Category Archives: Security

Don’t panic you are safe!

Bevor jemand schimpft „böses Open Source“  oder „böses Typo3″, meine 5 Cent zum aktuellen Sicherheitsupdate für Typo3.

Unabhängig ob proprietär oder Open Source, hat Software generell ein Problem mit Schwachstellen. Und es gibt bei Websoftware-Systemen immer böse Zeitgenossen, die versuchen in diese zu einzudringen.

Meistens erfahren Anwender bei propritärer Software nichts von solchen Gefahren und Sicherheitsproblemen, da Hersteller diese in einem „stillen Verfahren“ per Update beheben. Oder es gibt ein bekanntes Sicherheitsproblem und man muss eben warten, bis der Hersteller dies löst. Der Internet Explorer ist dafür ein wohlbekanntes beispiel.

Nun hatte auch TYPO3 jüngst ein massives Sicherheitsproblem. Die Open Source Community hat vorbildlich reagiert. Zu erst wurde rasch in den Sourcen das Problem indentifiziert und per Patch geschlossen. Danach gab es eine offizelle Meldung mit der detailierten Information zum Sicherheitsproblem und den Hinweisen zum Patchen der betroffenen TYPO3 Versionen.

Nun ist es eben an den Nutzern des Systems, dieses auf den aktuellen Stand zu bringen. Wir haben beispielsweise schon vor der Veröffentlichung der genauen Schwachstelle, damit begonnen die Server unserer Kunden auf den aktuellen Stand zu bringen und per Patch die Sicherheitslücke zu schließen.

DECT Hack

Wow, sogar meine 08/15 Tageszeitung (Südwestpresse) berichtet darüber, dass DECT Telefone ein Sicherheitsproblem haben. Da der Artikel etwas „öberflächlich“ recherchiert ist, hier ein nützlicher Link zur „Basisquelle“:

Im Chaosradio Express Folge 102 vom 11.01.2009 interviewt Tim Pritlove das Team von dedected.org, welches die Sicherheitslücke bei DECT aufdeckte. Ein wirklich interessanter Podcast, der wieder einmal zeigt wie unsicher Industriestandards sein können, wenn eine Vielzahl von Faktoren bei der Umsetzung eine Rolle spielen: Wirtschaftsinteressen bei Konzerne, schnüffelnde Geheimdienste und gedankenlose Entwickler.

Viel Spaß beim Zuhören!

Lustige E-Mails II.

Irgendwie frage ich mich immer, welche Idioten auf solche E-Mails reinfallen. Ob als „Finanzagent“ oder „Logistikpartner“ – erstaunlich, diese Masche greift immer wieder:

Karrieren und Stellenangebot

Wir bieten Ihnen eine offene Vakanz an. Dieses Stellenangebot ist beschraenkt und gilt nur fuer die Buerger Deutschlands.

Unsere Firma angagiert das Personal fuer die Hausarbeit als Der aeusserliche Hilfsvertreter (Outside Support Representant). Diese Hausarbeitsposition basiert sich auf online-part-time, im beschleunigten Tempo (fast-pased Position). Die nebenamtlichen (Part-time) Mitarbeiter arbeiten gewoehnlich 4 Stunden pro Tag (Montag-Freitag) und arbeiten gewoehnlich nicht am Wochenende und an Feiertagen. Waehrend Ihrer Arbeit werden Sie mit Paketen und Paeckchen zu tun haben. Ihre Hauptaufgaben sind Erhalten, Umverpacken (notwendigerweise) und Absenden an den Endkunden.

Fuer ein Paket bekommt der Mitarbeiter € 20,00 und Monatsgehalt je nach dem Angebot. Unsere Mitarbeiter, die nebenamtlich arbeiten, bekommen fuer jedes Paket gute Kommission. Achten Sie bitte darauf, dass diese Leute nicht mehr als 17 Stunden pro Woche beschaeftigt werden duerfen.

Fuer solche Arbeit brauchen wir keine grossen Arbeitserfahrungen und stellen keine hohen Anforderungen. Die vorliegende Arbeit ist ausgezeichnet fuer Studenten, Muetter und Menschen, die online tageweise Arbeit suchen. Wir sind eine sich schnell entwickelnde internationale Gesellschaft und Sie haben eine grosse Moeglichkeit Ihre Karriere mit uns zu beginnen. Bitte verlieren Sie keine Zeit und beginnen Sie mit Ihrer Karriere gleich.

Bitte senden Sie Ihr Resuemee/CV oder kurzen Lebenslauf an folgende e-mail ab: xxxxxx@gmail.com

In 2-3 Tagen werden Sie von uns Antwort bekommen. Danke fuer Ihre Aufmerksamkeit und Interesse an uns.

Note:
Diese Position ist online angeboten und kann von einer beliebigen Personalvermittlungsagentur verwendet werden. Diese Arbeit koennen Sie online oder durch Marketing- und online- Listen finden.

Richtig Übersetzt: „Wir suchen Idioten, die uns bei Betrug im Versandhandel unterstützen und gerne dem Staatsanwalt als Ansprechpartner zur Verfügung stehen.“

Lustige E-Mails…

Eigentlich schon lange nichts mehr von der Nigeria Connection gehört. Um so mehr habe ich mich über diese Mail von heute gefreut:

Engr. Simbaliwe Sisulu
Pretoria
Südafrika
Private eMail: xxxxxxxx@mail2tycoon.com

FÜR IHRE FREUNDLICHE AUFMERKSAMKEIT:

Ich bin Ingenieur Simbaliwe Sisulu, ein Eingeborener von Kwazulu Geburts-
in Südafrika, das mit der Südafrika-Abteilung des Bergbaus u. der Energie
arbeitet.

In erster Linie entschuldige mich ich für die Anwendung dieses Mittels, um
Sie für eine Verhandlung dieser Größe zu erreichen, aber diese liegt an
der Vertraulichkeit und an sofortigem Zugang, die auf diesem Mittel
ausgeruht werden. Informiert sein, dass gab ein Mitglied des
Südafrika-Ausfuhrförderung-Rates (SEPC) der ein Teil meiner
Regierungsdelegation zu Ihrem Land während einer neuen
Geschäftsausstellung war, mir Ihre beneidenswerten
Bescheinigungen/Einzelheiten beim Versichern ich auf Ihrer Kompetenz, um a
zu behandeln Geschäft, das eine große Geldsumme in absolute
Vertraulichkeit mit einbezieht.

Folglich habe ich mich entschieden, eine vertrauliche Mitarbeit mit Ihnen
in der Durchführung des Abkommens zu suchen, das nachstehend zugunsten
aller Parteien beschrieben wird und während das Hoffen Sie es als strenges
Geheimnis wegen der Art dieser Verhandlung hält.

Innerhalb der Abteilung des Bergbaus u. der Energie, in der ich als
Direktor und mit der Mitarbeit von drei anderen Spitzenbeamten arbeite,
haben wir in unserem Besitz die überfälligen Vertragsvorgelegten Wechsel,
die vierzehn auf Million, vierhundert tausend Staat-Dollar (14.400.000.00)
sich belaufen. Dieses Geld, dem wir beabsichtigen, seine Übertragung als
Form der Vertragszahlung zu einer zuverlässigen Firma/zu einem einzelnen
Konto abhängig von Ihrer Bequemlichkeit zu verarbeiten.

Ihre Unterstützung und Mitarbeit liegt an den Umständen erforderliches,
die unsere Arbeit als Regierungsbeamte umgeben, hingegen der
Südafrika-Staatsdienst-Verhaltenskodex uns nicht erlaubt, ein
Auslandsbankkonto folglich laufen zu lassen Ihr Wert in der vollständigen
Verhandlung.

Momentan ist diese Menge ($14.4M) die Balance des Gesamtauftragswertes
darstellend, der im Namen meiner Abteilung durch eine fremde Vertragsfirma
durchgeführt wird, die wir die Beamten absichtlich über-fakturierten, das
Lügen, das im Regierungsübertragungsurkunde-Bankkonto mit Reserve Bank von
Südafrika nicht beansprucht ist. Wir hiermit Ihre Unterstützung und
Mitarbeit suchen, die uns ermöglichen, diese Geldsumme zu Ihnen als Form
der Vertragszahlung zu verarbeiten.

Wir haben die notwendige zu validieren Ermächtigung, und Zustimmungen des
schwebenden Geschäfts nachzuschicken behauptet zur Regierung für
abschließende Zahlung auf Zustimmung durch Reserve Bank von Südafrika
(RSBA). Alle Partner stimmten, beim Mandates Unterstellen Mandates
Unterstellen ich, um vorzuschlagen, der wenn Sie bereit sind, uns in der
Verhandlung zu unterstützen, Ihr Anteil der Summe 30% der 14.4 Million
ist, 65% sind für uns und 5% für alle mögliche Unkosten zu, die im Verlauf
dieses Projektes genommen wurden einschließlich Telefon- und
Telefaxrechnungen.

Das Geschäft selbst ist das 100%-Safe auf Ihrem Teil versah Ihnen
Festlichkeit es mit äußerster Geheimhaltung und Vertraulichkeit. Auch
merken, dass Ihr Bereich der Spezialisierung nicht eine Behinderung zur
erfolgreichen Durchführung dieser Verhandlung ist.

Ich habe mich mein Vertrauen in Ihnen beim Erwarten Ihrer sofortigen
Antwort durch das private email address sisulumessages@workmail.co.za, um
mich über yourcapability zu benachrichtigen, um uns zu unterstützen
ausgeruht, wenn ich Erfolg in dieser Verhandlung erzielte.

Schließlich auf Ihrem Teil, schätzen wir Sie Festlichkeit diese
Verhandlung als sehr vertrauliches, während wir Ihnen versichern, dass von
einem 100%-Safe und freien einer Verhandlung des vollen Beweises Sie
befolgen unsere Anweisungen total bereitstellte.

Ich erwarte Ihre Bestätigung meiner Mitteilung beim Beten, dass dieses der
Anfang einer lebenslänglichen Teilhaberschaft zwischen uns ist.

Für Ihre vorweggenommene Mitarbeit danke.

Mit freundlichen Grüßen

Engr. Simbaliwe Sisulu

So, mal schauen ob es von Herrn Sislu ein Photo auf Scambaiter gibt *g*

Einer Firewall vertauen…

die das Kürzel „NSA“ im Namen trägt?

Gerade eine E-Mail von Sonicwall weitergeleitet bekommen. Auszug:

Eine Firewall der nächsten Generation.

Die neue SonicWALL NSA 240 Firewall mit 600 Mbps1 Netzwerkdurchsatz bei
voller Performance.

SonicWALL bietet einmalige Sicherheit, Performance und
Benutzerfreundlichkeit zu einem erschwinglichen Preis.

Okay, niemand kann behaupten er wäre vom Hersteller nicht vorgewarnt worden ;)

Danke an Sven, für den Tipp

Kommt VoIP doch auf dem Google Handy

Nach einem Bericht im Handelsblatt Blog könnte VoIP auf dem G1 schon in der nächsten Version, mit dem Segen von T-Mobile unterstützt werden. Zu begrüßen wäre es, denn ohne VoIP ist das Googles Android nur ein amputiertes Betriebssystem – von der versprochenen Offenheit keine Spur.

Im Spagat mit den Bedürfnissen der Netzbetreiber, hat sich Google dazu hinreißen lassen, die VoIP Unterstützung in der aktuellen Version von Android zu unterbinden. Auch kann die Open Source Gemeinde nicht die betreffenden Funktionen einfach nachträglich einbauen, da wesentliche Elemente von Android nicht in den Sourcen offengelegt sind. Das offizielle Argument heisst „Sicherheit“, wobei Security by Obscurity bekanntlich nicht wirklich eine gute Sicherheitsstrategie ist. Vielmehr geht es wohl eher darum, die Netzbetreiber vor einer unkontrollierten VoIP Nutzung zu schützen.

So haben die Macher von OpenMoko, einem ebenfalls auf Linux basierendem OS für Handies, kein Problem damit die gesamte Source zu veröffentlichen. Denn die für das GSM Netz sensible Routinen sind auf direkt auf der Hardware des GSM-Baustein im Handy gekapselt. Googles Versuch teilweise Offenlegung des Quelltextes mit Sicherheitsaspekten zu begründen, ist daher wohl kaum mehr wie eine laue Schutzbehauptung.

Vergleicht man das G1 Android mit dem OpenMoko Handy „Neo Freerunner„, besticht die „echte“ offene Plattform Open Moko mit einem eleganteren Design, freier Netzwahl ohne SIM Lock und USB Standardschnittstellen. So muss eine alternative zum iPhone aussehen!

Wie das E-Mail Postfach von Sarah Palin gehackt wurde

Das E-Mail Postfach von Sarah Palin der republikanischen Anwärterin zur US Vizepräsidentschaft wurde gehackt. Nicht technisches Know How war dazu notwendig, sondern eine akribische Recherche zur Biografie im Internet. Denn die Angreifer nutzen die Funktion für „vergessene Passwörter“ in Palins Yahoos E-Mail Account.

Im Blog von Michelle Malkin wird eine E-Mail des Hackers veröffentlicht, in denen die Details zum Hack genau beschrieben sind. Das Palin ein E-Mail Konto bei Yahoo hat, habe der Angreifer aus der Presse erfahren. Um an das Passwort des Yahaoo-ID Accounts zu gelangen, mussten bei der Funktion „Passwort vergessen“ zwei persönliche Fragen zur Biografie von Sarah Palin beantwortet werden. Die Antworten wurden per Wikipedia, Google und Postleitzahlenverzeichnis gesucht und gefunden. Dazu der Hacker „rubico“ in einer E-Mail:

after the password recovery was reenabled, it took seriously 45 mins on wikipedia and google to find the info, Birthday? 15 seconds on wikipedia, zip code? well she had always been from wasilla, and it only has 2 zip codes (thanks online postal service!)

the second was somewhat harder, the question was “where did you meet your spouse?” did some research, and apparently she had eloped with mister palin after college, if youll look on some of the screenshits that I took and other fellow anon have so graciously put on photobucket you will see the google search for “palin eloped” or some such in one of the tabs.

I found out later though more research that they met at high school, so I did variations of that, high, high school, eventually hit on “Wasilla high” I promptly changed the password to popcorn and took a cold shower…

Im Gegensatz zum „klassischen Hacking“, bei dem der Angreifer ein tiefes technischen Verständnis des zu kompromitierenden Systems benötigt, war der Hack des Palin E-Mail Postfachs ein cleveres Such- und Puzzlespiel per Internetrecherche. Das macht den Hack nicht weniger spektakulär, sondern es zeigt wie anfällig System sind, die die Sicherheit per vermeintlichen „biografischen Geheimnissen“ sicherstellen möchten. Im Zuge von immer mehr Suchmöglichkeiten über soziale Netzwerke, wird es immer schwieriger werden biografische Besonderheiten zu schützen.

Fragen wie „Wie lautet der Name Ihres Haustieres?“ oder „Wie lautet der Mädchenname Ihrer Mutter?„, sind nicht wirklich geheim in einer zunehmend vernetzten Welt und werden mit dem Grad der Vernetzung in sozialen Netzwerken zunehmend offensichtlicher.

Blogger Bruce Schneier, zerlegt in seinem Artikel „The Curse of the Secret Question“ das Prinzip der biografischen Geheimfragen. Dem ist nichts hinzuzufügen.

1 2 3 4 5 7