datenritter blog

• Tag "tastatur" in diesem Blog.
• Einhändig bedienbare Tastaturen von Maltron erinnern ein bisschen an Randall Munroes Mirrorboard. Für die, die nur eine Hand haben oder die andere für einen Joystick o.ä. brauchen. Sieht sicher cool aus, wenn man damit umgehen kann. Dieses hier hab ich auch mal in irgendeinem Film gesehen. Durch die Krümmung dürfte es deutlich schwerer sein, dem Benutzer auf die Finger zu schauen.
• Schneier on Security: Sniffing Keyboard Keystrokes with a Laser (Schon mehr als ein Jahr alt, sorry.) – Funktioniert nicht so toll, wie die Messung von Vibrationen an einer Fensterscheibe, aber auch Worte lassen sich erraten. Ein möglicher Schutz: Laptops ohne Tastatur. ;)
• In Kombination mit dem Abhören über die Stromleitung ergab sich das hier: Sniffing keystrokes via laser and keyboard power. (Auch bei hackaday.)
• Im August 2009 schließlich meldete heise: "Apple-Tastaturen können mitlauschen", weil sie einen frei programmierbaren Microcontroller enthalten.

Seit dem ist mir nichts neues zum Thema aufgefallen.

So, nun wird diese ganze SSL-Problematik langsam unheimlich.

Erklärung: http://blog.fefe.de/?ts=b544bbc7.

Konsequenz:



Und unter Debian:



Grmbl.

Gulli berichtet:

Eine neue wissenschaftliche Arbeit kommt zu dem Schluss, dass die US-Regierung mit vielen SSL-Zertifizierungsstellen kooperiert, um das Mitlesen verschlüsselter Verbindungen zu ermöglichen.

Die IT-Sicherheitsforscher Christopher Soghoian und Sid Stamm kommen zu dem Schluss, dass die Regierung vielfach die Schlüssel von SSL-Zertifikaten von den Zertifizierungsstellen (Certificate Authorities - CAs) erhält. So können sie Websites vortäuschen und die Benutzer in Sicherheit wiegen. Mit Hilfe von Forensik-Tools können sogenannte Man-in-the-Middle-Angriffe sogar automatisiert durchgeführt werden. Die Konsequenz: die US-Regierung ist offenbar in der Lage, routinemäßig SSL-Verbindungen mitzulesen, ohne den Schlüssel knacken zu müssen.

Es ist absolut nicht überraschend, dass eine Zertifikatsautorität für "Bedarfsträger" falsche Zertifikate ausstellen kann, das sieht der X.509-Standard so vor.

Stand hier schon 2008.

Und wie schon erwähnt erzählt Dan Kaminsky einiges dazu in seinem Vortrag auf dem 26C3.

Dass eine Regierung von dieser Möglichkeit Gebrauch macht ist eine Selbstverständlichkeit. Wenn eine Vertrauensstelle in einem System vorkommt, sei es eine Bank, ein Offizier, ein Programmierer oder eben eine Zertifikatsauthorität, dann ist diese immer ein möglicher Angriffspunkt, daran lässt sich auch kaum etwas ändern. Aber X.509 setzt darauf, dass wir den Autoritäten vertrauen, denen die Browserlieferanten vertrauen. Allen. Allen gleichzeitig. Selbst schuld.

Ich sag nix mehr zu SSL bzw X.509. Es ist einfach schlimm. Fefe fasst es prima zusammen:

(...) die Israelis (...) bieten einen SSL-Zertifikat-Dienst an, der auch den privaten Schlüssel für dich generiert. How convenient! Und sie haben plausible deniability, weil es auch einen Button zum Hochladen seines eigenen CSR gibt. (...)

Das ist noch besser, als ein schnöder Man-in-the-middle-Angriff, den sowieso jede von den gängigen Browsern anerkannte Zertifikatsautorität spielen kann. So hat man nicht nur gültigen Ersatz, sondern gleich das Original. Ich bin mit den Details des TLS-Verbindungsaufbaus nicht so vertraut, vermute aber mal, dass man damit sogar nachträglich noch den halben aufgezeichneten Datenstrom entschlüsseln kann. Wer das Angebot annimmt, ist selbst schuld.

Wer das technische Verständnis hat, kann sich ja auch die Aufzeichnung von Dan Kaminskys Vortrag auf dem 26C3 ansehen. Er beschäftigt sich mit ein paar Problemchen der X.509-PKI. Und da bleibt kein Stein auf dem anderen.

Ironie: Beim Aufruf von https://events.ccc.de/congress/2009/Fahrplan/events/3658.en.html bekomme ich eine Warnung, weil das Zertifikat des Servers eine MD5-Signatur hat. Arrg!

Ich bin angenehm überrascht. Die pidder-Macher sind auf meine Kritik eingegangen, und das mit geradezu historischer Offenheit und, hey, sogar humorvoll. Zu lesen unter https://www.pidder.com/blog/2010/01/eine-stellungnahme/

Ein paar Zitate und Anmerkungen... "coole Reaktion der pidder-Betreiber" ... »

pidder ist ein neuer Datenaustausch- und Single-Sign-On-Service, der sich als Gewinn für die Sicherheit anpreist. Es kommt sicher nicht überraschend, dass ich das etwas anders sehe... "Zweifel an pidder" vollständig lesen »

Leider völlig an mir vorbeigegangen und deshalb nur der Vollständigkeit halber erwähnt ist diese Meldung vom Juli 2009:

Eingaben auf PS/2-Keyboards können offenbar über Steckdosen ausspioniert werden. Auf der Black Hat-Sicherheitskonferenz haben zwei italienische Sicherheitsexperten nun einen PS/2 Protocol Keyboard Sniffer vorgestellt, wie heise berichtet. Demnach kann anhand der Masseleitung im Stromnetz nachvollzogen werden, welche Tasten angeschlagen wurden.

Autsch.

Die Annahme, ein Angreifer käme immer von außen, ist bekanntlich falsch. Ebenso wenig taugt der innere Angreifer als Ausrede für Unternehmen mit schlechten Sicherheitsvorkehrungen.

Doch die Begriffe "innen" und "außen" verlieren im Zeitalter der Funknetze ihre Wirkung. Ein im Schrank oder unter dem Schreibtisch versteckter WLAN-Access-Point gewährt dem Angreifer "draußen" (vor der Tür) vielleicht Zugriff auf das interne Netz.

Sherri von philosecurity schreibt darüber, wie solche Access-Points funktechnisch verborgen sein können:

1. Sie funken auf Kanal 14:

If an attacker were to configure an AP to illegally transmit on Channel 14 and export data at 2.484 GHz, security teams monitoring US channels would probably never detect it.

Kanal 14 zu nutzen ist nur in Japan legal. Natürlich sollte ein Sniffer alle 14 Kanäle abhören, um den Feindsender im eigenen Lager aufzuspüren.

2. 802.11n ohne Abwärtskompatibilität:

[The] “Green Field” or “high-throughput only” mode [...] takes full advantage of the enhanced throughput but is not visible to 802.11a/b/g devices. Older devices will see GF-mode traffic only as noise.

Das ist eigentlich der selbe Trick wie 1. Es sollte kein Problem sein, einen Sniffer auch auf 802.11n lauschen zu lassen, doch bis die Spezifikation steht und verbreitet ist, sind 802.11n-Access-Points eine gute Wette für den Fiesling von heute.

3. Bluetooth mit hoher Reichweite statt WLAN:

Even if you’re using a spectrum analyzer like WiSpy, you may not notice it. Bluetooth uses Frequency Hopping Spread Spectrum, and hops 1600 times a second throughout the 2.402-2.480GHz band. Because it’s spread out across the spectrum, it can be hard to notice and easily mistaken for noise by the untrained eye. Most Wireless IDS systems and security teams simply don’t look for it (yet).

4. Wireless Knocking:

With wireless knocking, a rogue AP sits on the network in monitor mode, listening for probe requests. When the rogue AP receives a packet (or sequence of packets) with the preconfigured SSID, it awakens and switches to master mode.

Wireless Knocking ist eine Abwandlung des Portknockings. Und es gibt bereits ein Programm dafür: "WKnock" heißt es und ist für OpenWrt verfügbar. Es dient dazu, den eigenen Access-Point vor Angreifern zu verstecken, doch wie jedes "Hackertool" kann es mit guten und bösen Absichten benutzt werden. Wer Angreifer und wer Verteidiger ist, ist keine Frage der Software.

Das Magazin Foreign Policy hat eine wunderbare "Anleitung", wie man den "erschreckendsten Cyberwar-Artikel aller Zeiten" schreibt.

Die Tipps sind vielfältig und mit Links zu entsprechenden Beispielen hinterlegt:

It pays to cannibalize on some recent tragic event from the real world; adding "cyber" to its name would usually trigger all the right associations. Studies show that references to "digital Pearl Harbor","cyber-Katrina", and "electronic 9/11" are most effective, particularly for stories involving electricity grids or dams. Never make any explicit attempts to explain the bizarre choice of your title– you need to leave enough ambiguity out there for your readers to "connect the dots" themselves.

Nicht den Estland-Vorfall vergessen:

Begin the story in Estonia, with a reference to its 2007 attacks; make sure to play up the “E-stonia” tune and how the entire country was under online siege for a month (never mention that rioting in the Estonian streets was much more devastating and that the actual online siege lasted for twenty minutes at best).

Und China muss natürlich erwähnt werden, wird erklärt. Ganz wichtig auch die Sache mit den Experten:

5. Find and quote industry experts with the biggest possible conflicts of interest – preferably those who make their living thanks to the public paranoia about cybersecurity. Make sure you give them enough space to quote their latest anti-virus solutions and consulting services.

Das kennen wir ja zur Genüge.

I bet half of your readers would never want to use a computer again.

(Wäre das nicht eigentlich ganz gut so?)

In diesem Beitrag hatte ich noch behauptet, dass man nicht unbedingt stürbe, wenn man sich Badewanne oder Swimmingpool mit einem Elektrogerät teilt. Hier nochmal das Bild dazu:



Nun wurde vor kurzem von einem Stromunfall berichtet, bei dem zwei Kleinkinder, denen ein Föhn* in die Badewanne geraten war, umkamen. Klugscheißerisch erklärte "Planetopia", wie wichtig FI-Schalter im Badezimmer sind. Nun ja. Jedenfalls gibt es offenbar doch ein Problem.

(* Zur Schreibweise — Fön vs. Föhn — lese man in der Wikipedia.)

Der technisch veranlagte Mensch hat ja etwas gegen Großstadtlegenden und sitzt oft genug dem Irrtum auf, das einigermaßen gut leitende Badewasser würde verhindern, dass tödlicher Strom durch den menschlichen Körper fließt. Die einfache Rechnung "Strom + Wasser = Gefahr" macht er schon lange nicht mehr, wissend, dass entgegen allgemeinem Irrglauben Fliesen auch dann noch gut isolieren, wenn man mit nassen Füßen darauf steht, und dass es normalerweise auch keine blauen Blitze gibt, wenn irgendwo Strom fließt.

Doch überlegen wir mal genauer: Der Föhn sei ein Schutzklasse-II-Gerät, also eines, das nur zwei Kontakte, für den stromführenden Außenleiter- und den Neutrallleiter, hat, aber keinen Schutzleiter. Ein ganz normaler Föhn eben. In seinem Inneren sind Heizdrähte, die die durchgeblasene Luft erhitzen.

Fällt dieser Föhn nun in die Badewanne, so nimmt der Strom bekanntlich den "Weg des geringsten Widerstandes." Preisfrage: Wenn man einen kleinen und einen großen Widerstand parallel schaltet, welchen Weg nimmt dann der Strom?

Weil der Strom sich teilen kann, ist der Weg des geringsten Widerstandes der durch beide Widerstände gleichzeitig.

Wir haben jetzt also Heizdrähte, Wasser und einen menschlichen Körper gewissermaßen parallel geschaltet. (Eigentlich müsste man jetzt darüber nachdenken, wie die Feldlinien durch das Wasser laufen, aber eine einfache Parallelschaltung reicht für die Vorstellung völlig aus.) Wie sich der Strom aufteilt, lässt sich nur schwer sagen:

• Die Heizdrähte bleiben intakt, sie werden durch das Badewasser sogar gekühlt, durch sie fließt in etwa der gleiche Strom wie zuvor auch.
• Der Widerstand des Badewassers ist, sagen wir mal: auf jeden Fall klein genug.
• Und der des menschlichen Körpers ist sehr viel geringer als viele Menschen glauben. Der hohe Hautwiderstand bewahrt uns normalerweise vor allerlei Übel, deswegen haben wir ein schlechtes Gefühl für diese Gefahr. Unser Blut ist aber sehr leitfähig, und der Hautwiderstand ist ja durch das Badewasser ausgeschaltet. Man könnte im doppelten Sinne von einem "perfekten Körperschluss" sprechen.

Und die Badewanne? Nun, die ist durch die Emaille-Schicht isoliert. Lediglich am Abfluss könnte Strom abfließen, und zwar in die Erde. Mit verschiedenen Erdungssystemen und der Funktion von Schutzschaltern werde ich mich hier nicht beschäftigen. Ich nehme einfach an, es sei kein FI-Schutzschalter vorhanden. Allerdings ist die Badewanne nicht völlig irrelevant: Ein Mitglied des Forums diesteckdose meint nach einem Experiment mit der heimischen Wanne, dass die isolierte Metallwanne ein großer Kondensator ist, und damit für Wechselstrom durchlässig. Das klingt plausibel, ist aber erstmal zu schwer zu berechnen.

Wie dem auch sei — es ist klar, dass Strom durch den Körper eines Badenden fließen kann, und dieser Strom ist in vielen Fällen tödlich! Schützen kann nur ein FI-Schalter, außerdem sollte der Badewannenabfluss mit dem Schutzleiter verbunden sein!

Bei YouTube findet sich eine Aufzeichnung aus der Sendung "Clever!" mit dem Titel "Fön in der Wanne", in dem man sehen kann, wie ein Föhn unter Wasser weiter blubbert. Und hier gibt es ein paar Messergebnisse aus einem aufwändigen Experiment.

Wie das Bild oben zustande gekommen ist, ist somit nicht mehr ganz einfach zu durchschauen. Peter hat einen Faradayschen Helm auf, der den Blitz der Teslaspule direkt in das Poolwasser leitet. Das wiederum hat einen hohen Salzgehalt und leitet den Strom direkt zur Erde ab. Seinen Ausführungen würde ich aber nicht mehr blind vertrauen:

Taken in our backyard pool. The salt water pool is very conductive like a big ground so there is absolutely no sensation. People associate water and electricity with danger. Like dropping the hairdryer in the bathtub. But the danger only occurs if the water forms a path to you then ground ie if you touch the taps, bath drain or wet grounded floor.

Da das Gerücht umgeht, dass die Ermittler bei durch Elektrogeräte in der Badewanne umgekommenen Opfern erstmal eher nicht von einem "Unfall" ausgehen (vermutlich weil diese Methode, jemanden aus der Welt zu schaffen, zu beliebt ist), könnte man also auf die Idee kommen, statt des Schaumbads ein paar Hände Badesalz einzurühren — als unauffällige Lebensversicherung, während die böse Schwiegermutter im Haus ist.