End-to-End: Google will mit Javascript verschlüsseln - Golem.de. Man kann von Google halten was man will, es sitzen immer noch Techniker mit Hirn dort, die auch mal wieder was cooles bauen. Klar, man wird sehen müssen wie gut das ganze dann implementiert ist, aber wenn jemand wie Google für Gmail PGP-Integration bietet, dann könnte das endlich der Anstoß sein, dass das Thema auch weitere Verbreitung findet. Das grösste Problem bei PGP und ähnlichen Sachen ist ja immer noch die Verfügbarkeit von Kommunikationspartnern, die mit der entsprechenden Technik auch was anfangen können.
sicherheit
Tails - Über Tails. Hmm, vielleicht mal einen USB Stick mit dem System einrichten, so für unterwegs und bei Bedarf.
Port 32764: Cisco bestätigt Backdoor in Routern. Ok, sie bestätigen die Existenz - aber wo ist die Erklärung, wo sie her kommt? Wieso ist sie drin und wieso wurde sie nicht schon längst von Cisco entfernt? Will mir ernsthaft jemand sagen, Cisco würde nie einen Portscan auf ihre eigenen Router laufen lassen?
TeleHash / JSON + UDP + DHT = Freedom. Über git-annex drauf gestoßen: eine verteilte Messaging-Technik mit interessanten Eigenschaften. Stark P2P ausgerichtet, stark auf Verschlüsselung ausgerichtet und von vornherein als Middleware konzipiert und nicht primär als Mensch-zu-Mensch Protokoll wie XMPP. Definitiv beobachten, was da raus kommt.
Matasano Security - Matasano Web Security Assessments for Enterprises. Analyse von Kryptographie in JavaScript. Kurzfassung: Kryptographie in JavaScript ist in der Regel eine dumme Idee, da man das JavaScript aus einer nicht vertrauenswürdigen Quelle oder einem nicht vertrauenswürdigen Netz bezieht (würde man ihm vertrauen, wäre ja wohl kaum Kryptographie notwendig) und daher ein Henne-Ei-Problem besteht. In bezug auf das vorherige 0bin Projekt: dort ist die Kryptographie nicht eingebaut worden um den Benutzer zu sichern, sondern um den Betreiber des 0bin abzusichern - es ist also relativ egal für den Betreiber, ob die User sicher sind oder nicht, es geht dabei nur um "plausible deniability" für den Betreiber. Anders sieht es aber aus, wenn anstelle SSL einzusetzen eine Verschlüsselung in JavaScript implementiert wird.
Chrome kann in fünf Minuten geknackt werden | Produkte | futurezone.at: Technology-News. Oy Gevalt! Ich glaube, da müssen jetzt einige Leute ein wenig umdenken. Nein, Sandboxing ist nicht eine garantierte Lösung für Security, das ist bestenfalls ein einzelner Baustein einer kompletten Lösung. Und ja, Programme komplexer zu machen erhöht auch die Komplexität der Sicherheitslage. Und irgendwann gibts dann eben einen Durchmarsch wie hier. (und nein, die anderen Browser sind keinen Deut besser, Chrome galt nur länger als "sicher" und nach der letzten Pwn2Own wurde er von einigen als "unknackbar" betrachtet)
Google Wallet PIN cracked on rooted Android devices | The Verge. Na das ging ja schnell. Ich kann mir ein gewisses Grinsen nicht verkneifen. Google sollte wirklich bessere Leute für die Implementierung von solchen Sachen haben.
BUSTED! Secret app on millions of phones logs key taps • The Register. Nett - Android-Phones mit Rootkit/Keylogger verwarzt. Und wenn ich das richtig lese, dann ist die Software wohl von Netzprovidern und/oder Geräteherstellern aufgebracht worden. Jaja, klar, ist nur ein "Diagnosewerkzeug" - genauso wie die diversen Trojaner für PCs ja nur Fernwartungswerkzeuge sind ...
Sicherheitslücke: Feuergefahr bei HP-Druckern? - Golem.de. Endlich remote Büros abfackeln können. Davon träumt doch sicher jeder Hacker. Danke HP für dieses äußerst sinnvolle Feature.
CCC | Chaos Computer Club analysiert aktuelle Version des Staatstrojaners. Soso, der aktuelle Staatstrojaner ist also genauso schlecht wie der angebliche Prototyp. Und wieder behaupten natürlich alle, das Teil nicht einzusetzen. Was ist denn nun die wundersame, rechtskonforme Version des Staatstrojaner, die angeblich in den Behörden eingesetzt wird? Wäre doch mal interessant, wenn die Behörden diesen Trojaner dem CCC zwecks Analyse bereitstellen würden. Aber das wäre ja ehrliches und transparentes Handeln. Das kann man von Behörden in unserer Bananenrepublik ja scheinbar nicht mehr erwarten.
Firewire Attacks Against Mac OS Lion FileVault 2 Encryption » frameloss. Da hat Apple wohl ganz grandios gepatzt. Denn über Firewire DMA kann man das im Hauptspeicher abgelegte Passwort für die Full-Disk-Verschlüsselung zugreifen. Auch wenn man Auto-Login deaktiviert hat und eigentlich kein Grund vorliegt, das Passwort im Speicher zu haben. Autsch.
Die seltsamen Fakten des Herrn Uhl « mrtopf.de. Ich sach einfach mal: lesen. Denn wozu soll ich da alles wiederholen, was anderswo schon jemand geschrieben hat. Und da es mit der VDS ja auch den Datenschutz betrifft, auch mal für die Metaeule kategorisiert.
SSL and Cookies in WordPress 2.6 « Ryan Boren. Zwar ursprünglich für Wordpress 2.6 geschrieben, aber immer noch gültig. Bei mir musste ich noch ein bischen Hacken, da mein Wordpress-Server nicht direkt zum Netz steht, sondern hinter einer Firewall (iptables mit DNAT hat geholfen), aber jetzt habe ich ordentlich gesicherte Admin-Cookies und bin damit besser gegen WLAN Sniffer an öffentlichen Hotspots geschützt. Die Wordpress-Idee ist wirklich nett - zwar keine 100% Sicherung, da mit meinem Login-Cookie immerhin Kommentare unter meinem Namen gepostet werden können, aber durch die Cookie-Trennung ist zumindestens die Administration geschützt. Beisst sich bei mir aber mit dem Safer Cookies Plugin, das ich vorher benutzt habe um meine Cookies wenigstens auf die IP festzunageln. Zusätzlich gibt es noch einen Patch der nach 3.1 gegangen ist und es ermöglicht auch das Login-Cookie abzusichern.
Hackers broke into Lockheed Martin. Holy cow, worst case Szenario. Wer wettet drauf dass jetzt die Cybersecurity-Gesetze in den USA verschärft werden, nachdem durch Angriffe auf Unternehmen aus der Rüstungsindustrie das ganze ja vermutlich als Frage der nationalen Sicherheit hochstilisiert werden kann?
Dropbox Lied to Users About Data Security, Complaint to FTC Alleges. Nur nochmal als Erinnerung: wer sowas wie Dropbox (oder jeden der anderen Dienste mit vergleichbarer Funktion) benutzt, sollte clientseitig verschlüsseln (auf Macs bieten sich sparse Bundles an), wenn es kritische oder persönliche Inhalte sind. Denn selbst wenn ein Dienst verspricht, alles zu verschlüsseln und niemand könne die Daten lesen, kann dieser Dienst auch einfach lügen. Oder eine falsche Implementierung haben. Die Deduplizierung, das Foldersharing und die Tatsache, dass seit einigen Versionen auf jedes File eine public URL erzeugt werden kann - und damit in beiden Fällen Leute auf Files Zugriff bekommen, denen man ja nun nicht sein Passwort verraten hat - sollte klar machen, dass Dropbox zwangsweise dazu in der Lage sein muss serverseitig zu entschlüsseln. Was natürlich die falsche Präsentation in deren Werbeseiten nicht besser macht - klar, es war nur weglassen von Informationen, aber bei Sicherheitsaussagen sagt man lieber etwas mehr um klar zu machen was man tatsächlich garantiert. Wenn man wesentliche Informationen weglässt, braucht man sich nicht wundern wenn man (zu Recht!) als Lügner hingestellt wird. Und gerade in den USA könnte sowas eine Firma ziemlich in Bedrängnis bringen.
Folgenschwerer PSN-Hack: Persönliche Kundendaten kopiert. Jetzt ist also raus, warum PSN so lange offline war (nicht das es mich sonderlich betroffen hätte - hab keine Playstation - aber die Stille rund um die Downtime war schon seltsam).
Microsoft Shuts off HTTPS in Hotmail for Over a Dozen Countries | Electronic Frontier Foundation - ein Schelm wer böses dabei denkt. Sicherlich purer Zufall, dass die Liste der betroffenen Länder sich wie die "Elite" der demokratischen Staaten liest. Die Verlogenheit von Großkonzernen wird eigentlich nur noch von FDP Wirtschaftsministern übertroffen.
By adding extra code to a digital music file, they were able to turn a song burned to CD into a Trojan horse. When played on the car's stereo, this song could alter the firmware of the car's stereo system, giving attackers an entry point to change other components on the car.
via With hacking, music can take control of your car | ITworld.
Advanced sign-in security for your Google account - Official Gmail Blog. Grundsätzlich eine gute Idee, denn dadurch wird der Login - bei korrekter Anwendung - wirklich sicherer. Aber ob man seinen inneren Schweinehund überwindet und das auch tatsächlich anwendet ... (bin mir bei mir selber nicht mal ganz sicher ob ich das für eMail mir antun will)
Bug 1044 – CVE-2010-4345 exim privilege escalation. Der zweite Teil des Exim-Durchmarsches. Dieser ist die Rechteeskalation über Exim und ein alternatives Config-File. Denn dadurch, dass Exim ein monolitischer Server unter suid Rechten (also Start mit Root-Rechten auch wenn als anderer Benutzer ausgeführt) ist, gibt es ein kleines Zeitfenster in dem der Dienst immer als root läuft - und durch das alternative Configfile wird das dann ausgenutzt. Der Patch beschränkt die Orte an denen diese Config-Files liegen dürfen und kombiniert mit der Konfiguration der Schreibrechte auf diesen Ort kann man damit vermeiden, dass nicht-root-User eigene Configs einschleusen.
Bug 787 – memory corruption in string_format code. Wichtig, wenn man Debian älter als Lenny betreibt, denn dafür gibt es dann keine Sicherheitsupdates mehr und man muss selber patchen. Der hier macht die Tür zu. Übrigens durchaus interessant mal auf das Datum zu gucken - der ist seit 2008 gefixt, aber durch die frühe Aufgabe von Security-Updates von auslaufenden Debian-Releases ist es in vielen Debian-Systemen auf Etch Basis (und älter) noch drin. Debian ist nur noch empfehlenswert einzusetzen wenn man tatsächlich auch jeden Releasewechsel zeitnah mitmachen kann. Ansonsten sind Lösungen wie Ubuntu LTS deutlich die bessere Wahl. Abgesehen davon ist es doch reichlich peinlich, dass Lenny noch so eine gammelalte Exim hatte ...
HP Storage Hardware Harbors Secret Back Door | threatpost - erledigt hoffentlich die regelmäßigen "wir müssen auf hp umsteigen weil die ist ja viel besser als die NetApp" Diskussionen. Und ja, das war Sarkasmus.
Sicherheit: Angeblich Backdoor im IPSEC-Stack von OpenBSD. Autsch. Wenn da was dran ist, brauchen wir wohl mal ein WikiLeaks für Open Source. Und das ausgerechnet bei OpenBSD, das sich Sicherheit auf die oberste Stelle der TODO geschrieben hat.
"Eine Bombe im Flugzeug Richtung Deutschland? Zugegeben, ich bin nur Wissenschaftsjournalist, befasse mich mit physikalischen Phänomenen, doch offen gesagt glaube ich nicht an diese Nachricht. Das passt doch alles zu gut. Bei mir im Hotel die Innenminister, und ausgerechnet jetzt wird verkündet, dass Deutschland demnächst zum Ziel eines Terroranschlags wird. Das riecht nach Inszenierung."
via Mit de Maizière am Frühstückstisch: Der Terror ist da, das Müsli ist alle - taz.de.
Security-Forscher: Bezahlen mit Kreditkarte und PIN unsicher - Golem.de - aber angeglich ist das Zahlen mit EC-Karten ja absolut sicher.
Please read: Security Issue on AMO « Mozilla Add-ons Blog - war ja nur eine Frage der Zeit, bis die ersten Firefox-Extensions mit Trojanern drin verteilt würden und durch die Prüfung bei Mozilla durchrutschen. Erweiterungen sind eben genau das - Codestücke die im selben Sicherheitskontext wie Firefox selber laufen. Ich glaube auf Dauer braucht es eine gänzlich andere Architektur mit weitaus stärkerem Sandboxing für Anwendungen und Erweiterungen wenn wir das sauber in den Griff bekommen wollen.
Windows hole discovered after 17 years - na das ist doch mal ein netter Gruß aus der Vergangenheit. Privileg-Eskalation in den alten DOS-Boxen - zurück bis NT 3.1!
Matasano Security LLC - Chargen - If You're Typing The Letters A-E-S Into Your Code, You're Doing It Wrong - interressanter Artikel (wenn auch in einer etwas seltsamen Präsentationsform) über typische Probleme bei Nutzung von Cryptographie für SSO in Websystemen. Einfach "ich verschlüssel das Cookie und dann ist alles gut" tuts eben nicht ...
Study shows viral SSIDs could be creating a massive wireless botnet Tech Sanity Check TechRepublic.com - und noch etwas mehr über die viralen SSIDs und eine kleine Liste von SSIDs die in dem Zusammenhang aufgetaucht sind. Bin drauf gestoßen weil eine Freundin eines der Netze (hpsetup) bei sich in der Nähe hat und sich wunderte, woher die SSID kommt.
Viral SSID - WLAN/Wireless Security Knowledge Center - interessant. SSIDs von WLAN Netzen als Angriffsvector für Computer.
Privacy of 3.5 Billion Cellphone Users Compromised – GSM Code is Broken | ProgrammerFish - tja, das wars dann für GSM, mithören leicht gemacht. Wie der Artikel korrekt sagt: es hätte schon lange Updates zur Verschlüsselung von GSM geben müssen, das ist schlicht Schlamperei im Design der Technik, das Updates auf die Verschlüsselung nicht von vornherein eingeplant waren. Wird interessant zu sehen wann das im größeren Rahmen die Welle macht und die Telekom-Unternehmen gezwungen sind etwas zu unternehmen.
Either Mark Zuckerberg got a whole lot less private or Facebook’s CEO doesn’t understand the company’s new privacy settings. - tja. Kalt erwischt. (bei mir sind die Sachen offen, weil mein Facebook Profil ja nur als Superaggregator dient, von daher fast nur öffentliche Inhalte sammelt und daher striktere Sicherheitseinstellungen darauf nicht viel Sinn machen)
Regierungs-Smartphones arbeiten mit Windows Mobile - weil, das ist ja bekannt dafür, das es so super sicher ist und es keine Backdoors in das System geben kann. Schließlich kann man ja das ganze System sehr leicht einem Audit unterziehen. Ooops. Oh, und besonders niedlich die Entscheidung für HTC Windows Mobile Smartphones, nachdem HTC selber bekanntgegeben hat, das zukünftig die neuen Geräte schwerpunktmäßig mit Droid (das tatsächlich realistisch einem Audit unterworfen werden könnte) rauskommen sollen. Da kann HTC dann seine Lagerrestbestände teuer an den Bund verkaufen.
Electric Alchemy: Cracking Passwords in the Cloud: Breaking PGP on EC2 with EDPR - interessanter Artikel über brute-force-cracking von Passwörtern mit Hilfe von dynamischen Instanzen auf Amazon EC2. Besonders interessant der zweite Teil mit den Analysen der Kosten dieser Lösung abhängig von Passwort-Komplexität und Länge. Da sind 8-Zeichen Passwörter (selbst mit Sonderzeichen und Ziffern) für wirklich schützenswerte Daten definitiv nicht mehr aktuell.
One bug to rule them all - JavaScript, plattform-übergreifend. Wow.
iPhone to Get SMS Vulnerability Fix - autsch. autsch. autsch.
"Sichere Identität = Eindeutige Identität" - "Er ist überzeugt, dass die Informationelle Selbstbestimmung des Bürgers durch die neuen Technologien besser geschützt werden kann, deshalb solle man solche Systeme 'nicht immer als Bedrohungsszenario sehen'." - liegts vielleicht daran, dass der Schutz der Informationellen Selbstbestimmung in deren ganzen Präsentation nirgendwo Platz hat? Warum wird immer wieder einfach wahllos behauptet, irgendwas schütze die Informationelle Selbstbestimmung, obwohl es dafür dann keinerlei Beleg oder konkretes Beispiel gibt? Etwas mehr Sorgfalt beim Lügen wäre doch wirklich mal angebracht.
WPA angeblich in weniger als 15 Minuten knackbar - Holy Cow!
Wahlprüfer des Bundestags bezeichnet Wahlcomputer als sicher - wieso sind eigentlich unsere Prolethiker immer mit besonders grosser Dummheit geschlagen? Ist der Hansel nicht mal in der Lage aktuelle Presse zu lesen, wo selbst in den USA die Staaten zurückrudern beim Thema Wahlcomputer, wo die Hersteller dieser Geräte so massive Imageverluste hinnehmen mussten, das einer sogar seinen Namen änderte? Von den ganzen Vorfälle in Europa und der guten Aufarbeitung des Themas durch den CCC ganz zu schweigen? Kriegen nur noch Dummblödel Jobs in der Regierung? Sollte nicht der Schutz einer der wichtigsten demokratischen Mittel - für die Prolethiker: ich spreche von den Wahlen, nicht von den Diäten - besonders schützenswert sein und gerade bei konkret vorliegenden Hinweise auf Unsicherheit mal lieber auf Nummer Sicher und Papier+Kugelschreiber gegangen werden?
US-Geheimdienste: Terroristen könnten Online-Rollenspiele zur Planung von Anschlägen nutzen - Dauer-Sommerloch-Debatte in den USA? Haben die nicht ein paar Banken und Versicherungsunternehmen, über die sie sich Gedanken machen können? Die Auswirkungen einer Pleite bei AIG wären sicherlich deutlich grösser als diese Spielfilm-Horror-Szenarien, die sich irgendwelche Wichtigtuer einfallen lassen. Leider finden sich solche Theoretisierer mit ihren konstruierten Albernheiten auch hierzulande immer mehr. Und anstatt sich mit realen Gefahren auseinanderzusetzen (wann kommt endlich die Geschwindigkeitsbegrenzung auf Autobahnen?), kommen immer mehr absurde Vorschläge zum Thema Überwachung, die uns ganz klass vor nicht existenten Problemen beschützen. Und für so eine Moppelkotze wird dann noch Geld ausgegeben ...
The Associated Press: States throw out costly electronic voting machines - nur bei uns wird immer noch den Lügen der Hersteller mehr geglaubt als den Experten. Es gibt keine unhackbaren Computer. Wie schon bei XKCD: "anti-virus programs on voting machines? You are doing it wrong."
Apple just gave out my Apple ID password because someone asked - autsch. Ganz schwaches Bild, Apple.
Keylogger in JavaScript mit IE bis Version 8beta - autsch. Das tut weh. Und ich frage mich mal wieder, warum man selbst bei Firefox so essentielle Funktionen wie NoScript per Extension installieren muss. Sowas gehört als Grundwerkzeug in jeden Browser direkt rein. Und nein, das banale an/aus für JavaScript, welches einem geboten wird, ist keine Alternative - in Zeiten von Ajax Oberflächen braucht man JavaScript nunmal immer wieder.
Revision3 DOS - "First, they willingly admitted to abusing Revision3’s network, over a period of months, by injecting a broad array of torrents into our tracking server. They were able to do this because we configured the server to track hashes only – to improve performance and stability. That, in turn, opened up a back door which allowed their networking experts to exploit its capabilities for their own personal profit." - ein Handlanger der Musik und Filmindustrie legt einen legalen Betreiber eines Torrent-Trackers lahm. Da sieht man schön, mit welchen dreckigen Methoden (z.B. Diensteerschleichung) diese Leute arbeiten. Aus dem Nebensatz "das FBI interessiert sich dafür" entnehme ich mal, dass Anzeige erstattet wurde. Gut.
Endgültiges Aus für Wahlcomputer in den Niederlanden - Golem.de - "Das niederländische Innenministerium gab am Freitag den endgültigen Abschied von Wahlcomputern bekannt. In Zukunft werden die Bürger im Lande ihre Stimmen wieder mit Stift auf Papier abgeben. Der niederländische Ministerrat sah sich zu dieser Entscheidung veranlasst, nachdem im vergangenen Jahr massive Sicherheitsmängel der Wahlcomputer nachgewiesen worden waren. Der Chaos Computer Club (CCC) hatte Mitte 2007 demonstriert, wie sich der ROM-Speicher eines Nedap-Computers binnen 60 Sekunden gegen ein manipuliertes ROM austauschen lässt. Forscher und die Bürgerrechtsinitiative "Wij vertrouwen stemcomputers niet" ("Wir vertrauen Wahlcomputern nicht") hatten weitere Sicherheitslücken demonstriert." - wäre es nicht klasse, wenn unsere Prolethiker ähnlich reagieren würden? Zu erwarten ist das allerdings weniger.
Consequences of the SSH/SSL weakness - klare Worte über die Auswirkungen des Bugs. Es wurden nur 32767 verschiedene Keys generiert für die Maschinen in der Zeit, in der die defekte OpenSSL Version im Einsatz war (mindestens seit Frühjahr 2007, wenn man auf stable war). Autsch.
Debian OpenSSL Predictable PRNG Toys - und hier die passenden Toys zum Spielen mit dem Loch. Generieren der 32767 Keys für verschiedene Key-Architekturen.
Debian and OpenSSL: The Aftermath - falls jemand Zweifel hat, ober seine Keys neu erstellen muss: "However, rather than fix the calls to RAND_add(), the Debian maintainer instead removed the code that added the buffer handed to ssleay rand add() to the pool. This meant that the pool ended up with essentially no entropy. Clearly this was a very bad idea." - ja, "essentially no entropy" bei der Generierung von Schlüsseln ist eine wirklich schlechte Idee. Autsch.
Vendors Are Bad For Security - über den "Bugfix" in Debian, der seit 2006 alle generierten OpenSSL-Keys mehr oder weniger unbrauchbar gemacht hat. Danke für die Mehrarbeit, ihr Pappnasen. Witzig auch die Kommentare, in denen der OpenSSL-Dev seinen eigenen Rant in den Rachen zurückgestopft bekommt, weil die OpenSSL-Pappnasen es nicht für nötig hielten, sich mit dem von den Debian-Devs vorgeschlagenen Fix auseinanderzusetzen (ausser einem, der tatsächlich Daumen-hoch signalisiert hat). Tja. All Software sucks.
Phisher gehen mit Vorladungen auf Walfang - nunja, zwecks Verteilung eines Trojaners addressiert man halt die dümmsten anzunehmenden User: entweder Männer auf Porno-Suche, Studenten und Schüler auf der Suche nach abschreibetauglichem Hausaufgabenmaterial oder eben Geschäftsführer (und bei letzteren dürten sogar einige interessante Informationen zu finden sein - unter anderem vielleicht die Überschneidung mit der ersten Gruppe?). Auf jeden Fall wissen wir ja dann jetzt, wie Schäuble den Bundestrojaner installiert bekommen will.