. Auf diese Weise kann ich sogar eines der verborgenen Systeme preis geben. Aber dann kommen die schlechten Nachrichten: Turkish police may have beaten encryption key out ..... Das wird bei den Profis "Krypto-Analyse mit dem Gummiknüppel" genannt. Das Problem das durch die DFS entsteht ist, dass jemand der mit Gewalt an den Schlüssel zu den eigentlichen Geheimnissen kommen will, nie weiß, ob er den entgültig letzten Schlüssel bekommen hat, d.h. er wird immer weiter machen.
(Aktualisierung August 09 dazu: In Großbritannien sind zwischen 1. April 2008 und 31. März 2009 erste Haftstrafen verhängt worden, weil Beschuldigte die Herausgabe von Passwörtern bzw. von kryptografischen Schlüsseln verweigerten (Passwort-Erzwingungshaft)).

Ergänzung 3.8.2008:
Eine Untersuchung zeigt, dass auch bei Einsatz von TrueCrypt andere Programme, z.B. MS Office, Informationen über die verborgenen Dateien preis geben können. Hier der Link zur TrueCrypt-Studie (pdf). Und TrueCrypt hilft auch nicht bei USB-Sticks und anderen Flash-Drives. Die Logik des Geräts sorgt dafür, dass immer neue Datenblöcke genutzt werden.

Alternative Lösung: die Daten irgendwo anders hinspielen (vorher verschlüsseln bitte), z.B. auf einen Account im Internet und dann vor dem Grenzübertritt vom Laptop entfernen. Bei kleinen Datenmengen genügt ein E-Mail an sich selbst, das man im Zielland dann abruft.

Oder: Daten auf den Firmenserver spielen und vor der Reise vom Laptop entfernen (aber wirklich entfernen, d.h. nicht in den Papierkorb schieben). Dafür können Windows-Nutzer ein Programm wie Wipe benutzen, für Apple gibt es "Secure Erase Trash" und in Linux "shred -u"). Nach dem Löschen muss man dann im Zielland (am besten über eine VPN-Verbindung) die Daten wieder herunterladen.

So etwas funktioniert übrigens nur bei Festplatten und NICHT bei Flash-Drives, z.B. USB-Sticks. Bei denen wird verhindert, dass die gleiche Speicherzelle mehrmals überschrieben wird weil nur eine begrenzte Zahl von Schreibzugriffen möglich sind, d.h. Flash-Drives nutzen sich (ganz langsam) ab.

Achtung: Bei vielen Firmenlaptops liegen die Daten zwar auf einem zentralen Share, sind aber über "offline verfügbar machen" auch auf den Laptop gespiegelt (und zwar alle ihre Eigenen Dateien)!

Noch eine Möglichkeit: sensible Daten auf eine Kamera oder einen MP3-Spieler kopieren und dann auf dem Laptop löschen. (Als verschlüsselte Datei übertragen - noch ein Achtung: die Verschlüsselung in Winzip ist sehr leicht zu überwinden, dafür gibt es Programme. Hier gibt es eine ganze Sammlung von Tools.)

Juni 2008:
Hier einige Links zu amerikanischen Websites mit Tipps der EFF, einem FAQ dazu und mehr Tipps plus Customs-proofing your laptop.

Der neue Trend ist, dass die Durchsuchung heute nicht mehr "mit der Hand" ausgeführt wird (von Zollbeamten die wenig Erfahrung mit Computern haben), sondern dass mittlerweile in den USA und Großbritannien professionelle Forensic Software eingesetzt wird, die den Laptop noch bisher unbekannten Kriterien durchsucht.

Dez. 2009:
Ein Artikel in techrepublic.com diskutiert einige juristische Aspekte zur Frage Verschlüsselung und Durchsuchungen: Presumption of guilt: Your rights when it comes to data encryption. Die Beispiele beziehen sich zwar auf angelsächsisches Recht, sind aber trotzdem interessant. Da gibt es z.B. einen Fall, wo die Tatsache, dass Verschlüsselungssoftware auf einem PC installiert war, bei einer Anklage wegen Kinderpornographie durchaus gewürdigt werden durfte. In Österreich haben wir "freie Beweiswürdigung durch den Richter", d.h. es liegt im Ermessen des Richters ob und wie sie/er den Fund von Verschlüsselungssoftware würdigen will.

Der andere Aspekt betrifft die Herausgabe von Passworten oder der unverschlüsselten Daten. Ein Recht, sich nicht selbst beschuldigen zu müssen, haben wir im europäischen Recht ja auch. Österreich, ganz konkret, hat die Möglichkeit von Erzwingungshaft, die z.B. auch angewendet werden kann wenn jemand sein Passwort nicht preisgeben will (oder kann).

Jan. 2011:
Konkrete Reisewarnung für Russland und China: Das deutsche Bundesamt für Verfassungsschutz (BfV) rät stark davon ab, in diese Länder Laptops oder Handys mit Daten mitzunehmen.

 




15.05.2008 - Will your Handy kill you?

Aus einem interessanten Artikel in "The New Republic" zum Thema Krebs: Viele Menschen machen sich Gedanken um die Strahlung eines Handys und ob die evtl. einen Gehirntumor erzeugen könnte.

Dies ist ein guter Punkt zur Psychologie der Risikoabschätzung (mehr dazu hinter dem Link). Die Zahl der Fälle von Gehirntumor sinkt während gleichzeitig sich die Handynutzung vervielfacht. Das spricht nicht dafür, dass die Handynutzung ein wichtiger Auslösefaktor für den Tumor ist. Das wirklich gefährliche an der Handynutzung ist, wenn es im Auto genutzt wird, und Statistiken zeigen, dass die Freisprecheinrichtung keinen sehr großen Unterschied macht, es ist die Ablenkung durch das Gespräch.

 




12.05.2008 - Angriffe über Multimedia-Dateien

Manchmal liest man in Fachveröffentlichungen, dass die Zahl der Computerviren rückläufig sei. Das stimmt aber nur, wenn man eine enge Definition von Viren verwendet, denn die Zahl der Schädlinge ist steigend, auch wenn sie sich verändert haben.

Thomas Mandl (ein Profi für die Schädlingsbekämpfung) schreibt dazu:

Diese Graphik von MessageLabs (pdf, Seite 3 des verlinkten Reports) stellt dar, wie der Anteil von Email-basierter Malware immer weiter absinkt (unterer, dunkler Bereich), ersetzt durch die Web-basierte Infiltration durch "drive-by" Angriffe.

Hier nur einige Eckdaten, Details findest du u.a. in den Quarterly Reports von z.B. McAfee, XForce, MELANI, MessageLabs, Microsoft, Trend Micro, Kaspersky. die *** tägliche*** anzahl von neuer (unique) malware, die im märz 2008 bei den AV herstellern aufgeschlagen ist, liegt bei ca. 25.000 - 30.000 neue malware samples PRO TAG!

da kann man beim besten willen nicht von rückläufig sprechen. die verbreitung via e-Mail (SMTP) ist rückläufig (liegt derzeit nur mehr bei ca.25 - 33%), der rest der infektionen wird via "drive by downloads" erledigt.

Ergänzung P.S.: Sophos berichtet im Sophos threat report Q1/08 (pdf) von durchschnittlich 15 000 neu entdeckten Drive-By-Infektionen auf Websites, 79% davon waren unverfängliche bekannte Websites, z.B. von großen Firmen, Behörden (z.B. UN) oder Zeitungen (und auch Sophos bestätigt, dass die Bedeutung der über E-Mail verschickten Viren stark abnimmt - warum den Schadcode versenden, wenn der Benutzer ihn sich auch selbst abholt).

Hier die Erklärung, warum die Drive-By Downloads so toll funktionieren. Die Graphik zeigt in hellgrau den Prozentsatz der nicht aktualisierten Browser.
Quelle: Understanding the Web browser threat

Und Finjan bringt eine sehr gute Beschreibung von NeoSploit als Angriffstool (pdf, aber erst nach Registrierung), mit dessen Hilfe eine große Zahl von Websites sehr iffizient infiziert werden kann. Und in der Januar-Ausgabe ihrer Berichte sind Details beschrieben, was genau auf den Webservern abläuft, nachdem sie infiziert sind.

Damit gilt auch das bisherige Paradigma nicht mehr, dass die infizierten Heim-PCs die an sich gut gepflegten Server der Industrie bedrohen. Nein, die schlecht gepflegten Webserver der Industrie bedrohen in einem außerordentlichen Maße die Heim-PCs und wenn diese dann infiziert und Teil eines Bot-Netzes sind, wiederum die IT der Industrie.

Aktualisierung Sept.2008:
Der Webbrowser bleibt derzeit weiterhin die schwächste Stelle des Heim-PCs. Die Graphik rechts und Statistiken des Deutschen Sicherheitsnetz e.V (pdf) zeigen dass gut die Hälfte der Webbrowser (bzw. deren Multimedia-Plugins wie Flash, Quicktime, etc.) im Privateinsatz nicht-aktualisiert ist und für Drive-By-Angriffe genutzt werden kann.




01.05.2008 - Automatische Generierung von Exploits aus dem Patch

Forscher haben sich einige Microsoftprogramme vorgenommen, für die es Patches gab. Dann haben sie das betroffene Programm vor und nach der Aktualisierung automatisiert verglichen und nach Stellen gesucht, wo z.B. eine Überprüfung von Zahlen oder anderen Parametern hinzugefügt wurde. An dieser Stelle kann dann getestet werden, welche Werte bei der alten Version zu Problemen führt. Auf diese Weise kann innerhalb von kürzester Zeit (Minuten bis Sekunden) aus dem Patch der Angriffscode entwickelt werden. So schnell kann niemand die Rechner aktualisieren, speziell in Firmen, wo zuerst getestet werden muss, dass der Patch keine neuen Probleme erzeugt. Hier die Studie (pdf).

 



Auch so ein Denkfehler: der Verteidiger geht davon aus, dass der Angreifer sich an die "Regeln" hält und die Verschlüsselung knackt. Dabei kann er sein Ziel mit einem 5$ Schraubenschlüssel auch erreichen -
Quelle: http://xkcd.com/

21.03.2008 - Denkfehler bei RFID-Karten - Mifare-Chips

Ein klassischer Denkfehler: Die Firma NXP Semiconductors bietet RFID-basierte Chipkarten, u.a. als Fahrkartenersatz, aber auch für Autorisierungssysteme an. Sie hat 2 unterschiedliche Karten: die kostengünstige disposable card, called Mifare Ultralight (in den Niederlanden für Einmal-Fahrkarten verwendet) und eine reusable plastic card, Mifare Classic, für Dauerkarten, teurer, mit etwas besserer Sicherheit.

D.h. weil die Einmalkarte normalerweise einen geringen Wert hat, wurde sie auch als geringes Sicherheitsproblem eingestuft. Und jetzt macht jemand diese Karte wiederverwendbar und die ganze Logik bricht zusammen.

Damit hören die Probleme für NXP aber noch nicht auf: "German researchers Karsten Nohl and Henryk Plötz have published a paper on how to crack the [Mifare Classic] chip’s encryption." Up to one billion RFID access cards could be affected by hack (mit Link zum eigentlichen Research Paper). 2. Denkfehler: "Security through Obscurity" hat wieder einmal versagt, die Sicherheit lag im geheimen Algorithmus, aber der lies sich knacken und der Schlüssel war eh schwach.

Aktualisierung April 2008:
Wissenschaftler berichten, dass sie mit einem mathematischen Verfahren Mifare Classic (pdf) jetzt auf der Grundlage nur einer abgehörten Interaktion auf einem simplen PC in 200 Sekunden knacken (und damit auch clonen oder verändern) können.

Aktualisierung April 2008:
Die Sicherheit der KeeLoq Implementierungen wurde nachhaltig und vollständig geknackt. Die Vorgehensweise ist interessant.

Keeloq Systeme werden weltweit und zahlreich eingesetzt, u.a. zum Öffnen von Autos. Hier sind die Schritte wie das Knacken gelang. Der erste Schritt war das Beschaffen von Sendern (Schlüsseln) und einem Empfangsgerät. Diese wurden geöffnet und waren damit zugänglich für Side Channel Attacks, in diesem Fall Power Analyse. Auf diese Weise konnte ein Verständnis der Algorithmen und auch der Hersteller-Master Schlüssel gefunden werden.

Auf Grund dieser Informationen war es dann möglich, bei einem beliebigen Schlüssel 1 oder 2 Übertragungen abzuhören um diesen Schlüssel dann zu clonen, bzw. außer Betrieb zu setzen (Denial of Service, DoS). D.h. der mühsame Weg der Power Analyse ist nun nicht mehr notwendig, er war nur ein Weg, so viele Informationen zu bekommen, dass nun eine berührungslose Entschlüsselung möglich ist.

Hier mehr zu RFID.

Aktualisierung Juli 2008/Nov.2008:
Es geht immer weiter, jetzt zeigen Researcher, wie man die MiFare-Karten der Londoner U-Bahn clont. Und hier noch mal sehr schöne technische Details: Reden ist Silber. Schweigen ist ... Mist.

 

Aktualisierung Oktober 2008: Noch ein Beispiel dazu, wie schwer es sein kann, sich bei Sicherheitsimplementierungen nicht aus Versehen ins Knie zu schießen: USB-Stick mit Hardware-AES-Verschlüsselung - leicht verpfuscht.

 




21.03.2008 - Aktualisierung zu Storm Worm

Herkömmliche Botnetz-Struktur - aus der sehr lesenswerten Studie von Kaspersky zu modernen Botnetzen (2008)

Thomas Mandl vom österreichischen Antiviren- und Antispam-Anbieter Ikarus schickt folgende Detaillierung aus erster Hand (er bezieht sich da auf den ENISA Report zu Bots (pdf) ):

"der inhalt dieses papers von david barroso vom nov. 2007 ist zwar eine recht gute zusammenfassung, jedoch ist die information bez. moderner bot netze etwas veraltet und geht IMHO nicht genug auf neue trends ein, die es seit ca.Q2/2007 gibt. david erwähnt zwar eine P2P struktur des storm worm bot-netzes,jedoch wird noch immer von C&C (command & control server struktur) gesprochen, was für moderne bots (z.b. storm worm) nicht mehr zutrifft. die bot-autoren haben schon längst erkannt, dass die C&C struktur (ein bot meldet sich in einem IRC channel an, und empfängt vom IRC server zentral seine "befehle") einen single point of failure darstellt. durch analyse von bots konnte man die C&C server kompromittieren und somit auch infiltrieren. das wird nun erstmals mit der neuen architektur vom storm worm verhindert.

storm worm geht den neuen (revolutionären) weg und baut ein P2P netzwerk auf, das segmentiert ist. jeder bot kennt nur mehr ca. 30 - 40 seiner "nachbarn" (und nicht mehr das ganze bot-netz). jede zelle kann über beliebige nodes mit einer anderen zelle kommunizieren und verwendet dabei ähnlich wie das TOR netzwerk unterschiedliche verschlüsselungstechniken zwischen den einzelnen bot-zellen. d.h. schaffst du es, eine zelle zu zerschlagen und analysierst die bots einer zelle, dann kann kein bot mehr das ganze botnetz "verraten" (wie es früher bei der C&C struktur der fall war). die verschlüsselung eines anderen bots (aus einer anderen zelle) ist wiederum anders und hält somit bei der analyse extrem auf ...

Dezentralisierte (P2P) Botnetz-Struktur

neu am storm worm ist auch, dass er (wenn er merkt, dass er analysiert wird) "um hilfe ruft"! das bedeutet dass ein bot (falls er bei der analyseinternet connectivity hat - meist kann man die biester nicht ohne internetconnectivity analysieren, da man auch ihre kommunikation untersuchenmuss...) ein datenpaket mit der public IP adresse des analysten an seine bot-kollegen sendet, die wiederum mit einer dDoS attacke auf diese IPreagieren. so hat es der storm worm geschafft, fast alle AV firmen mal kurzfristig aus dem netz zu schießen! wir hatten das problem auch bei der automatischen analyse durch ANUBIS (siehe unten).

das storm bot netz wird seit ende 2007 immer mehr segmentiert, was ziemlich sicher auf die vorbereitungen zum verkauf einzelner segmente hindeuten dürfte...

außerdem stellt ein botnetz derartiger größe eine beachtliche rechenleistung dar, die man nicht unbeachtet lassen sollte. dieser meinung ist auch prof.peter gutmann (Storm Worm Dwarfs World's Top Supercomputers - Security Fix. (Anmerkung: für eine praktische Anwendung dieser gemeinsamen Rechenleistung siehe Rechnerfarm knackt Autoschlüssel bereits aus Herbst 2007)

was mich besonders freut ist, dass er auf seite 8 (in den additional resources) auch ANUBIS erwähnt. wir arbeiten hier gemeinsam mit der TU Wien und der secure business austria an diesem forschungsprojekt (codename ANUBIS - Analyze Unknown Binaries) was schon ziemlich gut funktioniert ... ANUBIS eignet sich ziemlich gut für incident response management."

Aktuell Mai 2008: Thema Botnetze: ein sehr guter Überblick über Geschichte, Funktionsweise und Geschäftsmodelle, geschrieben durch einen Experten der Firma Kapersky.

Siehe übrigens auch mein älterer Artikel Storm Worm und MPack

 




17.03.2008 - Lehren aus den Bankenskandalen

Aus dem ersten Liechtensteiner Vorfall kann man m.E. nicht viel lernen, zu wenig ist in der Öffentlichkeit bekannt. Das war wohl ein Mitarbeiter, der nur von April 2001 bis November 2002 der LGT Treuhand, einer Tochter der fürstlichen LGT Bank beschäftigt war und dabei die Gelegenheit nutzte, diese Daten zu sammeln.

Dann gibt es noch einen zweiten Fall mit einer Datensammlung, angeblich Kundendaten der Liechtensteiner Landesbank (LLB), und da soll diesmal auch Erpressung im Spiel sein, recht interessant. An anderer Stelle mehr zum Thema Angriffe durch Administratoren.

In Frankreich ist man mitteilsamer, die Societé Generale veröffentlicht sehr viele Details ihrer Untersuchungen (was bestimmt ein kluger Schritt ist). Lesenswert: 1. Presseerklärung (pdf), Zwischenbericht der Untersuchungskomission (pdf)

Hier ein recht guter Artikel zur IT-Relevanz: Societe Generale: A cautionary tale of insider threats.

Und hier ein Punkt aus dem Plan der SG, wie solche Sachen vermieden werden sollen:

Man kann zwar darüber streiten, ob Biometrie das verhindert hätte, aber insgesamt sind das ja Ziele, die jeder Sicherheitsbeauftragte auch gern auf Aufgabenstellung hätte.

 




20.02.2008 - Dumm gelaufen - Probleme mit P2P (aktualisiert 21.3.2008)

Stellen Sie sich einmal folgenden Ablauf vor: ein Kollege muss dringend einige Dateien übers Wochenende mit nach Hause nehmen um an einem Dokument arbeiten zu können, aber er hat nur den MP3-Spieler und keinen USB-Stick zur Hand. Kein Problem, der hat ja auch einen USB-Anschluss. Er lädt die Dateien im Büro auf den Spieler und zu Hause wieder runter zur Bearbeitung.

Was er vergessen hatte war, dass die Software, die mit dem MP3-Spieler kam, den Inhalt des Players automatisch mit seinem Musikverzeichnis synchronisiert. Damit waren die vertraulichen Dokumente zwischen der MP3-Sammlung.

Und er hatte übersehen, dass er eine Filesharing Software auf dem Heim-Rechner installiert hat. Dies hatte er in diesem Augenblick nicht für relevant gehalten. War es aber doch, denn diese Software hat den gesamten Inhalt des Musikverzeichnisses im Internet angeboten, wo dann die vertraulichen Dienstdokumente auch schnell verteilt wurden. Der Chef des Unternehmens wird einige Tage später von Fremden angerufen, ob denn diese Veröffentlichung im Internet wirklich gewollt sei.

Jetzt glauben Sie vielleicht, eine solche Verknüpfung von unglücklichen Umständen sei unmöglich. Falsch, genau dies ist passiert.

Was können wir daraus lernen? Zumindest, dass die Realität noch viel verzwickter ist, als wir das normalerweise einplanen. Und dass an meinem Grundsatz für die Nutzung von Datenspeichern durchaus was dran ist: "Keine Unternehmensdaten auf privaten Geräten!!"

Mich erinnert diese Geschichte an eine andere, die in Wien passiert ist und nicht mal in der IT: Ein öffentlicher Bus kann nach einem Halt an der Haltestelle nicht mehr weiterfahren, weil die hintere Tür nicht korrekt schließt und die Wegfahrsperre dies aus Sicherheitsgründen verhindert. Der Busfahrer probiert über die Knöpfe vorn beim Fahrersitz, aber ohne Erfolg. Er steht auf, geht zur klemmenden Tür, steigt aus und ist in der Lage sie von außen zu schließen. Dadurch löst sich die Wegfahrsperre und der Bus rollt auf der abschüssigen Straße los. 2 junge Fahrgäste lenken dann den Bus gegen die am Rande parkenden Autos, um ihn zum Stehen zu bringen, was nach einer langen Kette von Zerstörung auch gelingt.

Wieder eine dumme Kette von unglückseligen Verknüpfungen, die niemand so vorhergesehen hatte. Am Nachhinein ist das potentielle Probleme dann aber schon wieder fast offensichtlich und man fragt sich, warum nicht geprüft wurde, dass wirklich jemand auf dem Fahrersitz sitzt, oder dass die Wegfahrsperre explizit vom Fahrersitz aus gelöst werden muss. Das ist aber alles nicht eingebaut, weil so wie im obigen Fall, niemand eine solche Kette vorhergesehen hatte.

März 2008:
Offensichtlich ist dies kein Einzelfall, sondern es gibt bereit einen ganzen Erwerbszweig dazu. Hier berichtet ein Reporter, was er auf Gnutella zwischen der Musik noch alles gefunden hat (z.B. unter den Suchbegriffen "audit," "RFP," "proposal," "minutes"). Und dann findet er Rechner, auf denen ganzen Sammlungen von unterschiedlichen vertraulichen Informationen gespeichert sind. Das scheinen Profis zu sein, die aber auch vergessen zu haben, dass auch sie alle ihre Schätze im Internet anbieten. Er findet z.B. "social security numbers, bank passwords and credit card numbers, a few dozen files labeled as Equifax credit reports, and a handful of tax returns."

Über andere Rechner berichtet er: "There were files with the home and cell phone numbers of senators, confidential meeting notes, and fund-raising plans. .... I came across a veterinary clinic, with listings of pets and their owners' billing information. A medical office revealed spreadsheets listing patients' names along with their HIV and hepatitis status. Wow."

Der nächste Artikel berichtet über konkrete dokumentierte Vorfälle: Der Pharmakonzern Pfizer "veröffentlicht" vertrauliche Daten von 17000 Angestellten und Ex-Angestellten weil ein Ehepartner auf dem Firmenlaptop ein P2P-Programm installiert hat und 2300 Firmen-Dateien freigibt. Die Bank ABN Amro Mortgage Group "veröffentlicht" ein Spreadsheet mit 5000 Kundendaten von einem Heim-PC aus.

Juli 2009:
Im Text über Social Engineering beschreibe ich, wie man automatisiert und bequem herausfinden kann, was außerhalb von Filesharing Platformen über eine Thema alles gesagt wird.

Dez. 2015:
Schlechte Nachricht für Nutzer von Filesharing Netzen: Nichts im Internet ist kostenlos. Eine Studie beschreibt ein gängiges Businessmodell für Betreiber von Torrent Netzen: Torrent Sites Like The Pirate Bay Expose 12 Million Computers To Malware Every Month. D.h. die Betreiber "verkaufen" ihre Nutzer an die dunkle Seite im Internet indem sie dort "Werbung" erlauben, die die Rechner der Nutzer infiziert. Dafür muss der Nutzer in vielen Fällen auf gar nichts klicken. Solange eine verwundbare Java Runtime oder Flash auf dem Rechner sind, geht die Infektion ohne Aktivität des Nutzers.

 




07.02.2008 - Paradoxe Ergebnisse

Eine sehr lesenswerte Studie von PWC zu Wirtschaftskriminalität pwc Economic Crime Survey (Link zu 2007, pdf) berichtet u.a. über paradoxe Ergebnisse, wenn Firmen die Methoden zur Verhinderung und Entdeckung von Wirtschaftskriminalität verstärken. Die Firmen, die sich wenig um diese Fragen kümmern, berichten von deutlich weniger Vorfällen und Schäden. Die Annahme, dass das Bemühen um Aufdeckung zu mehr Schäden führt, ist ziemlich sicher falsch: Die anderen Firmen wissen einfach gar nicht, was bei ihnen so alles passiert ist.

Ich erlebe einen ähnlichen Effekten bei meinen Sicherheitsüberprüfungen: Wenn das Unternehmen sich die Überprüfung erspart hätte, hätten sie nie erfahren, wie viele offene und verwundbare Systeme sie eigentlich haben, d.h. das Sicherheitsgefühl war vor dem Test deutlich höher. Aber es war auch falsch (das höre ich immer wieder: "Herr Schaumann, wir müssen sicher sein, wir haben noch nie einen Eindringling in unseren Netz bemerkt").

Auch paradox: Ein Kunde erzählt mir, dass seine Beratungsfirma ihm empfohlen hat, die Anwendungen wie Adobe Reader, Flashplayer, Shockwave, etc., etc. gar nicht mehr zu aktualisieren. Grund: die heute so hohe Zahl von Verwundbarkeiten bei Anwendungsprogrammen. D.h. weil wir zu viele verwundbare Software haben, ignorieren wir sie lieber, als sie zu reparieren. Oder ein anderer Kunde: Quicktime wird nicht aktualisiert, weil wir es nicht einsetzen. Allerdings ist es sehr wohl als Browser-Plugin installiert und kann damit sehr leicht über infizierte Webseiten das ganze Unternehmen gefährden. Aber es ist natürlich einfacher, zu erklären, dass es nicht eingesetzt wird (zumindest nicht offiziell und nicht bewusst).

Hier gibt es Links zu ganz vielen Studien und Reports, oft hilfreich, wenn man Zahlen und Statistiken braucht.

 




07.02.2008 - In case of emergency: ICE

Zur privaten Desaster-Vorsorge: Heute haben fast alle Menschen in unseren Breiten ein Handy und wenn bei einem schweren Unfall mit Bewusstlosigkeit die Rettungshelfer wüssten, wer von den Personen im Adressbuch informiert werden sollte, so wäre das hilfreich. Dafür hat sich international der Eintrag ICE eingebürgert (siehe wikipedia).

Und zur privaten Desaster-Vorsorge bei den elektronischen Daten gehört die regelmäßige Auslagerung einer Kopie der Magnetplatte.

 




09.01.2008 - Massive Angriffe über Realplayer

heise.de berichtet über Massive Angriffe, u.a. über eine Realplayer-Verwundbarkeit, für die derzeit kein Patch zur Verfügung steht. Auch bei diesem Angriff, der einem im Vorjahr in Italien mit mehr als 10000 infizierten Servern ähnelt, sind wieder eine große Zahl von Webserver von kommerziellen Unternehmen oder Behörden infiziert, d.h. diese Websites verbreiten die Schadsoftware, die ohne Interaktion mit dem Benutzer einen Trojaner von Websites in China nachlädt. Der Artikel in heise gibt Links auf ausführliche Analysen des Angriffs.

Das heißt, dass es immer schwerer wird, Infektionen sicher zu vermeiden. Selbst ein aktuelles System und auch das Vermeiden von "bösen Seiten" schützt in diesem Fall nur begrenzt. Natürlich soll das kein Grund sein, die spätestens wöchentlichen Aktualisierung einzuspielen (siehe meine PC-Tipps mit dem wöchentlichem Update).

Siehe auch nächster Beitrag weiter unten.

 




07.01.2008 - Drohungen von türkischen Polit-Hackern gegen Österreich

Türkische Hacker, die sich AYYILDIZ TEAM nennen, stoßen seit einiger Zeit Drohungen gegen Österreich aus. Sie beklagen sich über eine angeblich Unterstützung der PKK durch die ö.Regierung und drohen "[wir] werden euch Schaden in Milliarden höhe durch die Cyberworld zufügen". Konkret dringen sie in Webseiten ein und stellen dort ihre Inhalte drauf, was bei dem sehr oft sehr veralteten Stand der Software auf diesen Webservern sehr einfach ist. Sie behaupten "Zurzeit sind Zehntausende Server in unserer Hand. Es sind spezielle Trojaner und Programme in die Server eingebaut mit denen wir den PC Nutzern in ganz Österreich Schaden zufügen werden die nicht mehr Rückgängig gemacht werden kann."

Auch das ist mittels leicht zugänglicher Software, wie z.B. MPack nicht schwierig und durchaus möglich (mehr Details dazu siehe Link). Diese Software ist in der Lage, über sog. Drive-by Infektionen PCs, deren Software, z.B. Flash- oder Shockwave-Plugin, PDF-Reader u.ä. nicht 100% aktuell ist, zu infizieren, ohne dass der Anwender etwas bestätigen muss und oft auch ohne dass ein Virenscanner anschlägt.

Leicht zu infizierende Webserver sind übrigens ganz leicht zu finden: Durch die Eingabe der richtigen Suchbegriffe in Google finden sich ohne große Sucherei verwundbare Systeme. Der Suchbegriff "intitle:phpMyAdmin "Welcome to phpMyAdmin ***" "running on * as root@*" listet alle phpMyAdmin Installationen die mit root rechten laufen (gleich mit PHP Version, und notwendiger Info für den Angriff) ... Heißer Tipp an die Administratoren der Webserver: Sehr zügig aktuelle Versionen einspielen.

 




03.01.2008 - Recht clever: Secunia (jetzt Flexera) Personal Security Inspector

Die Firma Secunia (2015 von Flexera gekauft) bietet mit ihrem Personal Security Inspector (PSI) eine kostenlose Sicherheitsüberprüfung für Windows Rechner. Das für Privatnutzer lizenzfrei nutzbare Tool überprüft Windows-Betriebssysteme und zahlreiche installierte Standard-Anwendungen, ob technische Schwachstellen existieren, Softwareversionen veraltet sind oder Programme nicht mehr vom Hersteller unterstützt werden. PSI erkennt mehr als 4.700 Programm(versionen). Sehr bequem ist, dass bei jeder veralteten Version gleich ein Link zur Installation der aktuellen Version, bzw. eine Option zum De-installieren angeboten wird.

Ich aktualisiere meinen Rechner sehr eifrig, daher war ich überrascht, dass trotzdem noch veraltete Versionen von Anwendungen gefunden wurden, z.B. der Shockwave FlashPlayer von Adobe. PSI gibt dann als Erklärung, dass es oft notwendig ist, die alte Version zuerst zu de-installieren und gibt dafür auch gleich einen Link an. Das gleiche gilt für die Java Umgebung, hier werden alte (verwundbare) Versionen grundsätzlich nicht automatisch de-installiert, das geschieht z.B. über Systemsteuerung.

 




02.01.2008 - 24. Chaos Computer Club Congress

Wie jedes Jahr um die Weihnachtszeit fand auch diesmal wieder der Chaos Computer Club Congress statt. Und wie jedes Jahr sind die Themen der Vorträge oft hochinteressant, und über den Terminkalender gibt es jede Menge Links und oft auch auch die Präsentationsunterlagen.

Ich werde später über konkrete Themen informieren, deren Unterlagen ich besonders interessant finde.
 


 

Philipp Schaumann, http://sicherheitskultur.at/

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.