Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - 2011

von Philipp Schaumann

An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 


20.11.2011 - Zero Day von Mark Russinovich

Mark Russinovich ist in der IT-Szene bekannt für die IT-Forensic Werkzeuge Sysinterals, die 2006 von Microsoft gekauft wurden.

Mark Russinovich hat einen Action Thriller geschrieben, bei dem es (natürlich) um den Einsatz von Sysinternals geht um mit ihrer Hilfe die Welt zu retten. Das Buch ist recht amerikanisch, 9/11 spielt eine große Rolle, die Bürokratie rund um das Heimatschutzministerium kommt ziemlich schlecht werg und wer die Bösen sind will ich hier nicht verraten. Das ganze ist recht spannend und gut gemacht, auch wenn einige Kapitel am Anfang recht technisch klingen.

An einer Stelle hat er sich die Sache allerdings recht einfach gemacht indem alle Computersysteme in diesem Buch offensichtlich Windows Betriebssysteme nutzen, selbst die "embedded systems" der Flugzeuge und Schiffe und auch die Steuerungssysteme aller Kernkraftwerke. Mittels dieser Annahme funktionieren dann eine ganze Reihe der üblichen Recovery-Methoden nicht mehr und die Welt ist den Angreifern wirklich ausgeliefert. D.h. das Buch beschreibt also nicht wirklich akurat unsere derzeitigen Bedrohungen (die groß genug sind) sondern die noch größeren Bedrohungen die wir hätten, wenn alle Rechner das gleiche Betriebssystem nutzen würden.

Aber trotzdem wirft das Buch natürlich ein wichtiges Schlaglicht auf die Verwundbarkeit der modernen Welt, denn selbst wenn "nur" alle Windows-Rechner nicht mehr funktionieren würden wäre das Chaos und seine Auswirkungen auf die Wirtschaft und unser tägliches Leben erheblich. Denn Windows wird heute sehr wohl durchaus auch für kritische Server eingesetzt und natürlich hätten sich die Angreifer auch mehr Arbeit machen können und Viren und Schadsoftware auch für MacOS, iOS und Linux schreiben können.




16.10.2011 - Die 3 größten kommenden Bedrohungen

Bruce Schneier berichtet in seinem Newsletter, dass er (und andere) bei einer Podiumsdiskussion nach den 3 größen kommenden Bedrohungen im Cyberspace gefragt wurde. Er kam als letztes dran und entschied sich, nicht-kriminelle Bedrohungen zu wählen.

Mir gefällt diese sehr Liste gut. Sie bringt Bedrohungen, die auch ich langfristig für gefährlicher halte als die Cyberkriminalität.

März 2012:
In einem Interview zu seinem neuen Buch "Liars and Outliers" hat Bruce Schneier diese Position noch mal bekräftigt:





02.10.2011 - Brauchen wir ein neues Internet?

In der ZEIT stand ein Artikel, in dem ein neues Internet gefordert wurde. Wenn ich den Artikel richtig verstanden habe, so werden als Argument die offenbar steigenden Angriffe auf Firmen und Privatpersonen angeführt (über die ich z.B. weiter unten berichte). Anlass für den Artikel ist ein Buch: "Zeitbombe Internet. Warum unsere vernetzte Welt immer störranfällliger und gefährlicher wird" von Thomas Fischermann und Götz Hamann.

Im Zeitartikel steht dann z.B.

Diesem Fehlschluss liegt ein ganz grundlegender Denkfehler zu Grunde. Im Gegensatz zum früheren Telefonnetz ist das Internet ein reines Transportnetz, sehr schön dargestellt ind 2 älteren Artikeln The Rise of the Stupid Network und World of Ends. Die Hauptqualität des Internets liegt darin, dass alle Intelligenz in den Endpunkten liegt und nicht, wie im Telefonnetz, im Netz selbst. Dadurch erfüllt es seine wichtigste Funktion, nämlich beliebige Rechner und damit Menschen miteinander kommunizieren zu lassen.

Die extreme "Dummheit" des Internets ist genau der Grund, warum es möglich ist, so viele innovative Dienste anzubieten. Das war im Telefonnetz nicht möglich, weil die Netzbetreiber sehr darauf geachtet haben, dass über diese Kabel nur ganz bestimmte Inhalte (nämlich 5 KHz breite Tonsignale) transportiert werden. Das Internet ist (noch) neutral und alle bits sind (noch) gleich. Innovationen hängen nicht mehr vom Netzbetreiber ab, wer eine Idee für einen Dienst hat, der kann sich einen (auch sehr billigen) Rechner aufstellen, ans Netz hängen und seinen Dienst anbieten, und das ohne eine vorherige Genehmigung. Dies hat viele Vorteile, aber natürlich auch Nachteile, denn die "böse Seite", die Kriminalität nutzt dies natürlich auch aus.

Der Artikel führt dann kurz aus, dass das Internet zusammenbrechen könnte und schwenkt dann auf Internetbanking, um dort auszuführen, dass das schrecklich unsicher sei. Als Beispiel wird berichtet, dass vom Online-Konto einer Frau 4375 Euro gestohlen wurden, obwohl sie ein Überweisungslimit von 1500 Euro hat. Erklärung dafür ist, dass der Rechner heftig infiziert war und dass der Trojaner auf ihrem Rechner ihre Transaktionen manipulieren konnte. (Hier erkläre ich, wie ein Man in the Browser oder Man in the Middle Angriff funktioniert). In diesem konkreten Fall hätte die Nutzung von mobilen TANs (und das Durchlesen der SMS und Erkennen, dass nicht die richtige Überweisung durchgeführt wurde) sehr wohl geschützt. Das Beispiel zeigt aber ganz klar, dass das Problem hier nicht das "kaputte" Internet ist, sondern die Sicherheit der Endpunkte der Kommunikation. Der Rechner war infiziert, so wie die Rechner, die Anonymous hackt (Sony, Sega, GIS, und viele andere) unsicher konfiguriert oder programmiert waren, sonst wären die Angreifer nicht hereingekommen. Und der Angriff gegen RSA ist gelungen, weil einer der Mitarbeiter ein Email aus dem Spam-Verzeichnis geholt hat und auf den verführerischen Anhang "2011 Recruitment plan.xls" geklickt hat.

Das sind keine Fehler des Internets, das sind Fehler in den technischen oder menschlichen Endpunkten des Internets und hätten auch durch ein anderes Netz, z.B. eines das ich nur nach strenger Identifizierung nutzen kann (z.B. über Bürgerkarte), nicht verhindert worden. Wenn das Internet nur noch mit Bürgerkarte oder ähnlichem genutzt werden kann, so ist das für die Angreifer nur eine sehr geringe Behinderung. Schon jetzt nutzen sie unsichere Privat- oder Firmen-Rechner als Sprungbrett und dann werden diese Sachen eben im Namen von irgendwelchen Unschuldigen begangen. Knackpunkt ist, dass die Endpunkte gesichert werden müssen und wir wissen heute, wie das gehen würde. Aber sichere Software würde etwas mehr Geld kosten (weil sie etwas mehr Mühe bereitet) und wir leben in Zeiten, wo dafür kein Geld vorhanden ist. (Das habe ich an anderer Stelle ausführlicher besprochen.) Welche Erfolge Firmen bei der Sicherheitsausbildung ihrer Techniker haben können zeigt die Erfolgsgeschichte von Microsoft von 2000 bis heute, Windows Vista und Windows 7 sind erheblich sicherer als die Vorgängersysteme und Adobe Produkte und die Java Umgebungen von Oracle führen jetzt die Verwundbarkeitsstatistiken an.

Diese sichere Software hilft natürlich nicht gegen Trickbetrug und Social Engineering, aber ein anderes Internet würde da auch nicht helfen. Auch mehr Kontrolle, noch mehr Überwachung des Datenverkehrs kann diese Angriffe nicht verhindern. Es würde jedoch die Möglichkeiten stark einschränken, auch kritische Meinungen zu äußern. Zur Bedeutung von Anonymität und Privatsphäre habe ich an anderer Stelle ausführlich geschrieben.

Zufällig gerade gelesen: Measuring Search-Redirection Attacks in the Illicit Online Prescription Drug Trade. Es passt zum Thema, denn auch hier geht es darum, dass die unsicheren Endpunkte, in diesem Fall legitime Webserver die nicht besonders gut betreut werden, z.B. von Universitäten, von Angreifern infiltriert und zum Teil bis zu einem halben Jahr ausgenutzt werden um Suchanfragen auf den Online Pharmahandel umzuleiten. Auch in diesem Fall gibt es nichts, wo irgendeine "Härtung" des Netzes helfen würde: Legitime Internet-Nutzer werden über die Suchmaschinen auf manipulierte, aber trotzdem legitime Websites geschickt, von wo sie dann auf die dubiosen Angebote weitergeleitet werden. Die Schwachstelle sind die schlecht betreuten Webserver, nicht das Internet.



Dez. 2014: Apple bekommt keine Ruhe, wegen seiner Prominenz ist es gut im Rampenlicht.

Die BBC berichtet über den taiwanischen Zulieferer Pegatron, der 60 Stunden pro Woche arbeiten lässt.


02.10.2011 - The Other Side of Apple

Die Organisation "Friends of Nature" hat einen IT Industry Investigative Report zur Firma Apple herausgebracht, der sehr lesenswert ist: The Other Side of Apple (pdf) und einen 2. Band THE OTHER SIDE OF APPLE II (pdf).

Die Reaktionen von IT-Firmen auf Vorwürfe von Umweltschutzorganisationen,
Klick auf Bild gibt große Version, volle Version mit allen Herstellern ist im Report Seite 28, Quelle: Friends of Nature

Es geht in diesem Texten um das Verhalten der Lieferanten die die Geräte für Apple zusammenbauen. Die Vorwürfe sind extrem harte Arbeitsbedingungen (die bei Foxconn zu einer Serie von Selbstmordfällen geführt haben und jetzt u.a. durch Fangnetze vor den Gebäuden verhindert werden sollen) und Vergiftung der Arbeiter und Umwelt durch Dinge wie Lösungsmittel.

Diese Probleme sind nicht auf die Zulieferer von Apple beschränkt. Nach dem Report gibt es jedoch einen großen Unterschied: Andere Firmen sind bereit mit chinesischen Umweltschutzorganisationen zu reden, Apple wiederholt, wie die abgedruckten Antworten im Report zeigen, gebetsmühlenhaft die beiden Mantras:

"We do more than any other company on the planet"

Und wenn auf konkrete Vorwürfe bzgl. bestimmter Lieferanter geantwortet werden soll:

Die NYT berichtet über einen US-Künstler, der nach einem Trip nach China das Thema, wie wir mithelfen, mit unseren sauberen Handys die andere Seite des Globus zu vergiften zum Thema seiner Solo-Auftritte gemacht hat: A Trip to China Can Make a Guy Hate His iPhone. (Viel mehr dazu etwas weiter unten).

Diese Grafik der University of California and Syracuse University (der Link führt zum PDF der Studie "Capturing Value in Global Networks: Apple’s iPad and iPhone"). Der NY Times Artikel How the U.S. Lost Out on iPhone Work sagt, dass es gar nicht so sehr die US-Löhne sind, sondern die riesige Zahl von Ingenieuren und die Verfügbarkeit der gesamten Lieferkette (Supply Chain) die in den USA nicht mehr verfügbar ist. Mehr dazu anderer Stelle.

Die Financial Times (eigentlich kein linkes Blatt) berichtet Apple attacked over pollution in China. Sie sagen, dass mehrere Umweltgruppen dem Konzern [Apple] im August vorgeworfen haben, in China "systematische Umweltverschmutzung" zu betreiben.

Oktober 2011:
Ganz frische Meldung: Auslieferungs-Engpass bei MacBooks erwartet. Grund: Verschärfung der Umwelt-Vorschriften in China. Es wurde ein Werk geschlossen: "Anrainer hatten sich beschwert, dass die Fabrik des Zulieferers in der chinesischen Suzhou-Provinz einen unangenehmen Geruch verströme. Catcher muss nun Änderungen an seiner Produktionsstätte vornehmen. Im Oktober erwartet man einen Verkaufs-Rückgang um ein Fünftel. Neben Apple sind auch Dell, Lenovo und Sony Catcher-Kunden."

 

Feb. 2012:
Futurezone berichtet über einen Artikel in der NYT: In China, Human Costs Are Built Into an iPad. Der Bericht ist sehr ausführlich und recht schockierend in dem er zeigt, wie sehr Produktqualität über dem Leben und der Gesundheit der Arbeiter in China steht. Es bleibt abzuwarten, ob die neue Führung bei Apple ebenso schlecht mit diesen Vorwürfen umgeht wie unter Steve Jobs. Vor dem Hamburger Apple Store gabe es Proteste und Aktivisten haben die Server von Foxconn angegriffen (auch in diesem Artikel: Im großen Apple Store Grand Central in New York wurden rund 250.000 Unterschriften überreicht).

Die NY Times nimmt sich weiterhin des Thema an: In einem Kommentar wirft der Columnist die Frage auf, ob wir als Konsumenten denn bereit wären, fast das Doppelte für unsere "Spielzeuge" zu zahlen. Schätzungen besagen, dass bei fairen Bedingungen, gleiches Lohnniveau wie im Westen, gleicher Sicherheitsstandard, ein 200$ iPhone ca. 380$ kosten würde. Seine Frage? Wenn Apple jetzt diesen Standard erzwingen würde und seine Preise entsprechend anheben, würden dann die iPhone Fans immer noch bei Apple kaufen, oder Android-Geräte, die unter den jetzigen Bedinungen (unter Ausbeutung der Gesundheit der chinesischen Arbeiter) hergestellt werden? Wenn die Konsumenten hier mit einem klaren JA antworten würden, so würde sich das ja nicht nur auf die Smartphones, sondern auch die Fernseher, DVD-Spieler, Kameras, Telefone, MP3-Spieler und so weiter auswirken.

Das heißt, wir haben hier ein Henne und Ei Problem: jeder Hersteller solcher Geräte fürchtet, dass falls er erzwingt, dass seine Produkte fair hergestellt werden, die Konkurrenz nicht mitzieht und er damit Marktanteile verliert. Die Frage an jeden von uns: Wenn es Fair-Trade Elektronic gäbe, würden wir wirklich das erhöhten Preise dafür zahlen oder zur Konkurrenz gehen, die schmutziger (d.h. billiger produziert)? Falls NEIN, so ist es leicht scheinheilig wenn wir uns über Apple aufregen und uns über die wunderbaren Gadgets freuen.

Weitere Aktualisierung Feb. 2012:
In Salon.com findet sich ein Artikel der möglicherweise den Auslöser dieses Drucks auf Apple beschreibt: Can one man change Apple?. Es geht um eine One-Man Show in den USA mit dem Titel: THE AGONY AND THE ECSTASY OF STEVE JOBS (PDF, transcript der Show). Dabei schildert Mike Daisey, wie er von einem absoluten Apple-Fan zu jemandem wurde, der sich die Fabriken in China angeschaut hat und jetzt sagt, die Zukunft in der Firma frei von Regulierungen über unsere Köpfe hinweg schalten und walten können ist bereits Realität:

Seine Show ist Online zu finden und sehr bewegend.

Weitere Aktualisierung März 2012:
Die Sendung "This American Life" zieht ihre Sendung zu Mike Daysey zurück da ein anderer Reporter in China nachrecherchiert hat und dabei Ungereimtheiten gefunden hat. D.h. es scheint, als ob ein gutes Maß an poetischer Freiheit dabei war (was aber vermutlich - leider - nicht viel an den allgemeinen Fakten ändert - siehe der Artikel in der NY Times). Hier auf deutsch in der Futurezone.

Jetzt gibt es auf einmal unabhängige Untersuchungen bei Foxconn und natürlich werden sie reichlich fündig. D.h. letzendlich werden die Behauptungen von Mike Daysey bestätigt. Hier findet sich der Download des Scripts DOWNLOAD THE AGONY AND THE ECSTASY OF STEVE JOBS und noch viel mehr Material auf Mike Dasey's Website.

 

Juli 2012:
Apple hat schon wieder Probleme: Die Stadt San Francisco wird aufgrund des fehlenden EPEAT-Umweltsiegels künftig keine Apple-Produkte mehr kaufen.

Aktualisierung 2 Wochen später:
Das Problem wurde behoben, die Regeln werden für extra flache Notebooks geändert und dann passt wieder alles (bis auf die Umwelt). ;-)

August 2012:
Apple und Foxconn haben sich (angeblich) gebessert.

 

Jan. 2013:
Apple kündigt Zulieferer wegen Kinderarbeit





31.07.2011 - Liberation Technology Movement - Internet aus dem Koffer

Die NYT berichtet über eine für mich überraschende Aktion: U.S. Underwrites Internet Detour Around Censors. Es geht darum, dass die US-Regierung Technologien fördert, die einen Zugang zum Internet z.B. auch dann erlaubt, wenn die Regierung die Verbindungen gekappt haben. Teil dieser Technologien ist z.B. ein "Internet im Koffer". Das ist ein möglichst unverfänglicher Koffer der z.B. aussieht als ob er gewöhnliche Unterhaltungselektronik enthält, jedoch in der Lage ist, ein unabhängige Verbindung ins Internet aufzubauen und gleichzeit über ein sog. "mesh network" viele Geräte wie PCs und Handys miteinander zu vernetzen. Dieses Projekt wird mit 2 Mio. USD gefördert, ist aber nur ein Teil eines 70 Mio. Projekts.

Diese Vernetzung des "mesh networks" beruht übrigens auf einer Technologie, die in Österreich entwickelt wurde: hier die Details von funkfeuer.at, z.B. über Mesh Routing. Hier ein Artikel der futurezone dazu: USA bauen Handy-Netze für Dissidenten auf.

Das mit den Handy-Netzen bezieht sich wohl auf eine andere Aktion, nämlich den Aufbau eines Handynetzes für die Rebellen in Libyen. Dabei wurden aber ganz normale High-Tech Geräte eingesetzt, mühsam über Umwege beschafft - der Artikel im WSJ: Rebels Hijack Gadhafi's Phone Network.

Politisch interessant ist das ganze weil dies natürlich für die US-Regierung ein deliktater Eiertanz ist. Hillary Clinton betont, dass es ihr "nur" um die Freiheit des Internets geht und nicht darum, Diktatoren zu stürzen. Der Eiertanz besteht anderseits aber auch darin, dass die US-Firmen es sind, die die Diktatoren mit den Technologien auszustatten, mit deren Hilfe sie die Bürger übewachen können, und sehr bald vermutlich auch, mit deren Hilfe sie solche Untergrundnetze stören oder infiltrieren können. Das Infiltrieren sollte recht einfach gehen, denn das Netz beruht ja aus einer Vernetzung vieler unabhängiger Geräte, da sollte eine Unterwanderung kein großes Problem sein. Der Iran tönt bereits, dass sie eine Lösung parat hätten. Ob die besser funktioniert als die Abwehr von Stuxnet?

Aug. 2011:
Ein ähnliches Thema behandelt der Artikel Anticensorship in the Internet's Infrastructure. Sie stellen ein Konzept vor, mit dessen Hilfe ein internationales System aufgebaut werden kann, mit das die Zensurbemühungen einzelner Länder ausgehebeln kann ohne dass Informationen wie die Adressen von Proxy-Servern in das zensurierte Land gebracht werden müssen. Es ist ein recht interessantes Konzept, es erfordert die Mitarbeit einer Reihe von Schlüssel-ISPs (Internet Service Providern) in Ländern, über die sehr viel Web-Traffic läuft.

Derzeit zumindest noch schaffen es auch diktatorische Regime, Technologien zu ihren Zwecken einzusetzen. Hier ein Angriff der dem Iran zugeschrieben wird. Und auch Libyen hat sich zu helfen gewusst: Libysche Internetüberwachung mit ausländischer Hilfe. Hier der Artikel dazu im WSJ: Firms Aided Libyan Spies. Die Diktatoren verwenden die gleichen fortgeschrittenen Überwachungstechnologien, wie z.B. Netzwerkanalyse wie die westlichen Geheimndienste, sie kaufen nämlich von den gleichen Lieferanten.

 

Jan. 2013: Cyberwar im Bürgerkrieg
Ein Artikel im Standard zum Thema "Internet aus dem Koffer" und "Panik-Knopf" fürs Handy: "Früher hat die CIA Waffen geschmuggelt, heute sind es Internet-Zugänge". Anlass dieses Artikels ist eine Konferenz im München: US-Diplomat Alec Ross trat auf der Innovationskonferenz DLD13 in München auf und berichtete, dass "die Zahl 'digitaler Diplomaten' im amerikanischen Außenamt von ursprünglich zwei auf zuletzt 155 gestiegen sei". Der "Panik-Knopf" fürs Handy sorgt dafür, dass im Fall einer Festnahme ein politischer Aktivist mithilfe dieser Software schnell den Inhalt seines Adressbuchs und die SMS-Mitteilungen löschen kann.

Ebenfalls im Januar gibt es Berichte über heftige Cyberware-Aktivitäten in Syrien. Das Regime versucht mit vielen Tricks, Informationen über seine Gegner zu sammeln, deren Accounts zu übernehmen, bzw. sie vom Internet zu trennen. Sie versuchen, Malware zu verteilen, Zitat:

Ebenfalls unter "Cyberwar im Bürgerkrieg" fallen die Aktivitäten die der Iran unternommen hat um die Internetverbindungen der Oppositionellen abzuhören und die Geschäfte mit Diktatoren bzgl. Überwachungssoftware hier unter (ebenfalls Abhören).

 

März 2014:
Veröffentlichungen von Dokumenten von Edward Snowden zu einem umfangreichen Katalog von NSA Spionagewerkzeugen enthält auch einige Geräte, die als Network-in-the-Box (Internet aus dem Koffer) bezeichnet werden. Dies sind Geräte, die relativ einfach transportiert und versteckt werden können und dann irgendwo im Land eine Base Station für Handys aufbauen (Foto hier). So etwas könnte z.B. verwendet werden, um in einer Stadt die belagert wird und vom Internet abgeschnitten ist, eine Verbindung ins Internet aufzubauen, aber natürlich auch, um alle Gespräche oder Daten, die über diese Verbindung laufen, abzuhören und gesuchte Personen zu finden - was wohl der Hauptgrund für ihre Entwicklung war.

Die Sicherheit von GSM-Verbindungen beruht darauf, dass ich dem Netzbetreiber vertraue, in diesem Fall wem auch immer die NSA diese Geräte gegeben hat. Hier einige Beispiele: CYCLONE Hx9 (EGSM (900MGz) macro-class Network-In-a-Box (NIB) system), NEBULA (Multi-Protocol macro-class Network-In-a-Box (NIB) system. Supports GSM, UMTS, CDMA2000 applications. LTE capability under development) und TYPHON HX (Base Station Router - Network-In-a-Box (NIB) supporting GSM bands 850/900/1800/1900 and associated full GSM signaling and call control). Zitate: The macro-class Typhon is a Network-In-a-Box (NIB), which includes all the necessary architecture to support Mobile Station call processing and SMS messaging in a stand-alone chassis with a pre-provisioning capability. Tactical SIGINT elements use this equipment to find, fix and finish targeted handset users. (Der letzte Satz weist auf die Funktion zum Finden von gesuchten Personen hin, die dann "finished" werden - anderseits ist dies in Verbindung mit einer ).





06.07.2011 - Cyber Threat Inflation und Cyberwar

Manchmal freuen wir Sicherheitsexperten uns (mehr oder weniger klammheimlich) wenn mal wieder irgendwo eine Website geknackt wurde, weil wir die Hoffnung haben, dass das auch unsere Position in den Unternehmen stärken wird. Ob das passiert, ist offen. Aber klare Nutznießer der Publikation selbst relativ harmloser Attacken sitzen wo anders: im immer größer werdenden Cyber-Militär Komplex.

Die Studie "Loving the Cyber Bomb" (volle Version als PDF) führt am Beispiel des Vorspiels zum Irak Krieg an, wie eine Threat Inflation, d.h. übertriebene Bedrohungsszenarien dazu führen können, dass sich nur wenige trauen, gegen, im Fall von Irak, den Angriff zu votieren. Bzw. im Fall der Bedrohungen im Internet sprechen nur wenige aus dass die großzügige Aufstockung des Budgets von Cyber-Sicherheitsbehörden ungerechtfertigt ist und dass die Industrie sehr wohl in der Lage ist, mit den jetzigen Bedrohungen wie Industrie-Spionage und Denial of Service (DoS, dDoS) durch die Botnets umzugehen. Dies betrifft vor allem die Cyber-Aufrüstung in den USA, aber auch in anderen Ländern wird entsprechend Druck gemacht.

Aus der Einleitung der Studie:

Wir Europäer könnten behaupten, das betrifft uns erst mal nicht direkt was in den USA passiert, aber US-Behörden dürfen auf europäische Cloud-Daten zugreifen, das heißt erweiterte Befugnisse der US-Behörden ermöglichen auch den Zugriff auf die europäischen Daten (bzw. die EU-Behörden rücken die Daten, wie bei den Flugpassagieren, frewillig raus. Wenn die Panikmacher sich durchsetzen wird das Ergebnis eine Beschneidung der Freiheiten im Internet sein durch (noch systematischere) Überwachung des Datenverkehrs sein.

Wir professionellen Sicherheitsexperten sitzen da ein wenig in einer Zwickmühle. Einerseits müssen wir auf die Bedrohungen aufmerksam machen, anderseits müssen wir auch vor Panik und (vor allem staatlichen) Übereifer warnen. Wenn da z.B. von mehr als 1 Mio. Angriffen pro Tag auf Regierungsseiten in den USA (Behauptung von Rep. Adams Smith) oder ähnlich wahnwitzigen Zahlen auch in Deutschland berichtet wird, so ist sehr wohl wichtig, dass jemand darauf hinweist, dass nicht jeder automatisierte und systematische Port Scan ein Angriff ist und jeder Scipt Kiddy eine existenzielle Gefährdung der Landessicherheit darstellt.

Diese Angriffe sind (leider) business-as-usual im Internet und jede Behörde oder Firma, deren Netz das nicht aushält, muss ihre Hausaufgaben neu machen. Selbst massives dDoS ist ein Vorgang, mit dem Firmen immer wieder zu kämpfen haben ohne dass Beschädigungen der kritischen Infrastruktur auftreten.

Stuxnet hat gezeigt, wie riesengroß der Aufwand ist, um 1 Kraftwerk und eine Urananreicherung lahm zu legen. Die gesamte Stromversorgung eines Landes wäre ein ungleich komplexeres Ziel.

Verwandtes Papier von der gleichen Universität: Beyond Cyber Doom - Cyber Attack Scenarios and the Evidence of History.

Okt. 2011:
Ein Artikel zum Thema The Wrong War: The Insistence on Applying Cold War Metaphors to Cybersecurity Is Misplaced and Counterproductive behandelt sehr ähnliche Fragen. Die Autoren Peter W. Singer und Noah Shachtman kritisieren, dass heute viele Befürworter der Aufrüstung im Cyberspace Parallelen zum Kalten Krieg der 2. Hälfte des 20. Jahrhunderts aufzeigen. Auch das ist eine "Threat Inflation", mit denen sie hohe Rüstungsausgaben fordern, aber die eigentlichen Probleme ignorieren:

Der letzte Teil, "getting their wallets stolen and their offices robbed", wurde in diesem Jahr ja drastisch demonstriert. Die Autoren zeigen dann detailliert auf, dass die bessere Parallele mit der augenblicklichen Situation bei Internet(un)sicherheit ist die Situation mit den Piraten der Meere und das was 1840 und 1850 passiert ist. Sie wie es heute "patriotic hackers" gibt, so gab es damals staatsnahe Freibeuter. Die US-Navy hatte 23 Schiffe, die privat finanzierte Privateer Fleet hatte 517. Sie war es, die die englische Flotte so bedroht hat, dass es zu einem Verhandlungsfrieden kam. Sie sehen sehr ähnliche Lösungsansätze wie die, die damals auch geholfen haben.

Weiter unten mehr zum Thema Cyber War.





28.05.2011 - Diverse Sicherheitsskandale 2011

Sony PSN Hack und viele andere

Kursentwicklung der Sony Aktie in diesem Zeitraum
Quelle: "Smart Metering and mögliche Auswirkungen auf die nationale Sicherheit" cybersecurityaustria.at

Die 1. Hälfte 2011 war bisher reich an Sicherheitsskandalen, zum Teil bei recht reputablen Firmen von denen man das evtl. nicht erwartet hätte. Ich gehe rückwärts vor - gerade nach aktuell ist Sony.

Sony hatte sich mit der Rootkit-Geschichte in 2005 ordentlich ins Knie geschossen. Sehr schön zusammengefasst wird dies auch hier: PlayStation Network breach. Mehr Details gibt es auch in der Wikipedia.

In heise.de wird berichtet, dass die Verwundbarkeiten auf der Sony Website bereits lange vorher öffentlich diskutiert worden waren. Und dann geht es immer weiter, die reparierten Seiten haben neue Sicherheitsprobleme. Und dann noch: Sony-Server in Thailand gehackt. Dann sind Kundendaten von SonyEricsson Kanada verschwunden

Und hier ein Bericht mit (leider etwas verwirrenden) Zahlen über den materiellen Schaden für Sony: Sony kündigt Milliardenverlust an (aber nicht nur wegen der Kundendaten, aber ein deutlicher Umsatzeinbruch wird auch berichtet).

Juni 2011:
Es geht immer weiter bei Sony: Hacktivisten knacken Datenbank von Sony Pictures. Mit Hacktivisten werden Angreifer bezeichnet, die mit (zumindest vermeintlich) politischer Motiviation ihre Angriffe vollziehen und (in der Regel) nicht auf Geld aus sind (aber trotzdem oder gerade deswegen) großen Schaden anrichten - siehe der Angriff auf HBGary weiter unten).

Diesmal wurde in die Website von Sony Pictures eingedrungen (ich vermute mittels SQL-Injection) und 1 Kundendaten abgezogen, zehntausende davon als Beweis ins Internet gestellt. Die Hacker stahlen nach eigenen Angaben sensible Daten, „inklusive Passwörtern, E-Mail-Adressen, Wohnanschriften, Geburtsdaten und allen Daten zur Registrierung bei den Sony-Kundenkonten“. Unangenehm sind auch die 3,5 Mio Gutscheincodes. Zugriff bestand auch auf die Datenbanken der niederländischen und belgischen Niederlassungen von SonyBMG.

Mitte Juni 2011 werden drei mutmaßliche Anonymous-Aktivisten verhaftet. Kurze Zeit später wird veröffentlicht, dass Hacker 177.000 Mails von Sony Pictures Frankreich gestohlen haben. Auch SEGA hat sich im Juni hacken lassen, siehe unten.

Hier setzt sich ein österreichisches Mitglied der Hacker-Community mit den ethischen Aspekten aus Sicht der Hacker-Ideale auseinander.

Und ganz zu letzt eine Seite aus Deutschland mit Tipps für IT-Laien zu diesem Diebstahl und was Sony-Kunden tun sollten.

Juli 2011:
Sony wird nicht in Ruhe gelassen (und bekommt offensichtlich auch die Sicherheit seiner bestimmten über 1000 Websites nicht hin): Hack: Sony Webseite verkündet Falschmeldungen.

Oktober 2011:
Und im Herbst dann wieder Sony: Neuer Großangriff auf Sonys Online-Dienste . Diesmal sei es in rund 93.000 Fällen gelungen, in Konten einzudringen; diese seien voerst gesperrt worden. Das sind zwar deutlich weniger als die 100 Millionen Kunden vom Frühjahr, aber peinlich ist es trotzdem, dass Sony es immer noch nicht schafft ALLE seine vielen Systeme abzusichern.

Die Angreifer hätten versucht, sich in zahlreiche Nutzeraccounts einzuloggen. Die Versuche hätten darin bestanden, gültige Accounts durch Ausprobieren mit langen Listen von Anmelde-IDs und Passwoertern zu finden. 0,1 Prozent der Login-Versuche waren erfolgreich, das entspricht 93.000 Accounts. Das spricht wieder einiges dafür, vielleicht doch etwas komplexere Passworte zu verwenden.

 

Jan. 2013:
Großbritanniens oberste Datenschutzbehörde hat jetzt gegen Sony eine Strafe von 250.000 Pfund (295.000 Euro) wegen des PSN-Hacks verhängt. Zitat heise.de: "Im Rahmen der juristischen Aufarbeitung des PSN-Hacks hatte ein US-Bundesrichter der Sammelklage gegen Sony im Oktober 2012 die schärfsten Zähne gezogen und wesentliche Klagepunkte abgewiesen. In Deutschland hatte sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) über Sonys Umgang mit der schwerwiegenden Datenpanne beschwert."

 

April 2013:
LulzSec-Mitglied für Sony-Hack verurteilt. Dies ist die 2. Verurteilung im Zusammenhang mit Sony. Hier noch ein Artikel zu einer Verurteilung in diesem Zusammenhang: LulzSec-Prozess: Urteilsverkündung gegen britische Hacker. Der Artikel berichtet auch über die Schicksale der anderen Mitglieder die bei diesem Hack beteiligt waren.

 

Die RSA SecureID Token auf die es die Angreifer evtl. abgesehen hatten

Der 2011 Angriff gegen RSA
Dann kommen wir zu RSA. Am Anfang war es lange unklar, was eigentlich genau passiert war, aber irgendwie gab es einen Einbruch ins Netz und Angreifer haben wohl Informationen erbeutet. Die Kronjuwelen von RSA sind die Algorithmen und "Seeds" für die Einmalpassword-Token. Aber ein Angriff über die Algorithmen der One-Time-Passwords lässt sich kaum flächendeckend einsetzen, z.B. um auf Bankkonten von Privatpersonen zuzugreifen. Diese Geräte werden fast nur in der Industrie eingesetzt. Dieser Aufwand für einen solchen Angriff gegen diese Tokens lohnt eigentlich nur, falls jemand ein sehr hochkarätiges Ziel im Auge hat, bei dem diese Token eingesetzt werden (und zwar ohne die empfohlenen PIN-Codes).

Hier beschreibt RSA wie bei ihnen eingedrungen wurde. Die Einleitung, dass sie nicht die einzigen wären, denen das passiert ist, ist m.E. ein wenig billig und überflüssig. Die kurze Zusammenfassung: Jemand bei RSA hat ein Mail mit einem Spreadsheet mit dem Namen "2011 Recruitment plan.xls" bekommen, in dem eine neue (0-day) Flash Vulnerability ausgenutzt wurde.

Und angeblich beruht der Angriff auf die Support-Server von Lockheed Martin auf den Informationen über die SecurID-Produkte.

Juni 2011:
Nachdem RSA eine Weile recht bestimmt erkärt hatte, dass ihre SecureID nicht bei Lockheed Martin beteiligt seien, kam dann eine Presse-Erklärung: ". . . on Thursday, June 2, 2011, we were able to confirm that information taken from RSA in March had been used as an element of an attempted broader attack on Lockheed Martin, . . ." und das Angebot an alle Nutzer, die ca. 40 Mio. Geräte auszutauschen. Weitere Details finden sich auf ars technica.

RSA Gets a Security Chief. Hintergrund ist, dass RSA keinen eigenen Chief Security Officer (CSO) hatte, sondern dass dies vom CSO der Mutterfirma EMC miterledigt wurde. Der neue Mann war CSO von NetWitness, deren Software den Angriff entdeckt hat und die dann von RSA gekauft wurde. Seine Äußerung dazu auf Twitter: 'Der einzige Job der wohl noch herausfordernder ist wäre CSO von Sony'. Ebenfalls in diesem Artikel die Bestätigung meiner Vermutung von weiter oben, dass Ziel des Angriffs auf RSA war, in der Folge gezielte high-value Target Angriffe durchzuführen: "After playing down the danger to its customers for more than a month, RSA said this week that the hack appeared to have been part of an effort to infiltrate military companies and that Lockheed Martin was successfully attacked in May".

Die NYtimes berichtet über Unmut bei den RSA-Großkunden. Und es ist immer noch nicht ganz klar, wie der Einbruch bei Lockheed Martin geschah: "Industry officials said that Lockheed, the nation’s largest military contractor, made the security changes suggested by RSA after its attack in March. They included increased monitoring and addition of another password to its remote log-in process. Yet the hackers still got into Lockheed’s network, prompting security experts to say that the tokens themselves needed to be reprogrammed." . . . "Experts have speculated that the hackers obtained at least part of the RSA databases holding serial numbers and other critical data for the tens of millions of tokens. But to make use of the data stolen from RSA, security experts said, the hackers of Lockheed would also have needed the passwords of one or more users on the company’s network. RSA has said that in its own breach, the hackers did this by sending “phishing” e-mails to small groups of employees, including one worker who opened an attachment that unleashed malicious software, enabling the hacker to obtain the worker’s passwords."

Aug. 2011:
Hier spannende Hintergründe zum RSA Angriff.

Oktober 2011:
RSA meldet sich wieder: RSA: "Wir wurden von einem Staat gehackt".

Nov. 2011:
Krebs-on-Security berichtet, dass 700 andere Firmen vom gleichen Angreifer geknackt worden waren, der auch bei RSA erfolgreich war. Das spricht gegen die These eines gezielten Angriffs. Anderseits kann es gut sein, dass die Angreifer, nachdem sie gemerkt haben auf welche Goldgrube sie da gestoßen sind, mit gezielter Handarbeit nachgeholfen haben. Woher kommt die Zahl der 700 Opfer? Das ist die Zahl der IP-Adressen, die auf einem Command&Control Server gefunden wurden, auf den auch die Trojaner bei RSA sich gemeldet haben. D.h. der RSA-Angriff war Teil einer längeren Kampagne, die offenbar bereits seit Nov. 2010 lief. Die Details sind in dem Link weiter oben.

 

Feb. 2013:
Es gibt neue Informationen zu dem Einbruch bei Lockheed Martin: How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack. Der Artikel enthält noch einen weiteren Link auf einen Artikel von Ende 2011: Gauging The Long-Term Effects Of RSA's Breach.

 

HBGary gegen WikiLeaks / Anonymous gegen HBGary.
Die Firma HBGary hat einige sehr technische Spezialisten (Greg Hoglund hat zahlreiche Bücher zu Rootkits und Software Exploits geschrieben). Der Chef Aaron Barr meint, dass er alles über Social Networks weiß und wie man damit am besten Social Engineering machen kann. Moralische Skrupel haben die Mitarbeiter von HBGary exakt Null.

Und dann glaubt Aaron Barr, dass er sich mit Anonymous anlegen sollte, als diese sich selbst zum Verteidiger von WikiLeaks ernannt hatten. Und zwar möchte er das tun indem er den Mitgliedern in Social Networks und Chat-Roooms Fallen stellt. Anonymous sagt, dass er damit Unschuldige bei den Behörden angeschwärzt hat und rächt sich hart und brutal: Die Firma existiert heute nicht mehr.

Die Geschichte ist extrem spannend und lehrreich. Hier die Links zu allen Details, inkl. den Chats zwischen Barr und Anonymous. Sehr spannend - Hybris und Selbstüberschätzung gegen Skrupellosigkeit. Die Skrupellosigkeit gewinnt und zwar deutlich.

Der US-Komiker Stephen Colbert nimmt sich HBGary vor und fasst die ganze Geschichte sehr schön zusammen. Und hier ein noch Beitrag: Was Anonymous vs. HBGary über die Security Industrie aussagt. Hier ein Artikel über Anonymous mit vielen Beispielen ihrer Aktivitäten: Crude, Inconsistent Threat: Understanding Anonymous.

 

Das LulzSec logo

Juni 2011: LulzSec
Sehr ähnlich läuft das jetzt bei LulzSec, eine andere Hacktivisten-Gruppe. Sie infiltrieren Sony Pictures, den öffentlichen Fernsehsnder PBS und dann InfraGard, die mit Homeland Defense zusammenhängen. Und sie sagen, dass Karim Hijazi, Leiter des Sicherheitsunternehmens Unveillance LulzSec Geld geboten habe, um gegen Konkurrenten vorzugehen.

 

Aktualisierung ebenfalls Juni 2011:
Diesmal kein Skandal für die betroffene Firma (Google), so wie sich das bis jetzt darstellt waren es Phishing-Angriffe auf die die Gmail-Nutzer reingefallen sind, das kann jeder Firma passieren. Hier eine gute Dokumentation eines gezielten Phishing-Angriffs, offenbar mit politischem Hintergrund. Der Artikel in der Futurezone: Gmail von chinesischen Hackern angegriffen und die Details gibt es hier: Targeted attacks against personal accounts of military, government employees and associates. Sehr interessant, weiter unten auf der Seite sind die Screenshots der betreffenden Emails und der Phishing-Website.

 

Neckermann.de
Sehr wohl peinlich ist die Sache bei Neckermann.de: Daten von über einer Million Kunden bei Neckermann.de gestohlen. Es geht um vermeintlich harmlose Daten von einer Gewinnspielwebsite (Name und Email). Aber auch damit lassen sich sehr effektive Phishing-Angriffe starten - die Angreifer wissen immerhin, dass jeder dieser 1,2 Mio Adressen nicht unüberrascht ist, wenn da ein Mail eintrudelt mit dem Betreff "Sie haben gewonnen" und dem Text "Bitte klicken Sie hier um sich den Gewinngutschein runterzuladen."

 

Citigroup
Und es geht immer weiter. Bereits im Anfang Mai hatte sich Citigroup die Daten von 1% ihrer Kreditkartenkunden abnehmen lassen, aber das sind bei 21 Mio. Kunden immerhin 200 000. Citigroup betont, dass es sich "nur" um Name, Anschrift, Email und Kreditkartennummer handelt, aber immerhin. Citigroup beginnt jetzt nach 4 Wochen damit, die Kunden zu informieren. Citigroup hatte 2009 und 1995 bereits größere Einbrüche. Außerdem war Citigroup und seine Kunden im April bei dem großen Databreach vom Email-Versender Epsilon beteiligt und hatte damals ziemlich prompt ihre Kunden über Twitter informiert. Diesmal hat es deutlich länger gebraucht.

Die Regulatoren in den USA verlautbaren, dass dieser Vorfall evtl. der Strohhalm war, der noch gefehlt hat um strengere Sicherheitsregeln für Finanzdienstleister zu erlassen. In den letzten 6 Jahren gab es 288 öffentlich bekannte Data Breaches mit mindestens 83 Mio. Betroffenen.

Ein Artikel untersucht die grundsätzliche Fragestellung Kreditkartenbetrug: Die Verluste sind von 15 cents pro $100 in 1992 auf 5 cents pro $100 in den letzten 6 Jahren gefallen. Damit kann die Kreditkartenindustrie leben. Nicht damit leben können die betroffenen Kunden und vor allem die Händler, die sehr oft nicht nur kein Geld für betrügerische Käufe mit gestohlenen Kreditkarten bekommen, sondern oft auch noch eine 25$ Rückabwicklungsgebühr zahlen.

Anonymous sagt, sie seien nicht beteiligt weil sie aufgehört hätten sich um Banken zu kümmern. 'Es sei langweilig', sagte ein Sprecher. 'Wenn jemand wie Citigroup auf seiner Website 128-bit Verschlüsselung als Stand der Technik anpreist dann ist uns das Angreifen zu einfach.'

18.6.: Die Zahl der Betroffenen wird von Citigroup auf etwas über 360.000 korrigiert. Außerdem ist jetzt klar, wie der Angriff ablief: Diesmal keine SQL-Injection sondern noch viel einfacher - wer einen legalen Account hatte der konnte in der Zugriffs-URL einen Parameter einfach hochzählen und auf andere Accounts zuzugreifen. Das zu automatisieren war sehr einfach. Dadurch erklärt sich auch, warum "nur" 360 000 Kunden betroffen sind - der Angriff ist langsam und wurde wohl irgendwann entdeckt.

 

Interntionaler Währungsfonds (IMF / IMF)
Im Juni dann veröffentlicht der IMF, dass Angreifer seit einiger Zeit (sicher bereits vor dem 14. Mai) in ihrem Netz unterwegs sind: Cyber-Attacke auf den IWF. Das Ausmaß ist nicht ganz klar, vorsichtshalber hat die World Bank ihre Netzverbindungen zum IWF unterbrochen. Mögliches Ziel sind vertrauliche Unterlagen über die detaillierten Finanziellen Situationen von Ländern, die sich evtl. Nutzen lassen, gegen diese Währung zu spekulieren.

 

SEGA
20.6.: Der japanische Vidoespieleentwickler Sega hat sich persönliche Informationen von rund 1,3 Millionen Kunden aus seiner Datenbank stehlen lassen. Es geht um Namen, Geburtsdaten, E-Mail-Adressen und verschlüsselte Passwörter. Mit verschlüsselten Passwörter sind vermutlich die Hashes gemeint. Daraus lassen sich, abhängig ob dabei MD-5 oder etwas besseres wie SHA-256 verwendet wurde und abhängig davon, wie lang und wie komplex die Benutzerpassworte sind, über die sog. Rainbow-Tables die Passworte evt. bestimmen. Diesmal steht LULZSEC auf der anderen Seite und bietet SEGA Hilfe an. Hier mehr zum Thema Passworte.

Wie erzeugt man aus schwachen starke Passworte?

Schauen wir uns die hier veröffentichten Passworte mal einzeln an: test, xxx, 123456, 1234567, stoani, apfelsaf6 (hier wurde sich zumindest ein wenig bemüht), 123456, spoepitt, paranal, gummibaum, ll, suevia1803 (immerhin), wbb, Bezirksblatt, felix, echo, alex, doors, andrea, wirtschaftsnachrichten (na das ist wenigstens ordentlich lang, daraus könnte man ein sicheres Passwort machen), echo, gnurf, gori, staedtebund, maria, porsche, sommer04 (ich warte immer noch auf das 1. wirklich gute Passwort), None, skater, testetsdf, 5ZA8pfXC (endlich ein sicheres), iknahil, gmunden, 1234, jkl, s@lem4me (=salem-for-me: gut !!), marx, 3zenmfb (gut), 301268, b05740, . . . . (hier mache ich dem grausamen Spiel ein Ende).

Was ich hier sehe ist, dass es nur ganz wenige Leute zu geben scheint, die wissen, wie man sich ein gutes und doch merkbares Passwort basteln kann. Und dabei liesen sich aus vielen der hier genutzten Passworte auch gute machen.

Auf jeden Fall ganz schlecht sind alle, die nur Zahlen enthalten und 123456 ist natürlich der erste Versuch jedes Hackers. Aber auch reine Kleinbuchstaben sind nicht viel sicherer als reine Zahlen, das heißt maria, echo, felix, alex sind nicht wirklich besser als 123456.

Gut sind Passworte, die mindestens 8 Stellen haben, mindestens 1 Zahl oder Sonderzeichen und mindestens einmal zwischen Groß- und Kleinschreibung wechseln. Und ganz wichtig ist: Die Zahl darf nicht am Ende stehen und der Großbuchstabe nicht am Anfang. D.h. z.B. für suevia1803, dass daraus sehr leicht das wirklich gute Passwort sue1830viA hätte gemacht werden können. Und das merkt man sich genauso leicht wie das unsichere Orginal. Oder zenmfb3Zenmfb wäre deutlich besser als 3zenmfb (weil länger ohne schwerer zu merken zu sein. Oder gnurf wird besser wenn es als gNurf--gNurf verwendet wird. Oder staedtebund wird zu st@edte++Bund. Und None wird zu nONE1999----.

Kurze Passworte kann man leicht länger machen, indem man einfach Teile davon wiederholt, wie in den obigen Beispielen. Dadurch wird es für den Angreifer schwerer, aber für den Benutzer fällt das Merken genauso leicht. Und auch wenn das gleiche Sonderzeichen mehr als einmal vorkommt so wird es für den Angreifer dadurch nicht leichter.

Noch ein Trick: Auf keinen Fall das gleiche Passwort bei mehreren Systemen verwenden, z.B. bei der SPOE und im Internetbanking und in Facebook. Wenn eine der Webseiten geknackt ist, wie z.B. die SPOE hier, so probieren die Angreifer das gleiche Passwort bei Facebook, gmail, yahoo-mail, gmx, hotmail, etc. aus. Hier mein Vorschlag für den Besitzer von None: nONE1999SPOE bei der SPÖ, nONE1999Book bei Facebook, nONE1999gmx bei GMX, etc. Besser noch ist z.B. der erste und letzte Buchstabe der Website, z.B. FK für Facebook und GX für GMX und HL für hotmail. Der Phantasie sind hier keine Grenzen gesetzt.

Für wirklich kritische Passworte wie Internetbanking sollten Sie allerdings wirklich ein Passwort wählen, das anders ist als ihre anderen Passworte.

An anderer Stelle findet sich ganz viel über Passworte.

 

Anonymous-Vorfälle in Österreich

Angriffe auf die SPÖ und was Benutzer davon über Passworte lernen können
1.7.2011: Anonymous Austria schlägt bei der FPÖ und der SPÖ zu, ist aber nur bei letzteren erfolgreich, dort aber kräftig. Die Website wird übernommen, verunstaltet und 640 Benutzernamen, Email-Adressen und Klartext-Passworte abgezogen und veröffentlicht. Wenige Tage später ist die Bezirksstelle St.Pölten dran: Diesmal waren die Passworte wenigstens gehasht, leider nicht sehr stark und die schwächeren Passworte, d.h. leider fast alle, ließen sich leicht knacken. Sie mein Kasten rechts zu starken und schwachen Passworten. (Für die Profis hier ein Hinweis wie Passworte korrekt gesichert werden.)

GIS, Tiroler Gebietskrankenkasse, Polizistendaten
Ähnlich peinlich ist natürlich der Datenverlust bei der GIS: GIS bestätigt über 200.000 geklaute Datensätze (der Firma die die Fernsehgebühren eintreibt).

Und es geht immer weiter: Bei der Veröffentlichung der Polizisten und der Gesundheitsdaten war nicht mal ein Hack notwendig, die Daten waren auf öffentlichen Servern und über eine Google-Suche leicht zu finden. Zitat:

 

Juli 2011: 90.000 Passwörter von Booz Allen Hamilton
Es nimmt kein Ende: Anonymous späht 90.000 Passwörter von US-Militärs aus:

Diese Techno-Lingo bedeutet, dass auch diese Programmierer die üblichen Anfängerfehler gemacht haben wie die anderen Web-Programmierer (siehe die Geschichten weiter oben). Das ist aber keine Entschuldigung, denn mittlerweile sollte jeder Web-Programmierer gelernt haben, dass es Menschen gibt, die versuchen in Website einzudringen und dass man bei Organisationen wie OWASP lernen kann, wie man das verhindert.

Noch ein Public-Relations-Eigentor:

 

Why we secretly love LulzSec
Patrick Gray schreibt über den Zustand der IT-Sicherheit und warum bei den IT-Sicherheits-Evangelisten heimliche Freude aufkommen kann, wenn sie LULZSEC und andere beobachten. Und hier eine intelligente Replik dazu. Im Microsoft Technet ist ein Artikel zu der Frage LulzSec und Anonymous: Wachrüttler oder gefährliche Chaoten?. Ein Beitrag in salon.com betrachtet The life and death of LulzSec.

August 2011:
Evtl. gibt es einen Zusammenhang zwischen all diesen Angriffen. McAfee berichtet von einer langjährigem systematischen Angriffswelle und in diesem Artikel werden Zusammenhänge vermutet: Hacker drangen in Server fast aller Regierungen ein (hier der Originalreport (pdf) ). Zum Thema Shady RAT vs. Shoddy RAT gibt es Ende des Jahres eine Kontroverse zwischen den bekannten Sicherheitsfirmen.

Die Auswirkungen der vielen Angriffe in 2011 und ihre kostenmäßigen Auswirkungen
Quelle: IBM X-Force 2011 Mid-year Trand and Risk Report

August 2011:
Der Artikel Guardians of Internet Security Are Targets in der NY Times nimmt den erfolgreichen Angriff auf ManTech International, ein maßgeblicher Lieferant für das F.B.I als Anlass undfasst die vielen Angriffe zusammen und schreibt dabei einiges zum Stand der IT-Security Industrie. Zitate:

 

Sept. 2011: Cyber Weapons
Während sich ein großer Teil meines obigen Beitrags mit den Hacktivisten wie Anonymous und LULZSec beschäftigt (siehe meine Typologie der Angreifer weiter unten) schreibt ein sehr guter Artikel in der BusinessWeek über die Cyber-Krieger: Cyber Weapons: The New Arms Race. Richtig spannend wird es jedoch erst in der zweiten Hälfte, dort wird die Firma Endgame vorgestellt und zwar als "well-known broker of zero days between the community and the governments". Das heißt, sie kaufen noch unbekannte Verwundbarkeiten (wo auch immer sie die im Markt finden) und verkaufen diese an Regierungen, die damit in Computer und Netze eindringen können. Zitate:

Das klingt nicht nur schlimm, das ist es auch. Endgame und andere Firmen sind im internationalen Markt tätig und stellen vermutlich wenige Fragen wozu jemand die Angriffswerkzeuge braucht. Und wie in dem Artikel dargelegt ist eine der wichtigsten Eigenschaften von Cyberwar, dass die Opfer eigentlich nie wirklich sicher sein können, wer den Angreifer ist. D.h. das ist auch eine gute Möglichkeit, einen Krieg zwischen traditionellen Erzfeinden vom Zaun zu brechen.

April 2012:
Hier der Link zu einem Artikel zu einem Exploit-Händler, der Cyberkrieger mit Munition versorgt.

 

Nov. 2011: The Nitro Attacks
Symantec berichtet über Angriffe gegen mindestens 48, vermutlich bis zu 100 Firmen, bei denen zum Teil über einige Monate Daten abgezogen wurden: Symantec hat die Angriffe Nitro Attacks genannt, weil es viele Firmen im Chemiebereich oder in der Forschung zu "Advanced Materials" getroffen hat. Das besondere bei diesen Angriffen ist eigentlich, dass sie im Gegensatz zu anderen aus diesem Jahr recht einfach gemacht wurden. Keine Zero-Day Verwundbarkeiten kamen zum Einsatz, sondern oof-the-shelf Angriffswerkzeuge, wie sie auf den einschlägigen Börsen für wenig Geld zu haben sind. Es wurden Emails an Firmenmitarbeiter versendet, die Anhänge haben eine weit verbreitete Steuerungssoftware mit dem Namen PoisonIvy verwendet und über Port 80 wurde dann eine verschlüsselte Web-Kommunikation simuliert um mit dem Command&Control Servern (C&C) Verbindung aufzunehmen. Und trotz dieser einfachen Mittel war der Angriff sehr erfolgeich.

 

DNS Manipulationen im großen Umfang
Ebenfalls im November wird darüber berichtet, dass ein großes kriminelles Netzwerk ausgehoben wurde, bei dem Millionen Rechner infiziert wurden und zwar mit dem Ziel, den Datenfluss der Benutzer über falsche DNS-Einträge (und andere Mittel) umzuleiten und mit Werbung zu versorgen, die auf der Originalseite gar nicht zu sehen ist (und zum Teil für wirkungslose Penis-Vergrößerungstabletten Vimax geworben hat). Außerdem haben die Angreifer mittels Scareware-Aktionen gefälschten Virenschutz an die Opfer verkauft. Der zweite Link (NYT) verlinkt dann auf TrendMicro wo dann sehr interessante technische Details zu finden sind.

Die wirklichen technischen Details finden sich dann in einem PDF von TrendMicro: A Cybercrime Hub. Einige Auszüge / Höhepunkte: Die Infrastruktur der Angreifer war sehr ausgedehnt und vielseitig - Die Trojaner die auf den PCs der Opfer installiert wurden verlinken auf DNS Server die die Angreifer betreiben. Von dort geht es auf firmen-eigene Porno-Websites, von denen dann auf andere Webserver verlinkt wird, wo vorgebliche Video-Codecs angeboten werden, die jedoch weitere Infektionen nach sich ziehen. Proxy-Systeme der Firma analysieren den Web-Verkehr der Opfer und fügen falsche Werbebanner ein, z.B. auf nicht-existierende Pharmaunternehmen die eine Pille names Vimax anbieten, diese Werbung kommt von Adserver der gleichen Firma. Andere Server stehen für die Verkaufsabwicklung von Fake-Virenschutz bereit, auf die bis zu 100 000 Benutzer pro Tag verlinkt wurden ("ihr Rechner ist infiziert, laden sie diese Reparatur-Software herunter - und kaufen Sie dann das Upgrade auf die kommerzielle Version").

 

Nov. 2011:
Jetzt mal was zur Verteidigung gegen solche Angriffe. CERT.at hat ein kurzes Übersichtsdokument verfasst das sich an Betreiber von Web-Präsenzen richtet und auf 7 Seiten alles wichtige skizziert: Special Report: Erfahrungswerte aus den Webserver-Sicherheitsvorfällen von 2011.




Dieser Artikel hier behandelt die zahlreichen Sicherheitsprobleme die bei Certification Authorities seit 2011 aufgetreten sind.

An anderer Stelle behandele ich die grundsätzlichen Herausforderungen, die wir derzeit im HTTPS-Ökosystem haben. Dazu gehören vor allem:

- Falsche und unsichere Implementierung von HTTPS bei sehr vielen Websites

- Grundsätzliche konzeptionelle Probleme der Certification Authorities (CAs)

An wieder anderer Stelle beschreibe ich, wie Man-in-the-Middle Angriffe trotz HTTPS durchgeführt werden können.

Im Nov. 2014 werden neue Vorschläge diskutiert, wie die Misere bei den Certificate Authorities anders behoben werden könnte:

Ein Vorschlag ist die Initiative Let's Encrypt von Mozilla, EFF und weiteren Partnern, die die CAs ganz abschaffen wollen und die SSL-Zertifikate direkt mit DNS-Einträgen koppeln wollen: Wer eine Domaine besitzt, darf für diese auch ein SSL-Zertifikat ausstellen.

Ein anderer Vorschlag ist Certificate Transparency, in dem Artikel erklärt von einem Google Mitarbeiter und Security Collapse in the HTTPS Market

 

Probleme mit Zertifikatsausstellern (CAs)

31.Aug. 2011: Iran hackt zurück - DigiNotar

Es sieht so aus, als hätte auch der Iran gute Hacker in seine Diensten: Sie haben es geschafft, sich falsche Google SSL-Zertifikate auszustellen und zwar durch Eindringen in eine niederländische Certificate authority (CA) die es mit der Sicherheit nicht sehr genau zu nehmen scheint. Damit konnten die irakische Regierung die SSL-verschlüsselten Email der Gmail-Benutzer lesen, ohne dass es zu Sicherheitswarnungen kam.

Weitere sehr anschauliche Artikel dazu von f-secure DigiNotar Hacked by Black.Spook and Iranian Hackers und Sophos Google blacklists 247 certificates. Is it related to DigiNotar hacking incident?

 

Sept. 2011:
Mit einem Einbruch bei die Certificate authority (CA) DigiNotar eine der Kernsäulen der Internetsicherheit, nämlich die SSL-Server Zertifikate und deren Integrität angeknackst worden. Die einzige gute Nachricht ist, dass es irgendwann dann doch entdeckt wurde (ganz langsam) und dass die für diesen Fall vorgesehenen Mechanismen wie Devalidieren von Zertifikaten jetzt eingesetzt werden. Anderseits hätte das eigentlich mehr oder weniger automatisch passieren sollen und nicht erst durch Code-Änderungen in den Browsern und Sicherheitsupdates von Microsoft. Das heißt nämlich dass nur diejenigen in den Genuss der neuen Sicherheit kommen, die ihre Geräte aktualisieren, und Konzepte wie CRLs und OCSP sollten eigentlich ohne Software-Aktualisierung greifen.

Wie kritisch das ganze geworden ist zeigt dieser Artikel: Niederländische Regierung übernimmt Kontrolle über DigiNotar. Bezeichnend ist diese Stellungnahme:

D.h. die Regierung hat eine sehr problematische Entscheidung getroffen: Sie hat abgewogen zwischen der Nicht-Verfügbarkeit des Zugangs zu diesem Websites (beim Sperren der Zertifikate) und auf der anderen Seite den Verletzungen der Vertraulichkeit, d.h. dem Abhören der Internetverbindungen durch die iranische Regierung (die bei Nicht-Sperren der Zertifikate weiter gegeben ist. Die niederländische Regierung hat sich gegen die iranischen Bürger entschieden und das Abhören einige weitere Monate ermöglicht. Diese Problematik wird ausführlich diskutiert in Certificate Authority Collapse: Regulating Systemic Vulnerabilities in the HTTPS Value Chain (PDF, 31 Seiten).

D.h. so einfach wie in der Theorie ist das Alles gar nicht. In der Praxis haben wir dann die üblichen Probleme: Kritische Infrastruktur war unzureichend geschützt. Der Angreifer behauptet übrigens, noch in 4 Zertifizierungsstellen Zugriff zu haben.

Okt. 2011:
Weitere Anzeichen für Einbrüche bei Zertifikatsherausgebern

Es wird spekuliert, ob weitere CAs gehackt worden sind: Weitere Anzeichen für Einbrüche bei Zertifikatsherausgebern? Zitat: "Das sind also mindestens fünf CAs, die innerhalb von nur 4 Monaten geknackt wurden, um missbräuchlich falsche Zertifikate auszustellen. Und diese Zahl ist nur eine untere Grenze. In der großen Mehrzahl der Fälle – insgesamt über 900.000 Mal – zog es der Herausgeber der CRL vor, das Begründungsfeld leer zu lassen."

Das Problem sind dabei die CAs, denen Browser automatisch vertrauen. Dies ist die Position, die jeder Zertifikatsvertreiber natürlich sucht, denn dadurch sind seine Zertifikate für alle Websites geeignet ohne die Besucher mit einer Warnung zu verschrecken. Ein Autor der Electronic Frontier Foundation spekuliert, dass es vielleicht viel mehr solche Angriffe gibt. Der Artikel berichtet, dass bei einer Auswertung von Certificate Revocation Lists (CRLs) eine Liste von 14 kompromitierten CAs herausgekommen ist, davon 4 seit Juni 2011). Diese Schwachstelle der CAs stellt ein erhebliches Problem für die Sicherheit von SSL und TLS dar.

Dez. 2011:
Ziemlich peinlich: Dutch SSL certificate provider Gemnet investigates website compromise: According to Webwereld, the hacker was able to break into gemnet.nl through a phpMyAdmin installation that wasn't password-protected. PhpMyAdmin is a popular software utility that facilitates the administration of MySQL databases through a Web interface. - Wenn das nicht grob fahrlässig ist, dann weiß ich es nicht. - Update: die Presseerklärung von Globalsign sagt, dass nur die Website gehackt worden sei.

 

Feb. 2012:
Weitere Meldungen zum Thema Certfication Agencies (CA)

Ein Spezialist vom bundesdeutschen BSI äußert sich zu den Zertifikatsproblemen in den Niederlanden: Der Diginotar-SSL-Gau und seine Folgen. Er bestätigt, dass es eben nicht so einfach ist, einfach Zertifikate auf die Sperrliste zu setzen, denn dann funktioniert eben alles mögliche nicht mehr. Der Artikel berichtet auch über einen Zusammenschluss der Zertifikatsanbieter CAB-Forum, der strengere Regeln aufstellt, die Qualitätskriterien für solche Anbieter festlegen sollen.

Trustwave
Feb. 2012: Der Ärger bei den CAs geht immer weiter: Trustwave verkaufte Man-in-the-Middle-Zertifikat. Genau Man-in-the-Middle Angriffe sollen ja durch die Zertifikate verhindert werden.

Der Artikel erklärt (mehr oder weniger klar) dass die Firma Trustwave einem Kunden die Möglichkeit gegeben hat, sich selbst Zertifikate auszustellen, die auf für fremde Websites gültig sind (z.B. Gmail, Facebook und Hotmail). Ziel des Unternehmens war es, den Datenverkehr ihrer Mitarbeiter auch dann überwachen zu können wenn diese per HTTPS auf diese Dienste zugreifen. D.h. das Unternehmen hat den Mitarbeitern vorgegaukelt, sie wären direkt mit dem Gmail oder Facebook verbunden. Gerechtfertigt hat die Firma (und Trustwave) dies damit, dass sie im Rahmen von DLP (Data Leak Prevention) überwachen wollen, ob die Mitarbeiter vertrauliche Daten ins Web laden. Um DLP legal einsetzen zu können muss ein Unternehmen sich "nur" mit dem Betriebsrat einigen und dann ist es sehr wohl möglich, den PC des Mitarbeiters mit einer entsprechenden Software zu versehen, die prüft ob jemand gewisse Arten von Daten, z.B. Kreditkarten, irgendwo hin lädt. Ob ein Betriebsrat diesem Ansinnen zustimmt wird sehr stark von den Umständen abhängen. Wenn das Unternehmen begründen kann, dass dies für die Zukunft des Unternehmens essentiell ist (z.B. bei einer Bank oder in einem Hochsicherheitsbereich), so wird ein Betriebsrat solchen Verfahren durchaus zustimmen und eine Mitwirkung bei der Datennutzung im konkreten Verdachtsfall verlangen. Außerdem ist es für die Erreichung des Zieles durchaus angemessen, dass die Mitarbeiter wissen, dass ihnen über die Schulter geschaut wird.

Trustwave hat jetzt erklärt, dass sie solche Blanko-Zertifikate nicht mehr ausstellen werden, allerdings sei dies durchaus übliche Praxis in der Industrie. D.h. das ganze System der HTTPS-Zertifikate scheint gründlich verrottet zu sein.

März 2012:
Heise.de berichtet, dass ein Trojaner namens Mediyes in Deutschland kursiert, der mit einem gültigen privaten Schlüssel der Schweizer Conpavi AG signiert wurde. Heise schreibt:

Und in 2012 wird bekannt, dass es bei dem recht renomierten DNS-Betreiber und Zertifikats-Anbieter VeriSign in 2010 zu Einbrüchen kam, die aber dem Vorstand damals verschwiegen wurden, daher jetzt nachträglich eine Meldung an die Börsenaufsicht.

Sept. 2012:
Es wird nicht viel besser: Ein Bankentrojaner ist mit einem gültigen Zertifikat einer brasilianischen CA signiert.

Nov. 2012:
One year after DigiNotar breach, Fox-IT details extent of compromise: Die externe Untersuchung zum Einbruch bei Diginotar die zum Ende des Unternehmens führte. Sehr spannend: Wie der Angriff auf Diginotar im Detail ablief, wie er intern entdeckt wurde (durch einen Check der Verwaltungsunterlagen gegen die PKI), und wie dann die Man-in-the-Middle Angriffe im Iran entdeckt wurde (weil Chrome Certificate Pinning macht). Lessons learned für das System der SSL-Zertifikate.

Dann, Nov. 2012, ein 100-seitiger Bericht durch die Sicherheitsexperten von Fox-IT Black Tulip - Report of the investigation into the DigiNotar Certificate Authority breach. Für DigiNotar hatte der Vorfall bereits Konsequenzen: Das Unternehmen wurde kurz nach dem GAU liquidiert.

Dez. 2012:
Beim jährlichen Kongress des Chaos Computer Clubs berichtete ein Vortrag über die Probleme des Zertifikats-SSL-System: 29C3: "Das SSL-System ist grundlegend defekt - und jemand muss es reparieren".

 

Jan. 2013:
"google detected a non-authorized certificate for the google.com domain. After investigations, it was confirmed that Turktrust Inc incorrectly created two subsidiary certificate authorities: *.EGO.GOV.TR and e-islam.kktcmerkezbankasi.org. The first one was used to create the fraudulent google.com domain certificate detected by Google Chrome."

D.h. es geht immer weiter mit unzuverlässigen CAs. Google entdeckt solche gefälschten Zertifikate weil in Chrome das sog. "Certificate Pinning" implementiert ist. D.h. normalerweise prüfen Webbrowser die Echtheit einer HTTPS-Website indem sie in ihrem "Certificate Store" nachschauen, ob das Zertifikat von einer der vielen dort eingetragenen Certificate Authorities ausgestellt wurde. Certificate Pinnning ist schärfer: Google hat in Chrome eingebaut, dass die Google-Websites nur mittels einer Reihe von voreingestellten Zertifikaten erreichbar sind. D.h. sie merken wenn jemand die Google-Zertifikate nachmacht, andere Browser merken es nicht, wenn die nachgemachten Zertifikate von einer der "trusted" Authorities sind, wie hier z.B. Turktrust oder früher DigiNotar oder Trustwave, etc.

Forscher der Universität Amsterdam haben ein wissenschafliches Papier erstelllt, das die grundsätzliche Problematik behandelt: Certificate Authority Collapse: Regulating Systemic Vulnerabilities in the HTTPS Value Chain. Anlass ist, dass die EU plant, eine strengere Regulierung einzuführen. Unklar ist aber, wie so etwas konkret aussehen könnte, daher dieses umfangreiche Diskussionspapier dazu (PDF, 31 Seiten).

Feb. 2013:
Heise.de berichtet, dass Zertifikatsherausgeber DigiCert offenbar am 19. November 2012 ein gültiges Zertifikat für das Signieren von ausführbaren Programmen für die 2011 aufgelöste Firma "NS Auto" ausgestellt hat. Damit wurde dann ein Bankentrojaner signiert, damit seine Installation nicht zu einer Warnung führt.

Sept. 2013:
Im Rahmen der Snowden - NSA Affäre gibt es nun Hinweise, dass die NSA entweder hinter dem Angriff steckte oder ihn zumindest ausgenutzt hat. Dies ist ein winziger Teil in diesem brasilianischen Video: NSA Documents Show United States Spied Brazilian Oil Giant.

Dez. 2013:
Google entdeckt schon wieder gefälschte Zertifikate für einige ihrer Domainen: French Government Spoofs Google Certificate. Das können offensichtlich nicht nur die Iraner und andere sog. "Schurkenstaaten". Auch Microsoft sperrt Zertifikate des Directorate General of the Treasury (DG Trésor), d.h. der französischen Finanzbehörde.

 

Feb. 2014:
arstechnica berichtet über Phony SSL certificates impersonating Google, Facebook, and iTunes. Dabei werden SSL-Zertifikate genutzt, die zwar auf die jeweiligen Besitzer der Domain ausgestellt sind, aber "self-signed". D.h. die gängigen Browser bringen alle eine Warnung, leider aber die meisten Handys und Handy-Apps nicht:

Ein weiterer Fall berichtet: Bogus antivirus program uses a dozen stolen signing certificates .

Juli 2014:
Regierungsnahe CA in Indien stellte falsche Google-Zertifikate aus. Zum Glück findet Google mittels Certificate Pinning in Chrome heraus, wenn solche Aktionen laufen. Die indische Regierung ist ja leider nicht die einzige, die "regierungsnahe" Certificate Authorities hat, fast jedes Land hat so was.

 



06.03.2011 - Vorratsdatenauswertung - Die wundersamen Reisen des Herrn Spitz

Hier wird interaktiv dargestellt was die Behörden über JEDEN von uns nachvollziehen können der mit einem eingeschalteten Handy unterwegs ist
Quelle: Die Zeit

 

Die Vorratsdatenspeicherung beschäftigt uns jetzt seit 2007. Was die Vorratsdatenspeicherung in der Praxis bedeutet, hat ein deutscher Politiker aufgezeigt: Er klagte die deutsche Telekom, um seine eigenen Handy-Vorratsdaten zu erhalten und ließ von der deutschen Zeitung "Die Zeit" diese Daten dann auf einer interaktiven Karte auswerten. Das Ergebnis kann sich jeder im Internet ansehen: Man kann das komplette Leben dieses Politikers von August 2009 bis Februar 2010 bloß über diese Vorratsdaten nachvollziehen.

Auf der Karte werden seine Reisen interaktiven und dynamisch dargestellt, rekonstruiert aus den Ortungen die sein Mobilfunkanbieter routinemäßig durchführt und jetzt sammeln muss. Dazu findet sich rechts wie oft er angerufen hat oder eingerufen wurde, wieviele SMS ein- und ausgingen, und die Dauer seiner Internetverbindungen.

Aus öffentlich zugänglichen Quellen, z.B. seinen Tweets bei Twitter (die über spezielle Suchanfragen ebenfalls öffentlich zugänglich sind) wurden dann zusätzliche Hintergründe ergänzt. Für Forscher die sehen wollen, was sie aus diesen Daten noch alles rauskitzeln können gibt es den Datensatz im Download. D.h. dies sind Informationen die für Behörden (mehr oder weniger kompliziert) über JEDEN von uns der mit eingeschalteten Handy unterwegs ist verfügbar sind. Ich vermute, dass es dort auch ähnliche Programme gibt, mit denen unsere Bewegungen so toll visualisiert werden können.
 


Philipp Schaumann, http://sicherheitskultur.at/

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.