Zotige Konsolenwitze aus der UNIX-Welt

Mehrdeutiges Getippe auf der Unix-Shell:

#!/bin/sh
unzip
strip
touch
finger
grep
mount
fsck
more
yes
fsck
fsck
fsck
umount
sleep

Gefunden im Danisch-Blog. Wobei Danisch nicht ganz unberechtigterweise fragt, wie denn genau so ein Blogartikel nun nach neuem Jugendmedienschutz-Staatsvertrag (JMStV) zu labeln wäre?

Wenn Hacker gehackt werden – wie sicher sind Hackertools?

Zu den prägendsten (und oft auch letzten) Kriegserfahrungen mancher Soldaten zählen Fehlfunktionen ihrer Waffen. Der sprichwörtlich „nach hinten losgehende“ Kanonenschuss, die in der Hand explodierende Wurfgranate, das einen Looping drehende und dann zurückkommende Lenkwaffengeschoss.

Das scheint in der Welt der Cyber-Söldner nicht anders zu sein. Dort ist es üblich, beim Angriff auf IT-Systeme auf selbstgebaute Hackertools zurückzugreifen. Diese werden oft „quick & dirty“ für das gebaut, was sie machen sollen. Ohne große Qualitätssicherung, ohne Test, mit oftmals nur wenig peer-review durch Dritte.

Und das macht Hacker selbst angreifbar, wie kürzlich die BBC berichtete. Im Kampf gegen Internetkriminalität haben Sicherheitsexperten von TEHTRI-Security häufig verwendete Tools der Hacker untersucht und dabei zahlreiche Sicherheitslücken entdeckt. Die Programme, die dabei verwendet werden, wären in vielen Fällen leicht zu knacken, so das Fazit der Experten nach eingehender Analyse der Programme. Das gilt insbesondere für Hackertools die im Internet frei verbreitet, aber kaum weiterentwickelt werden. Denn bei ihnen greift das qualitätssichernde Element einer breiten Fachöffentlichkeit und des Zugangs vieler Experten zum Quellcode nicht.

Viele der Lücken sind dabei offenbar so leicht zu finden, dass sie ohne Weiteres für Gegenangriffe und „proaktive Abwehr“ ausgenutzt werden können. Mit diesen Erkenntnissen ging der Sicherheitsexperte Laurent Oudot bereits im Rahmen der SyScan 2010 Security Conference in Singapur an die Öffentlichkeit und nannte dabei dreizehn Sicherheitslücken, die er in einigen der populärsten Hackertools entdeckt hatte.

In vielen Fällen würde das Ausnutzen solcher Exploits es Sicherheitsexperten ermöglichen, ihre Gegner zu identifizieren und bis zu deren Rechnern zurück zu verfolgen, Informationen über sie und ihre Methoden zu sammeln, zum aktiven Gegenangriff überzugehen und sogar Vergeltungsschläge gegen Cyber-Kriminelle zu führen. Auch wenn das in den wenigsten Fällen legal sein dürfte, gilt auch hier das „elfte Gebot“ (du sollst dich nicht erwischen lassen).

Und so wies auch Oudot in seinem Konferenzbetrag darauf hin, dass dieses Vorgehen vor allem rechtlich problematisch sein könnte. Die praktische Anwendung stünde momentan auch nicht im Vordergrund. Die Ergebnisse der Untersuchung sollten dazu dienen, im Bereich der Internet-Sicherheit neue Möglichkeiten anzudenken.

Auch Skript-Kiddies, die sich schon als „großer Hacker“ fühlen, nachdem sie es erfolgreich geschafft haben, ein einschlägiges Programm aus dem Internet herunterzuladen und auf ihrem Rechner zu starten, sollten sich daher künftig besser überlegen was sie tun. Schließlich fehlt es ihnen meist an den Kenntnissen, um die tatsächliche Qualität und Wirkung des Programms beurteilen zu können.

Wie Spammer vom Abmahnbetrug mitprofitieren

In der Stadtsoziologie gibt es die sog. „Broken Windows“-Theorie, welche besagt, dass bereits kleinere Vandalismus-Schäden wie eingeworfene Fensterscheiben oder Schmierereien an Wänden in einem Viertel rasch weitere Kriminalität anlocken. Denn ihr Verbleib ist sichtbares Zeichen für „Hier ist alles erlaubt und es wird sich um nichts gekümmert“.

Das erleben derzeit zahlreiche Internet-Nutzer, denen Mails einer Kanzlei Knil – KUW Rechtsanwälte und Partner zugehen. Darin wird ihnen das illegale Herunterladen urheberrechtlich geschütztem Materials vorgeworfen und sie werden dazu aufgefordert, sich eine Paysafe-Card an der nächsten Tankstelle zu kaufen und den darauf gespeicherten Geldbetrag durch Weitergabe des 16-stelligen Pin-Code in einer vorgegebenen Frist an eine E-Mailadresse an diese Kanzlei zu  „überweisen“. Damit würde man die Sache als erledigt ansehen.

Eine Kanzlei KUW Rechtsanwälte gab es tatsächlich bis Mitte 2008. Aus ihr entstand die heutige Anwaltskanzlei U+C Rechtsanwälte, die sich ebenfalls mit Massenabmahnungen, dem Inkasso fragwürdiger Forderungen daraus sowie mit anderen Dingen befasst. Aktivitäten die sich gesammelt durchaus als (rechtlich legaler) Abmahnbetrug, d.h. Missbrauch des Rechtsinstruments der Abmahnung zum Ergaunern von Geld bezeichnen lassen.

Der Gesetzgeber schiebt seit Jahren eine grundsätzliche Reform des Immaterialgüterrechts vor sich her. Ebenso wie auch der explosionsartig zunehmende Missbrauch von urheberrechtlichen und wettbewerbsrechtlichen Abmahnungen durch Abmahnvereine und Winkeladvokaten immer weiter zunimmt. Eine wichtige und undurchsichtige Rolle dürften dabei auch Verbände der Verwerterlobby spielen, die bislang noch jede angedachte Reform zu torpedieren wussten. Eine klassische „Broken Windows“-Situation also in der so nach und nach immer mehr zwielichtiges Volk angelockt wird.

Exakt die oben erwähnte Anwaltskanzlei steht nun vor dem Problem, dass jemand ihren anerkannt schlechten Ruf als Massenabmahner dazu nutzt, selbst Geld durch das Verschicken einer als Abmahnung getarnten Spam-Mail abzugreifen. Daher sah man sich bei U+C bereits dazu genötigt, einen entsprechenden Warnhinweis zu publizieren, wonach diese Mail nicht von U+C sei, man Abmahnforderungen stets schriftlich per Post verschicken und Zahlungen auch nicht per Paysafecard abwickeln würde.

Klarer Fall: Hier versucht ein Gauner im Fahrwasser eines anderen (wir erinnern uns: nicht jede Gaunerei ist rechtlich illegal!) zu segeln, um ebenso aufwandsarm am Unwesen des Abmahnbetrugs zu partizipieren wie die größeren Fische im „turn piracy to profit“-Geschäft. Heute wird der Name von U+C missbraucht, morgen der irgendeiner anderen Abmahnkanzlei. Von denen es ja mehr als genug gibt, solange es gesetzlich so derart leicht gemacht wird, mit gefakten Abmahnungen Geld zu machen.

Letztlich wird da nur ein hartes Durchgreifen des Gesetzgebers helfen. Wäre die erste Abmahnung (weshalb auch immer) wie in vielen EU-Ländern üblich vom Abmahner selbst zu bezahlen, gäbe es das ganze Problem nicht. Gefakte Abmahnungen würden nicht produziert werden. Und für die restlichen 2-3% der Abmahntatbestände würde entweder eine gütliche Regelung unter den Betroffenen direkt getroffen. Oder man würde – dann tatsächlich begründet – den Rechtsweg beschreiten.

Bis dahin sollte man den Rat von Anwalt Urmann folgen und solche Mails entweder gleich löschen und vergessen. Oder sich damit an die Polizei wenden. Bei „seltsamen“ Mails kann auch ein Blick auf den Hoax-Info-Service der TU Berlin nicht schaden, der zahlreiche Versuche vom Kettenbriefen und anderen Mail-Unsinn registriert und dokumentiert.

Verizon-Leitfaden soll Umgang mit Informationen zu Sicherheitsvorfällen vereinheitlichen

Verizon, ein Anbieter von IT-System- und Betriebsdienstleistungen für ausgelagerte IT-Services, hat mit den „Verizon Incident Sharing“ (VerIS) den Entwurf für eine neue technische Norm zum standardisierten Austausch von Informationen über Angriffe auf IT-Systeme vorgelegt.

Informationen über technische Details von Exploits, Sicherheitslücken oder Hackerattacken auf IT-Systeme verbreiten sich im Internet-Zeitalter über CERTs, Bugtrack-Listen und andere Medien zwar recht schnell. Aber eben unstrukturiert, was ihre rasche teilautomatisierte Weiterverarbeitung in unternehmensinternen Informationssystemen für das System-Management beeinträchtigt. Ideal wäre daher eine Art einheitliches Formular, das alle relevanten Informationen über einen Exploit sowie getroffene Bewertungen der Sach- und Bedrohungslage qualitätsgesichert enthält und als Datensatz rasch weiterverbreitet und in entsprechenden Systemen analysiert werden kann. Das würde es den zahlreichen an Fragen der IT-Sicherheit arbeitenden Organisationen ermöglichen, global von einer halbwegs einheitlichen Datenbasis auszugehen.

Heute verwenden Unternehmen und Behörden diverse, oftmals nicht zueinander kompatible Systeme, um solche Informationen zu erfassen und weiter zu verarbeiten. Das macht es schwierig, wichtige Trends mit Blick auf Sicherheitsverletzungen zu erkennen und zügig gemeinsame Abwehrmaßnahmen zu ergreifen.

Zur Lösung des Problems könnte ein gemeinsamer technischer Standard beitragen, der allgemeingültige Bewertungskriterien enthält und eine Struktur zur Beschreibung und Analyse von Sicherheitsvorfällen vorgibt. Den hat Verizon nun mit seinem „Verizon Incident Sharing“ -Leitfaden als Entwurf vorgelegt.

Dabei gliedert der VerIS-Standard die Informationen über Sicherheitsereignisse in vier ineinandergreifende Kategorien, die jeweils relevante Fakten für das Risikomanagement liefern: Gefährdung, betroffene Schutzgüter, Auswirkungen des Angriffs und Eindämmungsmaßnahmen (soweit bereits bekannt). Die VerIS-Metriken sind dazu in die vier Bereiche Demografie, Ereignisbeschreibung, Offenlegung sowie Minderung und Beschreibung von Auswirkungen der Sicherheitsverletzung unterteilt. Diese Metriken sollen konkrete Hinweise auf Ursache und Schweregrad eines Angriffs liefern.

Letztlich kann die weltweite Community von IT-Sicherheitsverantwortlichen nur davon profitieren, über Daten zu Sicherheitsereignissen zu verfügen, die miteinander verglichen und analysiert werden können weil sie in der gleichen „Sprache“ und Struktur aufgebaut sind.  Auf diese Weise erhält die Interessengemeinschaft konkrete Hinweise zur Identität ihrer Gegner, ihren Ziele und Strategien. Für die Absicherung der digitalen Welt ist das von entscheidender Bedeutung, so die Sicht von Verizon. Es bleibt also abzuwarten, in wie weit die Community den Verizon-Entwurf annimmt und ob er nach entsprechender fachlicher Diskussion in internationale Normungsgremien wie ISO oder IEEE eingebracht wird.