Lob, Kritik, Anregungen, Ideen und Vorschläge sind ausdrücklick gewünscht!

Über Kommentare unter dem Blog freue ich mich sehr und es zeigt mir, dass weiterhin Interesse besteht.
Also kommentiert fleißig, wenn es euch gefällt! ;).
[hr]Einleitung:

Hatte schon öfter die Idee, solche Themen hier zu veröffentlichen, allerdings fehlte mir bisher die Form. In einem Thread hatte ich es mal ansatzweise versucht und in größeren Threads bin ich sowieso stets aktiv (Hackerangriff auf Sony, NSA-Abhörskandal - PRISM/Tempora, LulzSec UND Anonymous, Kino.to r3 (Boerse.bz: Razzia), Rechtsanwälte mahnen wegen Streaming ab, ...). Deshalb versuche ich mich jetzt mal an einem Blog zu diesem weitumfassenden und wichtigem Thema.

Denn gerade in einem jungen und digitalen Forum wie hier, sollte diese Diskussion stets geführt und die Situation beobachtet werden. Ich werde dabei in unregelmäßigen Abständen Links und Artikel zu wichtigen Sicherheits-Themen posten. Teilweise werde ich dazu selber Stellung beziehen, teilweise nur die Quellen posten. In jedem Fall bin ich allerdings dazu bereit, Auskünfte zu geben, weitere Infos zu liefern oder zu diskutieren.
[hr]15.09.2016: USB-Stick zerstört Computer

Unter dem Namen USB Killer ist nun ein USB-Stick im Handel, der laut Herstellerangaben 95% aller Geräte mit USB Anschluss zerstört. Mit zerstört ist keine Software gemeint, sondern mechanisch. Je nach Geräte kann es passieren, dass es komplett unbenutzbar wird.

Quellen:

Heise - USB-Stick zerstört Computer
Deccan Chronicle - USB Killer: A device that can destroy a PC in seconds
USBKill - Shop des Herstellers
Dailymail - PoC von Dark Purple

Zusammenfassung:

Im Jahre 2015 wurde diese Art des Angriffs als Proof-of-Concept von einem Hacker Names "Dark Purple" vorgestellt, jetzt ist das Produkt im Internet zu erwerben. Die Funktionsweise ist nicht genau bekannt, jedoch in Kurzfassung: Nach einstecken laden sich die Kondensatoren des Sticks auf und wenn 220 - 240V erreicht sind, endladen sich die 220V negative Spannung zurück ins System. Und das mehrfach pro Sekunde. Entweder ist das System geschützt, wird abgeschaltet oder die Schaltkreise werden aufgrund der Belastung zerstört. Wenn es die Schaltkreise trifft, wird im besten Fall nur der USB-Controller beschädigt, im schlimmsten Fall jedoch das ganze System.

Zu dem Stick kann man noch ein USB Kill Tester Shield für 14€ kaufen. Hat man dies vor den Stick geschaltet, beschädigt dieser nichts, sondern zeigt an, ob das Gerät gegen diese Art der Attacke geschützt ist.


Meine Meinung:

Welche Geräte haben in unserer heutigen Welt USB Anschlüsse? Computer natürlich, ja. Und sonst? BD/DVD-Player, TV, Drucker/Scanner, Monitore, Media Center, AVR, Radios, ... diese Liste könnten wir endlos erweitern und alles sind potentielle Opfer, denn fast kein Gerät ist dagegen abgesichert. Als einzige Firma erwähnt der Hersteller explizit Apple, der einen Schutz dagegen eingebaut hat.[hr]11.08.2016: Microsoft setzt aus Versehen Secure Boot schachmatt

Microsoft hat es getan. Sie haben es geschafft, Secure Boot zu vernichten. Danke Microsoft.
Spoiler: 

Quellen:

Ring of Lightning - securegoldenkeyboot
Heise - Microsoft setzt aus Versehen Secure Boot schachmatt
The Register - Bungling Microsoft singlehandedly proves that golden backdoor keys are a terrible idea
T3n - Microsoft hebelt Secure Boot für alle Windows-Geräte aus
TweakPC - Secure Boot: Das UEFI-Feature erklärt

Zusammenfassung:

Mit dem Anniversary-Update von Windows 10, hat MS eine Funktion eingebaut, welches Administratoren erlaubt, Secure Boot zu umgehen. Durch diese neue Police kann man lokal dann Secure Boot abschalten und eigene Komponenten laden und damit beispielsweise Linux booten, ohne es im BIOS zu deaktivieren. Das funktioniert allerdings nur mit Signierung, allerdings hat MS wohl vergessen, die Debug-Funktion zu deaktivieren und man kann es fröhlich selber signieren.


Lustig wird es, weil man dadurch jetzt Windows-Tablets mit Windows RT auch unlocken kann und da beispielsweise Android installieren kann. Eigentlich ist dort Secure Boot fest aktiviert und kann nicht abgeschaltet werden. Laut The Register sollte es unmöglich sein, diese Lücke wieder komplett zu schließen, die ersten 2 Versuche von MS haben zumindest fehlgeschlagen.

Die Hackergruppe Ring of Lightning haben laut eigener Aussagen schon MS im März darüber informiert, als das Update noch Beta war. Hat MS anscheinend net interessiert.

Meine Meinung:

Kleiner Fehler mit wahrscheinlich sehr großer Auswirkung. Das genaue Ausmaß muss man abwarten, aber generell ist die Möglichkeit jetzt Android/Linux/Whatever überall zu booten natürlich interessant. Wird hoffentlich nicht lange dauern, bis die ersten Android-ROMs kommen werden.
[hr]08.08.2016: Black Hat & DEF CON 24 Special

So, neuer Job und da hab ich gerade etwas Leerlauf und schaue die Security-News durch und dachte mir, da kann ich mal ein Special zur Black Hat machen. Werde nicht wie sonst auf einzelne Lücken groß eingehen, sondern unterschiedliche Meldungen mit kurzer Erklärung posten.
Spoiler: 

Externe Festplatten mit Verschlüsselung knackbar

Zusammenfassung: Bei externen Festplatten, die mit einem Fujitsu-Chip MB86C311A ausgestattet sind, ist es möglich, die Hardwareverschlüsselung zu knacken. Der Grund dafür ist, dass die Festplatte nicht an das Gehäuse gekoppelt ist und durch Manipulation der Firmware oder der Hardware man sich Zugriff zu den Daten verschaffen kann. Der Geheimwert, der für die Verschlüsselung notwendig ist, ist ein Zufallswert, der am Ende der Partition gespeichert wird. Zwar verschlüsselt, aber der dafür nötige PIN-Code kann durch BruteForce geknackt werden.

Verbaut ist der Chip zum Glück in aktuellen und gängigen Gehäusen nicht, dadurch ist die Lücke nur bedingt ausnutzbar.

Angriff auf Geldautomaten mit Fernsteuerung

Zusammenfassung: Und täglich grüßt das (Geldautomaten)-Murmeltier. Interessante Attacke ... geht dabei praktisch um eine Kopie eines Kunden. Jemand holt Geld am Automaten und per Shimmer wird alles auf einen zweiten Automaten übertragen, der sich dann an die Transaktion dranhängt und an einem anderen Automaten auch Geld ausspuckt. Einerseits etwas komisch, dass auf diese einfache Idee vorher keiner gekommen ist, andererseits mehr als peinlich, dass die Automaten dagegen nicht abgesichert sind.

In Deutschland nicht durchführbar, da wir keine SDA einsetzen, sondern DDA.

QuadRooter: Verwundbare LTE-Chips sollen über 900 Millionen Android-Geräte gefährden

Zusammenfassung: Wird wahrscheinlich wieder heißer gekocht, als es gegessen wird. Dennoch natürlich eine klaffende Lücke im Sourcecode von Qualcomm. So gut wie alle gängigen Android-Geräte sind davon "betroffen": S7, Edge, OP2, OP3, Nexus 5X, 6P, HTC 10, LG G5, V10, ...

Ausnutzbar sind die 4 Lücken über präparierte Apps. User, die keine Apps aus dubiosen Quellen installieren, sollten auf der sicheren Seite sein. Nutzer von Nexus-Phones ebenfalls. Wer sein Device checken will: QuadRooter Scanner.

Netter Artikel zur Sicherheit von Android: How Bugs Lead to a Better Android

Never Trust a Found USB Drive, Black Hat Demo Shows Why

Zusammenfassung: Der obere Part handelt lediglich von einer Studie von Elie Bursztein. Er hat USB Sticks an der University of Illinois verteilt und geschaut, wie die Leute reagieren und warum sie die Sticks einfach in ihre Rechner stecken. (Technisch) interessant wird der untere Teil ... Was da gemacht wurde ist einzeln zwar net neu, aber zusammen schon gut gemacht.

Er nimmt ein kleines Board (Teensy) und baut damit einen USB Stick, der gleichzeitig ein HID ist und damit Tastaturbefehle an den PC schicken kann. Was passiert beim Einstecken? Zuerst muss der Stick erkannt werden und der Treiber geladen werden. Danach schaut er, welches OS installiert ist und dementsprechend führt er Code aus, der eine TCP-Backdoor ist und Befehle erhalten kann. Funktioniert sowohl mit Windows, als auch mit MacOS.

Aktuell arbeitet er an einer GSM/Wifi Implementierung für Air-Gap-Computer und dem vorgaukeln von einen echten USB-Stick. Zu 50% funktioniert der Angriff, keine schlechte Quote ...
[hr]12.09.2015: Generalschlüssel aus dem 3D-Drucker

Kurzer Eintrag zum Wochenende: Wenn ihr ein Koffer mit einem TSA-Schloss zur Sicherheit habt, könnt ihr euren Koffer jetzt wegwerfen.
Spoiler: 

Quellen:

WIRED - Lockpickers 3-D Print TSA Master Luggage Keys From Leaked Photos
GitHub - Xyl2k: 3D TSA "Travel Sentry" master keys
GitHub - MS3FGX: 3D TSA "Travel Sentry" master keys
UC San Diego - Reconsidering Physical Key Secrecy: Teleduplication via Optical Decoding
DarkSim905.com - Timeline #TSAkeys

Zusammenfassung:

In Zeiten von hochauflösenden Kameras und 3D-Drucker, sollte es zum Standard gehören, Schlüssel verdeckt zu tragen. Deswegen ist es beispielsweise in Gefägnissen oder sicherheitsrelevanten Bereichen üblich, dies so zu tun. Anscheinend war es aber neu für die Transportation Security Administration und so gelang ein hochauflösenden Bild der Generalschlüssel versehentlich in einem Artikel der Washington Times ins Internet. Das Bild wurde danach schnell wieder gelöscht, allerdings war es zu spät. Ein User namens Xylitol hat daraufhin ein 3D Modell erstellt und selber nicht damit gerechnet, dass es funktioniert, aber es funktionierte. Mittlerweile gibt es mehrere Versionen der Schlüssel sowie Videos von erfolgreichen Versuchen, ein TSA-Schloss zu knacken. Sieben Schlüssel sind es an der Zahl.




Meine Meinung:

Ein kurzer Moment der Unachtsamkeit hat gereicht um 300.000.000 Koffer in ein "offenes Buch" zu verwandeln. Auch vorher war ein TSA-Schloss keineswegs sicher, aber mit dieser Veröffentlichung dürften Kofferdiebstähle zumindest zunehmen. Bereits 2008 zeigte ein Paper, wie es ihnen gelang aus 70m Entfernung einen Schlüssel nach zu bauen.

Edit: Obwohl die ersten CAD-Zeichnungen anscheinend als Vorlage das Bild haben, ist zwischenzeitlich auch ein geheimes PDF im Umlauf gewesen, dass die Schlüssel detailiert zeigt. Zu finden in der Timeline von Dark Sim 905.
[hr]09.09.2015: The Summer Of Car Hacks

The Summer Of Car Hacks, wie ihn einige Seiten getauft haben, haben uns eine ganz neue Art von Sicherheitslücken aufgezeigt, nämlich die der "Internet of Things". Bereits vor Jahren gab es erste Angriffe gegen Autoschlüssel von VW, die neue Art der Hacks zeigten aber viel deutlicher, dass das Thema Sicherheit enorm vernachlässigt wurde in der Automobilindustrie.
Spoiler: 

Quellen:

Golem.de - Volkswagen-Hack nach langer Sperrverfügung veröffentlicht
WIRED - Hackers Remotely Kill a Jeep on the Highway - With Me in It
WIRED - Researchers Hacked a Model S, But Tesla’s Already Released a Patch
BBC - Car hack uses digital-radio broadcasts to seize control
WIRED - Hackers Cut a Corvette’s Brakes Via a Common Car Gadget
Ars Technica - Researchers reveal electronic car lock hack after 2-year injunction by Volkswagen

Zusammenfassung:

Jeep Cherokee, Tesla S, SMS-Attacken, DAB-Angriffe, VW Schlüssel ... Die Liste der News zu Angriffen auf Automobile war lang in diesem Jahr. Jeder Angriff war anders und jeder zeigte, dass es unzählige Sicherheitslücken aktuell gibt. Bei Volkswagen war es ein schwaches Kryptosystem, welches innerhalb von kurzer Zeit überwunden war und das Auto starten ließ. Im Falle von Fiat Chrysler (Jeep Cherokee) war das Uconnect-System die Schwachstelle. Über das Internet konnte man durch Sicherheitslücken in das System eindringen und von der harmlosen Steuerung der Lautstärke bis hin zur Deaktivierung der Bremsen alles erledigen. Das Elektroauto Tesla S wurde von chinesischen Studenten gehackt. Innerhalb mehrerer Tage schafften sie den Einstieg in das Fahrzeug, sowie volle Kontrolle über das Auto - allerdings nur mit physischen Zugriff auf das Auto. Das dabei Angreifern alle Möglichkeiten offen stehen, zeigten bereits zwei IT-Experten vor 2 Jahren (Hacker steuern Autos fern).

Bei der SMS Attacke (auf eine Corvette) wurde lediglich ein ODB2-Adapter im Zusammenspiel mit einem kompromitierten Smartphone angegriffen. Das Ergebnis ist zwar gefährlich, die Umstände aber etwas schwieriger. Ganz im Gegenteil zu der DAB-Attacke. DAB steht für Digital Audio Broadcasting, also das digitale Radio des Automobils. Dort können nicht nur Töne übertragen werden, sondern auch Daten. Durch Sicherheitslücken in Infotainment-Systemen könnte man somit leicht Autos manipulieren und sogar mehrere Fahrzeuge gleichzeitig angreifen.

Die Reaktionen der Autofirmen ist unterschiedlich. Fiat Chrysler hat 1,4 Millionen Autos wegen Sicherheitslücken zurückgerufen, Tesla S hat ihre Autos OTA gepatched und sich zudem mit Chris Evans einen erfahrenen Sicherheitsexperten ins Boot geholt.

Meine Meinung:

Der Sommer zeigt, dass die Gefahren, die von Hackern ausgehen, nicht mehr bloß Smartphone oder Computer betreffen. Außerhalb dieser beiden Gebiete ist das Thema Security sehr weit hinterher, was dieses Jahr deutlich gezeigt wurde. Die Firmen müssen das Thema Sicherheit in Zukunft ernster nehmen, ansonsten drohen ihnen neben dem Image-Verlust auch immense Kosten für Rückrufe und Patches.
[hr]06.08.2015: Stagefright - Mother of all Android Vulnerabilities

Am 21. Juni 2015 hat der IT-Sicherheitsforscher Joshua Drake erste Informationen über diverse Sicherheitslücken in der Stagefright-Bibliothek veröffentlicht. Die Lücken betreffen laut Drake 95% aller Android-Geräte und sind ohne User-Interaktion ausnutzbar. Gestern war sein Auftritt im Rahmen der Black Hat 2015 und er veröffentlichte Details zu den insgesamt 11 Sicherheitslücken.
Spoiler: 

Quellen:

Zimperium.com - The Biggest Splash at BlackHat and DEFCON 2015
Forbes.com - It Only Takes One Text To Hack 950 Million Android Phones
Golem.de - Elf Wege, ein Android-System zu übernehmen
Zimperium.com - Vulnerability Details, Stagefright Detector tool released
Google Play - Stagefright Detector App

Zusammenfassung:

Eine gefährliche Lücke - zusammen mit der schlechten Updatepolitik von Android, noch schlimmer. Die deutsche Telekom hat bereits den automatischen Empfang von MMS-Nachrichten abgeschaltet und viele Android-Nutzer werden nie einen Patch zu Gesicht bekommen. Stagefright wird vom Mediaserver-Prozess benutzt und bei unzähligen Anwendungen aufgerufen, wie z.B. dem Emfang einer Videobotschaft per MMS oder dem Download einer Datei. Noch ist unklar, ob nciht auch WhatsApp oder Facebook davon betroffen sein könnten. Der Nutzer selber bekommt beim Beispiel einer MMS nichts von dem Angriff mit, er bekommt nicht einmal die Benachrichtigung einer neuen MMS.

Patches für Nexus-Devices stehen bereit und alternative ROMs wie CyanogenMod haben bereits die Lücke geschlossen, bevor sie öffentlich wurde. Samsung und Google haben indes angekündigt, monatliche Sicherheitsupdates zu veröffentlichen.


Meine Meinung:

Es wird einfach Zeit, dass sich Google etwas bezüglich Updates einfallen lässt. Es kann nicht sein, dass solch kritische Lücken nicht mehr geschlossen werden oder erst nach Monaten. Es muss möglich sein, solche Update automatisch von Google an alle Devices zu verteilen, ohne den Weg über den Hersteller und den Provider zu gehen. Man kann nur hoffen, dass die Bugs nicht auch Dienste wie WhatsApp betreffen, dass wäre wohl dann der Super-GAU. Man kann Leuten einfach nur weiter raten, kauft euch ein Nexus oder kümmert euch selbst und Updates und verlasst euch nicht auf die Hersteller.
[hr]10.03.2015: Rowhammer - Lasst uns Bits kippen!

Durch Fehler in Speichermodulen lassen sich durch permanente Speicherzugriffe sogenannte Bitflips erzeugen. Dabei wird eine Stelle im Speicher immer wieder beschrieben und durch die kompakte Bauform ist es damit möglich, die daneben liegenden Bits zu kippen. Was erstmal lustig klingt, ist eine ernsthafte Sicherheitslücke, die nicht nur schwer zu beheben, sondern auch im großen Stil ausgenutzt werden kann.
Spoiler: 

Quellen:

Golem.de - Rowhammer: RAM-Chips geben Angreifern Root-Rechte
Project Zero - Exploiting the DRAM rowhammer bug to gain kernel privileges
users.ece.cmu.edu - Flipping Bits in Memory Without Accessing Them: An Experimental Study of DRAM Disturbance Errors

Zusammenfassung:

Das eigentliche Problem ist bereits seit dem letzten Jahr bekannt. Damals hatte das Forscherteam von der Carnegie Mellon University zusammen mit Intel die Problematik aufgezeigt. Das Team von Project Zero hat sich anschließend daran gesetzt, die Angriff in die Praxis umzusetzen - mit Erfolg. Durch diesen Bug ist es beispielsweise möglich, aus einer Sandbox auszubrechen oder Root-Rechte zu erlangen. Generell ist der Bug aktuell noch am Anfang. Problematisch wird es, weil fast alle Speichermodule betroffen sind und ein entsprechender Virus großen Schaden anrichten könnte (unter Windows und Linux) und man als 0815-Nutzer eigentlich nichts dagegen machen kann, außer den RAM zu tauschen. Mit ECC-Speicher hat sich bisher die Prozedur nicht erfolgreich durchführen lassen.

Meine Meinung:

Es ist immer wieder erstaunlich, auf was für Sicherheitslücken man kommen kann. Ich hatte da letztes Jahr etwas dazu gelesen, aber nie gedacht, dass es sich auch so in der Praxis umsetzen lässt. Mit Software wird man sich vorerst nicht schützen können, sondern nur mit neuen RAM-Riegeln (damit kann man in Zukunft nette Werbung machen, wenn man immun dagegen ist ;)). Aber mal ehrlich, wer kauft sich neuen RAM? Man kann nur hoffen, dass Dienste wie die Amazon-Cloud dafür nicht anfällig sind, ansonsten könnte es lustig werden.
[hr]20.02.2015: Equation Group - The God of Cyberspionage

Am 16. Februar veröffentlichte Kaspersky einen Artikel mit dem Namen "Equation Group: The Crown Creator of Cyber-Espionage". Sie haben nicht übertrieben und beschreiben dort eine Analyse ihres Teams über mehrere Jahre und decken dabei haarsträubende Dinge auf.
Spoiler: 

Quellen:

Kaspersky.com - Equation Group: The Crown Creator of Cyber-Espionage
Heise.de - Equation-Group: "Höchstentwickelte Hacker der Welt" infizieren u.a. Festplatten-Firmware
Spiegel.de - Interview mit Kaspersky-Chefanalyst Costin Raiu
Securelist.com - Equation: The Death Star of Malware Galaxy
Securelist.com - Equation Group: from Houston with love
PDF - Equation group: questions and answers

Zusammenfassung:

Bei der von Kaspersky getauften Equation Group handelt es sich um eine Hackergruppe, die seit mindestens 2001 operiert und unter anderem Festplatten der großen Hersteller mit Malware infiziert hat. Wer genau dahinter steckt ist nicht bekannt, allerdings gibt es mehrere Hinweise die zumindest auf eine Zusammenarbeit mit der NSA hindeuten. Beispielsweise sind ganze Codeabschnitte in der Software der Equation Group und Stuxnet identisch.

Unter den Opfern befinden sich Regierungen und diplomatische Institutionen, Rüstungskonzerne, Telekommunikationsunternehmen, Luftfahrt, Energie, Nuklearwissenschaft, Islamaktivisten, Forschungseinrichtungen, Massenmedien sowie Kryptographieentwickler. Die Malware innerhalb der Firmware von Festplatten kann weder vom Nutzer entdeckt, noch entfernt werden. Außerdem wurden Würmer auf USB-Sticks entdeckt, die speziell darauf ausgelegt sind, Daten von sogenannten Air-Gap-Computern zu stehlen. Dabei handelt es sich um Geräte, die aus sicherheitstechnischen Aspekten nicht am Internet hängen. Ein anderer Weg um spezielle Personen einer Wissenschaftskonferenz zu infizieren waren CD-ROMs, die auf dem Weg zu den Teilnehmern verändert wurden.

Die Gruppe muss über enorme finanzielle Mittel und Einfluss verfügen. Sie haben bereits Lücken, die Stuxnet und Flame später nutzten, schon vorher gekannt und ausgenutzt. Die Infrastruktur beinhaltet mehr als 300 Domains und über 100 Server auf der ganzen Welt. Unter anderem auch in Deutschland. Ebenfalls in Deutschland wurden bisher 2 infizierte Fälle gefunden (einer davon in einer Satellitenfirma). Die frühesten Command-and-Control-Server (C&C-Server) wurden 1996 registriert, was nahelegt, dass die Gruppe schon seit fast 20 Jahren unterwegs ist.



Meine Meinung:

Starkes Stück ... Eine Gruppe, die von Kaspersky als die Götter der Spionage betitelt werden ... arbeiten seit wahrscheinlich 20 Jahren unentdeckt und haben die wichtigsten Bereiche auf der ganzen Welt infiziert. Endeckt wurden sie durch einen einzigen Fehler in ihrem "Keylogger auf Steroiden" Grok. Das Interview auf Spiegel.de ist sehr empfehlenswert. Bin mal gespannt ob irgendwann mal raus kommt, wem der Bedrohungsmagneten gehört.
[hr]16.01.2015: Microsoft scannt automatisch deinen Onlinespeicher

Die News ist schon einige Tage alt, bisher kam ich aber nicht dazu etwas zu schreiben. In diesem Fall geht es darum, dass Microsoft anscheinend generell alle Onlinespeicher scannt und nicht erst nach konkretem Verdacht.
Spoiler: 

Quellen:

Spiegel.de. - Kinderpornografie: Hausdurchsuchung nach Hinweis von Microsoft
Lawblog.de - Eine Datei
Wikipedia.org - PhotoDNA

Zusammenfassung:

Der Bekannte Rechtsanwalt Udo Vetter beschreibt in seinem Blog einen neuen Fall eines Mandanten. Dessen Haus wurde durchsucht, weil in seinem OneDrive-Speicher eine Datei gefunden wurde, desssen Hash mit dem eines kinderpornographischen Bild übereinstimmt. Ein Bild unter tausenden. Dieser Hinweis reichte für einen Durchsuchungsbeschluss aus. Der Hashwert basiert auf der PhotoDNA-Technologie von Microsoft. Der Vorteil dieser Technologie ist, dass sich der Hashwert nicht verändert, wenn geringe Änderungen an dem Bild vorgenommen werden (andere Größe, andere Farben, schwarz-weiß). Um das System sehr kurz zu beschreiben: Das Bild wird in schwarz weiß umgewandelt, in Blöcke zerlegt und Histogramme erstellt.


Meine Meinung:

Ich denke (hoffe), dass PhotoDNA eine sehr, sehr niedrige Falsch-Positiv-Rate. Ich denke nicht, dass die Übermittlung der Daten automatisch geschieht, sondern dass da nochmal jemand über die Ergebnisse schaut und beurteilt. Daher sollten zumindest falsche Beschlüsse eigentlich nicht entstehen. Das größere Problem ist die rechtliche Situation des Vorgehens. Darf der Anbieter automatisch alles scannen, was ich hochlade?

Udo Vetter beschreibt noch, dass Eltern fälschlicherweiße anhand von Aufnahmen der eigenen Kinder unter Verdachte geraten können, dass schließe ich allerdings aus. Von diesen Bildern dürfte es keinen PhotoDNA-Hash geben und dass die Mitarbeiter manuell die Bilder anschauen und beurteilen, halte ich für ausgeschlossen. Es könnte allerdings passieren, dass ein Bild große Ähnlichkeit zu einem kinderpornographischen Bild hat und nach einer Meldung von einem Mitarbeiter als kinderpornographisch eingestuft wird.

Ich möchte noch erwähnen, dass nicht nur Microsoft das macht. Auch Facebook nutzt PhotoDNA und Google auch. Der aktuelle Fall zeigt aber, wie schnell es gehen kann um in eine Durchsuchung zu geraten.
[hr]05.01.2015: 31C3 - Xerox-Scankopierer verändern geschriebene Zahlen

Heute ist der Vortrag "Glaube keinem Scan, den du nicht selbst gefälscht hast" von David Kriesel an der Reihe. Einige haben vielleicht schon mal von dem Xerox-Bug gehört, ich zB hatte ihn aber nicht auf dem Schirm und mir war es neu. Eine Verbreitung des Vortrags ist in jedem Fall hilfreich.
Spoiler: 

Quellen:

31C3TV - Glaube keinem Scan, den du nicht selbst gefälscht hast
dkriesel.com - Die Vortragsfolien als PDF
dkriesel.com - Xerox-Scankopierer verändern geschriebene Zahlen

Zusammenfassung:

Bei dem Problem geht es um folgendes: Xerox-Scanner verändern Zahlen oder gar ganze Abschnitte. Bei einem eingescannten Bauplan sind auf einmal die m²-Zahlen vertauscht oder bei einer Kostenauflistung stimmen die Zahlen nicht mehr. Hierbei handelt es sich um eine von Xerox implementierte Funktion namens Pattern Matching. Dabei werden Abschnitte gespeichert und mehrfach verwendet. Wenn also ein Abschnitt wie eine 8 aussieht, wird die 8 aus einer anderen Stellen eingefügt. Klingt gut, leider können dabei unbemerkt große Fehler entstehen. Eigentlich sollte dieses Verfahren nur bei der Einstellung "low quality" eingeschaltet sein, aber durch einen Software-Bug wird es immer verwendet, nur taucht es bei höherer Qualität weniger auf. Die Implementierung funktioniert so gut, dass man nachher nicht einfach sehen kann, wo etwas ersetzt wurde.



Meine Meinung:

Das Problem ist heftig. Der Fehler besteht laut Xerox seit 8 Jahren. Xerox ist ein riesen Hersteller (140.000 Angestellte). Nur ein Bruchteil der Geräte wird jemals ein Update sehen. Viele Firmen haben inzwischen die Originaldokumente weggeworfen und die Firmen können sich nie sicher sein, ob ihre gescannten Dokumente der Wahrheit entsprechen. Noch viel schlimmer: Man stelle sich vor, die Dokumente sind in einem Gerichtsverfahren von Belangen.
[hr]29.12.2014: 31C3 - Signalling System #7 (SS7) - Ein Alptraum

Heute möchte ich etwas über SS7 erzählen - ein international genutztes Protokoll zur Verständigung im GSM/UMTS-Netz. Bereits vor wenigen Tagen kam darüber etwas heraus, aber der Vortrag zeigte noch mehr. Eins vorweg: Alles was man für diese Angriffe benötigt, ist ein Zugang zum SS7-System, welcher von jedem für Geld gekauft werden kann.
Spoiler: 

Quellen:

31C3TV - SS7: Locate. Track. Manipulate.
Golem.de - SMS-TANs sind unsicher
Heise.de - Mobilfunk-Protokoll SS7 offen wie ein Scheunentor
Spiegel.de - Im Zweifel einfach das Telefon wegschmeißen

Zusammenfassung:

Puh ... wo fang ich an. Tobias Engel zeigt in seinem Vortrag, wie einfach man nur durch die Telefonnummer an den Standort des Nutzers kommen kann. Außerdem kann man problemlos Telefonate / SMS unbemerkt umleiten und somit mithören / mitlesen. Einige deutsche Provider haben bereits reagiert und zumindest eine Funktion zur Ortsbestimmung unterbunden. Dies ist allerdings weiterhin über andere Methoden möglich.

In der Ukraine wurde bereits bemerkt, dass Telefonate umgeleitet wurden. Für den Nutzer ist es nicht möglich, davon etwas mitzubekommen.

Der nächste Hammer war, dass man sowohl problemlos USSD-Codes für andere Nutzer versenden kann. In den USA kann man damit beispielsweise Guthaben transferieren. Oder Rufe umleiten auf eine teure Nummer. Oder Guthaben abrufen.

Wenn man neben jemanden steht, ist es sogar möglich, dessen Telefonnummer rauszufinden, ohne ihn zu kennen. Damit kann man dann auch Gespräche ohne Probleme mithören. Ohne die Person zu kennen oder dessen Nummer zu haben. LTE bringt keine Verbesserung, da weiterhin ohne Authentifizierung gearbeitet wird.

Anhand einer Livedemo zeigt er, wie er unbemerkt per USSD-Code vom PC die Anrufweiterleitung aktiviert oder die Telefonfunktion ausschaltet.

Meine Meinung:

Das einzige Glück an diesem katastrophalen Protokoll ist, dass die Fehler noch nicht großflächig ausgenutzt wurden. mTAN ist damit tot, genauso wie jede andere Zwei-Faktor-Authentifizierung via Smartphone. Unnötig zu erwähnen, dass Regierungen, Polizei, etc jederzeit Zugriff auf SS7 haben?!
[hr]29.12.2014: 31C3 - Fingerabdrucksysteme & Iris-Scanner

Der 31. Chaos Communication Congress ist am Samstag in Hamburg gestartet und ein wundervoller Start für meinen Blog ;). Hab bereits einiges an Vorträgen geschaut, anfangen möchte ich dabei mit der Umgehung von biometrischen Sicherheitstechniken.
Spoiler: 

Quellen:

31C3TV - Mit der Kamera Merkels Fingerabdruck hacken
Golem.de - Passwörter ausspähen mit der Selfie-Kamera (Iris)

Zusammenfassung:

In den Vortrag ging es um die Täuschung biometrischer Sicherheitstechniken. starbug (Jan Krissler) hat dabei gezeigt, dass man alleine mit einer guten Kamera die Fingerabdrücke von Personen abfotografieren und nutzen kann. Als Beispiel wurde dabei Ursula von der Leyen verwendet. In einer Bundespressekonferenz wurde die Ministerin fotografiert und die Bilder für eine Nachbildung ihrer Fingerabdrücke verwendet - mit Erfolg.

Der zweite Link führt zu der Arbeit von Jan Krissler bezüflich Iris-Scannern. Mithilfe von hochauflösenden Bildern oder Wahlplakaten zeigt er, dass diese ausreichen, um Iris-Scanner zu überlisten. Auch die "Lebenderkennung" brachte dabei keiner höhere Sicherheit und lies sich leicht umgehen. In der heutigen Zeit legen immer weniger Menschen Wert auf Sicherheit und durch manipulierte Apps und guter Frontkameras, ist es mittlerweile ein leichtes, Irisabbilder zu erstellen.

Meine Meinung:

Tja ... was passiert wohl, wenn sich eine internationale Gruppe, mit entsprechendem Equipment, auf die Jagd nach Finger- und Irisabdrücken macht? Sei es "for the lulz" oder aus finanziellen Gründen. Es ist einfach und vielversprechend und leider eines der größten Sicherheitsrisiken der aktuellen Zeit, denn diese biometrischen Daten gelten weiterhin als sicher. Viel Spass, wenn erstmal eure biometrischen Daten in einer illegalen Datenbank ihr Zuhause gefunden haben.