Kategorie-Archiv: Schwachstellen

Dümmer geht (n)immer?! Der Open Source Crack

Im Internet wird ja so manche doofe Masche ausprobiert. Sunbelt berichtet jetzt sogar von Leuten, die via Twitter mit einem gecrackten Firefox 4.0 auf der Suche nach einem Doofen sind:

Wie sinnvoll ist das denn? Warum sollte man denn eine freie Software cracken? Das ist so sinnvoll wie Leuten Schlüssel fürs Fußballtor zu verkaufen, falls mal einer gucken will, wie es hinter der Linie aussieht.

Jedenfalls können sich die Leute, die Crazy4Firefox sind, mit dem Download eine ganze Reihe Krankheiten einfangen:

VirTool.Win32.Obfuscator.hg!b
FraudTool.Win32.FakeVimes
Trojan-Downloader.Win32.CodecPack.2GCash.Gen
Trojan.DNSChanger.Gen
Virus.Win32.Parite
TrojanDownloader-Win32/FakeRean

Die Blackberry Crux

Eigentlich hat die Welt nur auf ein Fallbeispiel gewartet das zeigt, dass die Sicherheit eines Produkts zu Lasten des Herstellers geht. Der Libanon, die Arabische Emirate, Indien und Saudi-Arabien wollen den Blackberry-Hersteller RIM nun zwingen, alle verschlüsselten Anwendungen zu stoppen, um den Regierungen Einblicke in die Kommunikation der Blackberry-Kunden zu geben. Hat sich RIM also mit der (vermeintlichen) Sicherheit seines Produkts selbst ein Bein gestellt? Das ist zumindest die Meinung der WELT:

Blackberry-Kaufargument wird zum Boomerang:
Blackberry-Handys sollen besonders abhörsicher sein. Doch das stört viele Regierungen – und kommt Hersteller RIM nun teuer zu stehen.

Weniger Marktanteile wegen der hohen Sicherheit? Ganz so klar scheint der Fall jedoch nicht zu sein. Die FAZ schließt ihren Artikel zum Thema mit den Worten:

Sollte das Sicherheitsargument wegfallen, könnte RIM weitere Marktanteile verlieren.

Weniger Marktanteile also wegen der weggefallenen Sicherheit? So wie es aussieht kann RIM ja nur verlieren.

Die Bundesregierung hatte sich bereits vor dem ganzen Ärger mit den Regierungen gegen die Nutzung von Blackberry-Geräten entschieden – wegen Sicherheitsbedenken. Also sind die Blackberrys gar nie sicher gewesen? Sind die Regierungen vom Libanon, den Arabischen Emiraten, Indien und Saudi-Arabien nur nicht in der Lage zu leisten, was unsere Geheimdienste bereits können. Irgendwie schwer vorstellbar?! Die FTD geht den Fall sachlicher an:

Blackberry-Streit wird zum Politikum:
Die spezielle Übertragungstechnik der Smartphones ist für den Hersteller RIM ein Problem.

Dem kann man sich anschließen. Die Crux an dem aktuellen Hype um die Sicherheit der Geräte ist nämlich, dass RIM nur verlieren kann. Mal sehen, was die Verhandlungen noch bringen…

Wie Sie der Gefahr durch IMSI-Catcher entgehen

Auf der diesjährigen Defcon hat Chris Paget einen selbst gebauten IMSI-Catcher zum Belauschen von GSM-Netzen vorgestellt, dessen Wert bei etwa 1500€ liegt. Das System besteht aus einer programmierbaren Funkstation (USRP, Universal Software Radio Peripheral) und der Open-Source-Software OpenBTS. Damit ist es jetzt auch für Angreifer mit beschränktem Budget möglich, sich auf sehr einfache Art zwischen Mobilfunkanbieter und Handy zu setzen, um Telefonate abzuhören.

Nach Angaben von Heise sähe der GSM-Standard zwar vor, dass Handys bei unverschlüsselten Verbindungen eine Warnung anzeigen, die deutschen Netzbetreiber würden jedoch auf Nachfrage auch nach längerer Recherche nichts zu dieser Option zu sagen wissen.

Chris Paget gab an, dass die Netze in einigen Ländern nicht codiert werden dürfen. Wäre die Warn-Funktion dort aktiviert, würde bei jedem Wechsel der Funkzelle eine Meldung auf dem Display erscheinen. Jedenfalls für Deutschland ist das keine adäquate Erklärung. Ansonsten könne nur der konsequente Umstieg auf UMTS Schluss mit dem Lauschangriff machen, was Chris Paget aber in absehbarer Zeit für ausgeschlossen halte. Das sehe ich allerdings anders, weil das bei meinem Nokia N97 in zwei Sekunden möglich ist:

Menü - Einstellungen - Verbindungen - Netz - Netzmodus: UMTS

Damit meldet sich das Handy nicht mehr an GSM-Netzen an und nutzt ausschließlich UMTS Sendeanlagen. So hält man in jedem Fall neugierige Nachbarn und die Konkurrenz aus den Telefongesprächen raus, wenn diese in einen IMSI-Catcher investiert haben. Gerade in Großstädten – aber auch in vielen anderen Gegenden – ist das nicht einmal mit Einbußen beim Empfang verbunden.

Wenn Sie sich jedoch die Frage stellen, wie Sie Mitarbeiter und Führungskräfte dazu bringen sollen, zwei Sekunden in die Sicherheit ihrer Telefongespräche zu investieren, dann könnte es sein, dass es darauf keine Antwort gibt. Aber wer weiß…

Einfach nicht unfassbar: Spionage statt Reparatur

Es ist einfach nicht unfassbar, was die Redakteure der Computerbild nach Angaben der Welt herausgefunden haben. Das einzige, was unfassbar ist, dass es offenbar Leute gibt die anderes erwartet hatten: Wer seinen Rechner bei den Firmen Targa, Asus, Media Markt, Toshiba und PC-Feuerwehr abgibt muss nach dem Testergebnis der Computerbild damit rechnen, dass sich die Techniker private Dateien mindestens ansehen, in einigen Fällen sogar kopieren. Ich hätte darauf gewettet, das es so ist.

Allerdings ist es schon eine komische Vorstellung dass man unter Umständen dafür zahlen muss, dass jemand die eigenen Urlaubsfotos anschaut. Zu Familienfesten müssen das meine Verwandten immer ohne Bezahlung machen. Auch nicht schlecht: Vollständig funktionstüchtige Geräte wurden defekt zurückgeschickt. Die Reaktion der Firmen: Asus, Targa und Fujitsu reagierten mit Bedauern und betonten, dass es den Technikern durch strikte Arbeitsanweisung untersagt sei, auf Kundendaten zuzugreifen. Wenn es verboten war, dann ist das Ergebnis ja gar nicht so schlimm – ich hatte schon Angst.

By the way:
Es ist durch strickte Arbeitsanweisung untersagt eine meiner Websites zu hacken. So!