Eigentlich war das jetzt kostenlos erhältliche e-Book “Analyzing Malicious PDF Files” als Kapitel für ein Buch geplant, dass jedoch vom Haupt-Autor abgebrochen wurde. Daher gibt es das e-Book jetzt als pdf-download. Ich wiederhole: PDF-DOWNLOAD.
Naja: es wird schon kein Trojaner oder so drin sein – und wenn doch, dann steht in dem pdf-File, wie man das herausfindet…
Wie der Security Consultant Marko Rogge berichtet, ermöglicht es ein Fehler bei ftd.de, kostenpflichtige Inhalte der Webseite kostenlos lesen zu können.Der betreffende Fehler tritt über die erfolgreiche Suche von Google auf, in dem man gezielt nach einem Artikel sucht. Beispiel wäre: “Fit in Schlips und Pumps”.
Anschließend findet sich bereits recht weit oben ein Artikel der Financial Times Deutschland, der genau diesen Titel hat. Die dort angezeigte URL zeigt die Inhalte für mobile Geräte an. Zudem muss man sich weder registieren noch muss man eine Zahlung dafür leisten. Schaut man sich nun den eigentlichen Artikel an, dann sieht man, dass dieser kostenpflichtig ist:
http://www.ftd.de/lifestyle/outofoffice/:buerosport-fit-in-schlips-und-pumps/339861.html
Um festzustellen, ob dies bei allen Artikeln so möglich ist, wirft man einen Blick in den Quellcode der Webseite und siehe da, die mobile, kostenlos lesbare Version wird bei allen Artikeln überliefert (fett):
try {
if (navigator.userAgent.search(/(...)/i) > -1) {
document.location.href='http://m.ftd.de/;special;svr=lifestyle/lifestyle/outofoffice/:buerosport-fit-in-schlips-und-pumps/339861.html?mode=simple';
}
} catch (e) {
}
Der Rest ist denkbar einfach, die mobile URL in den Browser kopieren und man umgeht die Registrierung sowie den Bereich kostenpflichtig auf Inhalte zugreifen zu können. Der Test ergab, dass dieser Umstand auf alle kostenpflichtigen Inhalte zutrifft.
Alternativ austauschbar für jede URL, anstelle www. zu Beginn durch ein m ersetzen und am Ende ?mode=simple eintragen.
Quelle:
Marko Rogge, 17.09.2010
“Fehler auf Financial Times Deutschland ermöglicht kostenloses lesen von kostenpflichtigen Inhalten.”
Unter Berufung auf die spanische Tageszeitung El Pais berichtet Heise Online, dass möglicherweise ein Trojaner Mitschuld an dem Spanair-Absturz im August 2008 habe. Der Rechner habe die Aufgabe gehabt bei technischen Fehlern Alarm zu schlagen. Dieser Alarm sei durch den Trojaner möglicherweise verhindert worden. Die Maschine war auf dem Weg nach Gran Canaria kurz nach dem Start in Madrid abgestürzt. Dabei kamen 154 Menschen ums Leben, nur 18 überlebten. El Pais berichtete bereits im Mai, dass es bei dem Alarmsystem Probleme gegeben hatte.
In dem betroffenen System werden von Technikern Mängel eingetragen. Treten diese mehrfach nacheinander auf, schlägt das System Alarm. Bisher war unklar, warum das vor zwei Jahren nicht geschah.
Endlich rausfinden, wer kleinemaus@example.com ist. Endlich den echten Namen von dem Typ erfahren, der sich hinter willigersklave@example.com verbirgt – das war mit Facebook nun für kurze Zeit möglich. Ein echter Glücksgriff für Kriminelle, Geheimdienste und neugierige Nachbarn, die endlich ihre Datenbanken updaten konnten. Vor zehn Jahren hätte man dafür eine Ermittlungsabteilung mit 500 Mann gebraucht. Was war passiert?
Nachdem Facebook ja dauernd Sicherheitslücken hat (siehe Beiträge hier im Blog), kam jetzt eine neue dazu, die auch auf Dauer ein interessantes Feature hätte werden können. The Register berichtete von dem Vorfall. Die Zeit war also knapp. Wenn man jedoch dass ebenfalls veröffentlichte Skript genutzt hat, dann reichte sie aus, um seine E-Mail-Adressen ohne Namen zu aktualisieren. Solche zeitlich begrenzten Sonderangebote kennt man ja aus dem Marketing.
Atul Agarwal von Secfence Technologies, der die Schwachstelle veröffentlicht hat, schreibt selbst:
PS: I did not report this, as I am unsure on what to call it, a “bug”, “vuln” or a “feature”.
Zu diesem Ergebnis kommt eine Studie des Schwachstellen-Spezialisten Qualys, die auf der vergangenen BlackHat vorgestellt wurde. Zu WordPress hat das Whitepaper erfreuliches mitzuteilen. Nur 4% der WordPress-Webseiten zeigen demnach kritische Schwachstellen:
Versions before 2.5 are affected by a Critical vulnerability. 4% of administrators have not updated to the patched versions.
Mir sind nun Negativ-Hitlisten in Blogs aufgefallen die zwar Qualys als Quelle nennen, die sich aber weder mit den Qualys-Folien noch mit dem zugehörigen Whitepaper in Zusammenhang bringen lassen.
Als schlechtestes CMS wird dort phpBB genannt, wo angeblich 100% der untersuchten Installationen “kritische” Schwachstellen zeigten. Das Whitepaper sagt dazu:
Version 3.0.7 is affected by a “Moderate” severity vulnerability, and versions below 3.0.4 (in the 3.x branch) are affected by a minor vulnerability. The 2.x branch is considered obsolete. 40% of administrators have not updated to the patched versions of phpBB3, while 19% run an obsolete 2.x variant.
Ich komme da nicht auf 100% “Critical”. Auf Platz zwei der Negativliste soll mit 95% “kritischen” Schwachstellen Mediawiki stehen. Im Whitepaper heißt es:
Versions before 1.15.4 are affected by a Serious vulnerability. 96% of administrators have not updated to the patched versions.
“Serious” (3) und und “Critical” (4) sind aber zwei verschiedene Severity-Level bei Qualys. Insgesamt gibt es davon 5:
Qualys selbst trägt natürlich zur Verwirrung bei, da sich Whitepaper und Folien mit den verwendeten Levels “Minor”, “Moderate”, “Major” und “High” selbst nicht an die Qualys-Vorgaben halten. Die Qualys-Level weichen darüber hinaus nicht selten von den Herstellerangaben ab. Also auch hier kann man zu unterschiedlichen Hitlisten kommen. Wenn Sie wissen wollen, wo Ihr CMS steht, sollten Sie also besser selbst einen Blick in die Studie werfen.
Im Internet wird ja so manche doofe Masche ausprobiert. Sunbelt berichtet jetzt sogar von Leuten, die via Twitter mit einem gecrackten Firefox 4.0 auf der Suche nach einem Doofen sind:
Wie sinnvoll ist das denn? Warum sollte man denn eine freie Software cracken? Das ist so sinnvoll wie Leuten Schlüssel fürs Fußballtor zu verkaufen, falls mal einer gucken will, wie es hinter der Linie aussieht.
Jedenfalls können sich die Leute, die Crazy4Firefox sind, mit dem Download eine ganze Reihe Krankheiten einfangen:
VirTool.Win32.Obfuscator.hg!b
FraudTool.Win32.FakeVimes
Trojan-Downloader.Win32.CodecPack.2GCash.Gen
Trojan.DNSChanger.Gen
Virus.Win32.Parite
TrojanDownloader-Win32/FakeRean
Eigentlich hat die Welt nur auf ein Fallbeispiel gewartet das zeigt, dass die Sicherheit eines Produkts zu Lasten des Herstellers geht. Der Libanon, die Arabische Emirate, Indien und Saudi-Arabien wollen den Blackberry-Hersteller RIM nun zwingen, alle verschlüsselten Anwendungen zu stoppen, um den Regierungen Einblicke in die Kommunikation der Blackberry-Kunden zu geben. Hat sich RIM also mit der (vermeintlichen) Sicherheit seines Produkts selbst ein Bein gestellt? Das ist zumindest die Meinung der WELT:
Blackberry-Kaufargument wird zum Boomerang:
Blackberry-Handys sollen besonders abhörsicher sein. Doch das stört viele Regierungen – und kommt Hersteller RIM nun teuer zu stehen.
Weniger Marktanteile wegen der hohen Sicherheit? Ganz so klar scheint der Fall jedoch nicht zu sein. Die FAZ schließt ihren Artikel zum Thema mit den Worten:
Sollte das Sicherheitsargument wegfallen, könnte RIM weitere Marktanteile verlieren.
Weniger Marktanteile also wegen der weggefallenen Sicherheit? So wie es aussieht kann RIM ja nur verlieren.
Die Bundesregierung hatte sich bereits vor dem ganzen Ärger mit den Regierungen gegen die Nutzung von Blackberry-Geräten entschieden – wegen Sicherheitsbedenken. Also sind die Blackberrys gar nie sicher gewesen? Sind die Regierungen vom Libanon, den Arabischen Emiraten, Indien und Saudi-Arabien nur nicht in der Lage zu leisten, was unsere Geheimdienste bereits können. Irgendwie schwer vorstellbar?! Die FTD geht den Fall sachlicher an:
Blackberry-Streit wird zum Politikum:
Die spezielle Übertragungstechnik der Smartphones ist für den Hersteller RIM ein Problem.
Dem kann man sich anschließen. Die Crux an dem aktuellen Hype um die Sicherheit der Geräte ist nämlich, dass RIM nur verlieren kann. Mal sehen, was die Verhandlungen noch bringen…
Auf der diesjährigen Defcon hat Chris Paget einen selbst gebauten IMSI-Catcher zum Belauschen von GSM-Netzen vorgestellt, dessen Wert bei etwa 1500€ liegt. Das System besteht aus einer programmierbaren Funkstation (USRP, Universal Software Radio Peripheral) und der Open-Source-Software OpenBTS. Damit ist es jetzt auch für Angreifer mit beschränktem Budget möglich, sich auf sehr einfache Art zwischen Mobilfunkanbieter und Handy zu setzen, um Telefonate abzuhören.
Nach Angaben von Heise sähe der GSM-Standard zwar vor, dass Handys bei unverschlüsselten Verbindungen eine Warnung anzeigen, die deutschen Netzbetreiber würden jedoch auf Nachfrage auch nach längerer Recherche nichts zu dieser Option zu sagen wissen.
Chris Paget gab an, dass die Netze in einigen Ländern nicht codiert werden dürfen. Wäre die Warn-Funktion dort aktiviert, würde bei jedem Wechsel der Funkzelle eine Meldung auf dem Display erscheinen. Jedenfalls für Deutschland ist das keine adäquate Erklärung. Ansonsten könne nur der konsequente Umstieg auf UMTS Schluss mit dem Lauschangriff machen, was Chris Paget aber in absehbarer Zeit für ausgeschlossen halte. Das sehe ich allerdings anders, weil das bei meinem Nokia N97 in zwei Sekunden möglich ist:
Menü - Einstellungen - Verbindungen - Netz - Netzmodus: UMTS
Damit meldet sich das Handy nicht mehr an GSM-Netzen an und nutzt ausschließlich UMTS Sendeanlagen. So hält man in jedem Fall neugierige Nachbarn und die Konkurrenz aus den Telefongesprächen raus, wenn diese in einen IMSI-Catcher investiert haben. Gerade in Großstädten – aber auch in vielen anderen Gegenden – ist das nicht einmal mit Einbußen beim Empfang verbunden.
Wenn Sie sich jedoch die Frage stellen, wie Sie Mitarbeiter und Führungskräfte dazu bringen sollen, zwei Sekunden in die Sicherheit ihrer Telefongespräche zu investieren, dann könnte es sein, dass es darauf keine Antwort gibt. Aber wer weiß…
Es ist einfach nicht unfassbar, was die Redakteure der Computerbild nach Angaben der Welt herausgefunden haben. Das einzige, was unfassbar ist, dass es offenbar Leute gibt die anderes erwartet hatten: Wer seinen Rechner bei den Firmen Targa, Asus, Media Markt, Toshiba und PC-Feuerwehr abgibt muss nach dem Testergebnis der Computerbild damit rechnen, dass sich die Techniker private Dateien mindestens ansehen, in einigen Fällen sogar kopieren. Ich hätte darauf gewettet, das es so ist.
Allerdings ist es schon eine komische Vorstellung dass man unter Umständen dafür zahlen muss, dass jemand die eigenen Urlaubsfotos anschaut. Zu Familienfesten müssen das meine Verwandten immer ohne Bezahlung machen. Auch nicht schlecht: Vollständig funktionstüchtige Geräte wurden defekt zurückgeschickt. Die Reaktion der Firmen: Asus, Targa und Fujitsu reagierten mit Bedauern und betonten, dass es den Technikern durch strikte Arbeitsanweisung untersagt sei, auf Kundendaten zuzugreifen. Wenn es verboten war, dann ist das Ergebnis ja gar nicht so schlimm – ich hatte schon Angst.
By the way:
Es ist durch strickte Arbeitsanweisung untersagt eine meiner Websites zu hacken. So!
Am 21.07. hatte ich geschrieben “Windows-LNK-Lücke hat das Zeug zum Spionagekrimi”. Morgen will Microsoft dem Krimi ein vorläufiges Ende setzen und die Sicherheitslücke außerhalb des regulären Patch-Zyklus schließen. Bisher war es nur möglich der Schwachstelle mit einem Workaround Herr zu werden, das die Anzeige von Programm- und Dateiicons verhinderte.
Was sich zunächst harmlos anhört führt dazu, dass auf dem Desktop keine Icons mehr angezeigt werden, was für manch einen Zeitgenossen einem Totalausfall des Rechners gleichkommt. Wahrscheinlich ist diese unangenehme Einschränkung der Usability auch der Grund für das vorzeitige Patch.
Schon blöd, wenn das Klicki-Bunti nicht mehr funktioniert…
Ps(i)²™ und Sebastian Klipper (CISSP®, T.I.S.P.®) stehen für exzellentes Know-how und innovative Security- Management- Lösungen. Der Verfasser zahlreicher Fachartikel und Bücher arbeitet in Berlin als Unternehmensberater und Autor. Lernen Sie ihn bei einem seiner Vorträge persönlich kennen oder nutzen Sie eine der weiteren Kontaktmöglichkeiten.
Sie benötigen Unterstützung bei der Anwendung der Normenreihe ISO/IEC 27000? Oder möchten Sie in Ihrem Unternehmen lieber die BSI Standards anwenden?
Holen Sie sich das Know-how des "Klipper on Security"- Autors in Ihr nächstes Projekt. Erfahren Sie mehr über ψ² Security Consulting: ψ² = Ps(i)²
Von Sebastian Klipper
"Konfliktmanagement für Sicherheitsprofis"
Auswege aus der Buhmann-Falle für IT-Sicherheitsbeauftragte, Datenschützer und Co.
2010, Vieweg+Teubner-Verlag
Von Sebastian Klipper
"Information Security Risk Management"
Risikomanagement mit ISO/IEC 27001, 27005 und ISO/IEC 31010
2010, Vieweg+Teubner-Verlag
Ab 2011:
5 Themen für die Titelseiten von HAKIN9 und <kes>.
