datenritter blog

Die Annahme, ein Angreifer käme immer von außen, ist bekanntlich falsch. Ebenso wenig taugt der innere Angreifer als Ausrede für Unternehmen mit schlechten Sicherheitsvorkehrungen.

Doch die Begriffe "innen" und "außen" verlieren im Zeitalter der Funknetze ihre Wirkung. Ein im Schrank oder unter dem Schreibtisch versteckter WLAN-Access-Point gewährt dem Angreifer "draußen" (vor der Tür) vielleicht Zugriff auf das interne Netz.

Sherri von philosecurity schreibt darüber, wie solche Access-Points funktechnisch verborgen sein können:

1. Sie funken auf Kanal 14:

If an attacker were to configure an AP to illegally transmit on Channel 14 and export data at 2.484 GHz, security teams monitoring US channels would probably never detect it.

Kanal 14 zu nutzen ist nur in Japan legal. Natürlich sollte ein Sniffer alle 14 Kanäle abhören, um den Feindsender im eigenen Lager aufzuspüren.

2. 802.11n ohne Abwärtskompatibilität:

[The] “Green Field” or “high-throughput only” mode [...] takes full advantage of the enhanced throughput but is not visible to 802.11a/b/g devices. Older devices will see GF-mode traffic only as noise.

Das ist eigentlich der selbe Trick wie 1. Es sollte kein Problem sein, einen Sniffer auch auf 802.11n lauschen zu lassen, doch bis die Spezifikation steht und verbreitet ist, sind 802.11n-Access-Points eine gute Wette für den Fiesling von heute.

3. Bluetooth mit hoher Reichweite statt WLAN:

Even if you’re using a spectrum analyzer like WiSpy, you may not notice it. Bluetooth uses Frequency Hopping Spread Spectrum, and hops 1600 times a second throughout the 2.402-2.480GHz band. Because it’s spread out across the spectrum, it can be hard to notice and easily mistaken for noise by the untrained eye. Most Wireless IDS systems and security teams simply don’t look for it (yet).

4. Wireless Knocking:

With wireless knocking, a rogue AP sits on the network in monitor mode, listening for probe requests. When the rogue AP receives a packet (or sequence of packets) with the preconfigured SSID, it awakens and switches to master mode.

Wireless Knocking ist eine Abwandlung des Portknockings. Und es gibt bereits ein Programm dafür: "WKnock" heißt es und ist für OpenWrt verfügbar. Es dient dazu, den eigenen Access-Point vor Angreifern zu verstecken, doch wie jedes "Hackertool" kann es mit guten und bösen Absichten benutzt werden. Wer Angreifer und wer Verteidiger ist, ist keine Frage der Software.

Das Magazin Foreign Policy hat eine wunderbare "Anleitung", wie man den "erschreckendsten Cyberwar-Artikel aller Zeiten" schreibt.

Die Tipps sind vielfältig und mit Links zu entsprechenden Beispielen hinterlegt:

It pays to cannibalize on some recent tragic event from the real world; adding "cyber" to its name would usually trigger all the right associations. Studies show that references to "digital Pearl Harbor","cyber-Katrina", and "electronic 9/11" are most effective, particularly for stories involving electricity grids or dams. Never make any explicit attempts to explain the bizarre choice of your title– you need to leave enough ambiguity out there for your readers to "connect the dots" themselves.

Nicht den Estland-Vorfall vergessen:

Begin the story in Estonia, with a reference to its 2007 attacks; make sure to play up the “E-stonia” tune and how the entire country was under online siege for a month (never mention that rioting in the Estonian streets was much more devastating and that the actual online siege lasted for twenty minutes at best).

Und China muss natürlich erwähnt werden, wird erklärt. Ganz wichtig auch die Sache mit den Experten:

5. Find and quote industry experts with the biggest possible conflicts of interest – preferably those who make their living thanks to the public paranoia about cybersecurity. Make sure you give them enough space to quote their latest anti-virus solutions and consulting services.

Das kennen wir ja zur Genüge.

I bet half of your readers would never want to use a computer again.

(Wäre das nicht eigentlich ganz gut so?)

Der Künstler Richard Box hat 2004 einem Bauern in England 200£ in die Hand gedrückt und die Erlaubnis bekommen, ein 3600m² großes Feld mit 1301 Leuchtstoffröhren zu bestücken.

Darüber berichtet hack a day und hat ein nettes Foto, das aber nachbearbeitet scheint. Bei Flickr sieht das nicht ganz so heftig aus. Die Zahlen stammen aus dem alten Artikel im Guardian.

Das Originelle an der Aktion: Die Leuchtstoffröhren wurden unter einer Hochspannungsleitung in die Erde gesteckt und leuchteten durch deren elektrisches Feld "von selbst".

Ich frage mich, ob es dadurch zu messbaren Verlusten gekommen ist. Und vielleicht wäre das ja eine nette Idee für "Outdoor-Strompiraten": Einfach mal unter einer Hochspannungsleitung das Handy oder die Digitalkamera aufladen...

Ein sonniger, ruhiger Nachmittag. Es klingelt an der Tür. Eine Dame, deutlich über fünfzig, die Kleidung trifft die Mode der üblichen Versandhauskataloge. "Guten Tag, es ist der Eismann", sagt sie. So sieht sie aber nicht aus, denke ich mir. Wenigstens ist es nicht die GEZ und auch keine sonstigen religiösen Fanatiker.

Der "Eismann" sei ein neuer Katalog, es gäbe ja auch Bofrost und — eine andere Marke, die ich mir nicht gemerkt habe. Interessiert mich eigentlich auch nicht, sie hat jedenfalls kein Eis.

Der "Eismann" wäre jetzt neu und man sei an meiner Meinung interessiert und so. Aha. Meinungen hab ich, nicht zu knapp. Sie drückt mir ein Heftchen mit großen Bildern von Stieleis, Tiefkühltorten und sonstigen Kreationen in die Hand. Als ich es durchblättere setzt sie Zettel und Stift an die Türzarge und fragt fordert: "Geben se mal ihre Telefonnummer!".

"Meine Telefonnummer? Nee, die kriegen sie nicht."

Na gut, dann nimmt sie den Katalog wieder mit.

Alles klar.

Den erkläre ich nicht.

Einige weit verbreitete Mailprogramme sind nicht mit Komfortfunktionen zum Umgang mit Mailinglisten ausgestattet. Insbesondere wenn ein Button "Antwort an Liste" fehlt, verwirrt das unbedarfte Anwender.

Eine Mail, die über eine Liste kam, hat natürlich eine ganz normalen Absenderadresse — die des Autors eben. Die Empfängeradresse ist die Adresse der Liste. Zusätzlich kann ein "Reply-To" eingetragen sein, d.h. der Absender wünscht, dass man Antworten an eine andere Adresse richtet, zum Beispiel weil er von einem Firmenaccount aus mailt, Antworten aber in seiner privaten Mailbox empfangen möchte.

Eine einfache Antwort wäre an diese Adresse gerichtet. Erst eine "Antwort an alle" veranlasst das Mailprogramm, auch die Listenadresse als Empfängeradresse mit einzutragen. Das wiederum nervt einige Mailinglistenteilnehmer, weil die Mails an die Liste nicht auch noch in Kopie bekommen möchten. Alle Adressen bis auf die der Liste zu entfernen, ist jedoch zeitaufwändig. (Mailman kann deshalb den Versand an bereits eingetragene Empfänger einer Mail unterdrücken.)

Es gibt ein kleines AddOn, dass Thunderbird um einen "Antwort an Liste"-Button erweitert: Reply to Mailing List.

Leider verwendet das fast niemand, es wird erwartet, dass die Technik irgendwie "komfortabel" ist und "so funktioniert wie erwartet". Wobei natürlich die Erwartung des anfragenden Benutzers gemeint ist, und keine andere. Und so wird oft der Wunsch laut, den Reply-To-Eintrag von der Mailinglistensoftware umschreiben zu lassen.


Das zu tun ist falsch!


Diese Seite erklärt ausführlich, warum. Die Zusammenfassung:

• It violates the principle of minimal munging.


• It limits a subscriber's freedom to choose how he or she will direct a response.


• It provides no benefit to the user of a reasonable mailer.


• It actually reduces functionality for the user of a reasonable mailer.


• It removes important information, which can make it impossible to get back to the message sender.


• It penalizes the person with a reasonable mailer in order to coddle those running brain-dead software.


• It violates the principle of least work because complicates the procedure for replying to messages.


• It violates the principle of least surprise because it changes the way a mailer works.


• It violates the principle of least damage, and it encourages a failure mode that can be extremely embarrassing -- or worse.


• Your subscribers don't want you to do it. Or, at least the ones who have bothered to read the docs for their mailer don't want you to do it.

Freie Übersetzung:

• Man verstößt gegen das Prinzip so wenig wie möglich zu manipulieren.


• Man verschafft Benutzern eines vernünftigen Mailprogrammes keinen Vorteil. (Als vernünftig nehmen wir mal solche Programme an, die besagten "Antwort an Liste"-Button haben.


• Man nimmt den Abonnenten die Freiheit zu entscheiden, an wen sie antworten möchten. (Eine "private" Antwort, die nicht über die Liste gehen soll, kommt schließlich oft genug vor.)


• Man nimmt den Benutzern vernünftiger Mailprogramme einen Teil der Funktionalität.


• Wichtige Informationen werden aus der Mail entfernt, so dass es unmöglich sein kann, den Absender zu kontaktieren.


• Man bestraft die Benutzer vernünftiger Mailprogramme, nur um die Nutzer dämlicher Software zu verhätscheln.


• Man verkompliziert die Antwortprozedur und verursacht Arbeit.


• Es ist unintuitiv, weil man die Art und Weise, wie das Mailprogramm arbeitet, manipuliert.


• Man ermutigt zu falschem Verhalten, was entlarvend und peinlich sein kann. Oder schlimmer. (Weil eine private Mail an die Liste ging.)


• Die Benutzer, die ihr E-Mail-Prgramm verstanden haben, wollen nicht, dass man es tut.

Punkt.

Sherri von philosecurity wirft einen scharfen Blick auf einen besonderen Kalmar, den Web-Cache (bzw. Proxy-Server) Squid.

Die Logfiles, die Squid anlegt, sind natürlich der Schrecken jedes Datenschützers, für forensische Zwecke hingegen interessant. Der Nutzen wird allerdings begrenzt vom Haltbarkeitsdatum der aufgerufenen Seiten: Sie könnten längst verändert worden sein oder dynamisch generiert werden. Oder sie sind nur mit Passwort zugänglich.

Daher kann man sich den Offline-Modus von Squid zu nutze machen. Er aktualisiert Seiten im Cache nicht, sondern liefert die alte Version. Noch besser ist es aber, die zwischengespeicherten Inhalte direkt aus dem Cache zu rekonstruieren. Wie zu erwarten, ist die recht einfach. Sherri schreibt:

Finally, each of those eight-character files contains- yes! - the pages actually cached by Squid. (...) When you surf to a web page, Squid will add some metadata to the top, which includes the full URI and its MD5sum. Squid then stores this, along with the full HTTP reply (headers and body) as a file in one of these subdirectories. If the page is requested later, it can look it up in swap.state and fetch it.

Und extrahiert dann als Beispiel ein "verdächtiges" Bild: edited.jpg.


Übrigens: Sicherheitsexperte Bruce Schneier schreibt Freitags immer etwas mehr oder weniger spannendes über zehnarmige Tintenfische (engl. Squids). Zuletzt habe ich dort gelernt, dass man Tentakeln nicht einfach füllen darf, da sie sich beim Braten zusammenziehen und die Füllung im Raum verspritzen.

Update 2009-04-25: Ich hatte Mr. Schneier gemailt, er hat den Artikel im Friday Squid Blogging erwähnt. Das dürfte für ordentlich Aufmerksamkeit sorgen.

Jemand schrieb mir:

Als ich den PC vorhin anschaltete, hörte ich ein leises Geräusch, wie einen Knall.

Ja und jetzt ist mein Bildschirm bunt in allen Farben - entsetzlich.
Ich kann alles nur schwer lesen; es ist zwar noch deutlich, aber wie gesagt, mit sämtlichen Farben (so wie bei einem Regenbogen) unterlegt.

Ist da eventuell was kaputt gegangen?

Und gerade, wie ich den Strom wieder einschaltete, machte es wieder "puff".
Der Rechner war noch nicht eingeschaltet, und so nehme ich an, dass eventuell der Bildschirm kaputt ist?
Der Bildschirm sieht aus, als ob dahinter ein hellgrünes (links und rechts) und (in der Mitte) weißes Licht leuchten würde.

Hervorhebungen von mir.

Schon erstaunlich, mit welcher Hartnäckigkeit sich Leute vor offensichtlich funktionsgestörte Geräte setzen und es einfach weiter versuchen. In diesem Fall ging die Strategie sogar auf, denn das Problem ist später tatsächlich "von selbst" verschwunden.

Wer sich die Whois-Daten für die Domains t-beutel.de und t-wurst.de anschaut (z.B. durch Abfrage bei der DENIC), wird überrascht: Die Domains sind auf die Deutsche Telekom AG, Abteilung "Domainmanagement" registriert.

Diese Art von "Markenschutz" erscheint mir doch etwas übereifrig. (Da können nur Juristen dahinterstecken.)

Auch t-offline.de hat sich die Telekom gekrallt, was irgendwie nachvollziehbar ist.

t-licht.de gehört allerdings einem gewissen Tobias Licht, und t-error.de ist eine Seite des Satire-Magazins Titanic.

Bei hack a day gibt es eine Liste real existierender Exoskelette. Eines dieser Wunderwerke, der HAL, ist nun beim japanischen Hersteller Cyberdyne käuflich zu erwerben: http://www.cyberdyne.jp/English/robotsuithal/index.html.

Dieser wirkt allerdings nicht kriegerisch, sondern eher wie eine Mischung aus Altenhilfe und Yuppiespielzeug.

Laut einem Artikel im h+ Magazine wird er aber nicht über Drucksensoren oder ähnlich primitives gesteuert, sondern durch Abtastung der schwachen Biosignale, welche das Hirn an die Muskeln in den Extremitäten sendet.

Der HAL läuft fast drei Stunden mit Batterie. Cyberdyne plant angeblich, jedes Jahr 400 dieser Exoskelette herzustellen. Der Verkaufspreis soll unter 4000,- € liegen.