Peter's Insider Blog

UBERMORGEN.COM steckt hinter Wahlgeld.com

nospam@example.com (Peter) — Tue, 25 Sep 2007 19:53:01 +0200

Die Künstler von UBERMORGEN.COM stecken hinter der witzigen Website Wahlgeld.com, welche Schweizer Nicht-Wählern Geld für ihr Stimmcouvert anbietet. Hier die die Beweise:

Die Bundeskanzlei spricht von einem Werbebüro, dass Wähler für dumm verkaufen will. Zahlreiche Medien, darunter: NZZ, Tagi, SF und 20 Minuten haben bereits über diesen "Stimmenhandel" berichtet, es scheint erschreckend einfach Schweizerische Medien zu instrumentalisieren.

Anscheinend scheinen diese Blätter, zwar wie der Tagi ein Whois Lookup durchgeführt zu haben (Bravo), nur nützt dies nichts wenn die Domain bei einem Domain Anonymisierungsdienst registriert wurde.

Hier nun die Hinweise, welche ich ausgemacht habe:

In den Metadaten des PDF der Medienmitteilung von Wahlgeld.com wird ein gewisser Hans Bernhard als Autor genannt. Hans Bernhard (evt. ein Pseudonym) ist Mitglied der auf Media Hacking spezialisierten Künstlergruppe UBERMORGEN.COM. (dazu folgender Screenshot)

Wahlgeld.com <-> Hans Bernhard <-> UBERMORGEN.COM

Ein weiterer Hinweis auf UBERMORGEN.COM ist die Telefonnummer auf Wahlgeld.com (+436509300061), welche auch auf UBERMORGEN.COM als Kontakt angegeben ist. (Klicken zum vergrössern)

UBERMORGEN.COM ist bekannt für die Erpressung von Amazon.com und für das Projekt Google will eat itself, welches aus Werbeeinahmen von Google Ads, Google Aktien kauft. Durch diesen Kreislauf soll sich Google selbst aufessen, dass Projekt besitzt bereits Google Aktien im Wert von 131'148 US Dollar und somit dauert es laut Website noch 202'345'125 Jahre bis das Projekt Google vollständig übernommen hat.

Komplott: Der Flash-Rassismus der SUISA

nospam@example.com (Peter) — Tue, 11 Sep 2007 22:05:00 +0200

Die einen wollen, die neu eingeführte SUISA-Gebühr auf MP3-Player und Festplatten Rekorder gleich wieder abschaffen, ich hingegen frage mich schon seit einiger Zeit, warum die Abgaben auf MP3 Player mit Flashspeicher (iPod Touch, iPod Nano) extrem viel teuerer sind als die Abgaben auf MP3-Player mit Harddisk (iPod classic). Die einzige logische Begründung ist, dass zurzeit die wenigsten Flash-Player über viel Speicher jenes Typs verfügen. Die SUISA-Abgabe mit der heutigen Berechnungsmethode, welche am 1. September 2007 in Kraft getreten ist, soll allerdings erst in mindestens 22 Monaten geändert werden. Wenn man die Preise für Flashspeicher ein wenig beobachtet, hält man es für möglich dass kurz vor Ablauf dieser Periode MP3-Player mit 64 GB Flash-Speicher möglich erscheinen, dies würde dann einer SUISA-Abgabe von ca. 306 Fr. entsprechen. Zur SUISA-Preisliste

Der Vorteil für den Anwender eines iPod mit Flashspeicher gegenüber einem iPod mit Festplatte, zeichnet sich dadurch aus, dass der Flashspeicher im Gegensatz zu einer Festplatte, keinen Head-Crash bei einem schnellen Wald-Jogging erleiden kann. Abstrakt gesehen sind allerdings beides Datenspeicher und es gibt keinen Grund für die SUISA, die Abgabe für Flash-Speicher teurer zu machen, als die der MP3-Player mit Festplatte.

Die SUISA wirft in die Runde, dass der iPod in der Schweiz trotz der Gebühr günstiger ist als in Deutschland. Dies stimmt zwar und ist erstaunlich, nicht nur wegen dem im Gegensatz zum Schweizer Franken starken Euro. Dieser Einwurf kann allerdings nicht darüber hinweg täuschen, dass die Unterscheidung zwischen Flash-Speicher und Festplatte zumindest mir total unsinnig erscheint.

Aus den MP3-Player Gebühren:

9.2 Bei wesentlicher Änderung der Verhältnisse kann er vorzeitig revidiert werden.

Diese Verhältnisse sind eigentlich, dank dem Erscheinen
eines 16 GB iPod Touch eingetreten. Eine Möglichkeit wäre die Preise
zwischen Harddisk- und MP3-Player zu harmonisieren, oder für Flash-Speicher senken, oder aber ein maximale Abgabe festlegen.

Randnotiz:

Gilt das iPhone auch als MP3-Player? Laut Jobs ist es ja der beste iPod den Apple je gemacht hat. Wenn allerdings das iPod als MP3 Player gilt, müssten ja auch diverseste Handys als MP3-Player gelten. Die SUISA sollte ausserdem auch Gebühren einfordern von Leuten, die ihre Klingeltöne in aller Öffentlichkeit einem nicht privaten Publikum "vorführen" (SUISA Tarif).

Gut, ich gebs zu man kann mir Befangenheit vorwerfen ich habe bei Dataquest in Zug einen iPod Touch vorbestellt.

Apple, Inc: Safari-Browser für Windows!

nospam@example.com (Peter) — Mon, 11 Jun 2007 20:44:00 +0200

An der diesjährigen WWDC (Worldwide Developers Conference) von Apple aus dem Moscone Center in San Francisco stellte Steve Jobs heute wieder einige "bahnbrechende" Neuigkeiten vor.

Apple hat auf die User gehört und die Oberfläche insbesondere Finder in deren Betriebssystem Mac OS 10.5 (Leopard) graphisch (Core Animation) und funktionell überarbeitet.
Leopard ist ein "echtes" 64 Bit Betriebssystem
Das iPhone wird für Entwickler geöffnet, welche ~~natürlich auch~~ ausschliesslich AJAX verwenden ~~können~~ müssen um Software für das iPhone schreiben zu können.

Quelle: macprime.ch

Screenshot Safari 3 Beta auf Windows

Quickstart bekommt zuwachs

Das Wichtigste aus meiner Sicht, ist allerdings das es den auf KHTML-basierenden Safari Webbrowser von Apple nun auch für Windows geben wird. Dies ist ein Schritt den ich mir von Apple am meisten erhofft habe, ich habe noch nie einen Hehl daraus gemacht, dass ich mir einen Browser auf Safari-Basis für Windows wünsche. Safari ist angeblich um den Faktor 2 schneller als der Internet Explorer von Microsoft und Firefox von Mozilla. Apple kann damit auch im Browserbereich punkten, denn iTunes gehört zu den meist heruntergeladenen Anwendungen und übertrifft Firefox in der Anzahl Downloads pro Tag. Ausserdem können Webentwickler ihre Webseiten auf Windows mit Safari antesten. Da in näherer Zukunft immer mehr Anwendungen im Browser ablaufen werden, bedeutet ein Browser in gewisser Hinsicht Macht, noch dazu ist Safari zusammen mit iTunes auch gute Werbung für Apple Produkte.

Neben dem umgekrempelten Designs der Apple Homepage, gibt es auch eine öffentliche Beta von Safari 3 für Windows, welchen man hier herunterladen kann, meiner Ansicht nach lohnt es sich bisher leider noch nicht die Windows Version dieser Beta zu testen, denn die meisten Webseiten inklusive Google.ch werden auf meinem Testsystem nicht richtig gerendert.

Noch 5611 freie .ch Domains mit drei Buchstaben

nospam@example.com (Peter) — Sun, 29 Apr 2007 17:34:00 +0200

Domainnamen bestehend aus drei Buchstaben sind begehrt, deshalb stellte ich mir die Frage, wie viel freie .ch Domains bestehend aus drei Buchstaben denn noch frei sind. Während es für .com/.net/.org Domains eher schwierig ist einen mehr oder weniger wohlklingendem Name mit diesem Kriterium zu finden, gibt es immerhin noch 5611 freie .ch Domains von Total 26³ = 17'576. Als Basis wurden die 26 Zeichen des Alphabet verwendet ohne die nach IDN erlaubten Zeichen (ö,ä,é,...) und ohne Zahlen. Alle 17'576 Möglichkeiten wurden verteilt und automatisiert abgefragt.

Ausschnitt aus der Liste mit den freien aus drei Buchstaben bestehenden .ch Domains (teilw. bekannte Abk.)

Beim schnellen durchscrollen ist mir die Anomalie oey.ch aufgefallen, meiner Meinung nach ist dies der Name eines Dorfes im Berner Oberland, Gemeindenamen sollten laut Switch aber einen speziellen Statuscode zurückliefern, wenn das passiert wäre, wäre die Domain von meinem Algorithmus aber nicht als frei berücksichtigt worden, was wohl bedeutet das Oey keine eigenständige Gemeinde ist.

Anfangsbuchstaben

Folgende Grafik schlüsselt die Anzahl freier .ch Domains bestehend aus drei Buchstaben nach dem Anfangsbuchstaben auf.

Während auf der X-Achse der jeweilige Anfangsbuchstabe steht, bildet die Y-Achse die Anzahl freier .ch Domains (mit drei Buchstaben) in absoluten Zahlen ab.

Die Total Mögliche Anzahl an Domains mit demselben Anfangsbuchstaben beträgt im konkreten Fall 26² = 676, bei den Buchstaben Q (532 freie), X (504) und Y (492) ist ein Grossteil des verfügbaren Range noch vorhanden, während die freien Domainnamen bei A (86), M (102) und S (79) eher dünn und unattraktiv gesät sind, denn auch hier sind Domainnamen die ein Q, X, oder Y im Namen haben eher unbeliebt.

Laut Switch gab es am 31. März 2007 939'570 registrierte .ch Domains. Laut Switch ist ausserdem der Kanton Zug führend in Anzahl .ch Domains pro Kopf, verteilt würde jeder fünfte im Kanton Zug eine .ch Domain besitzen, wobei davon ausgegangen werden kann, dass in erster Linie wenige Leute grössere Domain Portfolios besitzen. Die Kantone Zürich und Schwyz folgen in dieser Statistik auf den Plätzen zwei und drei, während Tessin, Uri und Jura die Schlusslichter darstellen.

Fakt ist zumindest, dass es noch einige freie .ch Domains mit 3 Buchstaben gibt. Ein dreistelliger Domainnamen kann zwar schnell in die Adresszeile eingegeben werden ist aber nach wie vor kein so grosser Erfolgsgarant wie guter und ansprechender Inhalt und gute Suchmaschinenplatzierungen. Viele Leute geben ohnehin die Adresse einer Seite zuerst bei Google ein und klicken dann auf das erste Resultat.

Microsoft hilft Virenprogrammierer

nospam@example.com (Peter) — Wed, 18 Apr 2007 20:58:00 +0200

Vor kurzer Zeit war ich auf der Suche nach einer eleganteren Möglichkeit in C# um auf Bit Ebene auf verschiedene Datentypen zuzugreiffen (anstatt mit herkömmlichen bitweisen Operationen, wie man sie auch in Assembler verwendet). Im Visual C# Forum von Microsoft bin ich dann auf Grund des verdächtigen Titel auf folgenden Beitrag gestossen, er hat zwar nichts mit einer Lösung auf meinen Wunsch zu tun, ist allerdings amüsant:

Da fragt der User Ramgopal in hässlichster Orthographie, ob es denn möglich wäre ein Exe zu erstellen, welches sich selbst in ein Verzeichnis kopiert, oder sich selbst zufällig kopiert o.ä.

Eigentlich gibt es in einer normalen Applikation keinen Grund dies zu tun, ausser der Schreiberling ist Möchtegern Virenprogrammierer, was man vielleicht aus seiner Signatur schliessen kann. Das Witzige ist, dass ihm anschliessend ein Microsoft Mitarbeiter eine Lösung zu seinem Problem gibt und ihm zeigt, wie er es denn machen könne

Ich glaube allein auf Grund des Schreibstil des "Virenprogrammierers" nicht das tatsächlich eine Gefahr von diesem ausgeht, und trotzdem der Microsoft Mitarbeiter hätte sich denken können für welchen Zweck, diese Anfrage gestellt wurde. Der Fragende hätte auch an anderen Orten eine Antwort erhalten können, einem Amokläufer drückt man ja auch keine Waffe in die Hand. Vielleicht ist das Ganze auch nur um das Microsoft eigene Virenschutz Programm Windows Live OneCare zu pushen

Die Post benennt Roger Federer um

nospam@example.com (Peter) — Tue, 10 Apr 2007 21:49:00 +0200

Die Post hat eine Sondermarke mit King Roger herausgebracht (NZZ). Am Namen unter dem Bild sieht man auch gleich um wen es sich handelt:

Quelle: Die Post

Roland Hirter unser weltbekanntes Tennisass wurde hier in Wimbledon abgelichtet und in Form einer Sondermarke herausgegeben. Oder doch nicht? Roland Hirter hat zumindest diese Marke gestaltet, wahrscheinlich hat er auch das abgebildete Foto geschossen. Und trotzdem, besitzt dieses Werk die nötige Schöpfungshöhe, dass dieser Name genannt werden muss, ohne dass Federers Name genannt wird? Zweifellos ist Hirter selbst kein unbeschriebenes Blatt und ich möchte ihm diese Ehre nicht aberkennen, aber es ist eine Art sich mit falschen Federn/Federern zu schmücken. Stellen Sie sich vor in ein paar Jahrzehnten kommt die Spitex zu Ihnen und der Pfleger liest Ihnen von der Briefmarke ab, wie denn dieser Ausnahmesportler zu ihrer Zeit hiess: Roland Hirter, wobei man beachten muss, dass sowohl die Beiden Anfangs- als auch die Beiden Endbuchstaben übereinstimmen: Ro... ...er.

Ich persönlich hätte zwar ein emotional stärkeres/kraftvolleres Bild gewählt (bsp. kniende Siegerpose), aber dieses Bild im Erstkommunion/ Konfirmation/Bar Mizwa Stil entspricht wohl dem Mainstream der Markensammler. Typische Schweizer Werte wie Bescheidenheit und Bodenständigkeit werden durch das zurückhaltende Lächeln und die leicht verwuschelten Haare unterstrichen.

Aber mal im Ernst: Liebe Post, Sehr geehrter Herr Gygi, wenn Sie das nächste Mal eine Roger Federer Sondermarke herausbringen, akquirieren Sie die nötigen Rechte an einem Bild bei Corbis/Getty/Keystone und schreiben den vollständigen Namen der abgebildeten Person darunter. Oder noch besser: Sie ziehen die aktuelle Marke zurück und geben eine Neue mit vollständigem Namen heraus, was den Wert der Marken, welche bereits im Umlauf sind beträchtlich steigern würde

Internet Explorer: lautlose Infektion durch Cursor

nospam@example.com (Peter) — Thu, 29 Mar 2007 20:04:00 +0200

Noch in diesem Monat habe ich im Artikel "Ein Trojaner aus Bern?" die Möglichkeiten einer Programmeinschleusung mittels einem Bildformat besprochen. Heute hat Heise gemeldet, dass der Antivirenhersteller McAfee einen Proof of Concept Virus entdeckt hat, welcher die Codeeinschleusung in Internet Explorer und Outlook mittels einem animierten Cursor (.ani) erlauben soll. Betroffen von dieser Lücke soll der Internet Explorer 6 & 7 unter einem voll-gepatchten Windows XP SP2 sein. XP SP1 und SP0 seien nicht betroffen. Über Windows Vista schweigt sich McAfee aus, aber falls Vista ebenfalls anfällig wäre, hätten sie das an die grosse Glocke gehängt, nun will McAfee nicht Werbung für ein Betriebssystem machen, das sicherer ist als seine Vorgänger. Schon doof, wenn sich ein Milliardengeschäft auf der Unsicherheit der Betriebssysteme eines Herstellers abstützt.

Microsoft hat bisher noch keinen Patch dagegen, dafür meint McAfee das Outlook ebenfalls davon betroffen sei. Nun ja für Outlook ist die Abhilfe einfach => HTML Emails als Text darstellen. Betreffs dieser Lücke im Internet Explorer rät Heise einen anderen Browser, konkret Opera oder Firefox, zu nutzen. Super Idee Heise, Firmen installieren solange "einfach" "rasch" den Mozilla Firefox auf allen Computern und warten auf den Patch von Microsoft.

Analyse

Ich habe hier eine kurze Analyse, des mir unbekannten und nicht-verfügbaren zukünftigen Virus gemacht. Falls jemand ein Sample sichtet, wäre ich froh wenn er meine Thesen bestätigt.

Eine der ersten Fragen die man sich sicher stellt ist: Warum [, zum Teufel,] muss der Internet Explorer animierte Cursor (*.ani) darstellen können? Die Antwort darauf ist, damit eine Website den verwendeten Cursor individualisieren kann. Dies geht beispielsweise mit folgendem HTML/CSS Snippet:

<head>
...
<style type="text/css">

</style>
</head>

Damit wäre auch die Frage der Einschleusung geklärt, denn laut McAfee stürzt der Internet Explorer nicht ab, noch gäbe es sonst irgendwelche Anzeichen, welche unmittelbar auf eine Infektion hindeuten. Man muss also nur eine (bösartige) Internet Seite mit IE ansteuern oder eine (bösartige) HTML Email in Outlook öffnen um damit infiziert zu werden

Wie könnte man also diesem ungepatchten Loch begegnen (ausser gleich auf Firefox oder Opera umzusteigen)?

Die einfachste Idee ist sicherlich den Content Filter anzuweisen, alles Eingehende mit der Endung .ani zu blockieren. Das hat allerdings zwei entscheidende Nachteile: 1.) Dynamische Seiten könnten ebenfalls die Endung .ani haben. 2.) Mein Test hat ergeben das der Internet Explorer beliebige andere Endungen auch als animierten Cursor anzeigt, was nicht verwunderlich ist.

Eine andere Idee meinerseits ist, den animierten Cursor auf Grund seines Headers zu blocken: Auch das .ani Format basiert auf dem Microsoft RIFF Container Format. Eine .ani Datei hat nach der Spezifikation folgenden Header:

typedef struct _RiffAniFile
{
DWORD FileId; / File ID (always "RIFF") /
DWORD Size; / Length of file minus 8 in bytes /
DWORD FormId; / Format ID (always "ACON") /
LISTINFOCHUNK ListInfoChunk; / File and content information /
DISPLAYSUBCHUNK DisplaySubchunk; / Display object /
ANIHEADERSUBCHUNK AniHeader; / Header information /
RATESUBCHUNK RateSubchunk; / Frame rate data /
SEQUENCESUBCHUNK SequenceSubchunk; / Frame sequence data /
LISTFRAMECHUNK ListFrame; / LIST Frame chunk /
} RIFFANIFILE;

Das heisst man kann ein .ani File an folgendem Fileanfang (12 Bytes) zu erkennen: "RIFF" <DWORD (4 Bytes)> "ACON", dargestellt in Hex: 0x52, 0x49, 0x46, 0x46, 0xXX, 0xXX, 0xXX, 0xXX, 0x41, 0x43, 0x4f, 0x4e (0xXX steht für einen Wert von 0x00 bis 0xff). Die angegebene Length in Bytes einer normalen Cursor-datei sollte normalerweise nicht allzu gross sein, wenn man davon ausgeht das sie in Little Endian Byte-Reihenfolge gespeichert ist. Diese Erkennungsmethoden basiert auf der wahrscheinlichen zutreffenden Annahme, das der Virus mindestens diesen Teil des Headers enthält. McAffee nimmt an, dass die neu Entdeckte Lücke, einer bereits geschlossenen .ani Lücke (MS05-002) ähnelt. Da für diese (alte) Lücke ein Exploit in C geschrieben vorliegt, liegt die Vermutung nahe, dass der neue Virus diesen Teil des Headers enthält, denn der alte tat es auch:

unsigned char aniheader[] = "\x52\x49\x46\x46\x9c\x18\x00\x00\x41\x43\x4f\x4e\ ...

Auf jeden Fall kann man nicht einfach alles was bloss mit "RIFF" beginnt blocken, denn dies würde auf diverse Dateitypen zutreffen, darunter auch .avi und .wav. Der FormID Teil muss also auch überprüft werden. Ausserdem sollte man einen Rechner nicht nach diesen Header Kriterien durchsuchen, denn spätestens im Verzeichnis %WINDIR%\Cursors\ würde man fündig werden.

Wer mir einen sinnvollen Einsatz für einen animierten Cursor auf einer Webseite nennen kann bekommt einen Blumenstrauss.

Trickbetrüger bei Ricardo

nospam@example.com (Peter) — Thu, 22 Mar 2007 21:31:00 +0100

Ein Mitarbeiter von Namics beschreibt ausführlich, wie er auf der schweizerischen Auktionsplattform Ricardo beinahe von einem (nigerianischen) Trickbetrüger hereingelegt worden wäre. Schön ersichtlich ist auch die Lernkurve, die der Betrüger anscheinend in kurzer Zeit durchlaufen hat. Das Problem ist, dass trotz des Swiss Security Day und firmeninterner Schulung, wohl immer noch einige Leute darauf hereinfallen würden.

Zufall ist wohl die abschliessende Frage des Autors: "Nun muss ich noch überlegen, was ich Mr. Terry antworten sollte. Meines Wissens gibt's keine Internet-Polizei, die international so etwas nachgehen würde. Oder?" Passt sie doch genau zu meinem Artikel von gestern: Kaspersky will Interpol für das Internet. Internetpolizei wäre wahrscheinlich ein bisschen zuviel gehofft, aber man könnte ja mal ein paar Lobbyisten losschicken.

Übrigens in der Schweiz gibt es die Koordinationsstelle zur Bekämpfung der Internet-Kriminalität (KOBIK), welche aber in internationalen Angelegenheiten meist keine Chance hat und von Meldungen überhäuft wird. Internationale Vorfälle werden an Interpol gemeldet.

Kaspersky will Interpol für das Internet

nospam@example.com (Peter) — Wed, 21 Mar 2007 22:40:00 +0100

Jewgeni Kaspersky, Mitgründer des russischen Antivirenhersteller Kaspersky Lab fordert eine Art Interpol für das Internet. Was passieren soll, wenn nicht alle Länder mitmachen: "Diesen Ländern würde ich den Zugang zum Internet versperren." Quelle: heise Security

Zugegeben, das Ganze ist eine interessante und wünschenswerte Idee. Das Internet ist eine höchst unordentliche Gerümpelhalde mit allen möglichen Arten von Abschaum. Doch: Welche Verantwortung und welchen Einfluss soll diese Polizei, nennen wir sie Netpol, haben? Wo hört Sicherheit auf und wo beginnt Zensur (Netzneutralität)? Firmen und Strafverfolgungsbehörden kommen heute bei grenzüberschreitenden Vorfällen nur langsam voran. Begrüssenswert ist der Vorstoss allemal und sollte gründlich durchdacht werden.

Ein Trojaner aus Bern?

nospam@example.com (Peter) — Sun, 18 Mar 2007 19:15:00 +0100

Wie in Deutschland gibt es auch in der Schweiz das Bestreben von staatlichen Stellen, PCs unbemerkt mittels Trojaner ausspionieren zu können. So unrealistisch ist das Szenario nicht, allerdings gibt es schon ein paar Fallstricke mit denen Kriminalbeamten zu kämpfen hätten. Hier eine kleine Aufstellung der Probleme, die die Staatsschützer vor sich haben, diese Probleme haben theoretisch auch billige Virenprogrammierer mit Ausnahme, dass diese nicht gezielt eine spezielle Person ausspionieren möchten, sondern ihr "Produkt" weit streuen. Hier werden ausschliesslich Probleme diskutiert, die durch die Verwendung eines lokal installierten Softwaretrojaner entstehen. Es gibt weitere Möglichkeiten um nur den Internetverkehr eines Benutzers auszuspionieren, dazu gehören: Backdoor in Router, abhören bei Telekomfirmen, abhören von Internetknoten (IX).

Problem 1: Wie kommt der Trojaner überhaupt auf den PC?

Sicherheitslücke im Betriebssystem

Dies ist wohl die grösste Schwierigkeit der Ganzen Sachen. Ohne Social Engineering kommen Trojaner eigentlich nur über eine Sicherheitslücke in dem Betriebssystem auf den Computer und auch das nur falls keine Hardwarefirewall oder Router davorgeschaltet sind. Der Wurm Sasser ist hierfür das bekannteste Beispiel.

über Email

Eine andere Methode tut not. Über welches Medium kommen die meisten Viren auf PCs? => Richtig, über Emails oder Sicherheitslücken im Microsoft Internet Explorer. Bei Email besteht das Problem, das der Benutzer überzeugt werden muss, dass er das Attachement öffnen soll. Das funktioniert sicherlich bei einigen Leuten, aber der Staat will gezielt überwachen und nicht tausende von Mails versenden und anschliessend darauf vertrauen, dass ein Prozent der Leute den Trojaner tatsächlich haben. Gold wert sind Methoden, die dank Mediencontainerformaten (JPEG, MOV, WMV, ...) Schwachstellen in den Implementierungen ausnutzen, d.h. einen Buffer Overflow erzeugen und den Code des Trojaners ausführen. Denn mal davon abgesehen, dass ausführbare Anhänge meistens durch das Email Programm gesperrt sind, ist es doch relativ plump jemandem ein .exe zuzuschicken. Bilder, Videos, Animationen, PDFs sind meistens nicht gesperrt und deshalb ein gefährliches Einfallstor.

Browserbedingte Auslieferung von Sicherheitslücken

Falls es möglich ist jemanden auf eine Seite zu locken, ist es anschliessend möglich der Person einen Trojaner unterzujubeln, falls der betreffende Browser (wie z.B. Internet Explorer, Firefox, Opera, Safari) eine Möglichkeit (Sicherheitslücke) bietet um dies zu tun. Dank der Mitlieferung des User Agent ist es möglich den Browsertyp festzustellen und dem Browser eine Sicherheitslücke nach seinem Gusto anzubieten. Das wäre eine Art bedingte Sicherheitslückenauslieferung, möglich ist es, aber ob es bisher gemacht wurde ist mir nicht bekannt.

Social Engineering

Klar wenden auch die oben genannten Einschleusungsmethoden über Browser und Email Methoden vom Social Engineering an, wenn auch nur in einem bedingten Rahmen. Social Engineering wird hauptsächlich bei Industriespionage und Betrugsversuchen angewandt. Social Engineering kann als Methode beschrieben werden um von einer bestimmten Person, bestimmte Informationen zu erhalten. Dies ist brandgefährlich und deshalb werden Personen die Umgang mit sensitiven Informationen haben auch darauf geschult, oder sollten es werden. Die betreffende Person müsste also im konkreten Fall ("Bundestrojaner") von verdeckt operierenden Beamten unter Vorspielung falscher Tatsachen dazu gebracht werden, den Trojaner zu installieren.

Problem 2: Plattformunabhängigkeit

Trojaner haben das Problem von einem bestimmten Betriebssystem abhängig zu sein. Plattformunabhängige Trojaner existieren hauptsächlich in der Theorie. Natürlich wäre es aber möglich ein Virus in Java zu schreiben, und nur den Ladecode in betriebssystemspezifischem Code, aber ob dies sinnvoll ist kann als fragwürdig bezeichnet werden. Mit anderen Worten heisst das, der Staat müsste entweder Trojaner für alle Plattformen entwickeln lassen oder sich auf eine bestimmte Plattform versteifen. Nachfolgende Bemerkungen zu den einzelnen Systemen sind mit einem ironischen Unterton zu betrachten:

Windows: Eine Mehrzahl der Leute nutzt Windows, d.h. die meisten Kriminellen nutzen (wahrscheinlich) Windows.

GNU/Linux: Wer Linux nutzt, kann doch keiner Fliege was zu leide tun, oder?

Mac OS: Wer ein solch stabiles System besitzt, wird nicht auf den Gedanken kommen ein Verbrechen zu begehen.

FreeBSD: Hey, die haben ein Teufelchen als Logo, die sind potentiell gefährlich.

Die Frage nach der Plattformunabhängigkeit ist demnach geklärt, falls diese Entscheidung jemals ansteht, wird man sich aufgrund dessen Verbreitung wahrscheinlich für Windows entscheiden.

Problem 3: Entdeckung durch Virenscanner

Auch ein staatlicher Trojaner sollte nicht von einem Virenscanner entdeckt werden. Dazu erwägt man mit Herstellern von Virensoftware zusammen zu arbeiten, was diese kaum tun werden. Das Ziel ist also, dass der Trojaner nicht von der Virensoftware und dem Benutzer entdeckt werden darf. Aus meiner Sicht ist dies nicht mal so ein Problem, wie angenommen wird, denn:

Der Trojaner wird gezielt eingesetzt, d.h. es gibt keine grosse Verbreitung und die Gefahr das er von einem Sicherheitsspezialist entdeckt und analysiert wird ist relativ klein.
Es ist möglich Trojaner zu schreiben die die Heuristikfunktionen der Virenscanner passieren.
Bern hat die Möglichkeit den Trojaner im Vorfeld an allen aktuellen Sicherheitssuiten ausgiebig zu testen.

Fazit

Ein Bundestrojaner, wäre zwar machbar. Dies würde aber einerseits viel Arbeit und Aufwand mit sich bringen. Und auf der anderen Seite, ist ein Einsatz immer noch fragwürdig. Natürlich wäre es diskreter, als bei einer Hausdurchsuchung den betreffenden Computer zu beschlagnahmen, aber da wäre wenigstens eine allfällige Willkür ersichtlich. Gerade im Zusammenhang mit dem amerikanischen Patriot Act, der NSA, dem realitätwerdenden 1984, ist folgende lateinische Frage immer noch aktuell: "Quis custodiet ipsos custodes?", => Wer überwacht die Überwacher? Vielleicht nimmt Moritz Leuenberger in seinem Blog ja mal Stellung dazu.

Meinungen aus CH-Blogs zum Thema Bundestrojaner:

Staatstrojaner vs. Virenschutz

Bünzlitrojaner

In der Schweiz sollen uns “Softwarewanzen” überwachen

Hacker Staat

Glencore: 116.5 Milliarden US-Dollar Umsatz

nospam@example.com (Peter) — Wed, 14 Mar 2007 12:16:24 +0100

Glencore wird auch 2006 wieder das umsatzstärkste Unternehmen der Schweiz gewesen sein. Glencore hat allein im Jahr 2006 einen Umsatz von 116.5 Milliarden US-Dollar erwirtschaftet, das entspricht umgerechnet ca. 141 Milliarden Schweizer Franken oder einer Umsatzsteigerung um 28% zum Vorjahr. Zum Vergleich: Nestlé hatte im Jahr 2006 einen Umsatz von 98.5 Milliarden Franken. Beinahe ein Klacks im Verglich zu dem grössten Privatunternehmen Europas, der Baarer Rohstoffhändlerin Glencore.

Umsatzverlauf von Glencore

Jahr	Umsatz (in Mia USD)
2006	116.5
2005	91
2004	72
2003	54.7
2002	43.7
2001	44.5
2000	48

Das bisher weder konventionelle Medien, noch jemand anderes über diese Neuigkeit berichtet haben, kann mehrere Ursachen haben: Entweder sind sie schlecht informiert, langsam oder diese Information ist für niemanden von Interesse...

Quellen: Glencore, Xstrata

Ein Treffen mit Al Gore...

nospam@example.com (Peter) — Thu, 08 Mar 2007 22:12:00 +0100

... ist möglich beim Forum der Aussenwirtschaft vom 27. März. Mit von der Partie wird ausserdem Bundesrätin Doris Leuthard sein. Zur Registration.

Quelle: Venturelab

Es wäre sicherlich noch interessant Al Gore mal live zu erleben, insbesondere wenn man seinen Film "An Inconvenient Truth" gesehen hat. (Die geforderten Gebühren sind aber Abschreckung genug.) Der Film an sich ist übrigens höchst empfehlenswert, und sollte wenn möglich auf Englisch angeschaut werden. Er erzählt einerseits von der Klimaveränderung (mit eindrücklichen Bildern von der ganzen Welt), und andererseits aus dem Privatleben von Al Gore, von seiner Sicht der Präsidentenwahl, von seinem Geburtsort, von einem schweren Unfall seines Sohnes, seinem Vater dem Tabakfarmer und seiner Schwester, welche in jungen Jahren an Lungenkrebs gestorben ist. Dies alles lässt Al Gore bodenständig erscheinen, auch wenn immer ein scheeler Nachgeschmack eines Selbstdarstellers hängen bleibt.

Der Film hat weltweit über 40 Mio. USD und mehrere Preise, darunter 2 Oskars eingespielt. Die Oskars erhielt der Film für den besten Dokumentarfilm und den besten Titelsong. Der Titelsong ist jedenfalls passend: "I Need To Wake Up" von Melissa Ethridge.

Al Gore wurde ausserdem mehr oder weniger von Apple CEO Steve Jobs in den Verwaltungsrat von Apple (AAPL) geholt. So kommt es nicht von ungefähr, dass im Film Gore ständig an einem MacBook Pro arbeitet. Seltsam ist allerdings die Tatsache, dass Al Gore, dass angeblich unabhängige Untersuchungsteam leitete, welches die Rückdatierungen von Steve Jobs' Aktienoptionen untersuchte. Glücklicherweise scheint das Ganze mehr oder weniger spurlos vorübergegangen zu sein. Der Tag an dem Steve "And, boy, have we patented it." Jobs Apple verlassen wird, wird irgendwann noch kommen, der Kurssturz ist vorprogrammiert.

Swiss in Liechtenstein: weltweite Schlagzeilen

nospam@example.com (Peter) — Sat, 03 Mar 2007 19:19:26 +0100

Man glaubt es kaum, da verirrt sich eine 170 Mann starke Truppe der Armee bei stockdunkler Nacht nach Liechtenstein und es wird zum Thema auf der ganzen Welt. Auf der Ganzen Welt? Nein, überall ausser in der Schweiz und in Liechtenstein, weil es absolut unsinnig ist, dass Ganze nicht als Versehen anzusehen. Die deutsche Tagesschau titelt mit: "Schweizer Armee marschiert in Liechtenstein ein", BBC mit "Swiss in Liechtenstein 'invasion'", New York Times und Forbes mit "Swiss Accidentally Invade Liechtenstein".

Über 200 Nachrichten über diesen Vorfall auf Google News U.S.

Liebe Medien auf der Ganzen Welt: Wir (Schweizer) haben schon genug Mühe den Vatikan unter militärischer Kontrolle zu halten, wir werden uns sicher nicht an Liechtenstein heranwagen.

Video (SF) zum Thema Schweizer Armee & Liechtenstein: (bereits früher hier veröffentlicht)

Wenn Nachrichtenagenturen Fehler machen

nospam@example.com (Peter) — Sun, 25 Feb 2007 19:56:29 +0100

Wenn Nachrichtenagenturen Fehler machen, dann pflanzt sich der Fehler anfangs unbeachtet fort. Der heutige kleine Fehler stammt von der Nachrichtenagentur Associated Press (AP). Das Fehlerlein wurde bisher von den Onlineausgaben der BAZ und 20 Min übernommen.

20 Minuten: Emirate setzen auf Sonnenenergie

BAZ: Arabische Emirate setzen auf grüne Energien

Wo ist der Fehler? => Das weltbekannte Massachusetts Institute of Technology wurde mit MTI anstatt mit MIT abgekürzt. Dank diesem Fehler kann man nun verfolgen, wie sich dieser unscheinbare Fehler weiter ausbreitet und von anderen Publikationen übernommen wird.

MTI heisst übrigens eine österreichische Biotechfirma, die am 18. Februar 2007 ihren Bankrott zu vermelden hatte: „Es ist richtig, uns ist das Geld ausgegangen“. Die Firma hat mit ihrem Versuch Hybrid-Maiszuchtlinien zu entwickeln immerhin 30 Millionen Euro in den Sand gesetzt.

Scalping: Thema bei Cash Daily und Spammern

nospam@example.com (Peter) — Wed, 21 Feb 2007 22:50:00 +0100

Cash Daily erklärte heute, was Scalping bedeutet:

Scalping im Cash Daily

Scalping im ARD Anlegerlexikon

Witzigerweise ist die Beschreibung im Cash Daily praktisch identisch mit der im ARD Börsenlexikon.

Item, mir geht es heute darum zu erklären, wie erfolgreich Spammer Scalping betreiben. Scalping impliziert (aus meiner Sicht), dass der Anlagenhändler selbst nur wenig oder kein Vertrauen in seinen eigenen Tipp hat oder an einer schnellen Wertsteigerung interessiert ist. Dieses Verfahren wird auch von Spammern angewandt, welche günstige (aber eigentlich wertlose) Aktien von einem Unternehmen kaufen und dann abspringen, sobald der Kurs als Folge ihrer Kaufempfehlung per Spam genug in die Höhe getrieben worden ist.

Dies kann ich nun sehr schön am Beispiel von Tora Technologies demonstrieren, denn dieses Spam hat den Weg durch meinen Spamfilter gefunden. Nach ein paar Tagen, sieht der Aktienkurs des Unternehmens dann so aus:

-28.28%

Der Spammer hat den Gewinn mitgenommen.

Insbesondere deshalb ist es wichtig, das gerade auf Bankenseiten kein falschen Informationen über XSS Lücken eingeschoben werden können. Geschickt gemacht würde dann die Legitimität dieser Nachricht steigen und der Markt wäre darüber im kleinen Rahmen manipulierbar.

Weiterführende Informationen:

Spam dich reich! (Die Zeit)

Spammer manipulieren den Aktienmarkt

Spammer verdoppeln Aktienkurs an einem Tag