datenritter blog

Zur akustischen Abhörbarkeit von Computersystemen hatte ich schon einmal etwas geschrieben.

Bei hack a day wurde kürzlich über die Möglichkeit, Wände als Eingabegerät zu nutzen, berichtet. Chris Harrison, der auch sonst einige interessante Projekte auf seinen Seiten präsentiert, hat sich mit der Entwicklung einer solchen "Kratz-Eingabe" beschäftigt. Das System erkennt an die Wand gekratzte Gesten wie Kreise oder Linien und Klopfen auch über vermeintliche Hindernisse wie Türen hinweg.

Aber auch Buchstaben sind Gesten. Ein auf Papier geschriebenes (beziehungsweise "gekratztes") X ist von einem U zu unterscheiden. Menschen mit absolutem Gehör erkennen Töne zielsicher. Blinde hören die erstaunlichsten Details aus ihrer Umgebung heraus, weil ihr Hörsinn stärker ausgebildet ist. Also ist es auch möglich, manuelle Schreibvorgänge — will sagen: Handschrift — abzuhören.

Wie das eingangs genannte Experiment zeigt, brauchen Spione und Geheimdienste keine Blinden mehr zu beschäftigen. Ist die Schrift sehr leise oder durch Störgeräusche für einen Menschen nicht mehr wahrnehmbar, müssen ohnehin Mikrofone und Signalverarbeitung helfen. Da liegt es nahe, gleich eine Software als etwas ausgefeilteres "Eingabegerät" anzuschließen, die mit hoher Erkennungsrate handschriftliche Notizen mitschreiben kann. Die klare zeitliche Abfolge der Geräusche und die minimalen Abweichungen der Handschrift eines Menschen dürften die Auswertung zu einem Kinderspiel machen.

Die Kosten sind minimal: Ist die Software erstmal entwickelt, braucht man nur noch ein Notebook und ein geschickt angebrachtes Mikrofon.

Bei letzterem hat man es wegen der guten Fortpflanzung von Schallwellen in festen Körpern sogar recht leicht: Mikrofone können auch an schwer erkennbaren Stellen angebracht werden. Da die meisten Notizblöcke auf Tischen liegen, würde ich mal spontan die Zimmerdecke der darunterliegenden Wohnung ausprobieren. Dann hilft dem Heimlichtuer von heute auch der aus Filmen bekannte aufgedrehte Wasserhahn nicht mehr.

Ich habe heute eine Phishing-Mail erhalten, die mich auf eine gefälschte PayPal-Seite lotsen möchte. In der HTML-Mail befindet sich ein Link auf die Seite http://0xded6d8a1/www.paypal.com/... /index.htm.

Der Link zeigt offensichtlich nicht auf "www.paypal.com" sondern auf den Server mit der Adresse "0xded6d8a1". Durch die hexadezimale Darstellung der IP-Adresse und die fehlende Endung (Top-Level-Domain) fällt einem Unbedarften das aber möglicherweise nicht auf. Das ist besonders wahrscheinlich, wenn die URL unverändert in der Adresszeile des Browsers angezeigt wird.

Man kann von den Benutzern erwarten, dass sie Top-Level-Domains und IP-Adressen in Dezimaldarstellung erkennen. Aber mir fällt kein Grund ein, warum ein Link mit als Hexadezimalzahl getarnter Adresse funktionieren müsste.

Tut er aber. Der Browser Konqueror (Version 3.5.9) fällt jedenfalls auf die Hex-Adresse herein. Der Microsoft Internet Explorer ebenfalls, er wandelt den Hexcode allerdings in die Dezimalform der Adresse um, schreibt also http://222.214.216.161/...

(Anmerkung: Dieser Trick funktioniert in der Regel nicht, wenn man einen Proxy-Server benutzt, da die die IPs normalerweise im "richtigen" Format verlangen.)

Selbst wenn der Browser die Adresse nicht umsetzt — so wie mein Iceweasel 3.0.3 (die Debian-Version des Firefox) — sondern den Hexcode als Domainnamen interpretiert, so versucht er möglicherweise, eine funktionierende Domain zu erraten. (Sogenanntes Domain Guessing.) In diesem Fall käme dann http://www.0xded6d8a1.com/www.paypal.com/... dabei heraus, was Betrüger ebenfalls ausnutzen könnten, aber deutlich auffälliger ist, da der erste Teil der URL dann durch seine Endung .com auffällt.

Das Problem scheint nicht wirklich neu zu sein. Diverse Möglichkeiten IP-Adressen zu verschleiern, sind auf der Seite pc-help.org/obscure erklärt. Auf der Seite wird auch auf eine "Dotless-IP-Address"-Sicherheitslücke älterer Versionen des Internet Explorers hingewiesen. Allerdings bestand der Fehler damals "nur" darin, dass der IE verschleierte IPs als im lokalen Netzwerk angesiedelt betrachtete und entsprechend falsche Sicherheitseinstellungen anwandte. (Irgendwie typisch.)

Die verschleierten IP-Adressen an sich scheint hingegen niemand als Problem anzusehen, was Phisher nach Belieben ausnutzen.

Das Blog Royal Pingdom berichtet über ein abgefahrenes Rechenzentrum, welches in einem ehemaligen Atombunker namens "Pionen White Mountains" irgendwo unter Stockholm eingerichtet wurde. Die Internet-Anbindung ist mehrfach redundant, und zwei deutsche U-Boot-Motoren dienen als Notstromversorgung:

[J]ust for fun the people at Pionen have also installed the warning system (sound horns) from the original German submarine.

Es gibt außerdem Zimmerpflanzen, Nebel, Wasserfälle und Tageslichtsimulation, um den 15 Mitarbeitern den Aufenthalt so angenehm wie möglich zu gestalten.

Hoffentlich haben die Betreiber auch bedacht, dass auch eine atombombenfeste Tür keine Trojaner abhält.

Hier hat jemand eine .htaccess-Datei vorbereitet, mit der man die Adressen, die vielleicht dem Bundesnachrichtendienst gehören, aussperren kann.

Das ist zwar eine eher schlechte Idee, da es leicht zu umgehen ist und dem dem Charakter des Netzes zuwiderläuft.

Aber es ist zumindest lehrreich zu sehen, wie so eine "Ausladung" aussehen könnte. Besucher mit bestimmten Adressen oder Domains werden auf eine zweifelhafte Google-Suche umgeleitet oder mit einer "Forbidden"-Antwort ganz ausgesperrt:

RewriteEngine on
RewriteCond %{HTTP_REFERER} bvoe [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bvoe [NC,OR]
RewriteCond %{REMOTE_HOST} bvoe [NC,OR]
RewriteCond %{HTTP_REFERER} lvp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lvp [NC,OR]
RewriteCond %{REMOTE_HOST} lvp [NC]
RewriteRule ^.*$ http://www.google.de/search?hl=de&q=fema+death+camps+bush+nazi+fascist [R=301,L]

Order Allow,Deny
Deny from 195.243.248.226/32
Deny from 195.243.248.228/32
Deny from 62.156.187.234/32
Deny from 62.156.187.236/32
(...)
Allow from all

Im gleichen Blog findet man auch Rewrite-Regeln zum Aussperren von Spambots und E-Mail-Harvestern nach dem selben Verfahren:

# Block E-Mail Harvester
RewriteEngine on
ReWriteCond %{HTTP_USER_AGENT} Alexibot [OR]
ReWriteCond %{HTTP_USER_AGENT} asterias [OR]
ReWriteCond %{HTTP_USER_AGENT} BackDoorBot [OR]
ReWriteCond %{HTTP_USER_AGENT} Black.Hole [OR]
(...)
ReWriteCond %{HTTP_USER_AGENT} Mozilla/2 [OR]
ReWriteCond %{HTTP_USER_AGENT} Mozilla/3.Mozilla/2.01 [OR]
ReWriteCond %{HTTP_USER_AGENT} Mozilla.*NEWT [OR]
(...)
ReWriteCond %{HTTP_USER_AGENT} Zeus
RewriteRule ^.*$ http://www.google.de/search?hl=de&q=spam[L]

Die alten Browser-Kennungen mit auszusperren, ist sicher kein Fehler. Allerdings muss auch hier gesagt werden, dass Filter umgangen werden können, dieser hier sogar auf triviale Art. Gegen Spam und E-Mail-Harvester gibt es bessere Maßnahmen, z.B. kann man Regel wie die oben gezeigten automatisiert erstellen und zeitlich begrenzt anwenden.

Loggt man sich per SSH auf anderen Computern ein, so prüft SSH den Fingerprint des Host-Keys. Diese Überprüfung kann seit einiger Zeit durch eine grafische Darstellung unterstützt werden. Setzt man die Einstellung

VisualHostKey yes

in der /etc/ssh/ssh_config, so zeigt SSH beim Login eine kleine ASCII-Art-Grafik an, an die sich unser stark auf das Visuelle ausgerichtete Hirn besser erinnern kann:

RSA key fingerprint is \
6b:c6:ef:12:bc:34:8a:56:97:2b:8f:ff:df:f3:12:c3.
+--[ RSA ]--------+
|                 |
|                 |
|       .o Z o    |
|  ..oo*o *       |
| ..o.   ...      |
|o  ..  .. °      |
|.. .==.          |
|E.oo++           |
| oo...oo.        |
+-----------------+

Eine kleine Abweichung im Schlüssel sollte für eine große Abweichung in der Grafik sorgen, so dass das Verfahren wirklich eine Erleichterung ist.

Hoffentlich ist es nicht leicht, Schlüssel mit ähnlicher Grafik zu erzeugen. Denn kleine Abweichungen in der Grafik erkennt man sicher nicht so leicht, das Verfahren würde dann neue Angriffsmöglichkeiten eröffnen.

Dass man mittels eines Seifenabdruckes Schlüssel nachmachen kann, ist aus gewissen Filmen hinlänglich bekannt. Logisch eigentlich, dass das auch mit einem Foto geht — und für einige auch nichts neues.

Forscher der UC San Diego Jacobs School of Engineering haben das ganze jetzt in ein automatisiertes Verfahren gegossen. Ein Digitalfoto, gerne auch klammheimlich mit dem Teleobjektiv gemacht, wird vom Computer per Bilderkennung in die Vorlage für einen Nachschlüssel umgewandelt.

Die Studie zeigt einmal mehr, dass Schlüssel — auch die zu sogenannten Sicherhetsschlössern — keineswegs besonders sicher sind. Allerdings waren sie das auch vorher schon nicht.

Die Hersteller gehen dort, wo Stromversorgung und Batteriepuffer zur Verfügung stehen, mittlerweile dazu über, die Schlüssel magnetisch zu kodieren oder gar RFID-Chips einzubauen. Doch dürfte das noch für lange Zeit nur bei Autos üblich sein.

Für den Ottonormal-Netzbürger zeigt dieses Beispiel einmal mehr, wie vorsichtig man mit der Preisgabe von Informationen sein muss:

“If you go onto a photo-sharing site such as Flickr, you will find many photos of people’s keys that can be used to easily make duplicates. While people generally blur out the numbers on their credit cards and driver's licenses before putting those photos on-line, they don’t realize that they should take the same precautions with their keys,” said Savage.

Es würde mich interessieren, was Versicherungen dazu sagen, dass Menschen Fotos von ihren Auto- oder Haustürschlüsseln in frei zugängliche Fotoalben im Netz einstellen.

Die Förde-Sparkasse verteilt nicht nur Server-Fingerprints auf Papier, sie zeigt auch rechtzeitig die neuen Fingerprints auf der Webseite an:

Der Ihnen bekannte Fingerabdruck (Fingerprint) verliert demnächst seine Gültigkeit. Damit Sie auch weiterhin die Zertifikatsprüfung durchführen können, teilen wir Ihnen nachfolgend den zukünftig gültigen Fingerabdruck mit. Bitte drucken Sie sich diesen aus.

Das ist wirklich vorbildlich.

Nun steht auch in Bruce Schneiers Blog etwas über die Abhörbarkeit von kabelgebundenen Tastaturen.

In den Kommentaren hält jemand das ganze für einen Hoax:

Given that the first test's test phrase is "Trust no one", and that in both tests curiously the detection apparatus seemed to know precisely how many characters were pressed in the test (i.e. it knew when to stop), I'm inclined to believe this is a hoax.

Bisher sind die technischen Details auch noch nicht veröffentlicht worden.

Doch auch die anderen Kommentare des aufgeweckten Publikums sind wie immer lesenswert. Dort findet sich ein Hinweis auf ein 2005 veröffentlichtes Paper. Laut dem sind Tastaturen, wie schon vermutet, auch abhörbar im eigentlichen Sinne des Wortes. Im Abstract heißt es:

We present a novel attack taking as input a 10-minute sound recording of a user typing English text using a keyboard, and then recovering up to 96% of typed characters. There is no need for a labeled training recording. Moreover the recognizer bootstrapped this way can even recognize random text such as passwords: In our experiments, 90% of 5-character random passwords using only letters can be generated in fewer than 20 attempts by an adversary; 80% of 10-character passwords can be generated in fewer than 75 attempts.

Quelle: “Keyboard Acoustic Emanations Revisited.” L. Zhuang, F. Zhou, and J. D. Tygar. In Proceedings of the 12th ACM Conference on Computer and Communications Security, November 2005, pp. 373-382. Zu finden hier bzw. direkt hier.

Der Angriff macht sich auch statistische Eigenschaften zunutze. Mit einem ungewöhnlichen Keyboard-Layout und wirklich komplizierten Passwörtern ist man also noch einigermaßen auf der sicheren Seite.

Erst in den letzten Tagen hatte ich eine kleine Diskussion über Funk-Tastaturen. Diese sind meiner Meinung nach ein großes Sicherheitsrisiko. Was nützt die schönste Festplattenverschlüsselung, wenn Passwörter per Funk durch den Raum wabern, wahrscheinlich eher schlecht verschlüsselt?

Vor einiger Zeit behauptete mal jemand, er glaube, dass Blinde hören können, welche Tasten man tippt. Das halte ich für übertrieben, doch mittels einer computergestützten Auswertung der Tastengeräusche ist sicher einiges möglich. Jedenfalls kann man anhand der zeitlichen Verzögerung zwischen den Anschlägen schon recht gut Anwender identifizieren und vielleicht auch ermitteln, welche Tasten betätigt wurden. Schließlich brauchen die Finger je nach Entfernung unterschiedlich viel Zeit von einer Taste bis zur nächsten.

Klar ist: Wer beim Tippen gefilmt wird, hat ein Problem, und auch schnelle Augen könnten mitlesen.

Doch auch, wenn man es schafft, seinen Schreibrhythmus zu verzerren, keine Funktastatur benutzt, Blinde meidet und niemals unter menschlichen oder Kameraugen tippt: Ein mulmiges Gefühl bleibt. War da nicht etwas mit dem Kondensatorenpfeiffen, welches einem Lauscher verrät, was der Prozessor oder ein anderes Bauteil gerade macht? Und was ist mit der elektromagnetischen Abstrahlung des Geräts über Schnittstellen, Kabel und Öffnungen im Gehäuse? TEMPEST bzw. Van-Eck-Phreaking nennt man das, und Banken, Botschaften und Versicherungen schirmen deshalb Wände und Fenster mit elektrisch leitfähigen Materialien und Gitternetzgeweben ab. Es gibt sogar abschirmende Wandfarben.

Nun, das Van-Eck-Phreaking ist zurückgekehrt und hat einen der schlimmsten Albträume Wahrheit werden lassen: COMPROMISING ELECTROMAGNETIC EMANATIONS OF WIRED KEYBOARDS.

Laut der Zusammenfassung bei hack a day haben Martin Vuagnoux and Sylvain Pasini vom Ecole Polytechnique Fédérale de Lausanne elf verschiedene Tastaturen gefunden, die bei jedem Tastendruck elektromagnetische Impulse aussenden, die sich empfangen und dekodieren lassen. Achja, und das funktioniert auch noch aus etwa zwanzig Metern Entfernung.

Da das Paper noch nicht veröffentlicht ist, müssen wir mit Demonstrationsvideos vorlieb nehmen und einfach mal glauben, dass es kein Scherz ist.

Die Vorstellung, nur noch Bildschirmtastaturen einzusetzen, wie es bereits jetzt einige Banken ermöglichen, um Keyloggern ein Schnippchen zu schlagen, behagt mir gar nicht. Ich werde stattdessen meine Tastatur in geerdete Alufolie einwickeln.

Am 10. Oktober konnte man im SC Magazine lesen, dass WPA angeblich nicht mehr sicher sei. Eine russische Firma würde die enorme Rechenleistung von nVidia-Grafikkarten-Prozessoren nutzen, um das Knacken von Passwörtern um 10.000% zu beschleunigen.

Es handelt sich übrigens um die Firma Elcomsoft, spezialisiert auf "Passwort-Rettung".

Das hat wiederum eine andere Firma, GSS, dazu veranlasst, WiFi generell für unsicher zu erklären und VPNs anzupreisen. Kristian Köhntopp fragte sich indes, wie denn die VPNs mit den gleichen Verfahren wie bei WPA sicherer sein sollen.

Bei Slashdot hat man am 12. Oktober richtig gerechnet: Eine Beschleunigung um 10.000% bedeutet ungefähr* Faktor 100. Nicht mehr. Und das bei einer Brute-Force-Attacke. Die ist bei schwachen Passwörtern schon immer erfolgversprechend gewesen, sonst eher nicht.

Das ganze ist also nichts, was man durch mehr konventionelle Rechenleistung, z.B. einen kleinen Cluster nicht auch erreichen könnte. Bruce Schneier schreibt dazu dann auch gewohnt deutlich:

Yes, weak passwords are weak -- we already know that. And strong WPA passwords are still strong. This seems like yet another blatant attempt to grab some press attention with a half-baked cryptanalytic result.

Thema durch.


(* Da bin ich pingelig: Beschleunigung um 10.000%, also um die 100fache Leistung, bedeutet auf das 101fache. Beschleunigung auf 10.000% wäre hingegen auf das 100fache. Ich gehe davon aus, dass auch im Englischen so unterschieden wird.)