„Predator“-Drohnen mit Kaufsoftware gehackt und angezapft

Drohnen, d.h. unbemanntes, fern gesteuertes oder autonom funktionierendes, meist fliegendes Gerät, werden bei den technologieorientierten Streitkräften vieler Länder immer beliebter. Führend beim Einsatz unbemannter Kampfmaschinen ist die USA, obwohl auch die Bundeswehr zunehmend in Entwicklung und Einsatz von Drohnen investiert. Damit soll dem Umstand Rechnung getragen werden, dass die potentiell gesundheitsschädlichen Folgen von Kampfeinsätzen für das daran beteiligte Personal möglichst reduziert werden sollen.

Drohnen wurden zunächst primär zur Aufklärung und Ausspähung von Gegnern eingesetzt. Mit ihrer Weiterentwicklung und Verbreitung kam dann auch die gezielte Ausschaltung militärischer Anführer hinzu. Schließlich kann eine halbautonom operierende Drohne wie die amerikanische „Predator“ z.B. im afghanischen Bergland per Satellitenverbindung aus einem Einsatzzentrum in einer US-Vorstadt zum gezielten „Bejagen und Ausdünnen“ von Talibankämpfern verwendet werden, ohne dass sich der Drohnenlenker auch nur annähernd in ein echtes Gefecht hineinbegeben müsste.

Allerdings sind Drohnen auch ein hochinteressantes Angriffsziel für Cyber-Krieger aller Seiten. Das musste erst kürzlich auch die US-Army erfahren, als bekannt wurde, dass es iranisch-schiitischen Milizverbänden im Irak im Sommer 2009 gelungen war, Videodaten von Predator-Drohnen, die über eine ungeschützte (!) Schnittstelle übertragen wurden, abzufangen und mitzuschneiden. Dabei sollen unter anderem Informationen über US-Truppenbewegungen und Stützpunkte in die Hände der gegnerischen Kämpfer gefallen sein. Besonders spaßig: Die Irakis verwendeten dazu die Kaufsoftware „SkyGrabber“, die es für knapp 26 $ im Internet direkt beim Hersteller zu kaufen gibt und mit der man Satellitenübertragungen aller Art abhören und aufzeichnen kann.

Besonders heikel dabei ist, dass das US-Militär von diesem Sicherheitsproblem in den Predatoren wohl bereits seit den 1990ern wusste, die Lücke aber als unkritisch einstufte, solange sie nicht bekannt werden würde. Man ging naiverweise davon aus, dass Dritte nur solche Lücken ausnutzen würden, die offiziell bekannt sind, anstatt kreativ nach neuen, noch nicht entdeckten Schwächen im Design der gegnerischen Waffen zu suchen (security by obscurity). Und das, obwohl sich in fast jeder Armee der Welt Spezialisten mit der Beschaffenheit von Waffensystemen der Gegner beschäftigen.

Natürlich bestreiten die US-Militärs, dass zu irgendeinem Zeitpunkt die Möglichkeit oder die Gefahr bestanden hätte, dass die Drohnen übernommen wurden oder Dritte die Flüge manipuliert haben könnten. Trotzdem dürfte so – zumindest inoffiziell – eine fachliche Debatte über Schachstellen in Drohnen und anderem militärischen Gerät entstehen. Schließlich wird der Einsatz dieser teuren Geräte politisch vor allem mit der Möglichkeit zur Senkung und Vermeidung von Verlusten an Soldaten begründet. Das aber wäre hinfällig, wenn Hacker die Drohnen mit einfachen Methoden und preiswerten Tools angreifen oder gar ganz außer Gefecht setzen könnten.

Lt. Gen. David Deptula, der das US Air Force-Programm für unbemannte Fluggeräte leitet, erklärte dem Wall Street Journal, es sollen schon in absehbarer Zukunft neue Technologien und Verbesserungen eingesetzt werden. Wahrscheinlich wird man die Predatoren also mit verbesserter Hardware nachbessern. So ist etwa ein neues Kamerasystem namens „Gorgon Stare“ geplant, das es der Drohne ermöglichen soll, zeitgleich bis zu zehn Videofeeds aufzuzeichnen. Zudem sollen bessere Verschlüsselungstechnologien mehr Sicherheit bringen.

Nichtsdestotrotz dürfte das Hacken von Militär-Equipment längst eröffnet sein. Und solch naive Äußerungen wie die zur Schwachstelle, die aufgrund ihrer Unbekanntheit nicht ausgenutzt würde, machen deutlich, dass es für Freunde kreativer Techniknutzung in den Waffenkammern der US-Army noch viel zu entdecken gibt.

Wer sich für die Drohnentechnologie an sich interessiert, kann aber auch ganz ohne militärischen Bezug und völlig legal daran arbeiten. Beispielsweise beim Bau privater Mikrokopter, also ferngesteuerter oder teilautonom fliegender Mini-Hubschauer, die man z.B. mit Kameras bestücken und zu fliegenden Spähern ausbauen kann. So wird z.B. beim Chaos Computer Club bereits erwägt, der Polizeiüberwachung von Demonstrationen eine eigene Kameraüberwachung der Polizeitruppen entgegenzusetzen, um ggf. gewalttätige Übergriffe durch die Polizei dokumentieren zu können. Auch gibt es bereits Wettbewerbe für Drohnenbastler wie den Motodrone.

Saure Milch im Kaffee – Wie Hacker Microsofts Forensik-Tool auskontern

Vor einiger Zeit wurde bekannt, dass Microsoft eine Toolsammlung namens „Computer Online Forensic Evidence Extractor“ (COFEE) entwickelt hat. Und sie bereits seit längerem an Strafverfolgungsbehörden zur Sammlung forensischer Informationen abgibt. Das Tool fand rasch seinen Weg in die Community und wurde dort analysiert.

Inzwischen gibt es ein erstes Programm, das den Einsatz von Cofee behindern soll. So nutzten Hacker die Gunst der Stunde und entwickelten mit „Decaf“ (Detect and Eliminate Computer Assisted Forensics) ein Abwehrprogramm, dass beim Einstecken eines mit COFEE bestückten USB-Sticks automatisch Gegenmaßnahmen ergreifen und Beweise verschleiern soll, indem es etwa temporäre Dateien löscht,  die von COFEE generierten Logdaten manipuliert oder gleich den USB-Port abschaltet. Auch wurde eine Art „Lockdown“-Modus implementiert, mit dem es möglich sein soll, einen gerade ausgespähten Rechner intern zu verriegeln, forensisch verwertbare Datenspuren zu beseitigen und das System nach dem Deaktivieren  von USB-Ports, Disketten- und CD-Laufwerken, Drucker- und Netzwerkanschlüssen  „verschlossen“ herunterzufahren.

„Wir wollen einen gesunden, ungehinderten freien Fluss von Daten im Internet fördern und zeigen, wieso die Ermittlungsbehörden sich nicht allein auf Microsoft verlassen sollen, um ihre Beweissicherung zu automatisieren“ so einer der Decaf-Entwickler.

Ob das Tool hält, was es verspricht, wurde bislang noch nicht umfassend untersucht – der Ansatz jedenfalls ist für einige  interessant, für manch Andere eher beunruhigend. Allerdings ist es wohl nur eine Frage der Zeit, bis das geklärt ist. Herunterladen und testen kann man Decaf u.a. unter decafme.org.

Allerdings legten die Entwickler den Quellcode von Decaf nicht offen, so dass das genaue Tun des Programms nicht per Codereview analysiert werden kann. Zudem untersagen sie in der Lizenzvereinbarung des kostenfrei verbreiteten Programms explizit die Disassemblierung und das Reengineering der Software. Nach Aussagen der Entwickler sollen so die im Programm  verwendeten Signaturen geschützt werden, mit deren Hilfe das Tool beim Einsatz wohl die Rechnerumgebung analysiert.

Kommt die staatliche Zwangsimpfung für PCs?

Bei Landwirten ist die staatliche Zwangsimpfung für Kälber gegen Blauzungenkrankheit aufgrund der Nebenwirkungen durchaus umstritten. Daher sorgte auch ein Vorschlag des eco – Verband der deutschen Internetwirtschaft e.V. auf dem IT-Gipfel kürzlich in Stuttgart für Diskussionsstoff.  Der eco schlug dort vor, unter dem Label „Deutsche Anti-Botnetz-Initiative“ eine Art Beratungs- und Unterstützungsangebot für Benutzer einzurichten, deren PCs von Schadsoftware befallen wurden.

Der eco dazu in einer Pressemeldung:

Ziel der Initiative ist, dass Kunden der teilnehmenden Internet Service Provider, deren PC ohne ihr Wissen Teil eines Bot-Netzes wurde, von ihrem Provider hierüber informiert werden und zugleich kompetente Unterstützung bei Beseitigung der Schadsoftware erhalten.

Die Unterstützung erfolgt in gestufter Form: Zunächst kann der betroffene Kunde eine Webseite besuchen, auf der er Informationen und Hilfsmittel zur Selbsthilfe zur Verfügung gestellt bekommt. Die zweite Stufe des Unterstützungsangebots stellt ein anbieterübergreifendes Beratungszentrum dar, das Kunden mit weitergehendem Beratungsbedarf telefonisch durch die erforderlichen Schritte zur Beseitigung des Schadprogramms sowie zur nachhaltigen Absicherung des PCs führt. Die Benachrichtigung der betroffenen Kunden soll nach Möglichkeit auf mehreren Kanälen erfolgen, sodass ein zuverlässiger Eingang beim Empfänger sichergestellt ist, etwa durch eine Vorschaltwebsite beim Öffnen des Browsers sowie zusätzlich per Post.

An sich eine gute Idee. Die sich aber rasch zu einen Problem für Datenschutz und Bürgerrechte entwickeln könnte. Denn Internetprovider wollen dazu den Datenverkehr ihrer Kunden analysieren, um diese dann zu kontakten und zu warnen. Und diesen Kunden ggf. den Internetzugang zu sperren, wenn sie nicht zusehen, dass sie mit Hilfe der angebotenen Unterstützung (0900-Nummer?) das Problem loswerden. Da ist sie also wieder: Die Internetsperre als Disziplinierungsinstrument. Kein Wunder, dass Vertreter der Regierung die Idee rasch als „gelungenes Beispiel privatwirtschaftlicher Verantwortungsübernahme für die Gesamtgesellschaft“ lobten.

„Zentrale Frage für uns ist, ab wann dürfen wir Internetnutzer sperren?“, so Sven Karge, Fachbereichsleiter beim eco daher auch zu Journalisten von Welt online. Im Eco sind schließlich viele Provider vertreten. Denn zu dieser Sanktion würden die Provider gerne greifen, wenn ihre Kunden sich auch nach Hinweisen durch die Unternehmen weigern, etwas gegen Schadsoftware auf ihren Rechnern zu unternehmen.

Um die Idee umzusetzen, müssten die Provider jedoch zunächst einmal Geld in die Hand nehmen. Weshalb ihnen auch das Innenministerium bereits eine Anschubfinanzierung und das Bundesamt für Informationstechnik (BSI) technische Unterstützung zusagten. Zudem müsste man an Verträge und AGBs ran. Denn bislang sind Internetprovider genau dafür zuständig, dem zahlenden Kunden eine funktionierende Internetverbindung in vereinbarter Qualität zur Verfügung zu stellen. Nicht mehr. Doch schon länger streben die Bitschieber nach neuen Aufgabenfeldern, da die reine Datenspedition eine recht austauschbare und daher dem Preiswettbewerb voll ausgesetzte Leistung ist. Beratungsdienste (zunächst kostenlos, später kostenpflichtig oder gleich per 0900-Nummer), die der Kunde in bestimmten Situationen in Anspruch nehmen muss, könnte da ein interessantes Zusatzangebot sein.

Technisch wäre das Überwachen von Kundenrechnern auf Auffälligkeiten für die Provider kein echtes Problem. Man könnte z.B. nach, für bestimmte Formen von Schadsoftware charakteristischen, Veränderungen im Lastprofil von Kunden suchen (vermehrter Traffic auf bestimmten Ports, Nutzung unüblicher Dienste / Protokolle …). Oder auch per Deep-Packet-Inspection (DPI) die Inhalte von Datenpaketen auffällig gewordener Rechner z.B. nach Befehlssequenzen zur Botnet-Steuerung durchsuchen, die zwischen Kontrollrechner und Bot hin und hergehen. DPI ist eine aus Gründen des Datenschutzes umstrittene Technik, die neben der Bespitzelung der Kunden auch zur Aufweichung der Netzneutralität durch das Wegfiltern oder Verzögern bestimmter Dienste (z.B. P2P-Datenverkehr oder unerwünschte Sprachtelefoniedienste) missbraucht werden kann.

Andererseits haben solche Ansätze auch ihre technischen Grenzen. Veränderungen im Nutzungsverhalten und im Inhalt von Datenpaketen können schließlich auch durch Installation neuer Programme, dem Einsatz von Zweitrechnern mit anderem Betriebssystem oder dem Teilen des Internetzugangs per WLAN in einer WG zustandekommen.

Und so sah sich der eco inzwischen zu einer Klarstellung genötigt. Zumal sich bereits etliche Stimmen aus der Politik kritisch zu den bürgerrechts- und datenschutzbezogenen Folgen des  Vorhabens geäußert hatten. Was auch zeigt, wie skeptisch und dünnhäutig die Menschen nach fortwährenden internetpolitischen Angriffen auf ihre Freiheiten im Netz inzwischen geworden sind.

So erläuterte Gisela Piltz (FDP) Heise online: „Natürlich ist es richtig und notwendig, die IT-Sicherheit zu verbessern, Spam zu bekämpfen und Malware aufzuspüren. Allerdings muss man sich schon einmal fragen dürfen, ob es eine staatliche Aufgabe ist, Steuergelder für ein Call-Center zum IT-Support bereitzustellen“. Es gebe ja auch keine staatlich finanzierte Hotline für Probleme mit dem eigenen Auto.

Stefan Krempl von Heise online weiter über Frau Piltz:

Die Innenpolitikerin machte zudem deutlich, dass auch im Kampf gegen infizierte Computer von Heimanwender der Datenschutz gewahrt bleiben müsse. „Eine generelle Überwachung des Internet-Datenverkehrs darf es nicht geben, dies ist auch im Koalitionsvertrag vereinbart“, betonte Piltz. Das mögliche Kappen von Netzzugängen oder eine Beschränkung des Internetzugangs allein auf eine Warnseite sei ein gravierender Grundrechtseingriff, der für die Liberalen nicht denkbar sei. Es sei rechtlich auch höchst fragwürdig, ob derartige Eingriffe über die Allgemeinen Geschäftsbedingungen verhältnismäßig wären. Eine potenzielle Pflicht zum Schutz gegen PC-Viren hält Piltz zudem genauso für unmöglich wie ein Kino- und Theater-Verbot für Menschen mit Erkältung.

Daher forderte die Piratenpartei die Regierung bereits dazu auf, bei dem geplanten Projekt auf gesetzliche Sanktionen zu verzichten.

Es ist daher gut möglich, dass die „Deutsche Anti-Botnetz-Initiative“ rasch wieder dorthin verschwindet, wohin bereits zahlreiche netzpolitische Vorhaben der Kategorie „gut gemeint – nichts dabei gedacht“ hin verschwunden sind: Ins politische dev0-Device bzw. die Rundablage.

Metasploit Framework in neuer Version 3.3 erschienen

Das Metasploit-Projekt hat die neue Version 3.3 seiner gleichnamigen Plattform für Pen-Tests bereit gestellt. Das aktuelle Release enthält mehr als 440 neue Exploit-Module, 216 weitere Hilfsmodule und ermöglicht die Fernsteuerung von Rechnern über einen eingebauten VNC-Dienst. Außerdem unterstützt die neue Version nun auch IPv6 und kann zur Prüfung von Sicherheitslücken in Microsofts neuem Flaggschiff Windows 7 eingesetzt werden.

Seit der letzten, vor etwa einem Jahr veröffentlichten, Version wurden etwa 180 bekannte Fehler korrigiert, so das Sicherheitsforscher H.D. Moore darin eine der am intensivsten getesteten Versionen des bekannten Tools sieht. Moore hatte das Metasploit-Projekt 2003 ins Leben gerufen und seine Firma Rapid7 hatte kürzlich die Betreuung des Open-Source–Projektes (BSD-Lizenz) übernommen.

Auf Bugtraq wurde dazu von H.D.Moore eine Mail veröffentlicht, in der er die verschiedenen systemspezifischen Erweiterungen und Verbesserungen der Metasploit-Plattform ausführlich erläutert.

Metasploit Framework ist ein Werkzeug für Penetrationstester, die im Auftrag von Unternehmen oder Prüfgesellschaften die Sicherheit von Netzwerken oder Anwendungen prüfen. Es enthält eine umfangreiche Sammlung von Exploits in Form geskripteter Module, die bekannte Sicherheitslücken in Programmen und Rechnersystemen ausnutzen. So kann ein Penetrationstester fehlende Sicherheitspatches und unzureichende Schutzvorkehrungen finden sowie die Angreifbarkeit von Systemen dokumentieren.

Die offene Verfügbarkeit macht die Exploit-Sammlung auch für privat am Thema Exploits und Security Interessierte sowie für Admins und IT-Experten in Unternehmen interessant. Schon um sich mit dem Stand der Technik beim Thema Pen-Testing und Exploits zu befassen.

Nützlich ist Metasploit vor allem, wenn man einen Rechner „härten“ und das auch austesten will. Metasploit ist auch nützlich, um die Güte eines heuristischen Malware-Scanners zu prüfen. Ein guter Scanner sollte zumindest einige Teile des Pakets als „potentiell gefährlichen Code“ identifizieren können. Erfahrungsgemäß gibt es bei Viren- und sonstigen Scannern große Qualitätsunterschiede bei der heuristischen Schadcode-Erkennung.

Großer Kreditkartenrückruf nach Datenleck im Rechenzentrum

Mal wieder rauscht ein größerer Datenskandal durch den Blätterwald. Banken lassen Zehntausende Kreditkarten ihrer Kunden einziehen und austauschen, weil die Kartendaten in die Hände von professionellen Gaunern gefallen waren. „Die Austauschaktion betrifft alle Banken in Deutschland gleichermaßen“, so ein Sprecher des Zentralen Kreditausschusses (ZKA), der Dachorganisation der Banken. Doch was ist tatsächlich geschehen?

Ein Großteil der betroffenen Kreditkarten wurde in den letzten Monaten in Spanien benutzt. Dort liefen die Kartentransaktionen über einen sog. „Prozessor“, d.h. einen externen Dienstleister zur Zahlungsabwicklung. Anscheinend gab es dort ein Datenleck, durch das Kartendaten abgezogen wurden. Unklar ist derzeit, um welches Unternehmen es sich handelt und wie die Kartendaten gestohlen wurden. Auf entsprechende Nachfragen der Presse reagieren die Banken nicht oder verweisen auf noch offene Verfahren.

Es können aber auch Kreditkarten betroffen sein, die in Deutschland benutzt wurden, wenn der Handelspartner seinen Zahlungsverkehr über spanischen Dienstleister abgewickelt hat. Insbesondere bei Großunternehmen gibt es den Trend, Dienstleistungen wie den Zahlungsverkehr zu zentralisieren, um bei Zahlungsabwicklern Volumennachlässe zu erhalten.

Obwohl es bereits in den letzten Monaten mehrmals Probleme und Rückrufaktionen mit Kartendaten gab (z.B. im Oktober als die KarstadtQuelle Bank 15.000 Karten austauschen lies), scheinen die Banken vom Ausmaß des Angriffs überrascht zu sein. Tatsächlich agieren Cyber-Kriminelle bereits seit Jahren immer professioneller und trickreicher. Sie machen sich die Hauptschwäche moderner Geschäftsprozesse zunutze: Die Komplexität, die durch das Zusammenwirken zahlreicher Dienstleister, Subunternehmer und Outsourcing-Partner entsteht. Da große Unternehmen seit Jahren danach streben, ihre Fertigungstiefe durch Auslagerungen und Fremdvergabe an Dritte zu verringern, sind komplexe Wertschöpfungsnetzwerke und Prozess entstanden, die – im Gegensatz zu komplexen Maschinen und Anlagen – oftmals kaum einer einheitlichen Qualitätssicherung unterliegen. Und oftmals auch kein einheitlich hohes Sicherheitsniveau über die ganze Prozesskette und alle beteiligten Firmen hinweg gewährleisten können.

Mit Hilfe der entwendeten Daten könnten die Datendiebe Karten fälschen und mit ihnen einkaufen oder die Datensätze weiterverkaufen. Die Kreditinstitute halten dagegen, indem sie Kartenkonten zum Teil verhaltensbasiert überwachen (ungewöhnliche Transaktionen an ungewöhnlichen Orten oder zu ungewöhnlichen Zeiten) und eine Karte auch schon mal vorbeugend sperren, bis der Kunde anruft.

Den Kartennutzern entsteht zwar meist kein konkreter Schaden, da sie jede über ihre Karte laufende Transaktion nachträglich rückgängig machen können. Der Reputationsschaden der Kreditinstitute durch Vertrauensverluste in das Zahlungssystem Kreditkarte sowie in die dahinterstehende Arbeitsteilung dürfte aber beträchtlich ausfallen.

Gleichzeitig zeigt dies, dass sich IT-Sicherheit zwar durch Auslagerung (z.B. als Managed Security Services über ein externes Security Operations Center) stärken lässt. Das dies aber kein Ersatz für eine interne Beherrschung aller Geschäftsprozesse einschließlich deren Absicherung und Qualitätssicherung ist. Zudem rückt so beim Thema Kreditkarten die konkrete Abwicklung der Kartenzahlungen ins Licht der Öffentlichkeit. Denn während die Banken Kreditkarten offensiv bewerben, haben sie große Teile der Zahlungsabwicklung an Dritte vergeben, ohne dass dies den Kunden wirklich klar ist. Die vertrauen so ihrer Bank, leiten ihre Daten aber bei jedem Bezahlen mit der Kreditkarte über ein ihnen unbekanntes anonymes Rechenzentrum irgendwo auf der Welt. Globalisierung eben.

Ein Kaffee von Microsoft

Microsoft unterstützt Ermittlungsbehörden bei der Bekämpfung von Computerkriminalität. Beispielsweise durch die Entwicklung von Analysewerkzeugen für forensische Untersuchungen an beschlagnahmten Rechnern. Im Idealfall soll ein Ermittler nur noch einen USB-Stick mit vorinstallierter Software an einen zu untersuchenden PC anstecken und automatisch werden wichtige Systemdaten zusammengesucht, aufbereitet und auf dem Stick gespeichert – Bundestrojaner zum Mitnehmen für den Einsatz vor Ort gewissermaßen.

Genau das leistet ein Produkt von Microsoft, das offiziell nur an Strafverfolgungsbehörden abgegeben wird und für diese kostenlos ist: Der „Computer Online Forensic Evidence Extractor“ (COFEE).

Damit soll die Lücke zwischen den Kenntnissen krimineller Anwender und denen ermittelnder Beamter vor Ort geschlossen werden. Wenn Computer beschlagnahmt werden, müssen sie dazu meistens ausgeschaltet, abgebaut und zur forensischen Laboruntersuchung mitgenommen werden. Dadurch geht aber bereits wertvolles Beweismaterial verloren, wenn Speicherstände verschwinden, temporäre Dateien geschlossen und Verbindungen zurückgesetzt werden. Cofee soll es Ermittlern ohne IT-Fachwissen ermöglichen, diese Beweise direkt vor Ort am laufenden Rechner zu sichern.

Naturgemäß hatte die weltweite Hacker-Community ein großes  Interesse an dem Tool, schon um seine tatsächliche Leistung experimentell ausloten zu können. Daher war es auch nur eine Frage der Zeit, bis es durch undichte Stellen in eine Tauschbörse hineinleakte.

Dort fischten es die stets neugierigen Tester von Heise Security heraus und untersuchten es gründlich. Das Ergebnis war eher ernüchternd, zumal Cofee auch nur mit Windows-Versionen bis XP läuft und aus Linux-Rechnern gar nichts herausbekommt:

COFEE startet via Autorun direkt beim Anstecken des USB-Sticks und führt dabei ein Kommandozeilenskript aus. Tools wie whoami, autoruns und so weiter erstellen dabei einen Schnappschuss mit Basisinformationen, die danach für den Web-Browser hübsch aufbereitet werden. Raffinierte Tools, um etwa gelöschte Dateien oder anderweitig versteckte Informationen wiederherzustellen fanden sich nicht in der Sammlung. Der eigentliche Mehrwert liegt in der einfachen Bedienbarkeit und dem Schwerpunkt darauf, Beweise zu erheben, die auch vor Gericht stand halten.

Tatsächlich ist die Software in erster Linie eine besonders bequeme Möglichkeit, etliche zum Teil betriebssystemeigene Analyse-Werkzeuge direkt hintereinander ablaufen zu lassen und ihre Ergebnisse gesammelt in eine Datei auf dem USB-Stick zu schreiben. Allerdings könnte die Toolsammlung jederzeit erweitert und verbessert werden. So wie es die Heise-Autoren ja regelmäßig mit ihrer frei verfügbaren Version des ct‘-Helpers tun, mit dem jeder interessierte PC-Nutzer ganz ähnliche Dinge tun kann, wie es den Forensikern mit Cofee versprochen wird.

Und darin steckt auch das größte Risiko von Cofee. Wer es sich der Neugier halber aus einer Tauschbörse zieht und ausprobiert, kann nicht wissen, was die Verbreiter daran verändert und an Schadcode eingebaut haben. Jederzeit könnten ein paar zusätzliche Dinge eingebaut, Hintertüren geöffnet und Rootkits reingeschmuggelt worden sein, die tatsächlich Daten vom Rechner saugen. Allerdings nicht für die Polizei sondern für kriminelle Datendiebe im Internet. Und da Microsoft dieses Tool für Privatnutzer offiziell gar nicht anbietet, sind von dort auch weder Hilfen noch Sicherheitspatches zu erwarten.

Von diesem „Käffchen“ sollte man daher besser die Finger lassen.

Zur Befriedigung von experimenteller Neugier sind freie Toolsammlungen wie der ct-Helper allemal besser geeignet.

40% aller WLAN-Netze in Deutschland sind schlecht gesichert

Zu diesem Ergebnis kam die „PC-Feuerwehr“ eine als Franchise-System bundesweit tätige Firma, die u.a. einen PC-Notdienst für Privat- und Geschäftskunden anbietet. Techniker der Firma waren bundesweit in Wohn- und Gewerbegebieten unterwegs und prüften dort den Verschlüsselungsstatus erreichbarer WLAN-Funknetze (Wardriving). Dabei fanden sie im Durchschnitt etwa 11% komplett offene (unverschlüsselte) WLAN-Netze sowie weitere gut 30%, die lediglich mit dem veralteten und bereits seit Jahren als unsicher geltenden Verschlüsselungsstandard WEP „geschützt“ waren.

Sein WLAN gar nicht oder nur zum Anschein zu schützen kann unangenehme Folgen haben.  So ist die Privatsphäre aller Benutzer gefährdet, weil über das unsichere drahtlose Netz ihr gesamter unverschlüsselter Datenverkehr komplett mitgelesen werden kann. Aber auch wenn andere über das Netz Illegales treiben steht der Betreiber des WLAN-Routers über die sog. „Störerhaftung“ mit in der Verantwortung und muss für juristische Konsequenzen geradestehen.

Bei der Absicherung der Netze gibt es den PC-Feuerwehrlern zufolge beträchtliche regionale Unterschiede. So sollen in Bad Schwartau um die 40% der WLANs unverschlüsselt sein. Zu den sichersten Städten zählt dagegen Darmstadt mit nur rund 5% unverschlüsselten Netzen. Was auf Gulli.com zu der Vermutung führte, dass die in dieser Region stark durch Unternehmen, Forschung und Lehre vertretene IT-Sicherheit sich dort positiv auf die allgemeine Awareness der Betreiber und Nutzer auswirkt. Die „rote Laterne“ hinsichtlich WLAN-Sicherheit trägt die Stadt Bad Schwartau davon. Dort fanden die Techniker 40 Prozent aller WLANs ungesichert vor.

Nichtsdestotrotz nimmt das Bewusstsein für Sicherheit in Deutschland weiter zu. Denn die PC-Feuerwehr führt diese Überprüfung der Sicherheitsstandards bereits seit fünf Jahren jährlich durch. Vor vier Jahren fand man noch 36 Prozent aller WLANs ungeschützt vor.

Und inzwischen werden WLAN-Router für den privaten Internetzugang meist mit voreingestellter starker Verschlüsselung ausgeliefert, sodass diese nicht erst manuell aktiviert werden muss (was manchem Nutzer gar nicht klar ist).

„Trotzdem spüren wir in der täglichen Arbeit immer noch Unsicherheiten bei unseren Kunden, wie sie sich und ihren Computer gegen ungewollten Missbrauch schützen können“, weiß Geschäftsführer Michael Kittlitz aus der Praxis seines bundesweit tätigen PC-Notdienstes zu berichten.

Dazu hat die PC-Feuerwehr eine Checkliste mit folgenden Empfehlungen erstellt:

1. Im WLAN-Router überprüfen, was als Verschlüsselungsprotokoll voreingestellt ist. Falls da WEP oder gar nichts drinsteht, die bessere Verschlüsselung WPA2 (oder eine andere verfügbare) einstellen.
2. Bei einem neuen WLAN-Router sollte das voreingestellte Passwort sofort geändert werden und aus mindestens acht (besser noch mehr) Zeichen – Zahlen, Buchstaben sowie Sonderzeichen – bestehen. Man sollte dieses Passwort regelmäßig ändern. Es ist der Generalschlüssel zum eigenen Netz.Die Stärke des Passwortes, gemessen an allgemeinen Gütekriterien, kann man auf http://passwortcheck.pc-feuerwehr.de/ testen lassen.
3. Die Fernkonfiguration der WLAN-Einstellungen sollte man möglichst deaktivieren. Dadurch entledigt man sich einer potentiellen Sicherheitslücke, ohne auf täglich benötigte Funktionalität zu verzichten.
4. Das Funknetz kann ohne Bedenken abgeschaltet werden, wenn es gerade nicht benötigt wird, z.B. über eine Steckerleiste. Problematisch wird das allerdings, wenn z.B. auch die Telefonanlage mit dranhängt (Kombigeräte) oder der WLAN-Zugang dauerhaft online sein soll (z.B. in Wohngemeinschaften).
5. Die Techniker der PC-Feuerwehr fanden heraus, dass 26 % der WLANs auf Funkkanal sechs, 24% auf Kanal elf und 18% auf Kanal eins liegen. Diese starke gemeinsame Nutzung weniger Kanäle führt in dicht besiedelten Gegenden oft zu langsamen Internetverbindungen oder Störungen. Deshalb empfehlen sie Kanal zehn, vier oder fünf zu nutzen. Diese werden nur von knapp zwei Prozent der Betreiber genutzt.

Coverity-Report: Open-Source-Software wird immer besser

Coverity, ein Anbieter von Werkzeugen zur Codeanalyse, gibt seit 2006 den „Coverity Scan Open Source Report“ (PDF, 2,8 MB) heraus, indem jährlich über die Entwicklung der Softwarequalität von quelloffener Software berichtet wird.

Die Ergebnisse basieren auf einer über drei Jahre gehenden Analyse von 60 Millionen Zeilen Code aus 280 Open-Source-Projekten, darunter Firefox, Linux, PHP, Ruby und Samba. Sie basieren auf Coveritys Scan-Service den die Firma OS-Entwicklern In Kooperation mit der Stanford University und in Zusammenarbeit mit dem US Department of Homeland Security kostenfrei anbietet. Ziel ist es, die Qualität von quelloffener Software grundsätzlich durch formalisierte Qualitätssicherung anzuheben. Nicht zuletzt deshalb, weil die US-Behörde in ihrer National Cyberspace Strategy (PDF, 0,5 MB) u.a. die Ziele der Aufdeckung vorhandener Qualitätsmängel und Sicherheitslücken in verbreiteten Softwaresystemen sowie die Entwicklung von Systemen mit einer geringerer Anzahl an Mängeln verfolgt.

So kam Coverity für 2008/09 zu dem Ergebnis, dass die Integrität, Qualität und Sicherheit von quelloffenem Code weiter zunimmt. Man fand seit 2006 mehr als 11.200 Fehler, die der Scan-Service in 180 zur Prüfung eingereichten Programmen entdeckt hat und die daraufhin beseitigt werden konnten. Insgesamt sieht die Firma einen Rückgang von 16 Prozent der in statischen Analysen festgestellten Fehler.

Coverity legt seiner Prüfung ein eigenes Reifegradmodell zugrunde, anhand dessen es geprüfte Software klassifiziert und zertifiziert. 144 Projekte laufen zurzeit in der ersten Stufe, 36 in der zweiten. Auf der höchsten Stufe finden sich derzeit vier OS-Projekte, darunter die Programmiersprache Ruby, der Samba-Server und das TOR-Netzwerk.

Insgesamt könne ein kontinuierlich steigendes Qualitäts- und Sicherheitsniveau im Bereich der Open-Source-Software festgestellt werden, so die Softwareprüfer. Die Entwickler in den OS-Ptrojeten treiben das Thema Softwarequalität aktiv voran. Die am häufigsten auftretenden Fehler der teilnehmenden Projekte waren über die Jahre hinweg NULL-Pointer-Variablen, Ressourcenlöcher und unabsichtlich nicht beachtete Expressions. Etliche OS-Projekte erreichten bereits den Status „defect-free“, d.h. man fand gar keine Fehler mehr.

Daneben bietet Coverity auch eine auf den Qualitätsprüfungen basierende Architekturbibliothek an, in der Architekturdaten von Anwendungen sowie Diagramme zu über 2500 Open-Source-Projekten frei zugänglich hinterlegt sind. Die Architektur-Bibliothek soll Entwicklern zugutekommen, die quelloffene Software in ihre eigenen Applikationen integrieren wollen und dazu die Architektur bekannter Projekte studieren möchten, um ein tieferes Verständnis der Struktur und zu den Fähigkeiten der Software zu erhalten. Sie kann ebenso bei Sicherheits- und Qualitätsaudits als Referenz herangezogen werden. Die Informationen werden unter einer Creative-Commons-Lizenz (CC-BY) bereitgestellt.

Backtrack 4 – Das Hacker-Linux auf der Heise-CD

Vor einigen Tagen erschien das diesjährige ct-Sonderheft Security. Es bietet ein sattes Paket an Informationen, Anwendungen und Hilfestellungen zum Thema IT-Sicherheit. Thematisiert werden u.a. der Kampf gegen Viren, bedrohte Privatsphäre, Verschlüsselung, sicheres Surfen, gefahrloses Online-Banking und die Suche nach Schwachstellen in der IT-Infrastruktur.

Für letzteres liegt eine DVD bei, die unter anderem eine bootbare Version von Backtrack 4 enthält.  Dabei handelt es sich um das BackTrack 4 Pre Final Kernel Update, das auf remote-exploit schon seit einiger Zeit als Pre Release in der Fassung pwnsauce Pentesting and Auditing Verrszum Download bereitsteht. Technisch steckt ein Ubuntu-8.10-Linux als Basis dahinter. Enthalten sind etwa 300 Tools für Sicherheitsexperten und Datenforscher. Sie sind im Backtrack-System als Menüstruktur angelegt, die sich am Arbeitsablauf eines IT-Sicherheitsexperten orientiert.

Die zahlreichen Werkzeuge erfordern zum Teil profundes Security-Fachwissen, so dass ich mich in manches erst einarbeiten muss. Dafür aber ist die bootbare CD (oder ein aus dem Internet gezogenes ISO-Image) bestens geeignet. Man kann mit dem System herumexperimentieren ohne eine bestehende Systeminstallation zu gefährden. Faszinierend, dass eine so umfangreiche und mächtige Werkzeugsammlung legal kostenlos zu haben ist.

Ein entsprechend angepasstes Repository an Software ermöglicht es, vorhandene Applikationen zu aktualisieren oder neue nachzuinstallieren. Freilich erst dann, wenn man das System tatsächlich auf einem Rechner installiert.

Warum hat eigentlich noch niemand ein Backtrack-Buch geschrieben? Wo doch sonst jede Linux-Distribution mit (mindestens) einem eigenen Fachbuch bedacht wird.

Kopiergeschützte Produkte verkaufen kann teuer werden

Vor einigen Jahren sorgte Sony für viel Ärger als man dort auf die schräge Idee kam, Musik-CDs mit einen auf Schadsoftware basierenden Kopierschutzverfahren (XTP – extended copy protection) auszuliefern. Wer eine solche CD auf einem Computer abspielen wollte, musste dazu einen proprietären Player installieren, der dem Rechner u.a. ein Rootkit unterschob. Zumal es rasch Exploits und Trojaner gab, die das Sony-Rootkit für eigene Zwecke nutzten. Der Einsatz von XTC  zog weltweit Klagen und Prozesse gegen Sony nach sich, so dass andere Firmen die Finger von der Idee des Einsatzes von Schadsoftware zum Zwecke der Rechtedurchsetzung ließen.

Doch damit ist das Problem nicht vom Tisch. Denn kürzlich verkaufte ein CD-Fan eine solche Schad-CD von Sony und verursachte so ungewollt die Verseuchung eines Rechnernetzes mit Schadsoftware des Typs „rootkit.b“.

Als Folge davon forderte der CD-Käufer vom Verkäufer Schadensersatz in Höhe von 1.500 € für die Wiederinstandsetzung von drei verseuchten Rechnern, Wiederherstellung von Daten, nötige Zuarbeiten durch einen IT-Spezialisten sowie Anwaltskosten und einen durch die Störung entgangenen Gewinn als Freiberufler. Das Amtsgericht Hamburg-Wandsbek verurteilte den Wiederverkäufer der Schad-CD letztlich dazu 1.200 € zu zahlen (Az. 712 C 113/08).

Vor allem in der ersten Hälfte des Jahrzehnts setzte die Musikindustrie großflächig „Kopierschutztechnologien“ ein, von denen sich das Sony-Rootkit am tiefsten in Windowssysteme einnistete. Aber auch einige andere Verfahren versuchten, ohne Wissen des Nutzers Software zu installieren oder Konfigurationen zu verändern, was teilweise zu Funktionseinschränkungen, Sicherheitslücken und diversen anderen Problemen führte. Inzwischen sind „technische Schutzmaßnahmen“ solcher Art, für welche die Rechteverwerter sogar eine EU-Richtlinie und ein Verbot von „Umgehungsmethoden“ im deutschen Urheberrecht erwirkten, zumindest bei Musik-CDs seltener anzutreffen.

Um es klar herauszustellen: Kopierschutzmethoden, die die Verwendbarkeit von Produkten einschränken (fehlende Gebrauchstauglichkeit) oder gar Abspielgeräte des Kunden schädigen, sind Sachmängel und berechtigen den Kunden zur Rückerstattung des Kaufpreises (Umtausch gegen ein mängelfreies Produkt ist i.d.R. ja nicht möglich). Solche Produkte sind im Grunde genommen „defective by design“, d.h. Ausschussware.

Es sein denn der Verkäufer weist klar auf die Nutzungsvoraussetzungen und Defekte hin. Dann darf auch ein schadhaftes Produkt legal verkauft werden. Das genau hatte der CD-Verkäufer nicht getan und deswegen bekam er den Ärger.

So sieht § 95d des Urheberrechts vor, dass Werke, die mit technischen Maßnahmen geschützt werden, sind deutlich sichtbar mit Angaben über die Eigenschaften der technischen Maßnahmen zu kennzeichnen sind.  Aber auch dann haftet ein Verkäufer auf Basis von Schuldrecht und Vertragsrecht sowie dem Produkthaftungsgesetz immer für Schäden, die sein Produkt bei bestimmungsgemäßer Nutzung anrichtet.

Es empfiehlt sich daher, grundsätzlich auf den Kauf kopiergeschützter Produkte zu verzichten. Dort wo das nicht möglich ist, sollten die Produkte nach dem Erreichen des Endes ihres Lebenszyklusses nicht weiterverkauft sondern entsorgt werden. Auf die Nutzung kommerzieller Unterhaltungsprodukte auf betrieblich genutzten Produktivsystemen sollte gänzlich verzichtet werden.