Schlagwort-Archive: Sicherheit

Convergence – endlich ein Fix für SSL?

Millionen von Internet-Transaktionen täglich werden von Secure Socket Layer (SSL)-Technologie geschützt. Doch Sicherheitsprobleme tauchen immer wieder auf. Hier könnte ein ganz neues Verfahren eine Lösung bieten.

Vor wenigen Wochen wurde die Open-Source-Webseite von MySQL von Hackern mit JavaScript-Code injiziert und damit der Traffic auf die Malware-Seite BlackHole umgeleitet. Zum Glück dauerte die Weiterleitung nur wenigen Stunden, da verschiedene Sicherheits-Firmen sofort den Betreiber der Seite, Oracle, informierten und das Loch schnell gestopft war. Nun sind derartige Injektionen an sich nichts ungewöhnliches, was diesen Fall so besonders interessant gemacht hat, war die Tatsache, dass dieser Angriff nur möglich war, weil die Hacker Root-Access-Rechte hatten.

Laut den Security-Experten von Trend Micro haben sich die Hacker die Zugänge für die MySQL-Cluster-Server für rund 3000 Dollar auf dem Schwarzmarkt beschafft. Möglich wurde das durch die Attacken auf die SSL-Zertifikatsanbieter DigiNotar, Comodo und Global Sign, die dazu geführt haben, dass sich Hacker immer häufiger Root-Access verschaffen können.

Schon seit 2004 weiß man um die Probleme von SSL/TLS. „Es ist schon lange bekannt, dass es eine Schwäche in diesem Protokoll gibt, und dass wir schon längst einen Update hätten vornehmen müssen“, bestätigt der SSL-Vater Taher Elgamal. Doch seiner Ansicht nach ist es nicht nur das Protokoll, sondern das gesamte Eco-System heutiger Websicherheit. „Wenn ich die Chance hätte, würde ich bessere Browser machen“, sagte Elgamal jüngst in einem Gespräch mit silicon.de und schob damit den Schwarzen Peter an die Browser-Hersteller.

Doch die Browser sind nur eine weitere Schwachstelle der gesamten Infrastruktur-Schwäche. Laut Moxie Marlinspike vom Security-Anbieter Qualys gibt es inzwischen über 650 Organisationen, die wie Comodo oder Global Sign, berechtigt sind, Zertifikate abzuzeichnen. „Bei so vielen digitalen Stempeln wird das ursprüngliche Prinzip eines ‚Single Point of Trust‘ ad absurdum geführt“, sagte Marlinspike jüngst auf einer Sicherheits-Konferenz in San Francisco.

Sein Unternehmen hat sich deshalb eine Lösung einfallen lassen, die von immer mehr Sicherheitsexperten anerkannt wird. „Convergence“ nennt Marlinspike das Verfahren, das nicht auf der Public-Key-Infrastructure aufsetzt, sondern aus einem konföderierten Netz an Notar-Servern besteht, die unabhängig für ein Zertifikat bürgen. Seit April denken Marlinspike und andere Security-Experten bereits über die Implementierung dieser Idee nach. Eines der großen Probleme ist der Traffic der schnell und sicher bewältigt werden muss. Doch inzwischen gibt eine Lösung, die man sich als eine Art Peer-to-Peer-Infrastruktur von unabhängigen Notaren vorstellen kann.

Den kompletten Artikel mit Links von Harald Weiss, findet ihr unter Convergence – endlich ein Fix für SSL? von silicon.de.

Freundliche Grüße
das OSS-Haus Team

CCC: „Rechtsbruch durch Bundestrojaner“

Der Chaos Computer Club (CCC) hat nach eigenen Angaben Festplatten mit „staatlicher Spionagesoftware“ zugespielt bekommen und die Software analysiert. Stimmt die Analyse und haben Behörden damit gearbeitet, dürften sie Grundrechte missachtet haben. silicon.de zeigt die technische Perspektive und die verfassungsrechtliche Perspektive des Falls.

Wie der Trojaner funktioniert

Wie CCC-Sprecher Frank Rieger in der FAZ vom 9. Oktober berichtet, erhielt der CCC mehrere Festplatten in brauen Umschlägen ohne Absender, vermutlich von „Betroffenen“. Der CCC habe auf allen Festplatten eine Trojaner-Software entdeckt, deren Varianten sehr ähnlich gewesen seien. Die Trojaner-Dateien seien nur „amateurhaft gelöscht“ gewesen.

Die Analyse habe ergeben, dass sich die Software nach dem Start des Computers in alle laufenden Anwendungen einblende. Sie sende Signale an einen fest konfigurierten Server in den USA, um ihre Dienstbereitschaft zu signalisieren. Dieser Datenaustausch werde mit AES verschlüsselt – die Verschlüsselung sei jedoch falsch implementiert gewesen. Auch nehme die Software Befehle des Servers ohne jegliche Authentifizierung entgegen. Einzige Bedingung für die Akzeptanz eines Befehls sei es, dass er von der IP-Adresse des US-Servers zu kommen scheine.

Laut CCC verfügt die Software über vorkonfigurierte Funktionen:

  • Abhören von Skype-Telefonaten
  • Anfertigen von Bildschirmfotos in schneller Folge sowie
  • Nachladen eines beliebigen Programmes aus dem Netz

Die letzte Funktion könne genutzt werden, um mögliche Features zu installieren:

  • Raumüberwachung mit Mikrofon und Kamera des Computers
  • Durchsuchen der Festplatte sowie
  • Herunterladen von Dateien auf die Festplatte

Die letztgenannte Funktion – das Herunterladen von Dateien auf die Festplatte – sei die einzige Funktion der Software gewesen, die gegen eine spätere Analyse getarnt worden sei, so Rieger. Im Code habe sich kein Hinweis auf den Urheber der Software gefunden. Im Jahr 2008 sei jedoch ein interner Schriftverkehr einer Justizbehörde bekannt geworden. Daraus sei hervorgegangen, dass ein deutsches Unternehmen einen Trojaner zum Abhören von Skype angeboten habe, dessen Funktionsumfang sich mit dem jetzt vom CCC analysierten Trojaner decke. Rieger: „Sogar die Anmietung des Weiterleitungsservers im Ausland, um die IP-Adresse der Trojaner-Kontrollstation zu verschleiern, war im Angebot erwähnt.“ Nach Angaben der Frankfurter Rundschau handelt es sich beim besagten Unternehmen um die Firma DigiTask aus dem hessischen Haiger.

Der CCC hat den Quellcode der Trojaner-Software ins Netz gestellt. Der Code ist zudem in der FAZ vom 9. Oktober nachzulesen (Seiten 43 bis 47). Die Behörden wurden zuvor in Kenntnis gesetzt. „Gemäß unserer Hackerethik und um eine Enttarnung von laufenden Ermittlungsmaßnahmen auszuschließen, wurde das Bundesinnenministerium rechtzeitig vor dieser Veröffentlichung informiert. So blieb genügend Zeit, um die Selbstzerstörungsfunktion des Schnüffel-Trojaners zu aktivieren.“

Was das Verfassungsgericht sagt

Das Thema „Bundestrojaner“ ist nicht neu. Im Februar 2008 entschied das Karlsruher Bundesverfassungsgericht, dass Online-Durchsuchungen zulässig, jedoch an strenge Auflagen gebunden sind. Die Richter führten in diesem Zusammenhang ein neues Grundrecht ein: das Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Nach diesem Urteil muss die Online-Durchsuchung durch einen Richter angeordnet werden. Sie ist nur zulässig, wenn Gefahr für Leib, Leben oder Freiheit einer Person besteht. Die Intim- und Privatsphäre („Kernbereich privater Lebensgestaltung“) darf überhaupt nicht angetastet werden – so lange nicht der begründete Verdacht besteht, dass der Verdächtige diesen Schutz ausnutzt. Falls Daten aus dem Intimbereich zufällig erhoben werden, müssen sie sofort gelöscht werden.

Erlaubt ist demnach – nach richterlicher Anordnung – auch die sogenannte Quellen-Telekommunikationsüberwachung. Diese erlaubt den Behörden, Daten auf dem Rechner mitzuschneiden, bevor sie verschlüsselt werden – jedoch nicht dauerhaft, sondern nur für einen bestimmten Telekommunikationsvorgang.

Was der CCC fordert

Laut CCC zeigt die vorliegende Trojaner-Software, dass der Gesetzgeber nachbessern muss. Schon die vorkonfigurierten Funktionen des Trojaners – ohne nachgeladene Programme – seien besorgniserregend. Die von „den Behörden suggerierte strikte Trennung von genehmigt abhörbarer Telekommunikation und der zu schützenden digitalen Intimsphäre“ existiere in der Praxis nicht. Der Richtervorbehalt könne nicht vor einem Eingriff in den privaten Kernbereich schützen.

„Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut“, sagte ein CCC-Sprecher. „Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner.“

Der Trojaner könne auf Kommando – unkontrolliert durch den Ermittlungsrichter – Funktionserweiterungen laden, um die Schadsoftware für weitere Aufgaben beim Ausforschen des Systems zu benutzen. Dieser Vollzugriff auf den Rechner, auch durch unautorisierte Dritte, könne etwa zum Hinterlegen gefälschten belastenden Materials benutzt werden und stelle damit den Sinn dieser Überwachungsmethode grundsätzlich in Frage.

Der Gesetzgeber sei gefordert, dem „ausufernden Computerschnüffeln“ ein Ende zu setzen und „endlich unmissverständlich“ zu formulieren, wie die digitale Intimsphäre juristisch zu definieren und wirksam zu bewahren sei. „Leider orientiert sich der Gesetzgeber schon zu lange nicht mehr an den Freiheitswerten und der Frage, wie sie unter digitalen Bedingungen zu schützen sind, sondern lässt sich auf immer neue Forderungen nach technischer Überwachung ein.“ Dass der Gesetzgeber die Technik nicht überblicken, geschweige denn kontrollieren könne, zeige die vorliegende Analyse der Funktionen der Schadsoftware.

Im Streit um das staatliche Infiltrieren von Computern hätten der Ex-Bundesinnenminister Wolfgang Schäuble (CDU) und BKA-Chef Jörg Ziercke stets betont, die Bürger müssten sich auf höchstens „eine Handvoll Einsätze von Staatstrojanern“ einstellen. Entweder sei nun fast das ganze Set an staatlichen Computerwanzen beim CCC eingegangen oder das Versprechen sei schneller als erwartet von der Überwachungswirklichkeit überholt worden.

Auch andere Zusagen hätten in der Realität keine Entsprechung gefunden. So habe es 2008 geheißen, alle Versionen der „Quellen-TKÜ-Software“ würden individuell angefertigt. Der CCC habe nun mehrere verschiedene Versionen des Trojaners vorliegen, die alle denselben hartkodierten kryptographischen Schlüssel benutzen und nicht individualisiert seien. „Der CCC hofft inständig, dass dieser Fall nicht repräsentativ für die besonders intensive Qualitätssicherung bei Bundesbehörden ist.“

Wie es weiter geht

Das Bundesinnenministerium hat den Einsatz von Spionagesoftware durch das Bundeskriminalamt (BKA) mittlerweile dementiert. „Was auch immer der CCC untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner“, zitierte das Magazin Focus aus einer Mitteilung des Ministeriums.

Den kompletten Artikel mit allen Links von Lutz Poessneck, findet ihr unter CCC: „Rechtsbruch durch Bundestrojaner“ von silicon.de.

Freundliche Grüße
das OSS-Haus Team

MySQL.com verbreitet Windows-Malware

Die Seite MySQL.com ist eine der beliebtesten Open-Source-Seiten im Web. Hacker kaperten die Seite und verbreiteten so Schadsoftware.

Über MySQL wurden Nutzer von Windows-PCs infiziert, bevor das Sicherheitsleck auf der Seite geschlossen wurde. MySQL.com hatte schnell auf die Bedrohung reagiert und die Malware von den Servern wieder entfernt. Erst vor wenigen Wochen wurde mit Linux.org ebenfalls ein Open-Source-Repository von Hackern gekapert.

Allerdings liegen derzeit keine Zahlen vor, wie lange die Webseite von den Hackern kompromittiert war oder wie viele Besucher über MySQL.com infiziert wurden. Schätzungen zufolge, wird über 100.000 Mal täglich auf MySQL.com zugegriffen und im Schnitt sind das bis zu 34.000 Unique User.

Die Verbreitungsraten bei solchen Attacken sind in der Regel recht hoch. Derzeit ist aber auch noch unklar, wie groß die Bedrohung für die infizierten Nutzer ist. Der Chef des Sicherheitsanbieters Armorize Wayne Huang erklärt in einem Blog, dass diese Form der Malware vermutlich sehr schwer zu entfernen ist.

„Wir haben noch keine grundlegende Analyse erstellt, was genau diese Malware macht. Wir wissen, dass es einige der Windows .dll (Dynamic Link Libraries) verändert, vermutlich um die Malware dauerhaft zu installieren und sie ständig aktiv zu halten. Man kann es vermutlich wieder entfernen, aber es ist sicherlich kein trivialer Prozess.“

Inzwischen ist das Sicherheitsloch gestopft, doch eine Zeit lang konnten die Hacker die Besucher der Seite auf eine Seite mit einem BlackHole-Exploit umleiten, die den Browser zwingt, Malware auf dem Rechner zu installieren. Wie es von Armorize heißt: Ohne dass der Nutzer etwas davon merkt.“ Denn der Besucher muss nichts klicken oder installieren. Allerdings können derzeit laut Armorize nur vier von 44 Anbietern von Sicherheitssoftware die Malware auch erkennen.

Brian Krebs von dem Blog Krebs on Security berichtete, dass er vor einigen Tagen in einem russischen Forum ein Angebot gesehen habe, das für 3000 Dollar administrativen Zugriff auf MySQL.com versprach. „Ich glaube, dass es sehr wahrscheinlich ist, dass dieser Angriff speziell mit diesen russischen Foren zusammenhängt“, erklärt daher auch Huang.

Weder von den Verantwortlichen von MySQL.com noch von Oracle liegt derzeit ein Kommentar vor.

Den originalen Artikel mit allen Links und einem Video von Armorize in Englisch von Martin Schindler, findet ihr unter MySQL.com verbreitet Windows-Malware von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Facebook bestätigt Tracking ausgeloggter Nutzer

Ein Eingeständnis, das Vertrauen kostet: Facebook muss zugeben, das Nutzungsverhalten seiner Mitglieder auch im ausgeloggten Zustand aufzuzeichnen. Als Gründe gibt das Unternehmen den Kampf gegen Spam und mehr Komfort für den Einzelnen an.

„Sich aus Facebook auszuloggen genügt nicht“, ist der Beitrag des IT-Bloggers Nik Cubrilovic überschrieben. Dort beschreibt der Software-Entwickler minutiös, wie Seiten mit „Gefällt-mir“- oder „Teilen“-Knopf die Facebook-Konto-ID eines Nutzers erkennen, auch wenn dieser sich bereits ausgeloggt hat.

Dafür verantwortlich ist ein Cookie, also ein Mini-Programm zur Identifizierung eines Nutzers, das beim Einloggen in Facebook aktiviert wird. Dieser Cookie lässt sich allerdings nicht durch Logout, sondern nur durch entsprechende Löschung im Browser oder den Wechsel des Surfprogramms deaktivieren.

Nachdem der Blogbeitrag am Wochenende für einige Aufregung sorgte, hat nun Facebook zu der Angelegenheit Stellung bezogen. Im Wall Street Journal bestätigte ein Sprecher des Unternehmens die Übermittlung der Nutzer-ID, erklärte aber, „keine der erhaltenen Informationen, die wir beim Besuch einer Seite mit Social Plugin erhalten, wird für das Ausspielen von Anzeigen genutzt.“

Die Daten würden auch stets sehr schnell gelöscht, an einer Lösung, diese Informationen überhaupt nicht abzufragen, arbeite man. Dies werde jedoch „eine Weile dauern“, sagte Arturo Bejar, Leiter der Technik-Abteilung bei Facebook.

Komfort und Spam-Bekämpfung

Hintergrund der Datenerhebung sei Facebook zufolge die Vermeidung von Spam und Phishing-Attacken, aber auch der Komfort. Nutzer müssten sich zum Beispiel nicht ständig neu identifizieren, wenn sie sich bei dem Portal von einem bereits bekannten Computer einloggten.

Mitglieder, die Facebook auf verschiedenen Rechnern nutzen, kennen den Sicherheitsmechanismus: Facebook fragt dann trotz Erhalt der Login-Daten noch nach persönlichen Informationen oder lässt den Nutzer Freunde identifizieren, um Identitätsdiebstahl zu verhindern. Die Cookies erlauben es, sich ohne diese Zusatzschritte anzumelden.

Die Frage, welche Informationen Seiten mit „Gefällt-mir“-Buttons weitergeben, wird auch gerade in Deutschland heftig diskutiert. Der schleswig-holsteinische Datenschützer Thilo Weichert hatte kritisiert, dass Facebook-Cookies auch von nicht-eingeloggten Besuchern von Seiten mit eingebautem „Gefällt-mir“-Knopf Verkehrsdaten in die USA weitergeben würden. Derzeit laufen Gespräche mit dem Unternehmen, nachdem Weichert Geldstrafen für den Einbau des Buttons angekündigt hatte.
Abonnier-Funktion: Hoax auf Pinnwänden

Ein Fehlfunktion in Folge der Einführung der Abonnieren-Funktion, auf die derzeit viele Facebook-Nutzer hinweisen, ist jedoch ein Hoax. Auf ihren Pinnwänden bitten Mitglieder ihre Freunde darum, bei der Funktion „Abonniert“ unter „Kommentare und Gefällt mir“ den Haken zu entfernen. Sonst, so die Angst, würden beim Klick auf den Like-Button die geteilten Inhalte allen Facebook-Nutzern zugänglich sein.

In Wirklichkeit, so steht es auch auf der Facebook-Hilfeseite zu lesen, können Nutzer selbst bestimmen, wer ihre Beiträge sieht. Wenn im Menü rechts neben einem Beitrag zum Beispiel die Zielgruppe „Kollegen“ angewählt wurde, sind diese Beiträge nicht für Freunde außerhalb der Gruppe oder Kontakte dieser Kollegen zu sehen – auch, wenn ein Kollege den „Gefällt-mir“-Button geklickt hat.

Den originalen Artikel mit Links von (sueddeutsche.de/joku/mri), findet ihr unter Facebook bestätigt Tracking ausgeloggter Nutzer von sueddeutsche.de.

Freundliche Grüße
das OSS-Haus Team

Streit um die Anonymität im Netz

Bundesinnenminister Hans-Peter Friedrich (CSU) hat „ein Ende der Anonymität im Internet“ gefordert und damit eine heftige Debatte ausgelöst. Opposition und Netzaktivisten gingen auf die Barrikaden. Inzwischen ließ Friedrich erklären, es sei kein Vorgehen gegen die Anonymität im Internet geplant. Doch die Diskussion geht tiefer – hat Google im sozialen Netzwerk Google+ doch offenbar Profile gelöscht, die unter einem Pseudonym angelegt waren.

Hintergrund der Äußerungen sind die Anschläge in Norwegen. „Politisch motivierte Täter wie Breivik finden heute vor allem im Internet jede Menge radikalisierter, undifferenzierter Thesen, sie können sich dort von Blog zu Blog hangeln und bewegen sich nur noch in dieser geistigen Sauce“, sagte Friedrich dem Magazin Der Spiegel.

„Warum müssen ‚Fjordman‘ und andere anonyme Blogger ihre wahre Identität nicht offenbaren?“ Die Rechtsordnung müsse auch im Internet gelten, Blogger müssten mit offenem Visier argumentieren, so Friedrich. Das Internet führe zu einer neuen Art radikalisierter Einzeltäter. „Wir haben immer mehr Menschen, die sich von ihrer sozialen Umgebung isolieren und allein in eine Welt im Netz eintauchen.“ In dieser Welt im Netz veränderten sie sich, oft ohne dass andere es bemerkten. „Darin liegt eine große Gefahr, auch in Deutschland.“

Der Widerspruch der Opposition folgte prompt. Der Gedanke sei ja menschlich durchaus sympathisch, sagte SPD-Innenpolitiker Dieter Wiefelspütz dem Kölner Stadt-Anzeiger. „Aber das internationale Netz entwickelt sich weltweit naturwüchsig und richtet sich nicht nach der Meinung des deutschen Innenministers oder anderer wohlgesinnter Zeitgenossen.“ Es sei naiv, wenn der Innenminister glaube, auf diese Weise Terroristen in den Griff zu bekommen.

Klarnamenpflicht und Vorratsdatenspeicherung führten nicht zu mehr Sicherheit im Internet, hieß es von Malte Spitz, Bundesvorstandsmitglied der Grünen. Das Verbot von Pseudonymen in sozialen Netzwerken und Blogs habe vielmehr zur Folge, dass sich Autoren in autoritären Staaten großen Gefahren aussetzten. „Eine Klarnamenpflicht würde bedeuten, dass man sich zukünftig mit seinem Personalausweis ins Internet einloggt, um permanent identifizierbar zu sein. Wie sowas in einem internationalen Rahmen funktionieren soll, ist mir völlig unklar.“

Es gebe gute Gründe dafür, dass man im Internet mit einem Pseudonym auftreten möchte, so Spitz. Man solle sich nur die Auseinandersetzung um VroniPlag anschauen. „Viele dieser Menschen würden gegebenenfalls mit ihrem Arbeitgeber oder sozialem Umfeld Probleme bekommen, wenn ihr Engagement bekannt werden würde.“

Den kompletten Artikel mit allen Links von Lutz Poessneck, findet ihr unter Streit um die Anonymität im Netz von silicon.de.

Freundliche Grüße
das OSS-Haus Team