Auflistung aller Beiträge aus der Kategorie

Szene

ψ² = Ps(i)²

Deutsche Kredit- und ec-Karten “nicht betroffen”

Das zumindest sagt der Zentrale Kreditausschuss (ZKA) der deutschen Kreditwirtschaft in einer Pressemitteilung und bestätigt sich damit selbst den uneingeschränkt hohen Schutz des Chip- und PIN-Systems auf deutschen girocards und Kreditkarten.

“Bei der Untersuchung des Angriffsszenarios stellte der ZKA fest, dass dieser mit girocard-Karten an Geldautomaten und an POS-Terminals des girocard-Systems in Deutschland nicht möglich ist”, stellt die Pressemitteilung in Bezug auf eine neue Angriffsvariante fest, die an der Universität Cambridge erarbeitet wurde.

Die Pressemitteilung lässt bei mir mehr Fragen offen, als sie schließt. Die Frage, ob z.B. der Angriff in Deutschland mit englischen Karten funktioniert, oder umgekehrt mit deutschen Karten in England bleibt offen. Ob die Aussage für alle in Deutschland im Umlauf befindlichen Karten gilt, wird ausgeklammert. Meine Kreditkarten sind jedenfalls vier Jahre gültig. Leider kenne ich mich bei diesem Thema nur begrenzt aus. In solchen Fällen bleibt nur gesundes Misstrauen gegenüber “Alles-ist-gut”-Pressemitteilungen:

“Die deutschen ec-Karten des girocard-Systems sind so konstruiert, dass die dargestellten Manipulationen effektiv verhindert werden. Das gilt ebenfalls für Kreditkarten mit dem vom ZKA freigegebenen Chipkarten-Betriebssystem SECCOS.”

Dass es bei der Implementierung der Kartensoftware doch den einen oder anderen Unterschied gibt und die Freigabe durch den ZKA auch nicht viel bringt, hat man ja Anfang des Jahres gesehen:

“SECCOS erlangte Anfang 2010 traurige Berühmtheit als die auf Gemplus (heute Gemalto) Chips installierte Version SECCOS 5 einen grossen Teil der in Deutschland eingesetzten EC- und Kreditkarten ausser Gefecht setzte”, ist die kurze Zusammenfassung aus dem Wikipedia-Artikel zu SECCOS.

Auch Heise-Security sieht die Sache kritisch: “Die Antwort der Banken, “Spezifikation verhindert den Angriff”, hatte Ross Anderson, Mitglied des Forscherteams, bereits vergangene Woche vorausgesagt. Auch die britischen Banken würden diese Antwort geben, obwohl Anderson und seine Kollegen den Angriff ja bereits praktisch demonstriert hätten. Daher müssten praktische Tests bei deutschen Banken zeigen, ob die Spezifikation auch korrekt umgesetzt wurde und der Angriff nicht nur theoretisch unmöglich sei. Anderson bezweifelt in einer Mail an heise Security, dass (durchschnittliche) deutsche Banken diese Tests durchgeführt haben. “Dafür fehlt ihnen vermutlich das Ingenieurswissen”, schreibt Anderson weiter.”

Mit dieser Aussage widersprechen sich die Wissenschaftler natürlich selbst: Sie hatten in dem BBC-Bericht gesagt, das der Angriff relativ leicht nachzuvollziehen sei.

Lesen Sie mehr →
ψ² = Ps(i)²

WordPress 2.9.2 behebt Sicherheitsproblem

Das Problem betrifft die in Version 2.9 neu eingeführte Trash-Funktion, mit der man Beiträge nicht direkt löscht, sondern in einen Papierkorb verschiebt. Die Version 2.9.2 behebt eine Schwachstelle, die von eingeloggten Nutzern ausgenutzt werden kann. Diese können einen unerlaubten Blick in den Papierkorb anderer Benutzer werfen (users can peek at trashed posts). Das Update wird von den Entwicklern empfohlen, wenn man User hat, denen man nicht vertraut.

Insgesamt wurden mit dem Update 8 Tickets geschlossen. Eines davon behebt die Möglichkeit mancher User mit bestimmten Tools (wie Firebug oder Web-Developer), das comment_post_ID Feld des Kommentarformulars zu manipulieren und damit auf alle – auch unveröffentlichte Beiträge – Kommentare zu verfassen. Mit Web-Developer sieht das dann so aus:

In meinen Tests klappt das nicht nur bei einigen Usern, sondern bei allen Besuchern der Website, wenn es um veröffentlichte Beiträge geht. Das ist aber wenig sinnvoll, weil man dort ja auch ganz regulär Kommentare schreiben kann. Für Artikel im Papierkorb und Artikel, bei denen Kommentare geschlossen sind, klappt es nicht. Das verletzte Sicherheitsparadigma: “Never trust client data!” Die Variable comment_post_ID darf natürlich ihren Wert nicht vom Browser bekommen.

In manchen Web-Shops kann man auf diese Art und Weise günstig einkaufen, weil der Artikel-Preis von einem solchen Feld an den Warenkorb weitergegeben wird. Da können sich dann die Kunden den Preis nach den eigenen Wünschen anpassen (das ist natürlich nicht erlaubt).

Lesen Sie mehr →
ψ² = Ps(i)²

Hosenloser Finne verklagt Google

Ein Finne hat gegen Google Street View geklagt, weil die ihn ohne Hose in seinem Garten “erwischt” hatten: “Man kann einen Mann sehen, der in einem Schaukelstuhl sitzt”, sagte ein Polizeisprecher am Freitag. “Er trägt ein Hemd, aber keine Hose.” Das hatte z.B. Spiegel Online berichtet. Unerwünschter Nebeneffekt der Klage: Weltweit wird jetzt natürlich nach der Aufnahme gesucht, auf der der Mann zu sehen ist. Das wird ein interessanter Prozess…

Lesen Sie mehr →
ψ² = Ps(i)²

PIN-Verfahren bei Kreditkarten etc. endgültig gebrochen

So jedenfalls ist es im Kaspersky-Blog threatpost zu lesen. Die Universität Cambridge hat ein Verfahren entwickelt, mit dem man PIN-basierte Karten zum bezahlen benutzen kann, ohne die PIN zu wissen – 0000 reicht aus! Auf der Webseite Light Blue Touchpaper wurde dazu ein Beitrag gepostet, der wegen des bisher entstandenen Wirbels um den Angriff einige Dinge klarstellt:

“We can set the record straight on a few things:

  • the attack applies to cards used online (where the merchant POS contacts the bank) as well as offline;
  • the attack works regardless of the amount of money spent (not just for small value amounts that are below floor limit);
  • the attack doesn’t work once a card has been cancelled by the bank — just like stolen cards in the past can only be used for a certain window of time once the cardholder discovers the loss;
  • the attack doesn’t work at ATMs (cash machines);
  • the failure applies to bank card schemes based on EMV – the most widely deployed standard for smartcard payments. Older national smartcard schemes may or may not be vulnerable; we don’t know.”

BBC berichtete gestern Abend ausführlich mit einem Video-Beitrag und einem Artikel. Es handelt sich um den bisher schwersten Angriff auf das PIN-Verfahren. Ich bin schon sehr auf die Berichterstattung in Deutschland gespannt.

Lesen Sie mehr →
ψ² = Ps(i)²

Datenschutz mit Google Apps

Es haben schon schlauere Leute vor mir festgestellt, dass Cloud Computing mit ziemlicher Vorsicht zu genießen ist. Kleines (echtes) Fallbeispiel zum grübeln: Auf der Website http://cleverapps.de (eine 1&1-Weiterleitung an https://sites.google.com/a/cleverapps.at/service/) wird Werbung für ein “kostenloses” E-Book gemacht. Als Gegenleistung werden E-Mail-Adresse, Vorname, Nachname und der Eintrag in einen Mail-Verteiler verlangt.

http://cleverapps.de
-> Bei 1&1 in Deutschland registriert -> Kein Datenschutzhinweis
Fa. cleverApps
-> Österreichische Firma -> Kein Datenschutzhinweis
https://sites.google.com/a/cleverapps.at/service/
-> US-Server -> Google-Datenschutzhinweis

Stichwort Auftragsdatenverarbeitung: Wer verarbeitet da die Daten von wem? Wer ist Ansprechpartner für ein Auskunftsersuchen nach §34 BDSG? Haben Sie eine Idee?

Lesen Sie mehr →
ψ² = Ps(i)²

BKK-Fall: Endgültig kriminalisiert

Der aktuelle Fall der Erpressung der BKK Gesundheitskasse zeigt es überdeutlich: Die Szene hat sich endgültig kriminalisiert.

“Nach Recherchen des TV-Magazins (Kontraste) hatte die Krankenkasse eine externe Firma mit der Betreuung ihrer Telefon-Hotline betraut. Diese habe einen Subunternehmer angeheuert, der ungelernte Hilfskräfte beauftragte. Die Hilfskräfte hätten mit privaten Computern oder Laptops Daten wie medizinische Diagnosen abrufen und speichern können. Der Datenschutzbeauftragte Schaar sagte dem Magazin, bei der Krankenkasse sei offensichtlich beim Schutz personenbezogener Daten vieles versäumt worden. Ein so leichtfertiger Umgang mit Sozialdaten sei ihm noch nicht untergekommen. Schaar bezeichnete den Vorgang als skandalös”, berichtet Spiegel-Online.

“Haufenweise sensible medizinische Daten von Versicherten sollen entwendet worden sein”, berichtet die heute-Redaktion.

Die Pressemitteilung der BKK hat jedenfalls kein Profi geschrieben. Die schönste Passage:

“Unsere Kunden können sich also darauf verlassen, dass ein verantwortungsvoller Umgang mit den Kundendaten für die BKK Gesundheit oberste Priorität hat und wir selbst bei den kleinsten Verdachtsmomenten tätig werden.”

Dann ist ja alles gut… In meinem Buch heißt es im Kapitel über Krisen-PR: “Was in der ersten Meldung zu einem Sicherheitsvorfall wirklich nichts verloren hat, ist die Aussage, man hätte alles im Griff und das Ausmaß des Schadens sei bekannt!.”

;-) Wie sollen sie’s wissen? Das Buch erscheint ja erst im März ;-)

Was mich wundert: Herr Schaar meint, die Verantwortlichen müssten erst gefunden werden. Die Verantwortlichen stehen glücklicherweise namentlich im Impressum der BKK-Website: Es ist der BKK-Vorstand. So wie ich das sehe, lässt sich die Verantwortung für den Datenschutz nicht delegieren. Aber – ach so – der Schutz der Kundendaten ist ja laut Pressemitteilung der BKK gar nicht gefährdet.

Freilich sollen nicht die Opfer einer Erpressung zu Tätern gemacht werden. Für die Erpressung ist der Vorstand sicher nicht verantwortlich! Wohl aber für den Datenschutz. Erpressung und Datenschutzvorfall müssen also getrennt betrachtet werden. Und ja: Was den Datenschutz angeht, wäre es jetzt der Vorstand, der sich erklären müsste. Wenn man die Pressemitteilung gelesen hat, fragt man sich jedoch, ob der die richtigen Berater hat.

Lesen Sie mehr →
ψ² = Ps(i)²

Neues für den Business-Case

In den Briefings der diesjährigen BlackHat habe ich wieder neue Zahlen für den Business-Case Information Security gefunden. Ich hatte in der Vergangenheit bereits mehrfach zu wirtschaftlichen Fragestellungen geschrieben. Heise.de hatte über einen Vortrag auf der BlackHat berichtet und dabei Christopher Tarnovsky zitiert:

“Tarnovsky nennt rund 200.000 US-Dollar als erforderliche Investition in Laborgeräte – was aber für ein neues Geschäftsmodell sicherlich keine unüberwindbare Hürde bedeuten dürfte.”

Bei der Investition handelt es sich um Equipment für einen sehr aufwändigen Angriff auf TPM-Chips. Er musste dazu in einem Labor den Chip aus dem Gehäuse extrahieren (chemisch!) und sich durch die verschiedenen Ebenen des Chips arbeiten (offenbar nicht ganz so einfach). Nach einer Analyse der Signalverläufe auf dem Chip konnte er schon sechs(!) Monate später Zugriff auf den Datenbus des Prozessors erhalten. Nach diesem Forschungsaufwand habe das Auslesen eines Lizenzschlüssels aus einer XBox 360 jedoch nur noch sechs Stunden gedauert.

Wir nehmen für eine Beispielrechnung das ROISI-Modell von Adrian Mizzi, als Teil eines Business-Case Information Security:

200.000$ (CTB)
>
5000$ für Laptop mit BitLocker und TPM-Chip (B+F)
< (nicht mehr wie 1/3)
5000$ bei gestohlenem Laptop (R) + 250.000$ Wert der geschützten Information (L)

CTB = Cost To Break
B   = Cost To Build
F   = Cost To Fix
R   = Cost To Rebuild
L   = Loss

Im ersten Ansatz sind die ROISI-Ungleichungen erfüllt. Das bedeutet, dass die gewählte Schutzmaßnahme wirtschaftlich ist. Ist sie aber auch sicher?

200.000$ (CTB)
<
250.000$ Wert der mit TPM-Chip geschützten Information (L)

Das schließt den Kreis und es wird klar, dass ein Angriff lohnenswert ist. Die Schutzmaßnahme ist also nicht sicher. Der Angreifer spart sich durch den Angriff 50.000$ und das Labor kann danach für weitere Angriffe eingesetzt werden und weiteren Profit liefern. Sie können das Rechenspiel gerne für einen Geheimdienst durchgehen, der sich über die Steuereinnahmen finanziert, die entstehen, wenn er die gestohlenen Informationen an die einheimische Wirtschaft weiter gibt.

Das ROISI-Modell liefert damit auch einen Hinweis darauf, dass das bedrohte Unternehmen ca. 80.000$ für die Absicherung (B+F) der Information (L) investieren kann, ohne dabei unwirtschaftlich zu werden. Dieser Hinweis impliziert jedoch, dass der Angriff ein Mal in drei Jahren durchgeführt wird und 80.000$ die Summe aller Schutzmaßnahmen darstellt. Ab diesem Punkt wird der Business-Case schnell komplizierter. Er funktioniert jedoch wunderbar, wenn die weiteren Schutzmaßnahmen die CTB nach oben treiben und sich der Angriff einfach nicht mehr lohnt.

Die Analysergebnisse nach der ROISI-Methode ergänzen damit andere Techniken zur Wirtschaftlichkeitsbetrachtung. Gemeinsam können sie als Business-Case dargestellt werden:

Lesen Sie mehr →
ψ² = Ps(i)²

Jetzt wendet sich auch China gegen China

Nachdem in letzter Zeit immer wieder China als Dreh- und Angelpunkt von Hacker-Angriffen genannt wird, haben es jetzt auch die Chinesen selbst eingesehen, dass es Böse Buben im eigenen Lande gibt und die Website des Netzwerks Black Hawk Safety Net geschlossen. Mehrere Personen wurden festgenommen, berichtete China Daily.

Im Sunbelt Blog wird Dr. Johannes Ullrich vom SANS-Institut zitiert, der das Black Hawk Safety Net als “semi-organized group of script kiddies” bezeichnet. Fragt sich, ob die Festgenommenen jetzt für ein staatliches Safety Net rekrutiert werden und dann nicht mehr ganz so “semi-organized” sind.

Lesen Sie mehr →
ψ² = Ps(i)²

Wo ist das Problem?

Das ist alles, was die Pressestelle des italienischen Innenministeriums auf eine ARD-Anfrage antwortet:

“Perchè è un problemo grave?”

Sie fragen sich, um was es eigentlich geht? Um nichts weniger als die komplette Aussetzung der Passagierkontrollen am Flughafen Rom bei Nacht – komplett!!! Und nicht nur das: Nachts schlafen im Sicherheitsbereich die Obdachlosen und Türen die tagsüber nur mit Code-Card zu öffnen sind, stehen nachts offen und laden zum Spaziergang ein. Sogar die Gepäckbänder konnte der Journalist Tommaso Cerno in Betrieb nehmen, ohne dabei gestört zu werden! Seinen Ausflug hat er freundlicherweise per Video festgehalten. Nicht schlecht.

Also nachts einfach die Knarre unter dem Sitz im Sicherheitsbereich deponieren und dann tagsüber für die Flugzeugentführung verwenden. Einzige Gefahr dabei: Einer der Obdachlosen findet und klaut sie. Fast wäre das zum Lachen, wenn es nicht so traurig wäre.

Aber Nacktscanner sind jetzt erst mal gaaanz wichtig für unsere Sicherheit:
Nacktscanner übersieht Sprengstoff, Zünder etc
Mit dem ICE in den Abgrund

Creative Commons License
Dieser Beitrag ist unter einer Creative Commons-Lizenz lizenziert.

Lesen Sie mehr →
ψ² = Ps(i)²

ZensUrsula passé

“Die gegenwärtige Bundesregierung beabsichtigt eine Gesetzesinitiative zur Löschung kinderpornografischer Inhalte im Internet.”

Das geht aus einem Schreiben des Bundeskanzleramts hervor, welches dem Spiegel vorliegt. Der Stern hatte darüber berichtet. Damit liegt das unter dem Namen ZensUrsula bekannt gewordene Gesetz wohl endgültig auf Eis. Mit Spannung darf nun verfolgt werden, wie der ZensUrsula-Nachfolger aussehen wird, und ob wieder ähnlich viel technischer Sachverstand in die Gesetzesvorlage einfließt, wie beim letzten Versuch.

Lesen Sie mehr →