blog.bebl.eu

Kleiner Einzeiler für die Bash zum Generieren von Passwörtern durch /dev/urandom:

tr -cd -- "-._?\!+a-zA-Z0-9" < /dev/urandom | head -c 8 && echo

(via BadBoy_)

„Du bist Terrorist“, angelehnt an die Aktion „Du bist Deutschland“ von vor vier Jahren, soll aufzeigen, inwiefern wir alle in der Politik als potenzielle Terroristen betrachtet werden und was das genau bedeutet. Wir sollten uns wirklich mal überlegen, ob das richtig und sinnvoll ist. Nettes Video, welches das ganze Überwachungsthema nochmal zusammenfasst.

Als Kunde von T-Online darf man seit wenigen Tagen die „T-Online Navigationshilfe“ nutzen. Ruft man im Browser eine nicht vergebene Adresse ein, erscheint nicht mehr eine Fehlermeldung im Browser. Stattdessen wird man auf eine Suchseite der Telekom weitergeleitet und passende Treffer zur Falscheingabe in einem Frame angezeigt.

Die gesamte Seite für die Domain „beispielfehler.de“ kann man sich hier ansehen. Interessant ist übrigens der Parameter „depp“. Auf der Seite werden übrigens auch Anzeigen eingeblendet, also kann sich da die Telekom noch ein bisschen Geld dazuverdienen …

Vorreiter war wohl VeriSign, ein Internetdiensleister zuständig für die Top-Level-Domains .com und .net sowie Zertifizierungsstelle für digitale Zertifikate. 2003 wurde ein „Site Finder“ bei nicht registrierten Domains dieser Endungen angezeigt, allerdings wurde nach einiger Kritik der Dienst nach einem Monat wieder eingestellt. Nun probierten es die Provider, wie z.B. Alice und nun die Telekom.

Ich will das nicht! Ich will nicht, das fehlerhafte Anfragen gleich bei der ach so sicheren Telekom landen und außerdem finde ich jede Manipulation der Nameserver der Telekom falsch, weil sie meiner Meinung nach gegen das Domain Name System (DNS) verstößt. Übrigens ist das ganze auch die diskutierte Praxis, mit der Filter für kinderpornographische Seiten eingerichtet werden sollen. Vielleicht übt die Telekom ja schon mal. Umgangen kann das ganze allerdings sehr einfach, in dem man einen anderen Server, z.B. einen des OpenDNS-Projektes, zur Namensauflösung einstellt. Also ein toller Schutz.

Immerhin kann man den Telekom-Dienst jederzeit im Kundencenter deaktivieren. Dannach muss man nur noch den Router neustarten, damit er einen neuen DNS-Server zugewiesen bekommt.

Es ist unglaublich, aber eigentlich traurig, wie viele große Newsportale diesem neuen „Skandal“ hinterherrennen: „Datenleck bei T-Com – Bis zu 14 Millionen Kunden betroffen“, „E-Mail-Dienstleister: Adressverzeichnisse nicht ausreichend geschützt“, „Schwachstelle auf Webseiten erlaubt Diebstahl von Kundendaten – E-Mail-Dienste: IT-Firma deckt Sicherheitslücke auf“ Doch was ist wirklich los?

Der in der Erotik- und Musikbranche tätige Mainzer Unternehmer Tobias Huch, bekannt durch seinen Hinweis auf ein Datenleck bei der Telekom letzten Herbst, hat wieder einmal eine Fährte gewittert. Huchs IT-Unternehmen hätten angeblich ein neues Datenleck gefunden, welch Telekom-Datenskandal. Aber auch andere Anbieter sollen davon betroffen sein. Dem Sicherheitsteam sei es nämlich gelungen eine Liste der Haupt-E-Mail-Adressen der Telekomkunden auszulesen und auch Spammer könnten im Besitz einer vollständigen Liste sein.

Wie haben sie das gemacht? Nun ganz einfach, man probiert schlichtweg alle möglichen Zeichenkombinationen (Brute-Force-Methode) vor dem Domainnamen (@t-online.de, @gmx.de/.net/.com/.org …) aus. Bei der Telekom sei das ganze besonders einfach, weil dort die Haupt-E-Mail durch die Zugangsnummer, einer neunstelligen Kennung besteht und man lediglich die Nummern hochzählen muss. Alle nicht alphanumerische Adressen seinen nur Aliase, die letztendlich wieder auf die Hauptadressen zeigen würden. So ließen sich dann in kürzester Zeit vergebene E-Mail-Adressen herausfinden und könnte so Werbung oder Phishing-Attacken direkt an gültige Adressen senden. Zur Verifizierung soll hierbei die typischen Hilfeseiten zum Zusenden eines neuen Passwortes („Passwort vergessen“) dienen.

Die ganze Meldung ist einfach nur lächerlich. Diese Möglichkeit gab es schon immer. Es ist ja auch gewünscht, dass man beispielsweise beim Registrierungsvorgang über die Verfügbarkeit der gewünschten Adresse informiert wird, oder? Genauso dass man beim Versenden an eine nicht existierenden E-Mail-Adresse eine Nachricht in Form einer „failure notice“ bekommt. Ist das eine Sicherheitslücke? Nein. Nur beim fehlerhaften Anmelden wird man nicht darauf hingewiesen, worin nun der Fehler in der Kombination Benutzer und Passwort liegt.

Nicht nur hier darf man sich von der unglaublichen Intelligenz Huchs überzeugen. Auch wenn man die Pressemitteilung liest, merkt man schnell, was für ein Schwachsinn das ganze ist:

„Bei GMX und Web.de bräuchten wir mit Sicherheit ein paar Tage oder Wochen länger, um einen großen und wertvollen Datenbestand zusammen zu haben, aber wir haben genügend Rechnerpower und eine 1000 MBit/s-Anbindung im Unternehmen, was für eine solche Unternehmung ausreichen dürfte. Professionelle Datendiebe und Spam-Versender haben nach unserem Stand der Erkenntnis sogar noch weit größere Ressourcen, um solch eine Lücke auszunutzen“, so Huch.

Es fällt natürlich kein bisschen auf, wenn man einfach mal mehrere Millionen E-Mail-Adressen innerhalb kürzester Zeit (mit 1000 MBit/s) abfragt. Da mag vielleicht noch so ein großes, dezentral Botnetz benützen, die anfallenden Datenmengen sind einfach nicht zu verschleiern. GMX beispielsweise verfolgt schon seit langem größere Anfragen, die durch Scripte verursacht werden.

Mal abgesehen davon, dass es bei den heutigen Ausmaßen den Spammern fast schon egal ist, ob sie erst eine Liste mit gültigen Adressen anlegen bzw. kaufen oder gleich an alle möglichen Adressen senden. Letztendlich zählt ja, wer auf die unerwünschten reagiert und dafür gibt es bestimmt schon seit Jahren entsprechende Listen.

Insgesamt wirkt Herr Huch wie ein Schuljunge, der gerade herausgefunden hat, dass man einfach jede erdenkliche Telefonnummer ausprobieren kann um herauszufinden, ob diese bereits vergeben ist und für Anrufe taugt. Heureka!

Ergänzung: Natürlich ist es durch das AJAX-Backend für Spammer unglaublich einfach zu überprüfen, ob eine E-mail-Adresse bereits vergeben ist. Doch kann man auch auf andere Wege, z.B. einfach durch gefälschte Registrierungen die Verfügbarkeit überprüfen. Dies ist doch elementar für jede Registrierung. Es ist eine Sache, die man vielleicht besser vor Scripten schützen soll, doch als kritische Lücke mit einer solchen Medienwirksamkeit würde ich es nicht einstufen.

Wer wirklich sicher gehen will, dass Daten nicht wieder herzustellen sind, darf sie nicht einfach löschen. In diesem Fall werden die Datenblöcke auf der Festplatte zwar als gelöscht markiert, aber vorhanden sind sie immer noch. Deswegen müssen die Daten nicht nur gelöscht, sondern auch überschrieben werden, um ein mögliche Rekonstruktion der Daten auszuschließen.

Seit langem hält sich der Mythos, dass man nur durch mehrmaligen Überschreiben mit zufälligen Zeichenketten sicher gehen kann. Am besten 35 mal, sieben mal sind auch in Ordnung, mindestens aber drei mal überschreiben, so lauten die Angaben. Doch eigentlich würde ein einziges mal Überschreiben mit Nullen auch ausreichen, zumindest bei neueren Festplatten. Hintergrund ist wohl, dass sehr alte Geräte noch zu unpräzise waren, so dass beim Beschreiben die Bits nicht nur dort landeten, wo sie hin sollten. Bei allen moderneren Festplatten sollte dies aber kein Problem mehr sein.

Forensikexperte Craig Wright wollte endlich mit dieser Legende aufräumen. In einer wissenschaftlichen Untersuchung überschrieb er Festplatten und versuchte die Daten anschließend mit dem Elektronenmikroskop wieder herzustellen. Doch egal ob uralte oder neue Modelle, die Wahrscheinlichkeit geht gegen Null bei nur einmaliger Überschreibung. Ein Bit kann noch zu 56 % korrekt rekonstruiert werden, doch schon bei einem Byte (bestehend aus acht Bit) sind es nur noch 0,97 %.

Trotzdem halten sich die aus Disketten-Zeiten stammenden Standards bei Anbietern von Datenlöschprogrammen und bei den Anleitungen im Internet. 35-faches Überschreiben bedeutet aber einfach mehr Aufwand, also mehr Kosten für etwaige Dienstleistungen, aber auch einfach ein höheres Sicherheitsgefühl. Wer die Zeit hat, kann ruhig mehrfach überschreiben, vor allem bei größeren Festplattenkapazitäten wird diese Erkenntnis aber interessant. Viel wichtiger jedoch ist, dass man wirklich alle Versionen der Datei erwischt, welche sich in temporären Speicherorten und Datensicherungen so tummeln.

Heute haben wir überraschenderweise einen Vortrag zum Thema „Sicherheit im Internet“ in der Schule zu hören bekommen. In zwei Schulstunden referierte der „lizenzierte Hacker“ Götz Schartner (BSI IT-Grundschutzauditor), Geschäftsführer von 8com.

Der Vortrag begann gleich mit dem demonstrieren der weit verbreitet Bluetooth-Lücke, über die sich Daten aus dem Mobiltelefon auslesen und Anrufe tätigen lassen. Dazu wurden löblicherweise Ubuntu zusammen mit „bluebugger“, ein Kommandozeilenprogramm basierend auf der Bluebug-Technik, verwendet. An einem Vorführgerät wurden dann diese Angriffe (Adressbuch auslesen, SMS lesen, Anruf tätigen, …) vorgeführt. Später wurden dann im Internet öffentlich zugängliche Samba-Freigaben (Ordnerfreigaben unter Windows) mit „GFI LANguard“ gezeigt, wo man dann tatsächlich Bankdaten, Faxe, Nacktfotos usw. fand, wobei jedoch zum Schutz der Privatsphäre keine Dateien geöffnet wurden. Außerdem wurde an einem Versuch gezeigt, dass man ICQ schnell durch einen Man-in-the-middle-Angriff mitlesen kann. Mit der Software „Hydra“ wurde auch noch ein Passworthacken per Wörterbuchattacke vorgeführt. Abschließend zeigte man uns auch noch, wie wirkungsvoll ein Exploit per E-Mail sein kann, so ließ sich der komplette Rechner steuern. Dabei erlaubte er sich auch noch den Spaß die Absenderadresse zu fälschen und einen kleinen Schäuble-Witz.

Zwischendurch kamen dann auch Informationen bzgl. Fallbeispiele bzgl. der Veröffentlichung von privaten Fotos im Internet sowie zum Tausch von untersagten oder heimlichen Aufnahmen Anderer und illegalen Downloads hinzu. Dabei wurde empfohlen doch mal ClipInc, eine Software die automatisch Internetradio mitschneidet und die Lieder in MP3-Dateien speichert, auszuprobieren, eine Vollversion konnte man mitnehmen. Zum Schluss wurden auch noch Fragen beantwortet.

Ich fand es allerdings ein bisschen schade, dass zwar empfohlen wurde sein Betriebssystem und seine Software aktuell zu halten, allerdings wurde nicht erklärt, wie man z.B. die Ordnerfreigaben abstellt oder seinen eigenen Computer überprüfen kann. Es wurde lediglich zusätzlich auf den Artikel „Die 10 Gebote der Internetsicherheit“ verwiesen. Außerdem wurde bei dem ganzen Vortag mehr darauf gesetzt zu zeigen was alles möglich ist, antatt irgendetwas genauer zu erklären. Nebenbei bemerkt wirkte der Vortrag mit 6 Laptops (obwohl eigentlich 3 auch gereicht hätten) sowie die Präsentation etwas angeberisch nach dem Stil „Ich kann euch alle hacken“. Naja, vielleicht ist es so wirkungsvoller.

In Zeiten in denen man nie sicher genug sein kann, das seine Daten sicher sind, versucht sich das ParanoiaProject weitere Möglichkeiten seine Daten zu schützen.

So kam man dort auf die Idee, seine Festplatte in ein Buch einzubauen und diese durch eine Ausspartung per USB mit dem Computer zu verbinden, so dass man den Datenträger unter den anderen Büchern verstecken kann. Eine andere Idee, welche allerdings noch nicht umgesetzt wurde ist einen Toaster so umzubauen, dass man die Festplatte wie ein Toastbrot einfahren kann.

Ist ja ganz nett, aber vor was soll das schützen? Verschlüsseln kann man doch sowieso (sogar so, dass es nicht auffällt) und wer denkt bei einer Hausdurchsuchung oder einem Einbruch nicht daran, dass man in einem Buch CDs oder sonst was verstecken könnte, eine ganze Festplatte ist sogar sehr viel auffälliger. Also eigentlich nur noch paranoid.

PwdHash möchte eine Lösung zum Verwenden des gleichen Passwortes für alle Accounts, die man besitzt, geben, wobei kein Sicherheitsrisiko entsteht, dass eine Webseite mit seinem Account gehackt wird und damit gleich das Passwort aller Accounts, die man besitzt, aufgedeckt wird.

Das Angebot des „Stanford Security Lab“ geht jetzt den Weg, dass man sich auf der Webseite mit Hilfe des dort eingebundenen JavaScripts einen seitenspezifisches Passwort aus einem Generalpasswort und der Adresse Webseite generiert, welchen man dann auf der angegebenen Webseite verwendet. Wie vom Hash-Verfahren bekannt, kann man aus dem generierten Passwort nicht wieder das Generalpasswort auslesen. Das ganze ist vergleichbar mit einer Quersumme, aus der man auch nicht wieder die ursprüngliche Zahl herauslesen kann. Sinn des ganzen ist nun, dass man sich ausschließlich eine einziges Generalpasswort merken muss, ohne auf allen Webseiten das selbe Passwort zu verwenden. Vor dem Login auf einer Webseite muss man dann einfach wieder das spezifische Passwort mit PwdHash generieren lassen oder man verwendet komfortablerweise die angebotene Firefox- und Internet-Explorer-Erweiterung. Für den Opera steht ein UserScript bereit.

Damit man wirklich sicher gehen kann, dass man jederzeit auf die Funktion von PwdHash zugreifen kann, auch wenn die Webseite mal nicht mehr erreichbar ist oder entfernt wird, sollte man sich unbedingt wie emfohlen die PwdHash-Webseite samt den eingebetteten JavaScript-Dateien lokal abspeichern. Das Projekt steht sowieso unter einer freien Lizenz.

Insgesamt eine sehr schlaue Idee für alle, die sich nicht gerne mehre Passwörter merken, bis jetzt ist das aber noch nicht so konfortabel und man sollte bedenken, dass auch die Hash-Algorithmen Sicherheitslücken aufweisen können, grundsätzlich steht es aber sehr gut um die Sicherheit.

Man kennt es bestimmt: Bei der Registrierung bei einem Dienst muss oder kann man oft eine Sicherheitsfrage hinterlegen. Sollte man das Passwort vergessen, so kann man für seinen Account ein neues Passwort vergeben, sofern man die Sicherheitsfrage richtig beantwortet.

„Wie lautet Ihre primäre Vielfliegernummer?“, „Wie lautet Ihre Bibliotheksausweisnummer?“, „Wie lautet Ihre erste Telefonnummer?“, „Wie lautet der Name Ihres ersten Lehrers?“, „Wie lautet der zweite Vorname Ihres Vaters?“, „Wie hieß Ihr erstes Haustier?“ und „Wie lautet der Mädchenname Ihrer Mutter?“ – alles Fragen, die sehr persönlich erscheinen. Die Sicherheit liegt ja darin, dass nur man selbst die Antwort kennt, denkt man. Denn wenn man sich das ganze genauer überlegt, sind das alles keine besonderen Geheimnisse. Jeder im Bekanntenkreis könnte die Antwort wissen und auch für dritte sind die Antworten meist leicht recherchierbar. Vielleicht hat man die Antwort sogar schon mal in irgendeinem Zusammenhang irgendwo veröffentlicht.

Das interesante ist aber, dass diese Antwort den kompletten Passwortschutz aushebelt, da man nach dessen Eingabe einfach ein neues Passwort erstellen kann. Egal wie schwer das Passwort sein mag, diese leicht lösbaren Fragen sind teilweise, z.B. bei Google, verpflichtet. Da hilft nur eins: Zukünftig auf solche Sicherheitsfragen verzichten und falls dies nicht möglich ist, eine möglichst lange zufällige Zeichenkette eingeben, die noch komplexer als das eigene Passwort sein sollte und diese einfach vergessen. Lieber sollte man sich dafür das Account-Passwort besser merken oder irgendwo verschlüsselt hinterlegen.

Ergänzung: Natürlich ist es nicht überall gleich unsicher. Denn manche Anbieter senden zusätzlich noch einen Schlüssel per E-Mail an die registrierte E-Mail-Adresse. Das ist aber nicht immer der Fall und bei Google Mail auch nicht möglich, da man dort keine E-Mail-Adresse benötigt, um sich zu registrieren.

Nun, während andere noch darüber diskutieren und Bedenken pflegen hat Bayern das mal eben getan: Ab dem 1. August darf laut der Novelle des Verfassungsschutzgesetzes mit Trojanern, IMSI-Catcher (Handyortung) und durch Abhören mit automatisch laufenden Bändern zur Terrorabwehr sowie zur Verhinderung schwerwiegender Straftaten ermittelt werden. Ach ja, und in die Wohnung dürfen die Beamten zum Installieren auch. Mehr dazu findet man unter anderem bei heise.