Glorf IT

Auf die Frage wie viel man für die Sicherheit ausgeben darf gibt es offenbar keine richtige Antwort: "so viel wie nötig" ist eben auch nicht wirklich hilfreich. Daher hat mich der Spiegel-Artikel "Umstrittenes Bauwerk – Riesenmauer rettete japanisches Dorf vor Tsunami" schon beeindruckt. Gegen viele Widerstände drückte ein Bürgermeister ein riesen Bauwerk durch, was sich so gerade als groß genug entpuppte.

Der letzte Satz des Artikels hat mich berührt:

"Auch wenn es Widerstand gibt, habt Vertrauen und beendet, was Ihr begonnen habt", sagte er bei seiner Verabschiedung zu den Angestellten. "Am Ende werden die Leute verstehen."

Lange nach seinem Tod ist er plötzlich der Held der Stadt. Hier kann man die erwähnte Mauer sehen.

Das haben die Kollegen bei Magix wohl nicht so richtig verstanden. Anstelle dankbar zu sein, dass sich ein Security-Freak an sie wandte und ihnen eine Sicherheitslücke offenbarte, wird der arme Kerl nun unter Druck gesetzt. Natürlich findet es keine Firma gut, wenn eine eigene Sicherheitslücke veröffentlicht wird. Aber anstelle den Dialog zwischen Fachleuten zu suchen und ggf. um Aufschub zu bitten, wird ein Anwalt eingeschaltet. Hallo?
Ich bin sicher, dass andere sich es nun gut überlegen, ob sie gefundene Lücken in Magix-Software zukünftig an Magix melden oder die Kommunikation den großen Firmen überlassen. Dazu verkauft man die Sicherheitslücke an eine der bekannten Firmen und bekommt tatsächlich Geld dafür. Schade, dass ich keine Magix-Software habe, ich würde mir gerne mal einen Eindruck von deren Software verschaffen und ein paar Standard-Dinge checken.

Für Magix ist das jetzt jedenfalls ein PR-Gau geworden: Nun weiß man in einschlägigen Kreisen genau, dass deren Software nicht nur schwerwiegende Lücken enthält, sondern auch, dass die Firma gemeldete Lücken nicht kurzfristig behebt und sich alles andere als kooperativ zeigt. Mehr dazu im Heise-Artikel "Magix verhindert Exploit-Veröffentlichung".

Das erinnert an den Fall von Sony, die gegen George "GeoHot" Hotz wegen des Jailbreak der Playstation gerichtlich vorgingen. Das macht auf mich einen hilflosen und planlosen Eindruck. Gerichte und Anwälte sind in der Regel das letzte Mittel. Ganz anders ging hier übrigens Microsoft vor, die den gleichen Fall nutzten, um für denen Phone OS zu werben. Sie luden die Hacker ein und fachsimpelten mit denen, wie man deren Ziele und die von Microsoft in Einklang bringen könne. Respekt! Damit hat Microsoft in meinen Augen echt Boden gut gemacht. Erst dadurch kommt für mich ein Handy mit Windows überhaupt erst ansatzweise in Frage.

Es entbehrt nicht einer gewissen Komik, dass eine Firma, die ein Rootkit produziert und anbietet nun gehackt wurde. Dass dabei viele E-Mails erbeutet und nun publiziert wurden, liegt offenbar an dem etwas sorglosen Umgang mit vertraulichen Daten. Bei Heise.de kann man mehr nachlesen. Hier kommt auch der Link auf die Mail mit Benutzernamen und Kennwörtern her.

Ich finde die Details zu deren Rootkit Magenta interessant. Hier ein Ausschnitt:

• Extremely small memory footprint – (4k or less)
• Almost impossible to remove from a live running system
o Once the injected Magenta rootkit body is loaded into kernel memory, it will be fire-and-forget. You can delete the original .sys file used to load it if you wish.
o Any physical memory based tools that would allow you to see the current location of Magenta body would only be of limited use since by the time the responder tried to verify his results Magenta will have already moved to a new location & context

Alle schmutzigen Details erfährt man bei Heise.de.

PS: Ob sie jetzt von der Telekom wegen der Verwendung von Magenta verklagt werden? Nein, nicht wegen der Schnüffelaffäre bei der Telekom, sondern weil die sich Magenta reservieren ließen…

Update 17.2.2011: Bei Heise.de gibt es derzeit weitere peinliche Hintergrundinformationen. Warum peinlich?

Insgesamt lässt sich feststellen, dass das Sicherheitsniveau bei HBGary nicht sonderlich hoch war. Der Einbruch entpuppt sich als Folge vieler einfach zu vermeidender Fehler:

Lesetipp: Bei Spiegel-Online gibt es einen sehr Interessanten Artikel über die Hintergründe, die rund um Stuxnet bekannt wurden. Hier ein kleiner Teaser, der die zunächst belächelten Thesen rund um den Iran bestätigt:

Anfang 2008 sollen Experten des Heimatschutzministeriums und des Idaho National Laboratory gemeinsam den Siemens-Steuerungscomputer Process Control System 7 (P.C.S.-7) untersucht haben, um mögliche Einfallstore zu finden. Schließlich brachten israelische Atomexperten noch jene Zentrifugen zum Laufen, die der Vater der pakistanischen Atombombe, Abdul Qadir Khan einst entwickelt hatte. Die Zentrifugen mit dem Namen P-1 waren illegal an Libyen und Nordkorea verkauft worden – aber auch an Iran. Damit hatten die Sicherheitsexperten alle Komponenten zusammen, um Stuxnet zu programmieren.

Weitere Informationen dazu findet man in einem Artikel der New York Times, auf den bezieht sich Spiegel-Online.

Ich finde das Interview bei Heise-Online mit dem Sicherheits-Experten Andreas Marx besonders deswegen interessant, weil man einen Blick hinter die Kulissen werfen kann, z.B. warum der Mac für Malware-Entwickler weniger attraktiv ist, obwohl er potentiell anfälliger als Windows ist.

Hier geht es zum Artikel…

Wenn man einen Administrator-Account "admin" nennt, dann ist das nicht so wirklich innovativ. Aber wenn man dem Benutzer dann auch noch versteckt und das originelle Passwort "!admin" gibt, dann kann ich nur den Kopf schütteln. Aber schlimm ist, dass HP diesen Benutzer auf einer bestimmten SAN generell eingerichtet hat, überall mit dem gleichen trivialen Passwort. Cracker dieser Welt freut Euch, damit sind die Daten besonders leicht ausspähbar… Laut HP kann der Benutzer sich auch via telnet anmelden.

Das betroffene System ist seit zwei Jahren MSA 2000 im Handel und richtet sich an kleine und mittelständische Unternehmen. Also genau die Klientel, die vermutlich keinen hauptberuflichen Admin hat, um solche Probleme mal schnell zu fixen. Daher dürfte diese Lücke auch langfristig viel Potential zum Datenklau bieten…

Details bei SecurityWeek und Heise-Online.

Und hier kommt noch etwas zum Thema Security. Das ist aber auch gerade ein Hype-Thema…
Auf soonerorlater.hu wird von László Tóth beschrieben, wie man die Transparent Database Encryption (TDE) bei Oracle knackt. Das ist nun sicher kein Grund zur Schadenfreude, denn Microsoft wird das sicher auch nicht so viel anders machen. Immerhin ist hier Performance das wichtigste Ziel – mit den üblichen Nebenwirkungen.

Das enthält der Vortrag:

• How to attack the encryption features in Oracle database with DLL injection on Windows and Linux
• How TDE (Transparent Database Encryption) feature works and demonstration of a toolset that can be used to decrypt the TDE encrypted data
• An initial analyzes of the security of the Remote Job Scheduling feature

Außerdem steht auch noch der Demo-Code online bereit. Würde mich interessieren, ob den jemand einsetzt…

Was mich allerdings verwundert hat: Auf Seite 12 des Vortrages sieht man, dass ein Admin bei Oracle leicht die Passwörter der Benutzer sehen kann. Das finde ich kritisch, warum wird hier nicht wie üblich mit Hashwerten gearbeitet? OK, auch der Rest des Artikels ist interessant, denn es gibt erstaunlich viele Möglichkeiten. Ich würde mal sagen dieser Vortrag ist der Alptraum von Larry Ellison.

Hier ist der Vortrag als PDF.

Da ich mich in den letzten Monaten mit der dunklen Seite der Security beschäftige, machte mich mein Chef auf den sehr lesenswerten Artikel "The Inside Story of SQL Slammer" von David Litchfield aufmerksam.

Der leider viel zu kurze Artikel beschreibt, wie das damals war und wie der Autor das Problem erstmals entdeckte. Sein Vorgehen deckt sich auch heute mit dem Standard-Vorgehen zum Auffinden von Sicherheitsproblemen: Abstürze oder Fehler provozieren und dann gezielt nachforschen. Mir war unklar, dass der Beispielcode für SQL-Slammer ursprünglich aus einer Demo von David stammt. Das erklärt zum Teil, warum Microsoft nicht gerne möchte, dass für deren Fehler Beispielcode veröffentlicht wird. Denn obwohl es den Patch gab, wurde es einer gigantischer Wurm. Wie sich jetzt zeigt, wurde der Wurm nur dadurch möglich, dass David das Problem entdeckte und veröffentlichte…

Hier steht mehr.

Heute wurde ich auf den Chief Security Advisor Blog aufmerksam. Er wird von Michael Kranawetter – er ist Chief Security Advisor bei Microsoft – betrieben. Ich finde die Idee gut, kann den Widerspruch aber nicht auflösen. Einerseits schreibt er nämlich wie wichtig Microsoft die Kommunikation von Sicherheitsproblemen ist. Und deswegen schreibt er im ersten Posting: "Dieser Aufgabe will Microsoft Deutschland unter anderem mit diesem Blog nachkommen."

Aber weiter unten kommt dann ein Disclaimer: "Bitte beachten Sie, dass die Beiträge in meinem Blog keine offiziellen Stellungnahmen der Microsoft Deutschland GmbH oder Microsoft Corporation darstellen."
Ich lese das so: Microsoft Deutschland will informieren, aber nicht, dass man denkt das wären offizielle Infos von Microsoft. Hm: Wasch mich, aber mach mich nicht nass?

Im Artikel "Informationen zur DLL-Schwachstelle" wird der Sachverhalt so weit korrekt dargestellt. Und leider wird es auch so dargestellt, als sei das ein reines Anwendungsproblem, Microsoft könne nichts dafür und habe ja schon vor zwei Jahren in irgendeinem Blog darauf hingewiesen (vermutlich auch wieder einer, der keine offiziellen Infos enthält?). Tatsächlich ist es aber Windows, der die DLLs im falschen Verzeichnis bzw. besser in der falschen Reihenfolge die potentiell in Frage kommenden Verzeichnisse durchsucht. Und das vermutlich schon so lange es Windows gibt. Was mir gefällt ist, dass hier endlich auch einmal von Seiten Microsoft darauf hingewiesen wird, dass es nicht nur um DLL-, sondern auch um Exe-Hijacking geht. Leider nur in einem nicht-offiziellen Blog… 😉

Die anderen Artikel sind die in den letzten Wochen üblichen Themen, Stuxnet wird aber nur am Rande erwähnt und tiefergehende Infos zu den Security-Bulletins könnten auch durchaus gerne noch nachgelegt werden. Ich will mal abwarten, wie sich die weiteren Infos so entwickeln. Potentiell ist Potenzial da… 🙂

Das Interview mit Liam O´Murchu auf Spiegel.de enthält leider kaum neue Fakten zu Stuxnet, aber eine interessante Einschätzung:

Wir gehen sogar davon aus, dass sich das Stuxnet-Team eine Art Viren-Vorratskammer angelegt hat, also eine ganze Reihe weitgehend unbekannter Tricks kennt – und zurückhält. Erst wenn das Team ganz bestimmte Sicherheitslücken aus einem ganz bestimmten Grund nutzen muss, holt es sie aus seinem Giftschrank heraus.

Im Iran hingegen hat man das Problem hingegen schon gelöst. Da ist sich der iranische Geheimdienstminister Heydar Moslehiganz sicher (Quelle: Spiegel.de – Netzwelt):

Er sagte laut "Guardian" im Staatsfernsehen, dass Iran "die zerstörerischen Aktivitäten der arroganten [Westmächte] im Cyberspace" entdeckt und bereits Gegenmaßnahmen eingeleitet habe. Er fügte hinzu: "Ich versichere allen Einwohnern, dass der Nachrichtendienst die komplette Kontrolle über den Cyberspace hat und keine undichte Stelle oder die Zerstörung der landeseigenen Nuklearaktivitäten erlauben wird."

Diese Zuversicht den Cyberspace unter Kontrolle zu haben, ist schon niedlich.

Als ich den Spiegel-Artikel "Sicherheitslücke bei Paypal" las, schaute ich sofort in der aktuellen ct nach und las den originalen Artikel komplett. Ich finde es echt schockierend, dass PayPal hier wissentlich den Missbrauch in Kauf nimmt und den Betrogenen dann im Regen stehen lässt.

Nachdem ich am Wochenende die neuesten Infos zu StuxNet zusammentrug, entdeckte ich heute den recht gut gemachten Spiegel-Artikel "Der Wurm, der aus dem Nichts kam" zu dem Thema. Daher spare ich mir hier den geplanten eigenen Artikel. Ein paar relevante Links will ich aber dennoch weiter geben.

Der Spiegel-Artikel enthält so gut wie keine technischen Details, aber sehr schön das Setting.

Auf der Seite von Langner ist seine Einschätzung, die Spiegel recht schön wieder gibt. Hier ist das Bild von der Steuerungssoftware in dem iranischen Kernkraftwerk, dass er anspricht.

Viele weitere Details findet man bei Symantec. Allerdings etwas verstreut: Der aktuelle Stand zu den Exploits wird hier beschrieben. Die technischen Details stehen hier. Darin sind auch die Auswertungen zur Verbreitung enthalten.

Die Spekulationen und gefundenen Hinweise zu den Tätern sind hier. Das ist dabei der interessanteste Punkt:

While we don’t know who the attackers are yet, they did leave a clue. The project string “b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb” appears in one of their drivers. Guava belongs to the myrtus plant family. Why guava or myrtus? Let the speculation begin.

Kann man da auf englisch-sprachige Angreifer schließen? Projekt "Myrtus" (Myrte) und Modul "Guava" (Guave) deuten auf einen Hang zum Heilpflanzen hin. Myrte wirkt angeblich "antibakteriell, schmerzlindernd und entzündungshemmend", Guave ebenso. Wer soll hier von was geheilt werden?

Zuletzt: Das Ergebnis des Vortrages "Last-minute paper: Unravelling Stuxnet würde mich schon sehr interessieren (die Referenten sind von Microsoft und Kasperky)…

Update 26.9.2010: Im Spiegel, wird das mittlerweile erneut thematisiert. Interessant finde ich diese Einschätzung:

Die Software ist so komplex und bedient sich so vieler verschiedener Angriffsmöglichkeiten, dass ein Geheimdienst oder eine andere Organisation mit staatlicher Rückendeckung hinter der Cyberattacke vermutet wird. Dafür spricht auch, dass die Stuxnet-Autoren vier bis dahin unbekannte Windows-Sicherheitslücken, sogenannte Zero-Day-Exploits, ausgenutzt haben. Auf dem Schwarzmarkt etwa sei jeder solcher Exploit "grob geschätzt eine Viertelmillion Euro wert", schätzt Gert Hansen von der Sicherheitsfirma Astaro.

Wer verschenkt warum so viel Geld? Und ist es wirklich verschenkt oder hat der Virus sein Ziel schon längst erreicht?