Peter's Insider Blog - Sicherheit

Internet Explorer: lautlose Infektion durch Cursor

nospam@example.com (Peter) — Thu, 29 Mar 2007 20:04:00 +0200

Noch in diesem Monat habe ich im Artikel "Ein Trojaner aus Bern?" die Möglichkeiten einer Programmeinschleusung mittels einem Bildformat besprochen. Heute hat Heise gemeldet, dass der Antivirenhersteller McAfee einen Proof of Concept Virus entdeckt hat, welcher die Codeeinschleusung in Internet Explorer und Outlook mittels einem animierten Cursor (.ani) erlauben soll. Betroffen von dieser Lücke soll der Internet Explorer 6 & 7 unter einem voll-gepatchten Windows XP SP2 sein. XP SP1 und SP0 seien nicht betroffen. Über Windows Vista schweigt sich McAfee aus, aber falls Vista ebenfalls anfällig wäre, hätten sie das an die grosse Glocke gehängt, nun will McAfee nicht Werbung für ein Betriebssystem machen, das sicherer ist als seine Vorgänger. Schon doof, wenn sich ein Milliardengeschäft auf der Unsicherheit der Betriebssysteme eines Herstellers abstützt.

Microsoft hat bisher noch keinen Patch dagegen, dafür meint McAfee das Outlook ebenfalls davon betroffen sei. Nun ja für Outlook ist die Abhilfe einfach => HTML Emails als Text darstellen. Betreffs dieser Lücke im Internet Explorer rät Heise einen anderen Browser, konkret Opera oder Firefox, zu nutzen. Super Idee Heise, Firmen installieren solange "einfach" "rasch" den Mozilla Firefox auf allen Computern und warten auf den Patch von Microsoft.

Analyse

Ich habe hier eine kurze Analyse, des mir unbekannten und nicht-verfügbaren zukünftigen Virus gemacht. Falls jemand ein Sample sichtet, wäre ich froh wenn er meine Thesen bestätigt.

Eine der ersten Fragen die man sich sicher stellt ist: Warum [, zum Teufel,] muss der Internet Explorer animierte Cursor (*.ani) darstellen können? Die Antwort darauf ist, damit eine Website den verwendeten Cursor individualisieren kann. Dies geht beispielsweise mit folgendem HTML/CSS Snippet:

<head>
...
<style type="text/css">

</style>
</head>

Damit wäre auch die Frage der Einschleusung geklärt, denn laut McAfee stürzt der Internet Explorer nicht ab, noch gäbe es sonst irgendwelche Anzeichen, welche unmittelbar auf eine Infektion hindeuten. Man muss also nur eine (bösartige) Internet Seite mit IE ansteuern oder eine (bösartige) HTML Email in Outlook öffnen um damit infiziert zu werden

Wie könnte man also diesem ungepatchten Loch begegnen (ausser gleich auf Firefox oder Opera umzusteigen)?

Die einfachste Idee ist sicherlich den Content Filter anzuweisen, alles Eingehende mit der Endung .ani zu blockieren. Das hat allerdings zwei entscheidende Nachteile: 1.) Dynamische Seiten könnten ebenfalls die Endung .ani haben. 2.) Mein Test hat ergeben das der Internet Explorer beliebige andere Endungen auch als animierten Cursor anzeigt, was nicht verwunderlich ist.

Eine andere Idee meinerseits ist, den animierten Cursor auf Grund seines Headers zu blocken: Auch das .ani Format basiert auf dem Microsoft RIFF Container Format. Eine .ani Datei hat nach der Spezifikation folgenden Header:

typedef struct _RiffAniFile
{
DWORD FileId; / File ID (always "RIFF") /
DWORD Size; / Length of file minus 8 in bytes /
DWORD FormId; / Format ID (always "ACON") /
LISTINFOCHUNK ListInfoChunk; / File and content information /
DISPLAYSUBCHUNK DisplaySubchunk; / Display object /
ANIHEADERSUBCHUNK AniHeader; / Header information /
RATESUBCHUNK RateSubchunk; / Frame rate data /
SEQUENCESUBCHUNK SequenceSubchunk; / Frame sequence data /
LISTFRAMECHUNK ListFrame; / LIST Frame chunk /
} RIFFANIFILE;

Das heisst man kann ein .ani File an folgendem Fileanfang (12 Bytes) zu erkennen: "RIFF" <DWORD (4 Bytes)> "ACON", dargestellt in Hex: 0x52, 0x49, 0x46, 0x46, 0xXX, 0xXX, 0xXX, 0xXX, 0x41, 0x43, 0x4f, 0x4e (0xXX steht für einen Wert von 0x00 bis 0xff). Die angegebene Length in Bytes einer normalen Cursor-datei sollte normalerweise nicht allzu gross sein, wenn man davon ausgeht das sie in Little Endian Byte-Reihenfolge gespeichert ist. Diese Erkennungsmethoden basiert auf der wahrscheinlichen zutreffenden Annahme, das der Virus mindestens diesen Teil des Headers enthält. McAffee nimmt an, dass die neu Entdeckte Lücke, einer bereits geschlossenen .ani Lücke (MS05-002) ähnelt. Da für diese (alte) Lücke ein Exploit in C geschrieben vorliegt, liegt die Vermutung nahe, dass der neue Virus diesen Teil des Headers enthält, denn der alte tat es auch:

unsigned char aniheader[] = "\x52\x49\x46\x46\x9c\x18\x00\x00\x41\x43\x4f\x4e\ ...

Auf jeden Fall kann man nicht einfach alles was bloss mit "RIFF" beginnt blocken, denn dies würde auf diverse Dateitypen zutreffen, darunter auch .avi und .wav. Der FormID Teil muss also auch überprüft werden. Ausserdem sollte man einen Rechner nicht nach diesen Header Kriterien durchsuchen, denn spätestens im Verzeichnis %WINDIR%\Cursors\ würde man fündig werden.

Wer mir einen sinnvollen Einsatz für einen animierten Cursor auf einer Webseite nennen kann bekommt einen Blumenstrauss.

Trickbetrüger bei Ricardo

nospam@example.com (Peter) — Thu, 22 Mar 2007 21:31:00 +0100

Ein Mitarbeiter von Namics beschreibt ausführlich, wie er auf der schweizerischen Auktionsplattform Ricardo beinahe von einem (nigerianischen) Trickbetrüger hereingelegt worden wäre. Schön ersichtlich ist auch die Lernkurve, die der Betrüger anscheinend in kurzer Zeit durchlaufen hat. Das Problem ist, dass trotz des Swiss Security Day und firmeninterner Schulung, wohl immer noch einige Leute darauf hereinfallen würden.

Zufall ist wohl die abschliessende Frage des Autors: "Nun muss ich noch überlegen, was ich Mr. Terry antworten sollte. Meines Wissens gibt's keine Internet-Polizei, die international so etwas nachgehen würde. Oder?" Passt sie doch genau zu meinem Artikel von gestern: Kaspersky will Interpol für das Internet. Internetpolizei wäre wahrscheinlich ein bisschen zuviel gehofft, aber man könnte ja mal ein paar Lobbyisten losschicken.

Übrigens in der Schweiz gibt es die Koordinationsstelle zur Bekämpfung der Internet-Kriminalität (KOBIK), welche aber in internationalen Angelegenheiten meist keine Chance hat und von Meldungen überhäuft wird. Internationale Vorfälle werden an Interpol gemeldet.

Ein Trojaner aus Bern?

nospam@example.com (Peter) — Sun, 18 Mar 2007 19:15:00 +0100

Wie in Deutschland gibt es auch in der Schweiz das Bestreben von staatlichen Stellen, PCs unbemerkt mittels Trojaner ausspionieren zu können. So unrealistisch ist das Szenario nicht, allerdings gibt es schon ein paar Fallstricke mit denen Kriminalbeamten zu kämpfen hätten. Hier eine kleine Aufstellung der Probleme, die die Staatsschützer vor sich haben, diese Probleme haben theoretisch auch billige Virenprogrammierer mit Ausnahme, dass diese nicht gezielt eine spezielle Person ausspionieren möchten, sondern ihr "Produkt" weit streuen. Hier werden ausschliesslich Probleme diskutiert, die durch die Verwendung eines lokal installierten Softwaretrojaner entstehen. Es gibt weitere Möglichkeiten um nur den Internetverkehr eines Benutzers auszuspionieren, dazu gehören: Backdoor in Router, abhören bei Telekomfirmen, abhören von Internetknoten (IX).

Problem 1: Wie kommt der Trojaner überhaupt auf den PC?

Sicherheitslücke im Betriebssystem

Dies ist wohl die grösste Schwierigkeit der Ganzen Sachen. Ohne Social Engineering kommen Trojaner eigentlich nur über eine Sicherheitslücke in dem Betriebssystem auf den Computer und auch das nur falls keine Hardwarefirewall oder Router davorgeschaltet sind. Der Wurm Sasser ist hierfür das bekannteste Beispiel.

über Email

Eine andere Methode tut not. Über welches Medium kommen die meisten Viren auf PCs? => Richtig, über Emails oder Sicherheitslücken im Microsoft Internet Explorer. Bei Email besteht das Problem, das der Benutzer überzeugt werden muss, dass er das Attachement öffnen soll. Das funktioniert sicherlich bei einigen Leuten, aber der Staat will gezielt überwachen und nicht tausende von Mails versenden und anschliessend darauf vertrauen, dass ein Prozent der Leute den Trojaner tatsächlich haben. Gold wert sind Methoden, die dank Mediencontainerformaten (JPEG, MOV, WMV, ...) Schwachstellen in den Implementierungen ausnutzen, d.h. einen Buffer Overflow erzeugen und den Code des Trojaners ausführen. Denn mal davon abgesehen, dass ausführbare Anhänge meistens durch das Email Programm gesperrt sind, ist es doch relativ plump jemandem ein .exe zuzuschicken. Bilder, Videos, Animationen, PDFs sind meistens nicht gesperrt und deshalb ein gefährliches Einfallstor.

Browserbedingte Auslieferung von Sicherheitslücken

Falls es möglich ist jemanden auf eine Seite zu locken, ist es anschliessend möglich der Person einen Trojaner unterzujubeln, falls der betreffende Browser (wie z.B. Internet Explorer, Firefox, Opera, Safari) eine Möglichkeit (Sicherheitslücke) bietet um dies zu tun. Dank der Mitlieferung des User Agent ist es möglich den Browsertyp festzustellen und dem Browser eine Sicherheitslücke nach seinem Gusto anzubieten. Das wäre eine Art bedingte Sicherheitslückenauslieferung, möglich ist es, aber ob es bisher gemacht wurde ist mir nicht bekannt.

Social Engineering

Klar wenden auch die oben genannten Einschleusungsmethoden über Browser und Email Methoden vom Social Engineering an, wenn auch nur in einem bedingten Rahmen. Social Engineering wird hauptsächlich bei Industriespionage und Betrugsversuchen angewandt. Social Engineering kann als Methode beschrieben werden um von einer bestimmten Person, bestimmte Informationen zu erhalten. Dies ist brandgefährlich und deshalb werden Personen die Umgang mit sensitiven Informationen haben auch darauf geschult, oder sollten es werden. Die betreffende Person müsste also im konkreten Fall ("Bundestrojaner") von verdeckt operierenden Beamten unter Vorspielung falscher Tatsachen dazu gebracht werden, den Trojaner zu installieren.

Problem 2: Plattformunabhängigkeit

Trojaner haben das Problem von einem bestimmten Betriebssystem abhängig zu sein. Plattformunabhängige Trojaner existieren hauptsächlich in der Theorie. Natürlich wäre es aber möglich ein Virus in Java zu schreiben, und nur den Ladecode in betriebssystemspezifischem Code, aber ob dies sinnvoll ist kann als fragwürdig bezeichnet werden. Mit anderen Worten heisst das, der Staat müsste entweder Trojaner für alle Plattformen entwickeln lassen oder sich auf eine bestimmte Plattform versteifen. Nachfolgende Bemerkungen zu den einzelnen Systemen sind mit einem ironischen Unterton zu betrachten:

Windows: Eine Mehrzahl der Leute nutzt Windows, d.h. die meisten Kriminellen nutzen (wahrscheinlich) Windows.

GNU/Linux: Wer Linux nutzt, kann doch keiner Fliege was zu leide tun, oder?

Mac OS: Wer ein solch stabiles System besitzt, wird nicht auf den Gedanken kommen ein Verbrechen zu begehen.

FreeBSD: Hey, die haben ein Teufelchen als Logo, die sind potentiell gefährlich.

Die Frage nach der Plattformunabhängigkeit ist demnach geklärt, falls diese Entscheidung jemals ansteht, wird man sich aufgrund dessen Verbreitung wahrscheinlich für Windows entscheiden.

Problem 3: Entdeckung durch Virenscanner

Auch ein staatlicher Trojaner sollte nicht von einem Virenscanner entdeckt werden. Dazu erwägt man mit Herstellern von Virensoftware zusammen zu arbeiten, was diese kaum tun werden. Das Ziel ist also, dass der Trojaner nicht von der Virensoftware und dem Benutzer entdeckt werden darf. Aus meiner Sicht ist dies nicht mal so ein Problem, wie angenommen wird, denn:

Der Trojaner wird gezielt eingesetzt, d.h. es gibt keine grosse Verbreitung und die Gefahr das er von einem Sicherheitsspezialist entdeckt und analysiert wird ist relativ klein.
Es ist möglich Trojaner zu schreiben die die Heuristikfunktionen der Virenscanner passieren.
Bern hat die Möglichkeit den Trojaner im Vorfeld an allen aktuellen Sicherheitssuiten ausgiebig zu testen.

Fazit

Ein Bundestrojaner, wäre zwar machbar. Dies würde aber einerseits viel Arbeit und Aufwand mit sich bringen. Und auf der anderen Seite, ist ein Einsatz immer noch fragwürdig. Natürlich wäre es diskreter, als bei einer Hausdurchsuchung den betreffenden Computer zu beschlagnahmen, aber da wäre wenigstens eine allfällige Willkür ersichtlich. Gerade im Zusammenhang mit dem amerikanischen Patriot Act, der NSA, dem realitätwerdenden 1984, ist folgende lateinische Frage immer noch aktuell: "Quis custodiet ipsos custodes?", => Wer überwacht die Überwacher? Vielleicht nimmt Moritz Leuenberger in seinem Blog ja mal Stellung dazu.

Meinungen aus CH-Blogs zum Thema Bundestrojaner:

Staatstrojaner vs. Virenschutz

Bünzlitrojaner

In der Schweiz sollen uns “Softwarewanzen” überwachen

Hacker Staat

Der Switch-Phisher

nospam@example.com (Peter) — Wed, 07 Feb 2007 23:33:00 +0100

Die Story dazu auf dem gibts hier oder im Heute. Dieser Artikel beantwortet gleich drei Fragen bezüglich Phishing auf einmal:

Es gibt Phisher aus der Schweiz.
Phisher verhalten sich im Allgemeinen doof.
Diese Tatsache schliesst allerdings nicht aus, dass trotzdem ein paar Personen darauf reinfallen (was bedauerlich ist).

NZZ jetzt auch "geknackt"!

nospam@example.com (Peter) — Fri, 20 Oct 2006 20:22:00 +0200

Nachdem bei Medienlese.com die Ansicht vertreten wurde, dass die Onlineausgabe der meisten Schweizer Zeitungsarchive ungenügend geschützt vor dem unerwünschten Zugriff von aussen seien, habe ich mir das Kronjuwel der Schweizer Medienlandschaft als Beispiel geschnappt, es ist dies die NZZ auch bekannt als "die alte Tante". Und siehe da, nach der Weltwoche und dem Tagi, gibt es jetzt auch ein Proof of Concept für die NZZ, "entwickelt" vom Schreiber dieses Beitrages. Dazu mussten Gesetze weder übertreten noch strapaziert werden. (Dazu müssen nur URL's aufgerufen werden.) Wie es dazu kam:

1.) Die NZZ hat ihr Archiv auf www.nzzglobal.ch

2.) Gibt man diese Seite so bei Google als Suchanfrage an: site:nzzglobal.ch sieht man diese Seite in den Resultaten.

3.) Für einen Laien ist diese Seite leer, doch selbst der untalentierteste Webdesigner, der nur rudimentäre Kenntnisse von HTML und Javascript hat, wird im Quelltext der Seite eine Erleuchtung haben.

4.) Im Seitenquelltext findet sich ein Link hierhin.

5.) Wieder eine leere Seite wird der genervte Leser dieses Eintrages sagen und wieder ist die Wahrheit im Quelltext.

6.) Von dorther gelangt man hierhin (zur heutigen Zeitung), welche auch leer zu sein scheint, man findet aber URLs (im Quelltext) zu allen einzelnen Seiten.

7.) Auf dieser Seite wiederum den Link zu der PDF Version.

8.) Und die PDF Version ist dann endlich etwas, was für alle sichtbar ist.

Beispiele Zur Ausgabe von Heute: Seite 1, Seite 2, Seite 3, Seite 4, usw...

Natürlich könnte man den Zugriffsvorgang extrem vereinfachen, aber es ist keineswegs meine Absicht, dies zu tun, denn wer Zugriff zum Onlinearchiv einer Zeitung haben will, soll dafür bezahlen, es wäre jedoch auch denkbar den Zugriff auf das ePaper Archiv über Werbung zu finanzieren. Ach ja als kleiner Nebeneffekt ist die NZZ am Sonntag auch gleich mit-unterwandert. Und bytezh hat natürlich recht, wenn er meint, das die Schweizer Medienhäuser media.slug.ch zu ihren Favoriten hinzufügen sollten. Mit diesem Beitrag, wäre einmal mehr aufgezeigt, dass Google eine potenzielle Bedrohung für die Sicherheit von nicht/ungenügend abgesicherten Webseiten wäre. So das wärs für heute, ich muss mich sputen. Euer Lieblingssicherheitsspezialist

[Update] Die Liste der "gehackten" ePaper ist einiges länger als hier geschrieben, sie umfasst: Baslerstab, Facts, Tagesanzeiger, Netzwoche, NZZ, Sonntagszeitung, Weltwoche. [/Update]

XSS-Sicherheitslücke auf bundesregierung.de

nospam@example.com (Peter) — Sun, 03 Sep 2006 14:52:00 +0200

Eine XSS-Lücke (Cross Site Scripting) auf der Seite der Deutschen Bundesregierung sorgt zurzeit für ein paar Spielereien. Das XSS, aufgetaucht im Forum von Heise, wird einmal mehr über die Suchfunktion abgesetzt. Bei XSS werden keine Daten auf dem betroffenem Server verändert, es wird einfach angezeigt, was über die URL angegeben wird. Spezialist für XSS mit Suchfeldern war bisher bytezh. Siehe hier und hier.

Web-Sicherheit ist nicht "In" bei Steg und Interpol

nospam@example.com (Peter) — Mon, 07 Aug 2006 19:19:00 +0200

SSL und andere Gedanken zu Sicherheit gehören für Webshops heute zum Guten Ton. Steg beweist, dass es auch anderes geht. Nicht nur das die Verbindung nicht verschlüsselt wird, man darf auch nicht Passwörter wählen die länger als 10 Zeichen sind, ist im Grunde genommen ja auch nicht nötig, da die Verbindung eh nicht verschlüsselt wird. Folgende Fehlermeldung erscheint dann:

"Das Passwort darf aus höchstens 10 Zeichen bestehen

Bitte gehen Sie zurück und korrigieren Sie die fehlerhaften Informationen."

Meine vielen Passwörter sind aber meistens länger als 10 Zeichen. Über den Grund für solch eine Fehlermeldung kann man eigentlich nur Mutmassungen anstellen. Meine ist wie folgt: Irgendein ein Sohn eines Steg Mitarbeiters hat diesen Webshop einmal programmiert, lange bevor Hash-Algorithmen in Mode waren, und die Passwörter tatsächlich alle dieselbe Länge gehabt hätten z.b. 32 Zeichen für MD5. Naja bei Steg, der sich insbesondere in den Regionen Zug und Luzern grosser Beliebtheit erfreut, geht man die Sachen sowieso meistens abholen und so entfällt das Bestellen über den Webshop.

Hier ein Screenshot der Meldung auf dem auch ersichtlich ist das die Verbindung nicht verschlüsselt ist (kein Schloss)

Interpol verfolgt auch eine non-SSL Strategie auch wenn durchaus eine SSL(TLS) Verbindung möglich wäre, wird diese nicht forciert. (https://www.interpol.int) Das ist sicher gut für alle korrupten Regierungen die Kriegsverbrecher verstecken, so können sie, wenn sie das Internet überwachen ihre Schäfchen warnen und an einen anderen Ort bringen lassen. Und wer hat das Nachsehen? Die arme Carla und die Menschlichkeit.

Man beachte das Wort das mir die Captcha-Grafik präsentiert: "smAsh", was soviel heisst wie zerschmettern.

SecurID von RSA

nospam@example.com (Peter) — Mon, 27 Feb 2006 19:12:52 +0100

RSA Security, das Unternehmen, welches mit seiner SecurID gross im Geschäft ist gibt mir Grund zur Sorge auf. Nicht nur, dass ich mich frage, ob das System das hinter der SecurID steckt eines Tages geknackt werden wird, nein auch die Frage von welcher Seite aus gesehen ich diesen Code eingeben soll sorgt bei mir für Fragzeichen.

Virenscanner BitDefender Gratis

nospam@example.com (Peter) — Thu, 16 Feb 2006 18:19:57 +0100

Heise meldet das es am morgigen Freitag, den Virenscanner 8 von BitDefender den ganzen Tag gratis gibt. Die aktuelle Version von BitDefender ist die Version 9. Heise vermutet hinter dem Schritt von BitDefender, dass diese H+BEDV, den Hersteller von AntiVir, Kunden des kostenlosen Virenscannern abjagen wollen. Ich setzte bisher die Professional Variante von BitDefender ein. Die Labors von BitDefender reagieren am schnellsten auf neue Viren und ca. stündlich stehen neue Updates bereit. Hier lässt sich morgen (17.02.2006) von 0.00 bis 24.00 BitDefender 8 Standard kostenlos herunterladen, die Virendefinitionen dürfen 1 Jahr lang ebenfalls kostenlos heruntergeladen werden. Ich kann BitDefender auf jeden Fall nur empfehlen und Interessierte sollten sich dieses Angebot nicht gehen lassen. Und noch was: Bei der Sicherheit gespart ist am falschen Ort gespart.

Swiss Patriot Act, Teil II

nospam@example.com (Peter) — Mon, 13 Feb 2006 20:27:29 +0100

Nachdem ich bereits von der von mir gefundenen möglichen zukünftigen Gesetzeslücke berichtet habe, bin ich der Ganzen Sache noch einmal nachgegangen. Meine Aufmerksamkeit hatte nämlich folgender Text im Vorentwurf des Bundesgesetzes über Massnahmen zur Wahrung der inneren Sicherheit (kurz BWIS) geweckt:

"Elektromagnetische Ausstrahlungen aus dem Inland dürfen nur erfasst und ausgewertet werden, soweit sie
nicht dem Fernmeldegeheimnis unterliegen. Unterliegen sie diesem Geheimnis, gelten die Bestimmungen
betreffend die Überwachung des Post-und Fernmeldeverkehrs"
-Art. 14a Seite 3 Vorentwurf BWIS II-

Das würde nämlich heissen das alle elektromagnetischen Ausstrahlungen, die nicht dem Fernmeldegeheimnis unterstehen erfasst und ausgewertet werden dürften. Das heisst wiederum, das in Zukunft auch die Ausstrahlungen von Monitoren (Flach- und Röhrenbildschirme) erfasst und ausgewertet werden dürften, was wiederum bedeuten würde das die meisten Bildschirme in der Schweiz legal und ohne zusätzliche Bewilligung "abgehört" werden dürften, denn ein herkömmlicher Bildschirm strahlt genügend Informationen in die Luft und ins Stromnetz ab, das man auch in bis zu 1 Kilometer Entfernung den aktuellen Bildschirminhalt eines beliebigen Bildschirms ermitteln kann. Der abgefangene Bildschirminhalt ist zwar verschwommen, aber dargestellter Text kann man meistens noch lesen. Die Wege über die Der Bildschirm seine Informationen preisgibt sind in dieser Grafik skizziert:

Das Verfahren das diese Spionage beschreibt heisst Van-Eck-Phreaking, häufig wird auch der Begriff TEMPEST in diesem Zusammenhang verwendet. TEMPEST ist der Name eines Forschungsprogramm der NSA, dem wohl grössten Geheimdienst der Welt.

Laut Informationen von ARAMIS, dem schweizerischen Forschungsinformationssystem hat oder hatte die Schweiz auch ein TEMPEST-Programm, das wie folgt beschrieben ist, aber wohl genau auf dieses Verfahren zutrifft:

"Grundlagen auf dem Gebiet der Detektion und Verarbeitung von analogen und digitalen Signalen. Methoden der Informationsverarbeitung, der Analyse und des Nachweises von kompromittierenden Signalen."

Das schweizerische TEMPEST Projekt gehört übrigens zum VBS. Ich denke, dass es sich bei dieser Angelegenheit tatsächlich um eine Gesetzeslücke handelt und werde das Ganze weiterverfolgen. Den Vorentwurf von BWIS II und seine Erläuterung gibt es hier (EJPD) im PDF Format.

Schweizer "Patriot Act"

nospam@example.com (Peter) — Tue, 07 Feb 2006 21:01:00 +0100

Folgende Zeilen im Vorentwurf Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit (BWIS), vielleicht auch ein Schweizer "Patriot Act", erregten meine Aufmerksamkeit:

Elektromagnetische Ausstrahlungen aus dem Inland dürfen nur erfasst und ausgewertet werden, soweit sie
nicht dem Fernmeldegeheimnis unterliegen. Unterliegen sie diesem Geheimnis, gelten die Bestimmungen
betreffend die Überwachung des Post-und Fernmeldeverkehrs (Artikel 18a bis 18l).

Da heisst es also, dass elektromagnetische Ausstrahlungen aus dem Inland erfasst und ausgewertet werden, wenn sie nicht dem Fernmeldegeheimnis unterliegen. Meiner Ansicht nach ist dies eine Art Gesetzeslücke, denn die Ausstrahlungen eines Monitors sind ebenfalls Elektromagnetische Ausstrahlungen und dürften somit erfasst werden. Wenn man aber die elektromagnetischen Austrahlung eines Monitors(egal ob Röhren- oder Flachbildschirm) einfangen kann, ist man in der Lage den Ganzen Bildschirminhalt in Echtzeit rekonstruieren und anzeigen zu lassen, dies ist entweder dank Ausstrahlungen in die Luft oder ins Ausstrahlungen ins Stromnetz möglich, beides bekam ich vergangene Woche in der Crypto AG, einem der weltweit grössten Anbieter für kundenspezifische Kryptographielösungen, demonstriert.

Den Vorentwurf sowie die Erläuterung dazu kann man auf den Seiten des EJPD einsehen und dann könnt ihr mir sagen ob ich etwas übersehen habe oder ob ein Bildschirminhalt dem Fernmeldegeheimnis unterliegt.

guter Referer, schlechter Referer => iTrace

nospam@example.com (Peter) — Tue, 22 Nov 2005 20:52:57 +0100

Heute geht es in meinem Blog um den klassischen Referer, den HTTP_REFERER. Unter dem Referer versteht man einen Wert der vom Browser an den Zielserver gesandt wird, wenn man einen Link klickt, genauer gesagt handelt es sich dabei um die letzte besuchte Seite.

Für den Webmaster Segen auf der einen Seite, für den Datenschützer Graus auf der anderen Seite. Ein Referer wird nicht nur beim anklicken eines Links gesendet sondern auch wenn ein Bild von einer externen Webpage eingebunden wird, was unter anderem bei dem schwach frequentierten Argovia Chat zu einem gravierenden Sicherheitsproblem führen kann. Denn durch eine Sicherheitslücke lassen, sich externe Bilder in den Chat einbauen, und somit kann ein Script Kiddie, entweder eine als gif getarnte PHP-Datei in den Chat einbinden, und alle Referers mitloggen oder gleich das Log File seines Servers anschauen, wenn er denn Zugriff hat. Das wirklich gefährliche am Argovia Chat ist nämlich, dass dieser den Benutzernamen und das Passwort im Klartext in der Url überträgt. Auf einem Blick präsentieren sich ihm nun Namen, Passwörter und IP- Adressen aller am Chat-Beteiligten. Doch die Herren von Argovia waren ungefähr ähnlich Ignorant, wie diese Beispiel hier, als wir (Corinne, ich und andere) ihnen wiederholt diverseste Sicherheitslücken in der Chat Software aufgezeigt hatten.

Alle Benützer des Webmail von Bluewin und Bluemail hinterlassen ihre email Adresse in dem Referer, eigentlich nicht so schlimm, ausser man will unbekannt, unerkannt bleiben und keinen Spam erhalten.

Die Forensoftware phpBB2 erlaubt es den Benutzer als Ganze zu übernehmen,solange dieser online ist und nur falls er die Authentifikation über ein Cookie ausgeschaltet hat. Diese Problem habe ich vor einiger Zeit kurzerhand Referer Race Condition (RRC) getauft in Anlehnung an die klassische Race Condition.

Das ist eigentlich eher kein Problem der Webapplikationen als Solches, aber die Implikationen sind es natürlich.

Um den Referer im Firefox den Referer auszuschalten, muss man about:config in die Adressleiste eingeben und Enter drücken, anschliessend zum Wert network.http.sendRefererHeader gehen und sein Wert wie folgt verändern:

0 - kein Referer senden

1 - Den Referer nur bei Webseiten senden

2 - (Standard) Den Referer bei Webseiten sowie Bilder senden

Meine Empfehlung ist es grundsätzlich die Refererübertragung auszuschalten (0).

Eine Empfehlung für Webapplikationen ist es Forwarderseiten zu erstellen, so das externe Links nicht direkt aufgerufen werden können. (Sofern man von seinen Usern nicht verlangen kann, die Referers auszuschalten oder einen modifizierten Browser zu verwenden, was innerhalb von Banken, Versicherungen und Sicherheitsunternehmen sicher sinnvoll ist.) Diese sollten allerdings zeitlich begrenzt sein, oder besser es sollten nur Webseiten weitergeleitet werden, welche in einer Datenbank abgespeichert sind. Sonst lassen sich solche Referers erstellen:

http://www.mary-kateandashley.com/leaving.php?http://live.rootquest.com

Hinweis: Mary-Kate and Ashley Olsen sind amerikanische Zwillinge, welche ein Vermögen von ungefähr einer Milliarde aufgebaut haben.

Fifa defaced || "Hackerangriff" auf Fifa.com

nospam@example.com (Peter) — Sat, 19 Nov 2005 16:03:01 +0100

Die Seite des internationalen Fussballverbandes Fifa (fifa.com) wurde von einem "Hacker" defaced. Hier ein Screenshot:

Auf dem Yns WeBLOG gibt es weitere Screenshots.

Besorgniserregend an der Tatsache das die Website der Fifa defaced wurde finde ich, dass selbst so eine grosse Organisation nicht vor Deface-Angriffen geschützt ist und das die Seiten anscheinend ausreichend lang defaced geblieben sind,so dass Etliche User Screenshots davon machen konnten.

Wie aber haben diese Personen fifa.com defaced? Nach ein bisschen herumsurfen findet man den Term Fifa CMS, das gibt man dann in Google ein und erhält die Seite cms.fifa.com zurück. Dort sieht man bei dem gefundenen Eintrag folgenden Text:

FIFA.com CMS
Monday,14 Nov 2005. User Name. Password. Please enter your username and password
and click "Submit"
cms.fifa.com/

Mit anderen Worten am 14. November 2005 befand sich unter cms.fifa.com noch das Weblogin für das CMS (Content Managment System) der Fifa, dieses Weblogin scheint nun abgeschaltet worden zu sein. Und sollte mich nicht alles täuschen war dies der Einstieg für den Fifa Hack und somit waren wahrscheinlich keine Profis am Werk sondern eher durchschnittliche Script Kiddies, die wahrscheinlich besser mit Grafikprogrammen umgehen können als mit der Kommadozeile.