Thema: CCC Hackerkongress / Hacking at Random ...

[SiLæncer]

Es sei an der Zeit, den "cyber-industriellen Komplex" mit den eigenen Waffen zu schlagen und Exporteure von Überwachungstechnik stärker zu exponieren, appellierte der Medienwissenschaftler Evgeny Morozov beim Start des 28. Chaos Communication Congress (28C3) am Dienstag an die zahlreich versammelte Hackergemeinde in Berlin. Breite Sanktionen schadeten allen Nutzern, enge seien oft ineffektiv, erklärte der aus Weißrussland stammende und derzeit in den USA forschende Experte auf dem Jahrestreffen des Chaos Computer Clubs (CCC). Es sei für Aktivisten daher besser, nicht auf den Staat zu setzen, sondern die Überwachung der Überwacher zu verstärken.

So sei es beispielsweise sinnvoll, spezielle Informationsdienste für die Lobbying-Szene zu nutzen und so etwa herauszufinden, welche Stellen gerade mit welchen Leuten in der Branche besetzt würden. Wenn entsprechende Angaben zusammen mit Aufklärung über die Verkäufe einschlägiger Firmen in Blogs oder Wikis an eine breitere Öffentlichkeit gerieten, könnten etwa Investoren vergrault werden, meinte Morozov. Er selbst etwa sei über die von Wikileaks veröffentlichten "Spyfiles" auf das Unternehmen Polaris Wireless aufmerksam geworden, das Technik zur Echzeit-Überwachung von Versammlungen im Mittleren Osten anhand von Mobilfunkdaten verkaufe und bislang anders als vergleichbare Firmen wie Blue Coat, Allot oder NetApp unter dem Radar der Öffentlichkeit geflogen sei.

Dass sich eine "neue Industrie" der Massenüberwachung verschrieben hat, macht mit den jüngsten Wikileaks-Enthüllungen in der netzpolitisch interessierten Nutzergemeinde die Runde. Morozov warnt seit Längerem davor, dass Regierungen und Konzerne mit allen Mitteln weiter Kontrolle ausüben und die Netzinfrastrukturen beherrschen wollen. In Berlin verwies der Forscher darauf, dass neben autoritären Staaten wie Syrien, Libyen oder Iran derzeit vor allem die ehemaligen Staaten der Sowjetunion sich eifrig im Westen erstellte Überwachungstechnik beschafften. Darüber hinaus lasse China die Muskeln spielen. So habe zum Beispiel der Ausrüster Huawei bereits Niederlassungen in zahlreichen afrikanischen Staaten. Darüber hinaus erhalte eine kalifornische Universität Forschungsförderung in Millionenhöhe aus dem Reich der Mitte, um Systeme zur Videoüberwachung mit Fähigkeiten zum Einbau von Metadaten und Labels semantisch auf eine neue Stufe zu heben.

Entsprechende Software gelange über Vertriebspartner und Länder wie Saudi-Arabien oder Bahrain immer wieder auch in die Hände von Diktatoren, führte Morozov aus. Er warnte daher davor, unter dem Aufhänger der Verbesserung der Überwachungsmöglichkeiten von Strafverfolgern gleichsam einen "perfekten Trojaner" zu entwickeln. Früher oder später käme eine solche Computerwanze oder vergleichbare Technik auf jeden Fall in falsche Hände. Es gebe zur Bekämpfung von Cybercrime ausreichende Möglichkeiten, der Einbau neuer Sicherheitssollbruchstellen und Hintertüren in IT-Systeme sei nicht nötig.

Öffentlicher Druck, der über Crowdsourcing und das Wissen der Massen verstärkt werden könne, führt dem Wissenschaftler zufolge zu beachtlichen Ergebnissen. So habe selbst Huawei jüngst erklären müssen, seine Geschäftsaktivitäten im Iran zurückzufahren. Morozov brachte auch die Option ins Spiel, dass Hacker aus der Ferne einen "Kill Switch" für Überwachungstechnik selbst betätigen und diese lahmlegen könnten. In diesem Fall hielt er es aber für bedenklich, die "Waffen" des cyber-industriellen Komplexes umzudrehen.

Frank Rieger hatte im Namen des CCC die Datenreisenden vor Ort und an den Streams mit der Ansage begrüßt, dass "das, was wir hier machen, entscheidend ist". Hacker versuchten zu verstehen, was sie tun und wie Technologien funktionierten. Ein wichtiger Faktor des Kongresses sei aber auch der "Spaß" am Gerät. Morozov nahm diesen Aspekt mit Befremden auf und erhielt für seine kritischen Worte abschließend reichlich Applaus.

Quelle : www.heise.de

[SiLæncer]

Sicherheitsforscher haben auf dem 28. Chaos Communication Congress (28C3) in Berlin am Dienstag eine neue Angriffsmöglichkeit auf GSM-Handys demonstriert. Karsten Nohl von den Security Research Labs und sein Kollege Luca Melette zeigten, wie ein mit Open-Source-Software imitiertes "Mobiltelefon" für Anrufe und SMS an kostspielige Premiumnummern genutzt werden kann. Diese Attacke berge eine "hohe Missbrauchsgefahr" und werde von Kriminellen auch bereits angewendet, betonte Nohl. Anders als bei bereits bekannten Angriffen, bei denen es vor allem um das Abhören der Telekommunikation geht, könne nun jeder Nutzer eines mit GSM arbeitenden Mobiltelefons betroffen sein.

Die neue Gefährdung beruht auf Vorarbeiten der Kryptographie-Experten. Nohl und sein Team hatten im vorigen Jahr auf dem Hackertreffen vorgeführt, wie sich Mobilfunkgespräche im GSM-Netz mithilfe eines aufgerüsteten Billig-Handys, eines Laptops und der freien Software Osmocom angesichts der dokumentierten Schwachstellen des vielfach noch eingesetzten A5/1-Verschlüsselungsalgorithmus minutenschnell entschlüsseln und mitschneiden lassen. Zusätzlich müssen dafür die Temporary Mobile Subscriber Identity (TMSI) sowie der verwendete geheime Schlüssel bekannt sein.

Auf Basis dieses Angriffs und den einfach beschaffbaren Utensilien könnten Übeltäter auch ein Mobiltelefon nachahmen und so Anrufe und den Versand von Kurzmitteilungen auslösen, führten die Sicherheitsforscher aus und demonstrierten das auch gleich. Damit erkläre sich auch, dass einzelne Nutzer bereits Rechnungen in Höhe mehrerer tausend Euro für Kontakte zu Premiumdiensten auf karibischen Inseln erhalten hätten. Ferner ermögliche die "Simulation" eines GSM-Handys häufig auch, die Mailbox eines anderen Teilnehmers abzufragen, wenn dessen Standort bekannt sei und der eingesetzte Schlüssel nicht gewechselt werde.

Nohl appellierte daher erneut nachdrücklich an Mobilfunkbetreiber, Netzwerkausrüster und Gerätehersteller, die vorhandenen Möglichkeiten zur Verbesserung des GSM-Verschlüsselungsschutzes endlich umzusetzen. So sei etwa ein "Recyceln" einmal verwendeter Sitzungsschlüssel zu vermeiden. Darüber hinaus müssten verstärkt Zufallszahlen eingesetzt und Frequenzen gewechselt werden. Die Forscher ermunterten Nutzer, auf einer interaktiven Weltkarte im Web Informationen zusammenzutragen, inwieweit Netzbetreiber mittlerweile die teils seit Jahren bekannten Schwachstellen im GSM-Standard ausgemerzt haben. In einer ersten eigenen Übersicht hätten hierzulande T-Mobile sowie in Frankreich SFR am besten abgeschnitten. Kein Betreiber habe aber alle verfügbaren Sicherheitsfunktionen implementiert.

Mittelfristig baut Nohl auf den Einsatz des Verschlüsselungsstandards A5/3, der die Angriffsfläche deutlich reduziere. Sollte die Umstellung bei den Netzanbietern erfolgt sein, dürften seiner Ansicht nach die Mobiltelefone selbst eine Zeit lang noch "das schwächste Glied" in der Kette darstellen. Fast alle modernen Handys verständen zwar inzwischen A5/3. Derzeit verhindere aber ein einzelner Hersteller Testläufe der Netzbetreiber, da er den Algorithmus trotz gegenteiliger Angaben nicht implementiert habe.

Auch zum Selbstschutz ermunterte Nohl die Hacker. Bestseller in der Welt der Spione seien derzeit Geräte zum Überwachen des Mobilfunks wie "IMSI-Catcher", wusste Nohl von seinem diesjährigen Ausflug auf das Mekka des "cyber-industriellen Komplexes" zu berichten, der an wechselnden Orten in Asien und im Mittleren Osten stattfindenden Messe für "Intelligence Support Systems" (ISS). Diese fungierten als Basisstation und verleiteten Handys in der Nähe mit einer besonders starken Sendeleistung dazu, sich bei ihnen einzuklinken. So seien Mobiltelefone einfach zu orten und abzuhören.

Nohl hat daher unter opensource.srlabs.de eine Online-Plattform ins Leben gerufen, auf der Nutzer in einem Wiki Indizien zum Einsatz eines IMSI-Catchers sammeln können. Darauf basierend gebe ein erneut auf Osmocom aufsetzendes, "CatcherCatcher" getauftes Softwareprojekt die Wahrscheinlichkeit an, mit der ein Handy Opfer einer entsprechenden Überwachungstechnik geworden sei. Herausfinden lasse sich damit auch, ob Sicherheitsbehörden eine "stille SMS" an ein Mobiltelefon gesendet hätten. Zoll, Verfassungsschutz und das Bundeskriminalamt nutzten diese Methode zum Ermitteln der Aufenthaltsorte von Verdächtigen im vergangenen Jahr rege.

Quelle : www.heise.de

[SiLæncer]

Christian Bahls, Vorsitzender der Vereinigung von Missbrauchsopfern MOGiS), hat auf dem 28. Chaos Communication Congress (28C3) neue Pläne von Politik und Wirtschaft zur Säuberung des Internets scharf kritisiert. Der Aktivist verwies auf dem Hackertreffen in Berlin auf eine Skizze des Bündnisses "White IT" für ein "Child Abuse Media Metainformation Network" (CAMnet). Im Zentrum dieser Vision stehe eine von Polizeibehörden und Meldestellen gefütterte Datenbank mit Hashwerten sexueller Missbrauchsbilder und Jugendpornografie, mit deren Hilfe Hosting- und E-Mail-Provider sowie Suchmaschinen übertragene Inhalte auf gelistete Inhalte hin absuchen und Treffer ausfiltern sollten. Eingeschlossen werden sollten auch Unternehmensnetzwerke.

Bahls zeigte sich besorgt, dass mit dem bereits 2010 angekündigten, jetzt mit der Ausschreibung für ein Rechtsgutachten untermauerten Vorhaben "internationale rechtliche Grenzen überschritten werden könnten". Die von den White-IT-Partnern Avira und itWatch entwickelten "Compliance Scanner" seien zusammen mit Techniken zum Schutz vor Datenverlusten, die Symantec im Rahmen des vom niedersächsischen Innenministeriums geförderten Zirkels vorgestellt habe, ein neuer Anlauf zur Überwachung des gesamten Netzverkehrs mithilfe von "Deep Packet Inspection" (DPI). So würde die Symantec-Lösung wie der nebulöse "Schultrojaner" funktionieren und auch eine Prüfung durchführen, wem einschlägige Dateien gehörten.

Mit der auf Dezember 2011 datierten Skizze für eine rechtliche Prüfung noch offener Fragen des "Kinderporno-Scanners", die heise online vorliegt, umreißt das Bündnis seine Vision eines "kinderpornografiefreien Netzes durch automatisierte Suche und Meldung über Meta-Informationen". Zur Strafverfolgung stellt das Bundeskriminalamt (BKA) den Ländern demnach bereits heute mit der Bilder-Scansoftware Perkeo) eine Sammlung von Hashwerten "von eindeutig kinder- beziehungsweise jugendpornografischen Daten" zur Verfügung. Die von der Polizeibehörde vorgehaltenen Informationen sollen dem Abriss nach künftig auch Dritten zugänglich gemacht werden, um durch umfassende Maßnahmen Missbrauchsdarstellungen wirkungsvoll aus dem Netz zu entfernen.

Durch den Hash-Algorithmus werde für jede entsprechend identifizierte Datei ein Zahlencode erstellt, der in einer eindeutigen Beziehung zur Ursprungsdatei steht und so eine beschleunigte Identifizierung bereits bekannter Kinderpornografie "bei der Untersuchung von Massendaten" ermöglicht, heißt es in dem Papier weiter. Es sei ausgeschlossen, dass aus einem Hashwert wieder die ursprüngliche Datei generiert, also etwa ein Bild rekonstruiert werden könne. Jedoch bestehe die Möglichkeit, über den Hashwert an das Material herangeführt zu werden. Diese Tatsache werfe die Frage auf, inwieweit die Signaturen genutzt werden könnten, um im Netz abrufbare Missbrauchsaufnahmen ausfindig zu machen und beispielsweise ihre Löschung zu veranlassen.

Als "abstrakte Grundüberlegung" führt die Vision eine entsprechende Identifizierung durch "ohnehin aktive Suchmaschinen" an. Nach einer Vorprüfung durch die vom Verband der deutschen Internetwirtschaft eco und der Freiwilligen Selbstkontrolle Multimedia-Diensteanbieter (FSM) eingerichteten Beschwerdestelle oder den Hotline-Verbund Inhope würde im Trefferfall eine Meldung an Strafverfolgungsbehörden erfolgen. Eine in den Text eingebaute CAMnet-Visualisierung weist zudem auf die erweiterten, von Bahls angeführten Nutzungsszenarien hin. Unklar ist den Bündnispartner aber noch, welche rechtlichen Qualität Hashwerte haben und wie sich ihre Weitergabe an nicht-staatliche Stellen strafprozessual fassen lässt. Zu prüfen sei beispielsweise auch die Zulässigkeit eines Scans von Daten eines Kunden in der Cloud durch einen Suchmaschinenanbieter.

Für Bahls ist das Projekt mindestens so problematisch wie die vom Gesetzgeber jüngst beerdigten Websperren im Kampf gegen Missbrauchsbilder oder der zunächst auf Eis gelegte Vorstoß von White IT für einen "Jetzt-Löschen-Denunziationsbutton". Brandgefährlich für Opfer sei vor allem die im Raum stehende Verknüpfung der Hashwerte mit möglicherweise auch personenbezogenen Meta-Daten. Weitere verfassungswidrige Grundrechtseingriffe seien mit der zentralen Scan- und Filterinitiative programmiert. Den eigentlichen Schutz der Kinder haben laut dem MOGiS-Vertreter viele Verfechter des vermeintlichen Kampfes gegen Kinderpornografie in Deutschland und Europa längst aus den Augen verloren.

Quelle : www.heise.de

[SiLæncer]

Bugged Planet (verwanzter Planet) ist eine Initiative aus dem Umfeld des Chaos Computer Clubs (CCC), die in einem Wiki öffentlich zugängliches Material über Firmen sammelt, die Überwachungssoftware herstellen oder vertreiben. In einem Vortrag auf dem 28. Chaos Communication Congress (28C3) stellte CCC-Vorstandsmitglied Andy Müller-Maguhn das Projekt vor, das hinter den feindlichen Linien schwer durchdringliche Firmenverflechtungen analysiert. Er warnte junge Hacker davor, sich von diesen Firmen anheuern zu lassen, die oftmals eine Hacker-Kultur simulieren würden.

In der Eröffnungsrede des diesjährigen Chaos Computer Congress hatte der Soziologe Evgeny Morozov die Zuhörer aufgefordert, den Spieß umzudrehen und sich dabei zu engagieren, die Überwachungsindustrie zu überwachen. Damit könne man nicht nur den Aktivisten im arabischen Frühling helfen, sondern auch den zunehmenden Überwachungsbegehren in westlichen Demokratien begegnen, erklärte Morozov unter Verweis auf die FBI-Initiative "Going Dark". Scharf kritisierte er Forscher an Universitäten, die die Ergebnisse ihrer Arbeit der Überwachungsindustrie überließen. In die gleiche Kerbe schlugen Ulf Buermeyer, Constanze Kurz, Thorsten Schröder und Frank Rieger in ihrem Vortrag über die Entdeckung des Staatstrojaners. Nach ihren Angaben hätten mindestens zwei Universitätslehrstühle das Programm der Firma Digitask untersucht und seine Funktionsweise analysiert, bevor der CCC seine Detektivarbeit veröffentlichte. Die akademischen IT-Spezialisten hätten es unterlassen, die Öffentlichkeit von der Existenz eines Programmes zu informieren, das technisch weit über die sogenannte "Quellen-TKÜ" hinausgehen würde.

Das Projekt Bugged Planet soll Licht in die Verflechtungen einer Industrie bringen, die sehr erfolgreich Überwachungssoftware vertreibt. Im Wiki kann sich jedermann über Digitask informieren oder über den 80-jährigen William L. Nelson, der an einer ganzen Reihe von Firmen beteiligt ist, die Software in den Nahen Osten liefert. Dabei unterscheidet das Projekt zwischen verifizierten Angaben, wie sie etwa dem Bundesanzeiger entnommen sind, und unbestätigten Gerüchten, die Zuträger eingeschickt haben.

Wie Andy Müller-Maguhn ausführte, soll Bugged Planet helfen, den Blick auf die strategische Ebene der Überwachung zu schärfen, auf der ganze Länder mit Hilfe von Software kontrolliert werden. Dies sei weder aufwendig noch besonders teuer. Anhand der aktuellen Zahlen aus dem Tätigkeitsbericht Telekommunikation der Bundesnetzagentur rechnete Müller-Maguhn vor, dass bei einer kompletten Überwachung des Telefonverkehrs rund 15 Terabyte an Daten anfallen würden, deren Speicherung bei Hostern wie Petarack gerade einmal 495 Dollar kosten würde. Selbst wenn man alle Kosten von Personal, Wartung und Software hinzunehme, käme man auf einen Komplettpreis von 380.000 Euro im Jahr.

Im Unterschied zur taktischen Ebene, auf der Überwachunssoftware ad hoc zum Einsatz kommt und nur ein Werkzeug unter vielen ist, ist die strategische Ebene nach Müller-Maguhn eng mit der Frage verknüpft, wie ein Staat organisiert ist. In einer demokratischen Gesellschaft mit Gesetzen, richterlichen Anordnungen und parlamentarischen Kontrollen sei eine angeordnete Überwachungsmaßnahme (lawful interception) noch eingrenzbar. In einem Staat, in dem ein Diktator die Überwachung anordnet, hingegen nicht. Wichtig sei es daher, die Produzenten, Exporteure und Finanziers von Lawful-interception-Software zu identifizieren, zu beobachten und sie "hackbar" (hackable) zu machen, damit eine gesellschaftliche Kontrolle dort möglich wird, wo staatliche Exportverbote nicht greifen.

Am Beispiel der Schweizer Firma Dreamlab zeigte Müller-Maguhn, wie geschickt Hacker als Träger des nötigen Know-Hows für die Programmierung und Installation von Überwachungssoftware angefüttert werden. Die Firma, die nach Dokumenten des ähnlich gelagerten Wikileaks-Projektes The Spyfiles Überwachungssoftware von Gamma nach Oman und Turkmenistan geliefert haben soll, sponsert Veranstaltungen wie die Hashdays und gebe sich ein Hacker-Image. Unter Bezug auf das Kongressmotto "Behind the enemy lines" warnte Müller-Maguhn davor, dass der "Feind" auch auf dem Chaos-Kongress auftreten und Mitarbeiter akquirieren könne. "Ihr denkt, für eine nette Hackerfirma zu arbeiten und dann seid ihr da, im Zentrum des Informationskrieges."

Quelle : www.heise.de

[SiLæncer]

Der Chaos Computer Club (CCC) hat nicht die Absicht, Kriterien für einen verfassungsgemäßen Einsatz einer Software zur Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) in Form eines Staatstrojaners aufzuzeigen. Dies sei nicht Aufgabe der Hackervereinigung, betonte CCC-Sprecherin Constanze Kurz am Dienstag auf dem 28. Chaos Communication Congress (28C3) in Berlin. Strafverfolger seien verpflichtet, immer das "mildeste Mittel" zu wählen. Dieses bestehe im Fall des Abhörens verschlüsselter Internet-Telefonate darin, sich direkt an den Anbieter zu wenden. In anderen Ländern funktioniere dieser Ansatz, meinte Kurz. Hiesigen Ermittler sei es aber offenbar zu umständlich, ein Fax etwa an den Skype-Sitz in Luxemburg zu schicken.

"Ich halte die Quellen-TKÜ nicht für nötig", sekundierte der Berliner Richter Ulf Buermeyer der CCC-Vertreterin. Man müsse eine "Überwachungsgesamtrechnung" aufmachen und zeigen, dass die Strafverfolger hierzulande einen "bunten Strauß an Ermittlungsmöglichkeiten" vom Großen Lauschangriff bis hin zu V-Männern an der Hand hätten. Der dem CCC nahe stehende Verfassungsrechtler formulierte daher ein "klares Njet zum Bundestrojaner". In einem Rechtsstaat habe die Grundannahme zu gelten, dass die Polizei und die Geheimdienste nicht alles dürften.

Buermeyer kritisierte seine eigene Zunft, da viele Kollegen den Sicherheitsbehörden "auf den Leim" gingen und Quellen-TKÜ nicht viel anders als eine gängige Telefonüberwachung bewerteten. Alle Verfassungsrechtler seien dagegen der Meinung, dass es für diese "brandgefährliche" Maßnahme eines speziellen Gesetzes bedürfte. Schließlich habe das Bundesverfassungsgericht in seinem Urteil zu heimlichen Online-Durchsuchungen vor über drei Jahren betont, dass der Staat mit einem Trojaner schon den Fuß in der Tür habe für eine Rundum-Ausspähung eines Computers. Die "subtile Erotik" in dem Entscheid verdeutliche, dass damit "Rückschlüsse auf die Persönlichkeit des Nutzers bin hin zu einer Profilbildung" möglich seien.

Bei der Quellen-TKÜ darf gemäß der Vorgaben aus Karlsruhe im Gegensatz zu einer Online-Durchsuchung nur auf die laufende Kommunikation zugegriffen werden, und zwar vor einer Ver- beziehungsweise nach einer Entschlüsselung. Diese Einschränkung müsse "durch technische Vorkehrungen und rechtliche Vorgaben gesichert werden", unterstrich Buermeyer. Mit den beiden Versionen des Staatstrojaners, die der CCC im Oktober untersuchte, hätten die Behörden dagegen durch prinzipiell vorhandene Funktionen zum Festplattenzugriff, zum Erstellen von Bildschirmfotos oder zum Hochladen eigener Dateien gleichsam ein "Netzwerkkabel ins ausgelagerte Gehirn" der Nutzer gelegt. Sollten Staatstrojaner zudem bei Hausdurchsuchungen auf Rechner aufgespielt worden seien, wie es ein Medienbericht behauptet habe, wäre dies "glasklar illegal" gewesen.

Kurz bezeichnete die politischen Reaktionen auf die Analysen der Hackervereinigung als unzureichend. Die bisherigen Zusagen, etwa ein "Kompetenzzentrum" beim Bundeskriminalamt (BKA) für die weitere Entwicklung staatlicher Malware einzurichten, zeugten von "Disrespekt gegenüber dem Bundesverfassungsgericht". Demgegenüber sei die Frage zu erörtern, ob eine Quellen-TKÜ überhaupt möglich sei, ohne den angezapften Rechner zu infiltrieren. "Die Schranke des Bundesverfassungsgerichts bricht und bröckelt", beklagte auch Kurzens Kollege Frank Rieger. Angesichts des Vordringens der Informationstechnik in immer mehr Geräte wie Implantate sei zu verhindern, dass auch diese vom Staat "problemlos trojanisiert" werden könnten.

Quelle : www.heise.de

[SiLæncer]

Sicherheitsforscher haben am Mittwoch auf dem 28. Chaos Communication Congress (28C3) in Berlin auf gefährliche Schwachstellen in gängigen Skriptsprachen und Plattformen für Web-Applikationen wie PHP, ASP.NET, Java oder Python hingewiesen. Die dort zum Einsatz kommenden Hashverfahren zum Ausfindigmachen einzelner Objekte in größeren Datenmengen seien zunächst für einfache Angriffe anfällig, die wiederum für massive "Denial of Service"-Attacken (DoS) missbraucht werden könnten, warnten Alexander 'alech' Klink von der Sicherheitsfirma n.runs und Julian Wälde von der TU Darmstadt.

Hashtabellen seien bei vielen Programmierern beliebt, führte Wälde aus. Bei diesen Verfahren könnten aber zwei verwendete unterschiedliche Schlüssel zum selben Hash-Wert beziehungsweise Tabellenfeld führen. Derartige Kollisionen könnten gezielt verstärkt werden. So sei es vergleichsweise einfach, gleichwertige Teilzeichenfolgen zu finden und willkürlich Kollisionen zu erzeugen, ergänzte Klink. Darüber hinaus könnten gängige kryptographische Attacken wie "Meet in the Middle"-Angriffe auf Hashfunktionen mit ähnlichem Effekt erfolgreich durchgeführt werden.

Web-Programmiersprachen nutzen Klink zufolge in der Regel die von Daniel Bernstein entworfenen Hashfunktionen DJBX33A oder DJBX33X. Für erstere, die etwa in PHP5, Ruby 1.8 oder Java sowie darauf basierenden Lösungen wie Tomcat und Glasfish zum Einsatz kämen, seien gleichwertige Teilketten auszumachen und so die beschriebenen Kollisionen auszulösen. PHP4, ASP.NET, Python und JavaScript verwendeten DJBX33X oder vergleichbare Algorithmen und seien mithilfe von "Meet in the Middle" aus dem Lot zu bringen.

Über die skizzierten Möglichkeiten zum Herbeiführen von Kollisionen könne ein Angreifer letztlich mithilfe einer vom Client ausgelösten Anforderung den Prozessor des Servers in Beschlag nehmen. Skriptsprachen oder Applikationsumgebungen begrenzten das Eingabefenster für eigene Daten an den Server zwar gemeinhin durch das Setzen von Parametern für die maximale Größe oder Dauer einer "Post"-Aktion, räumte Klink ein. Diese Werte böten in der Regel aber ausreichend Spielraum, um den beanspruchten Prozessor gehörig in Aktion zu halten und gegebenenfalls zu blockieren. Dazu komme die Möglichkeit, entsprechende Anforderungen über verschiedene Clients zu koordinieren.

Die Effizienz derartiger Angriffe suchte Klink mit Beispielen zu verdeutlichen: Wer bei einer PHP-Anwendung mit einer verfügbaren Bandbreite von 70 bis 100 KBit/s Post-Requests und damit verknüpfte Formulareingaben sowie Kollisionen auslöse, könne andauernd die Rechenfähigkeiten eines hochwertigen Prozessors aus der Serie Core i7 auslasten, erklärte er. Zum Lostreten entsprechender Attacken müsse ein Nutzer im schlimmsten Fall nur auf einen Link klicken, der einen der präparierten HTTP-Requests generiere, malte Klink das vor Ort in einer Demo in Grundzügen veranschaulichte Bedrohungsszenario aus.

Im Zweifelsfall werde darüber ausreichend Power für einen DoS-Angriff freigesetzt, der sehr effektiv sein und beispielsweise ein ganzes soziales Netzwerk lahmlegen könnte. Angreifbare Hashtabellen habe man auch bei Facebook ausfindig gemacht, fügte Wälde in diesem Sinne an. Derartige Funktionen seien aber genauso im Linux-Kernel, in der Programmiersprache Lua, die der "World of Warcraft"-Client verwende, in Erlang oder Objective-C im Einsatz. Die beste Abhilfe gegen das Problem liefert den Forschern zufolge die Verwendung zufälliger Hashfunktionen, wie dies bei Perl bereits seit 2003 nach einer konkreten Sicherheitswarnung der Fall sei.

Man habe im November die Entwickler der anfälligen Programmiersprachen und Applikationsplattformen informiert und damit etwa bei den Ruby-Machern oder Microsoft gute beziehungsweise vertretbare Ergebnisse erzielt; Microsoft warnt in einem eigenen Advisory. Auch die meisten anderen einschlägigen Projektbetreuer hätten die Angriffsstellen zumindest notdürftig auf Umwegen geflickt. So seien für PHP etwa die Eingabeparameter verkleinert worden. Derlei Reaktionen könnten aber nur einen ersten Schritt in die richtige Richtung darstellen.

Quelle : www.heise.de

[SiLæncer]

Der Verein Digitale Gesellschaft hat am Mittwoch auf dem 28. Chaos Communication Congress (28C3) in Berlin eine Kampagne für Netzneutralität gestartet. "Wir wollen damit den Sachverhalt so erklären, dass ihn auch unsere Eltern verstehen", erklärte Markus Beckedahl von der Lobbygruppe eines der Ziele der Aktion, die unter dem Titel "Echtes Netz" firmiert. Damit solle jedem klar werden, dass es um den Erhalt des offenen Internets und nicht um geschlossene Dienste wie AOL gehe, ergänzte sein Mitstreiter Falk Lüke. Finanziell unterstützt werde die Initiative von der "Stiftung Bridge", die sich für digitale Bürgerrechte einsetzt.

Die Kampagne setzt sich dafür ein, dass im Internet keine Dienste bevorzugt und alle Teilnehmer unabhängig von der von ihnen genutzten Hard- oder Software gleich behandelt werden. "Wir fordern ein echtes Netz auch im Mobilfunk", unterstrich Beckedahl einen weiteren Punkt. Dies sei besonders wichtig, da sich die Bundesnetzagentur angesichts eines fehlenden marktbeherrschenden Betreibers nicht als zuständig für diesen Bereich erklärt habe. Ferner dürfe "kein Rumschnüffeln" im Datenverkehr erfolgen, die "Risikotechnologie" Deep Packet Inspection (DPI) zum Durchleuchten sämtlicher übers Netz verschickter Inhalte sei zu verbieten. Nicht zuletzt spreche sich der Vorstoß gegen Netzsperren oder die künstliche Verlangsamung von Internetanschlüssen etwa zum Bekämpfen von Urheberrechtsverstößen oder Kinderpornographie aus.

Diese Forderungen zur Netzneutralität müssten endlich gesetzlich verankert werden, betonte der Netzpolitik-Blogger. Die jüngste Chance dafür habe der Gesetzgeber trotz des Drängens der Oppositionsparteien mit der erneuten Änderung des Telekommunikationsgesetzes (TKG) gerade grandios verpasst. Länder wie Holland oder Chile seien da schon weiter, während die Bundesregierung immer noch darauf baue, dass der Markt allein das offene Internet erhalte. Zudem solle ein Bündnis geschaffen werden, das über den Chaos Computer Club (CCC) und die üblichen Verdächtigen hinausgehe und sich bis hin zu Menschenrechtsgruppen oder Journalistenverbänden erstrecke. Neben dem Online-Auftritt, der in den nächsten Tagen noch überarbeitet und erweitert werde, seien Offline-Aktionen geplant, "um medienwirksame Bilder zu erzeugen".

An überzeugenden Antworten etwa auf die Frage, wie der Aufbau neuer Netzinfrastrukturen finanziert werden solle, wollen die Aktivisten noch feilen. Mit der Aufsplittung in "langsames und schnelles DSL" komme man jedenfalls in Teufels Küche, meinte Lüke. Der staatlich geförderte Ausbau von Netzen solle zudem auf jeden Fall "neutral" erfolgen. Die vielfach von Telekommunikationsfirmen geforderten Möglichkeiten zum Netzwerkmanagement oder zum Festlegen von Transportklassen seien offenbar nicht erforderlich, befand Beckedahl. Nachweise für Engpässe in den eigenen Leitungen habe keiner der großen Anbieter hierzulande liefern können. Der zentrale hiesige Austauschpunkt und Netzknoten DE-CIX sei auch nur zu rund zehn Prozent ausgelastet.

Eine Lanze für den Erhalt des "echten Computers" hatte Tags zuvor bereits der Boing-Boing-Blogger Cory Doctorow gebrochen. Er warnte vor einem "Krieg gegen die allgemeine Datenverarbeitung" und den Universalrechner. Hollywood habe mit seinem Bestehen auf ständigen Copyright-Ausweitungen und den rechtlichen Schutz von Systemen zum digitalen Rechtekontrollmanagement (DRM) nur den Anfang gemacht, meinte der Aktivist. Immer mehr Wirtschaftszweige und Lobbyverbände seien mittlerweile der Ansicht, dass die Benutzer keinen Allzweckcomputer bräuchten, sondern mit kastrierten, auf einzelne Applikationen wie Spiele oder Streaming zugeschnittenen Geräten besser bedient seien. Um die Nutzungsmöglichkeiten zu beschränken, würde tief in Systeme eingreifende Schadsoftware wie Rootkits und Zensuranwendungen fürs Internet aufgefahren.

Für Doctorow macht es "Ubiquitous Computing" aber unerlässlich, dass die Rechner frei und offen bleiben und "wir die volle Kontrolle darüber haben". Schon heute sei eine Hörhilfe nichts anders als ein Computerimplantat in den menschlichen Körper. Setze sich ein so aufgerüsteter Bürger in ein Auto, das letztlich nichts anderes als ein weiteres Instrument zur Datenverarbeitung sei, müsse er sichergehen können, dass die Rechner nicht gegen die Interessen des Nutzers handelten. Auf unternehmerische Hilfe im Kampf für den Universalcomputer können die Hacker Doctorow zufolge nicht zählen, da viele Firmen auch ohne umfassende Freiheiten gedeihen könnten.

Quelle : www.heise.de

[SiLæncer]

Experten der Security-Firma Recurity Labs haben gravierende Schwachstellen in den Schutzpanzern von iPads, iPhones und Chromebooks sowie den damit verknüpften App-Marktplätzen und Cloud-Anwendungen entdeckt. Das Konzept von Apples AppStore etwa sei sehr riskant, erklärte der Unternehmenschef Felix "FX" Lindner am Mittwoch auf dem 28. Chaos Communication Congress (28C3) in Berlin. So könnten dessen Funktionalitäten durch einige hochwertige Programmierfehler unfreiwillig erweitert werden, konstatierte der Sicherheitstester. Mit Google-Betriebssystemen laufende Chromebooks wiederum könnten mit Hintertüren versehen werden. Insbesondere Erweiterungen für Chrome OS stellten Einfallstore für Schadcode dar.

Apple sei bei seinen i-Geräten zwar sehr auf die Kontrolle von Anwendungen Dritter bedacht, der Schutz der Nutzerdaten gehöre dagegen nicht zum Geschäftsmodell, monierte FX. Die Sicherheitsarchitektur des iPads enthalte so zwar einige interessante Ansätze, ergänzte Lindners Mitstreiter "Greg". Würden es die Kalifornier mit dem Datenschutz auf ihrem Prestigeobjekt jedoch ernst meinen, "würden sie es Nutzern erlauben, eigene Verschlüsselungssysteme dafür zu schreiben". Das Verfahren zum Signaturabgleich auf Apples Tablet-Rechner bezeichnete Greg als "Versager". Viele Meta-Informationen würden nicht signiert, was zum Jailbreaking genutzt werde.

"Bruhns", ein weiterer Recurity-Labs-Vertreter, bezeichnete bei Apples AppStore eine spezielle JavaScript-Bibliothek als Wurzel allen Übels, da sie sämtliche Sicherheitsvorgaben missachte. Sie begünstige "Man in the Middle"-Attacken, mit der Schadsoftware über die Plattform installierbar sei und Nutzer gar für ausgelieferte Trojaner bezahlen müssten. Transaktionen der Webapplikation seien ungenügend abgesichert, was seitenübergreifende Manipulationen ("Cross-Site Request Forgery") erlaube. Den etwa für den Aufbau eines gefälschten Login-Bildschirms in den Store nötigen Sicherheitstoken liefere bereitwillig die iTunes-Bibliothek. So könnten sensible Nutzerdaten abgezogen und dem Client Malware untergeschoben werden.

Selbst die einfachsten Sicherheitsvorkehrungen funktionieren im AppStore Bruhns zufolge nicht richtig. So könnten mithilfe von Cookies Kontoinformationen abgegriffen oder "Cross Site Scripting"-Angriffe über Suchfelder ausgeführt werden. Eine direkte Ausführung von Schadcode werde zwar verhindert, eine Dateneingabe über ein eingebettetes Frame sei bis vor Kurzem aber möglich gewesen.

Chrome OS an sich bescheinigte FX in dem "Duell der Giganten" eine recht solide Sicherheitsarchitektur mit doppelt angelegter Firmware, Kernel und Datensystemen. Schier alle Prozesse würden auf Integrität hin überprüft. Es gebe aber ein paar Unvollkommenheiten und Knackstellen in der Vertrauenskette. So könne etwa über eine Firmware-Schnittstelle Code geladen und eine unvorhergesehene Schreibberechtigung erteilt werden.

Der Google Web Store und Applikationen fürs Chromebook wie die Online-Bürosoftware des Suchmaschinenriesen und Gmail böten zahlreiche Angriffspunkte, fügte Bruhns an. Für den App-Marktplatz könnten dank zusätzlicher Programmierschnittstellen innerhalb weniger Stunden Trojaner fürs Online-Banking geschrieben werden. So sei Chrome dazu zu bringen, über eine spezielle Webadresse schädliche Erweiterungen herunterzuladen. Google Sync sorge ferner dafür, dass ein unter fremde Kontrolle geratenes Nutzerkonto auch für einen fremdbestimmten Browser stehe.

Googles Webanwendungen bauten komplett auf Sitzungscookies auf, erklärte Bruhns. Sollten diese einmal abhanden kommen oder geändert werden, seien alle damit verknüpften Daten verloren. Da viele Applikationen von unterschiedlichen Autoren stammten, seien sie "inkonsistent" und stellten einen "Verifizierungsalbtraum" dar. Es sei möglich, Makros in Google Docs hochzuladen, die serverseitig ausgeführt würden. Für derartige Funktionen habe sich ein regelrechter Marktplatz gebildet, auf dem ein Validitätsprüfer für Kreditkartennummern eines russischen Programmierers besonders populär sei. Weiter könnten Webanforderungen an Google-Server gestellt werden, was "großen Spaß" mit Denial-of-Service-Attacken bereite. Schließlich seien nur Datenleitungen des Internetkonzerns groß genug, um Google selbst anzugreifen. Das Stehlen von Browsersitzungen sei nicht zuletzt genauso einfach wie das Unterwandern von Datenübertragungen in die Cloud durch URL-Umleitungen.

FX warnte daher davor, in Cafés oder anderen öffentlichen Einrichtungen über WLAN Google-Konten zu nutzen. Verbesserte Authentifikationsverfahren beim Login brächten wenig, da der Trend bei Cybergangstern dazu gehe, Sitzungscookies für Web-Apps zu klauen. Dies geschehe nach dem Einloggen in einen Account. Als Tipp zum Selbstschutz hatte der Experte für die Hacker parat, zumindest eigene Mail-Server zu betreiben und Cloud-Dienste mit äußerster Vorsicht zu genießen.

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitsforscher Stefan Katzenbeisser sieht die Einführung des Mobilfunksystems GSM-R in das neue, EU-weit harmonisierte Kontrollsystem für Züge skeptisch. Neben der Betriebssicherheit, auf welcher der Fokus bei Eisenbahnanlagen bislang gelegen habe, werde mit dem European Train Control System (ETCS) künftig die IT-Security eine wichtigere Rolle spielen, prophezeite der Leiter der Security Engineering Group der TU Darmstadt auf dem 28. Chaos Communication Congress in Berlin. Mit dem Einstieg in die Funkkommunikation zur kritischen Informationsübermittlung sei eine neue Qualität von Angriffen denkbar.

In der 1. ETCS-Stufe solle es zwar weiter Signale, sogenannte Balisen zur Datenübermittlung und klassische Freimeldungen für Gleise und "Blockfelder" zwischen zwei Bahnhöfen geben, führte der Informatikprofessor aus. Mit dem Folgelevel sei aber geplant, auf die "ortsfeste Signalisierung" zu verzichten und Statusmeldungen mithilfe der auf den Bahnverkehr zugeschnittenen GSM-Variante an den Lokführer zu senden. Die ETCS-Entwickler hätten zwar aus dem "Desaster" rund um den gängigen Mobilfunkstandard gelernt und setzten auf eine Authentifikation fast aller Nachrichten basierend auf dem Algorithmus Triple-DES.

Kopfschmerzen bereitet Katzenbeisser dabei aber etwa der geplante Schlüsselaustausch für das gewählte symmetrische Kryptographieverfahren. Dokumentiert seien bislang nur Offline-Varianten, sodass der Schlüssel offenbar etwa bei der Deutschen Bahn generiert und dann "per Diskette" an die einzelnen Führerstände verschickt werden solle. Auch die sichere Speicherung des Codes in einem Fahrzeug sei ungeklärt. Die Tatsache, dass Haltaufträge nicht verifiziert werden müssten, stelle zudem ein Einfallstor für Denial-of-Service-Attacken dar. Der Dialog mit der Hackergemeinde sei daher wichtig, um Fehlern und Schwachstellen frühzeitig auf die Spur zu kommen.

Die 28C3-Besucher waren zu dem Vortrag zahlreich erschienen, da dieser mit der Frage: "Können Züge gehackt werden?" überschrieben war. Mit großem Interesse nahmen die Tüftler auch die Ausführungen Katzenbeissers zu den herkömmlichen Bahnsicherungsanlagen auf, die sich von mechanischen über mit Drucktasten zu bedienende bis hin zu elektronischen Stellwerken weiterentwickelt haben.

Dabei gebe es "einige neuralgische Punkte", räumte der Computerwissenschaftler auf Drängen der Zuhörer ein. Die eingesetzten Systeme zur induktiven Zugsicherung (Indusi), die eine automatische Zwangsbremsung beim Nichtbeachten von Haltevorsignalen durchführen, oder Speichereinrichtungen für Betriebsinformationen könnten Probleme auslösen, erläuterte Katzenbeisser. Solange um Gleise und Stromleitungen aber keine hohen Zäune gebaut würden, gebe es einfachere Angriffspunkte zum Unterbrechen des Bahnverkehrs.

Er selbst fahre "noch sorglos Bahn", beteuerte der Experte. Er wolle "keine großen Horrorszenarien" schüren, zumal sein Vortrag schon im Vorfeld Staub aufgewirbelt habe und Siemens-Vertreter im Raum seien. Vor 70 Jahren hätten sich Ingenieure aber noch nicht vorstellen können, dass kreativ-kritische Technikbeobachter Interesse etwa an Indusi-Magneten entwickeln könnten. Zudem halte sich standhaft das Gerücht, dass man einen ganzen Bahnhof lahmlegen könne, wenn man mit einer kleinen magnetischen Kupferspule an entscheidende, über die Streckenfreigabe wachende Sensoren komme.

Quelle : www.heise.de

[SiLæncer]

Französische Kryptographieforscher haben nach eigenen Angaben eine Angriffsmethode auf das Tor-Projekt entwickelt. Es gehe nicht um eine Attacke auf die Anonymisierungsinitiative an sich, betonte Eric Filiol, wissenschaftlicher Leiter des Instituts für Krypto- und Virologie an der Ingenieursschule ESIEA, auf dem 28. Chaos Communication Congress (28C3). Vielmehr würden Tor-Implementierungen auf Rechnern angegriffen, die über schlechte Sicherheitsvorkehrungen verfügten. Hilfreich sei, dass der Dienst auf dem Internetstandard TCP aufsetze.

Persönlich habe er nichts gegen Tor, unterstrich Filiol in dem Vortrag (PDF-Datei). Die Software sei in puncto Sicherheit auf einem aktuellen Stand, ihre Implementierung sei aber für eine mehrstufige Attacke anfällig. Das hätten Tests in einem abgeschotteten und im tatsächlichen Tor-Netz ergeben, erklärte der Wissenschaftler, der lange Zeit beim französischen Militär tätig war. Er und seine Mitstreiter hätten dabei auf zahlreiche kleine, in der Regel unter dem Radar von Sicherheitsmonitoren bleibende Nadelstiche gesetzt, die sich zu einem großen Stoß bündeln ließen.

Mit Tor werde laut Filiol ein privates, verschlüsseltes Netzwerk aufgebaut, das – über Wach-, Brücken- und Ausgangsknoten verknüpft – Applikationen etwa zum Chatten oder Websurfen unterstütze. Der Angreifer müsse sich zunächst eine Übersicht über die tragenden Router verschaffen. Dabei seien vor allem die als Brücken bezeichneten Relay-Rechner interessant, da diese unter anderem großflächige Denial-of-Service-Attacken verhindern sollten.

Die Tor-Macher gäben auf Anfrage immer nur die Adressen dreier solcher Brückenstationen preis. Sein Mitarbeiter Oluwaseun Remi-Omosowon habe aber ein mittlerweile veröffentlichtes Skript geschrieben, das aus dem Tor-Protokoll innerhalb einer Stunde hunderte Bridge-Router extrahiere. Bei der Vorführung der Routine auf dem Kongress gelang es Remi-Omosowon zumindest, innerhalb mehrerer Minuten sechs entsprechende Rechner zu finden.

Mit diesem Verfahren sei man auf rund 9000 Adressen vernetzter Rechner gestoßen, von denen fast 4000 unter Windows liefen, führte Filiol aus. Zudem habe man 355 Bridge-Router ausgemacht, die nun nebst Lokalisierungsdaten einsehbar seien. Bedenken von Kongressteilnehmern, dass autoritäre Regime die Adressen damit leichter in Filterlisten einbauen könnten, begegnete der Forscher mit dem Hinweis, dass andere, mit mehr Ressourcen ausgestattete Angreifer diese Erkenntnisse vermutlich längst hätten und sie nur nicht publizierten.

Im nächsten Schritt der Attacke, so Remi-Omosowon, suchten die Angreifer Tor-Rechner, die aufgrund schwacher Sicherheitsvorkehrungen für das Aufspielen von Schadsoftware geeignet seien. Durchschnittlich 30 Prozent der Router seien kompromittierbar, 41 Prozent davon seien mit Windows, knapp 19 Prozent mit Linux- oder Unix-Varianten bestückt. Um den Datenverkehr zu entschlüsseln, müssten möglichst große Teile über kompromittierte Router geleitet werden. Dafür könnten eine Reihe bekannter Angriffe auf TCP genutzt werden. Beim Dechiffrieren des Datenverkehrs habe die Mediggo-Bibliothek gute Ergebnisse erzielt. Entschlüsselte Textpassagen konnten die Forscher während einer Demo allerdings nicht vorweisen.

Vertreter der Tor-Stiftung, die am Vortag über die jüngsten Bemühungen von Regierungen wie der chinesischen oder der syrischen zur Blockade des Dienstes berichtet hatten, schätzten die Ausführungen als wenig brisant ein.

Quelle : www.heise.de

[SiLæncer]

Selbsternannte Sicherheitstester und Script-Kiddies haben am Rande des 28. Chaos Communication Congress (28C3) in Berlin erneut Web-Auftritte gehackt. Im Visier waren unter anderem Angebote die rechten Szene sowie der katholischen Kirche. Die ungebetenen Online-Gäste verschafften sich dabei Zugang zu angeschlossenen Datenbanken zahlreicher Landesverbände der NDP sowie von Parteiführern. Im Anschluss darin veröffentlichten sie die über die Webseite erfolgte, mit Kontaktanfragen verknüpfte und unzureichend auf dem Server gesicherte Kommunikation mit der NPD-Fraktion Sachsen. Personenbezogene E-Mail-Adressen der Anfrage sollen darin nicht enthalten gewesen sein.

Entgegen kam den Hackern bei der Aktion eigenen Angaben zufolge die Tatsache, dass die unterschiedlichen Webseiten der rechten Partei offenbar von einem nicht ganz achtsamen Programmierer entwickelt wurden und somit alle die gleichen Schwachstellen gezeigt hätten. Einige der angegriffenen Auftritte sind derzeit nicht oder nur schwer erreichbar. Andere Einstiegsseiten wirken oberflächlich unverändert. Dran glauben musste auch der Online-Bestellshop "Nationales Versandhaus". Dessen gesamte Datenbank wanderte ins Netz nebst Mail-Adressen von Kunden. Schon in den Vorjahren hatten sich Hacker aus dem Kongressumfeld unter anderem Partnerbörsen der rechten Szene vorgenommen.

Ungewöhnliche Inhalte sowie Schadcode sind derweil mehreren Homepages von Bistümern und Klöstern sowie von anderen kirchlichen Einrichtungen hierzulande und im benachbarten Ausland zu entnehmen. Der "Katholischen Aktion Österreich" für eine Kirche in Bewegung haben Datenreisende so einen "Hans-Peter-Friedrich-Preis" verliehen. Begründet wird die Auszeichnung mit der "größtmöglichen Offenheit, welche die Administration gegenüber Angriffen pflegt". Ferner gebe sich die Organisation auch in Belangen der Vorratsdatenspeicherung vorbildlich: Benutzeraktionen würden geloggt und massenweise in der Datenbank nebst Passwörtern in Klartext gespeichert. Damit sei die Katholische Aktion ein Vorbild für Gottvertrauen auch bei der Webverwaltung in der Hoffnung, dass schon nichts passiere.

Die katholische Internetpräsenz "kreuz.net" klärt derweil unfreiwillig über die Hackerangriffe und die einzelnen durchgeführten Schritte gemäß "Lehrbuch" auf. Dazu kommt eine Art fiktiver Kongressbericht auf der Seite, der auf zahlreiche weitere eigenwillige Nachrichten verlinkt. Die Liste weiterer inspizierter und angegriffener Webauftritte ist lang. Sie reicht von Flirtbörsen über Pornoseiten bis hin zu Homepages von Politikern und Heavy-Metal-Gemeinschaften. Kundenlisten von IT-Häusern sind genauso über die Wiki-Seite abrufbar wie verunstaltete oder außer Gefecht gesetzte Unternehmensseiten. Der die Konferenz durchführende Chaos Computer Club (CCC) hat auch dieses Jahr ein "Abuse"-Telefon mit Beschwerdemöglichkeiten für "ernsthafte Probleme mit der Netzwerksicherheit" eingerichtet.

Quelle : www.heise.de

[SiLæncer]

Vertreter des Chaos Computer Clubs (CCC) haben sich in ihrem traditionellen Aus- und Rückblick zum Jahresende auf dem 28. Chaos Communication Congress (28C3) für umfassende "Open Data"-Strategien ausgesprochen. Hierzulande gebe es bislang immerhin eine "Absichtserklärung", bis 2013 ein Portal für Verwaltungsdaten einzurichten, sagte der frühere CCC-Sprecher "Ron" am Freitag in Berlin. Er vermisse aber noch einen Anspruch "auf eine maschinenlesbare Regierung". In den USA hätten sich die Vorteile der Plattform data.gov bereits erwiesen: Ihre größten Nutzer seien Behörden selbst, die nun nicht mehr umständlich bei anderen Ressorts Informationen abfragen müssten.

Die Offenheit rund um Open Data will er hierzulande vergrößert sehen: "Ich will auch wissen, von welchen IP-Adressen aus mit welcher Häufigkeit Daten abgefragt werden", betonte Ron. Sein Kollege Frank Rieger wünschte sich obendrein eine Lizenz für die Daten, die sicherstelle, dass die aus ihnen gewonnenen Resultate ebenfalls offengelegt werden müssen.

Ironisch bewerteten es die Sicherheitsexperten als "schweren Rückschritt" für das E-Government, dass sich der Staatstrojaner nach den CCC-Analysen im Oktober nicht richtig einsetzen lasse. Gleichzeitig nannte es Rieger erfreulich, dass sich Bund und Länder mit dem neuen Cybersicherheitsrat "auf die Zombie-Apokalypse" durch Malware einrichte. Derzeit gehe Berlin von einer erfolgreichen Cyberattacke auf Behörden pro Woche aus.

Das von Ron durchgeführte "Internet-Normalitäts-Update" verwies darauf, dass Computerkriminelle derzeit den Hack einer normalen Webseite schon für 9,99 US-Dollar, Kreditkartendaten von 2 Dollar an und einen Einkauf damit über Strohmann für 100 Dollar erstehen könnten. Die vollständige Kontrolle über einen Regierungswebserver werde für 499 Dollar angeboten, während Kontozugangsdaten mit bis zu 700 Dollar noch vergleichsweise teuer seien. Als "schön" bezeichnete es der CCC-Vertreter, dass ein gefälschter Bankomat zum Abfischen von Kundendaten für 35.000 Dollar zu haben sei.

Rieger konnte sich bei der Erinnerung an die schon 2001 in gleicher Runde vorhergesagten Sicherheitsdebakel nicht des Eindrucks erwehren, dass es "immer weiter so geht, aber nicht richtig vorwärts". Mobiltelefone und große Trojanerangriffe darauf seien seit Jahren "der Running Gag dieser Show", meinte der Hacker. Mittlerweile seien Smartphones universelle Sensoren geworden, sodass nur noch die abnehmende Batterielebensdauer eines Handys die Nutzerüberwachung begrenze. Auch andere drahtlose Übertragungstechniken wie NFC gäben "viel Hoffnung". Hier sei aus Hackersicht noch "eine Menge zu holen".

Bemerkenswert fanden die Tüftler, dass der Angriff auf die Sicherheitsfirma RSA "größer angelegt" gewesen sei als zunächst erkennbar. Bis heute habe der Kryptolieferant die Attacke nicht richtig ausgebadet, meinte Rieger. Die Attacken auf die Zertifizierungsstellen DigiNotar, Comodo und GlobalSign hätten zudem endgültig gezeigt, dass die Verschlüsselungstechnik SSL nur eine Sicherheitssimulation gewesen sei. Die Nerds hätten dagegen das alternative Protokoll SSH für sich entwickelt.

Eher gelangweilt sprachen die Hacker die Tatsache an, dass im auslaufenden Jahr wieder "viele Datenbanken weggekommen seien". Man kriege gar nicht mehr mit, was alles für Webshops und Flirtportale aufgemacht würden. "Wir werden alle zu Post-Privacy-Passivisten", unkte Ron, wenn die eigenen Online-Profile ständig an die gesamte Öffentlichkeit gelangten. Die Optimisten, die sich parallel zur ersten Spackeriade unter dem Motto "Datalove und Kontrollverlust" trafen, gingen aber davon aus, dass dies nicht mehr peinlich sei, wenn es jedem passiere.

Schwere "Sicherheits-Albträume" im kommenden Jahr erwarten die Aktivisten unter anderem durch das neue Internetprotokoll IPv6. Auch Cloud-Kriege "mit Blitzen" stünden bevor. Die Datenverarbeitung in den Wolken stelle nichts anderes als ein Botnetz dar, erklärte Rieger. Nur könne man sich ganz bequem, sicher und ohne Abstieg in die Netzabgründe den Service des Anbieters dazukaufen. Einen Vorgeschmack auf derlei Entwicklungen durfte der CCC selbst genießen: Rieger berichtete von einem Denial-of-Service-Angriff auf das Kongressnetz, der von der Amazon-Cloud ausgegangen sei.

Spaß erwarten die Hacker 2012 ferner mit elektronischen Schließsystemen, da sich dort aufgrund der langen Vorlaufzeiten erst jetzt längst geknackte RFID-Chipkarten wie Mifare Classic zur Wohnungssicherung durchsetzten. Mit Vorsicht zu genießen sei es dagegen, wenn plötzlich Züge, Flugzeuge oder Schiffe auf der anderen Seite des Terminals auftauchten. Ron wies deren Betreiber vorsorglich darauf hin, "dass Computernerds abgelenkt sind, solange das WLAN funktioniert".

Schließlich prognostizieren die Experten eine baldige "Tokenkalypse". Viele Banken schickten ihren Kunden bereits "Sicherheitshardware" als "letzte Rettung vor bösen Trojanern", konstatierte Rieger. Meistens stecke darin nur ein Prozessor, auf dem Software laufe. Offenbar seien die immer wieder Schwachstellen produzierenden "PHP-Coder" mittlerweile auch auf dieser Ebene angekommen. Den "neuen Personalausweis" könne man ebenfalls als einen "Single-Sign-on-Token" verstehen. Selbst Mitarbeiter aus Regierungsbehörden zögen aber inzwischen eine krause Stirn und fürchteten Identitätsdiebstähle, wenn alle IDs einer Person auf einem Dokument zusammengezogen würden.

Quelle : www.heise.de

[SiLæncer]

Die heftig geführte Debatte über die Bedeutung von Hackern in der heutigen Welt habe ihn überrascht, erklärte der CCC-Sprecher Frank Rieger am Freitag beim Abschluss des 28. Chaos Communication Congress (28C3). Selbst im "Art & Beauty"-Bereich oder an der "Painstation", einer Neuauflage des "Pong"-Spieleklassikers mit Schmerz-Rückkoppelung, hätten die Teilnehmer des CCC-Jahrestreffens darüber diskutiert, ob Technologien derzeit eher für Positives oder zur Unterdrückung genutzt würden.

Neu ist die Suche der Hacker nach ihrer Rolle freilich nicht. Die 30-jährige Geschichte des Clubs ist gezeichnet von Auseinandersetzungen um den Umgang mit Gesetzen sowie die Macht und Ohnmacht der Datenreisenden.

Schon mit dem BTX-Hack des CCC 1984 habe sich hierzulande das Bild des "guten Hackers" à la Robin-Hood durchgesetzt, erklärte der Informatiker und Technikphilosoph Kai Denker auf dem Kongress in einem Vortrag über die Bedeutung von Hacktivismus. Der Club, dessen Mitglieder sich schon lange vor Einrichtung der Enquete-Kommission des Bundestags zum Internet um Politikberatung bemühten, stehe seitdem auch für Verbraucher- und Datenschutz. Generell stecke das Hacking aber noch in den Kinderschuhen.

Laut Rieger haben die mehreren tausend Teilnehmer zehn mal soviel Strom verbraucht wie ein Energiesparhaus in einem Jahr. 130 Referenten bestritten 99 Vorträge, die das Organisationsteam aus 235 Einreichungen auswählte. Nur einer sei ausgefallen. 315 freiwillige Helfer ("Angels") hielten den Kongress am Laufen. Das Sanitäterteam "CERT" habe 43 Einsätze absolviert, bei denen nur zweimal medizinische Hilfe von außen erforderlich gewesen sei.

Das Netzwerk habe deutlich besser funktioniert als in den Vorjahren, befand Rieger. Es habe zwar einige "Schluckaufs" gegeben, insgesamt hätten jedoch das stationäre Netz und mehrere WLAN-Varianten reibungslos gearbeitet. Die Hacker versandten rund 91 Gigabyte nach draußen und empfingen 28 Gigabyte. Am Abuse-Telefon seien nur zwei größere Vorfälle gemeldet worden, die sich auf Denial-of-Service-Attacken auf deutsche Webseiten bezogen hätten.

Gewachsen ist laut Rieger zwar der "kulturelle Raum" der Hacker, nicht jedoch der am Tagungsort, das Berliner Congress Center (bcc) am Alexanderplatz. Die Nachfrage nach Tickets sei doppelt so hoch gewesen wie die letztlich ausgegebene Anzahl. "Das Gebäude ist etwas klein", räumte Rieger ein. Sein Fassungsvermögen ist schon seit Jahren erreicht; Karten gibt es nur noch im Vorverkauf und vom zweiten Kongresstag an für Tagesbesucher. Dieses Jahr barsten die Gänge und Vortragsräume, die von "Einpeitschern" bis auf den letzten (Steh-)Platz gefüllt wurden, aus allen Nähten.

Ein zusätzlicher Lounge-Bereich in einem Zelt bot keine Abhilfe. Gleich zu Beginn bildete sich eine mehrere hundert Meter lange Schlange von Interessenten für die inoffiziellen Namensschilder in Form von "r0ket-Platinen". Sie lassen sich programmieren und zum Blinken bringen. Heiß begehrt war auch erneut koffeinhaltige Hackerbrause: Weg gingen 9000 Flaschen der sprudelnden Club-Mate und 3000 der herberen Variante Flora-Power – die gesamte Dezemberproduktion.

Nun sei wieder die Diskussion um den Umzug auf ein größeres Gelände und die damit einhergehende Ausweitung der Besucherzahlen entbrannt. Der CCC hatte sich unter anderem die Station-Berlin angeschaut, in die 2012 die Blogger-Konferenz re:publica ziehen will. Das Gelände des früheren Dresdner Bahnhofs sei aber zunächst wegen seines hohen Heizbedarfs durchgefallen, war zu vernehmen.

Interessierten, die keine Karte mehr ergattern konnten, bleibt das bereits größtenteils auf YouTube verfügbare Videomaterial. Die für die Aufzeichnungen und Live-Übertragungen zuständige Forschungsgemeinschaft elektronische Medien (FEM) habe dieses Jahr 17 verschiedene Streaming-Formate angeboten, auf die in Spitzenzeiten 4000 Nutzer gleichzeitig zugegriffen hätten, lobte Rieger. Nur so sei die virtuelle Kongresserweiterung "No Nerd left behind" möglich gewesen.

Quelle : www.heise.de

[SiLæncer]

"Back to the future" und "Zurück zu den Wurzeln" heißt es Ende des Jahres für den Chaos Computer Club (CCC). Die Hackervereinigung möchte ihr großes Stelldichein in Form des "Chaos Communication Congress" nicht mehr in Berlin, sondern wie in den Anfangszeiten wieder in Hamburg durchführen. Einen entsprechenden Hinweis platzierte der CCCim Aufruf zum Einreichen von Vortragsvorschlägen für die inzwischen 29. Ausgabe der "größten europäischen Hackerparty". Der 29C3 werde ein "ganz neues Kongresserlebnis bieten", heißt es darin. Ein großer Veranstaltungsort werde ausreichend Raum bieten für die "wachsende Zahl enthusiastischer Teilnehmer" der Versammlung der Szene.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Alternative gesellschaftliche Strukturen unter anderem mithilfe freier Software aufzubauen, fordert Jacob Appelbaum. Der US-amerikanische Mitstreiter beim Anonymisierungsnetzwerk Tor und bei der Whistleblower-Plattform Wikileaks hat die laut dpa rund 6000 Besucher bei der Eröffnung des 29. Chaos Communication Congress (29C3) am Donnerstag, dem 27. 12. 2012 in Hamburg dazu aufgerufen. In den USA etwa sei mittlerweile jeder den "Tentakeln" des Überwachungsstaats ausgesetzt, malte der Aktivist ein düsteres Szenario. Wenn in sogenannten Demokratien die demokratische Kontrolle und Gewaltenteilung nicht mehr funktioniere, sei es an der Zeit, einem solchen System eigene positive und auf die Dauer wirksame Ansätze entgegenzustellen.

Der ganze Artikel

Quelle : www.heise.de