bookmarks  22

  •  

     
  •  

     
  •  

     
  •  

     
  •  

    Das Fraunhofer-Institut für Sichere Informationstechnologie hat mit CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala etliche Cloud-Speicherdienste ...
    13 years ago by @jaeschke
     
     
  •  

     
  •  

     
  •  

    When the new version of BibSonomy is released, your old cookie is no longer valid and you need to login again.
    14 years ago by @jaeschke
     
     
  •  

     
  •  

     
  •  

    Twitter recently transitioned to OAuth, but the social network's implementation of the new authentication system has some serious flaws. Ars shows how easy it was to compromise the secret key of Twitter's own official client application for Android.
    14 years ago by @jaeschke
     
     
  •  

    A Revised Taxonomy of Social Networking Data Lately I've been reading about user security and privacy -- control, really -- on social networking sites. The issues are hard and the solutions harder, but I'm seeing a lot of confusion in even forming the questions. Social networking sites deal with several different types of user data, and it's essential to separate them. Below is my taxonomy of social networking data, which I first presented at the Internet Governance Forum meeting last November, and again -- revised -- at an OECD workshop on the role of Internet intermediaries in June. * Service data is the data you give to a social networking site in order to use it. Such data might include your legal name, your age, and your credit-card number. * Disclosed data is what you post on your own pages: blog entries, photographs, messages, comments, and so on. * Entrusted data is what you post on other people's pages. It's basically the same stuff as disclosed data, but the difference is that you don't have control over the data once you post it -- another user does. * Incidental data is what other people post about you: a paragraph about you that someone else writes, a picture of you that someone else takes and posts. Again, it's basically the same stuff as disclosed data, but the difference is that you don't have control over it, and you didn't create it in the first place. * Behavioral data is data the site collects about your habits by recording what you do and who you do it with. It might include games you play, topics you write about, news articles you access (and what that says about your political leanings), and so on. * Derived data is data about you that is derived from all the other data. For example, if 80 percent of your friends self-identify as gay, you're likely gay yourself. There are other ways to look at user data. Some of it you give to the social networking site in confidence, expecting the site to safeguard the data. Some of it you publish openly and others use it to find you. And some of it you share only within an enumerated circle of other users. At the receiving end, social networking sites can monetize all of it: generally by selling targeted advertising. Different social networking sites give users different rights for each data type. Some are always private, some can be made private, and some are always public. Some can be edited or deleted -- I know one site that allows entrusted data to be edited or deleted within a 24-hour period -- and some cannot. Some can be viewed and some cannot. It's also clear that users should have different rights with respect to each data type. We should be allowed to export, change, and delete disclosed data, even if the social networking sites don't want us to. It's less clear what rights we have for entrusted data -- and far less clear for incidental data. If you post pictures from a party with me in them, can I demand you remove those pictures -- or at least blur out my face? (Go look up the conviction of three Google executives in Italian court over a YouTube video.) And what about behavioral data? It's frequently a critical part of a social networking site's business model. We often don't mind if a site uses it to target advertisements, but are less sanguine when it sells data to third parties. As we continue our conversations about what sorts of fundamental rights people have with respect to their data, and more countries contemplate regulation on social networking sites and user data, it will be important to keep this taxonomy in mind. The sorts of things that would be suitable for one type of data might be completely unworkable and inappropriate for another.
    14 years ago by @jaeschke
     
     
  •  

    Last week, Diaspora — the OSS privacy-respecting social network — released a “pre-alpha developer preview” of their source code. I took a look out it, mostly out of curiosity, and was struck by numerous severe security errors. I then spent the next day digging through their code locally and trying to get in touch with the team to address them, privately. In the course of this, I mentioned obliquely that the errors existed on Hacker News, and subsequently was interviewed by The Register and got quoted in a couple of hundred places.
    14 years ago by @jaeschke
     
     
  •  

    Trojaner „stuxnet“ Der digitale Erstschlag ist erfolgt Fieberhaft arbeiten die besten Sicherheitsexperten der Welt an der Analyse eines völlig neuartigen Computervirus. Jetzt legen erste Indizien einen erstaunlichen Verdacht nahe: Offenbar hat die digitale Waffe das iranische Atomprogramm sabotiert. Von Frank Rieger DruckenVersendenSpeichernVorherige SeiteKurz-Link kopieren Artikel in Facebook mit anderen TeilenTeilenTwitter diesen ArtikelTwitter linkfurloneviewyiggwebnewswongdeliciousdigg In Bushehr steht eines der modernsten iranischen Atomkraftwerke, es wurde erst vor einem Monat in Betrieb genommenIn Bushehr steht eines der modernsten iranischen Atomkraftwerke, es wurde erst vor einem Monat in Betrieb genommen 22. September 2010 Auf den ersten Blick sah das kleine Programm aus wie Hunderte anderer Varianten von Schadsoftware, die jedes Jahr entdeckt werden, weil sie sich wie eine Seuche von Computer zu Computer verbreiten. Einzig verwunderlich war, dass es, um sich zu verbreiten, einen Fehler in Microsofts Betriebssystem ausnutzte, den zuvor noch niemand bemerkt hatte. In der Sprache der Branche nennt man so etwas einen „Zero Day Exploit“, einen Angriff, der besonders schlagkräftig ist, weil er seit null Tagen - also noch gar nicht - bekannt ist. Angreifbare Schwachstellen, die schon länger bekannt sind, werden meist vom Hersteller mit einem Software-Update behoben. Solange das noch nicht geschehen ist, können Antivirus-Programme, die täglich aktualisiert werden, Schadsoftware wie diesen Trojaner möglicherweise erkennen oder sogar am Einsatz hindern. Bei Trojanern handelt es sich um kleine Programme, die verdeckt die Kontrolle über einen Computer übernehmen können, so wie die antiken Krieger aus dem Holzpferd die Stadt Troja listig von innen eroberten. Durch das Netz verbreiten sich täglich Dutzende neue Varianten von Trojanern, meist geschrieben und benutzt von Kriminellen, die so versuchen, an Konto-Zugangsdaten oder Passwörter für Online-Spiele zu gelangen. Üblicherweise verwenden sie dafür durchaus erfolgreich ältere Sicherheitslücken. Hier soll der Trojaner wirksam werden: Die Steuerungszentrale des Kernkraftwerks Bushehr Hier soll der Trojaner wirksam werden: Die Steuerungszentrale des Kernkraftwerks Bushehr Das anfangs „LNK“ genannte Problemprogramm wäre normalerweise bald in Vergessenheit geraten, die Durchschlagskraft des Angriffes, der für die Verbreitung dieses spezifischen Trojaners genutzt wurde, jedoch war aufsehenerregend. Sie zeigte sich, wenn ein Nutzer einen infizierten USB-Stick in einen Computer steckte, auch wenn dieser mit den bisher üblichen, vom Hersteller verordneten Sicherheitsmaßnahmen gegen einen Angriff über die USB-Schnittstelle geschützt wurde. Es genügt, den USB-Stick einfach nur einzustecken, und die Schadsoftware wird auf dem Computer - ganz ohne Zutun des Benutzers - heimlich installiert. Und das nicht nur, wie sonst bei Trojanern vielfach üblich, auf einer bestimmten Windows-Version. LNK funktionierte einfach überall, vom uralten Windows 2000 bis zu den allerneuesten, als relativ sicher angesehenen Versionen Windows Vista Plus und Windows 7. Seltene Ballung von Angriffsmethoden Üblicherweise sind Schwachstellen, aus denen man so zuverlässig funktionierende Angriffe konstruieren kann, sehr selten zu finden und werden daher in der entsprechenden Szene für einige hunderttausend Dollar gehandelt. Die Käufer sind zum einen Computer-Sicherheitsberater, die Hersteller der betroffenen Software, aber auch Geheimdienste und Regierungsstellen. Wenn man versuchen wollte, ein Äquivalent in der Welt der physischen Waffen zu finden, wäre LNK eine Haubitze, angewendet in einer Situation, für die auch eine Pistole ausreichen würde. Dass jemand ein derart wertvolles Werkzeug nicht verkauft, sondern für möglicherweise kriminelle Zwecke verwendet, ist äußerst ungewöhnlich, da etwa das Ausspähen von Kontoinformationen auch mit weitaus weniger großkalibrigen Mitteln zu erreichen wäre. Zum Thema * Aus dem Maschinenraum (13): Sicherheit im Netz? Nur durch Vernetzung! * Krieg nach Zahlen * Die Afghanistan-Dokumente bei Wikileaks: Rohmaterial über den Krieg Die Neugier der Experten war geweckt. Bei der Analyse ergab sich ein Bild, ähnlich einer russischen Matroschka. Einmal über den USB-Stick auf den Computer gebracht, wird eine zweite Ebene im Programmcode des Trojaners aktiv, der ein kleines unauffälliges Programm tief in den Innereien des Betriebssystems installiert. Dazu wurde ein zweiter „Zero Day Exploit“ verwendet. Immer, wenn die Experten eine Schicht der digitalen Matroschka entfernten, trat eine weitere, gut gegen ihre Analysemethoden geschützte Schicht des Programmcodes zutage. Die Analysen sind auch nach wochenlanger Arbeit noch nicht vollständig abgeschlossen. Bisher förderte die Untersuchung vier großkalibrige „Zero Day Exploits“ zutage. Zusätzlich dazu wurden zwei gestohlene digitale Unterschriften verwendet. Diese Signaturen dienen in modernen Betriebssystemen wie etwa Windows 7 dazu, dass zum Beispiel ein Hersteller von Graphikkarten die für seine Produkte nötige Software unterschreiben und damit bestätigen kann, dass sie echt und unschädlich sind. Das Betriebssystem prüft diese Unterschriften, um zu verhindern, dass sich Schadsoftware im sensiblen Inneren des Systems installieren kann. Die Schadsoftware, inzwischen „stuxnet“ getauft, kam gleich mit zwei verschiedenen dieser Signaturen daher, gestohlen bei zwei taiwanischen Hardware-Herstellern. Das Betriebssystem hielt das stuxnet-Programm für unschädlich - es wies ja die richtige Unterschrift auf - und ließ es gewähren. Diese Ballung und Qualität von Angriffsmethoden in einer einzigen Schadsoftware hatte es bis dahin nicht gegeben. Richtig nervös wurden die Experten und kurz danach diverse Regierungen, als klar wurde, wozu all dieser Aufwand getrieben wurde. Hobby-Hacker ausgeschlossen Die innerste Matroschka, die bisher analysiert wurde, enthält ein Programm zur gezielten Manipulation von Industrieanlagen. Großtechnische Anlagen werden heutzutage vollständig von Computern gesteuert. Industrielle Prozesse in Raffinerien, Chemie- oder Kraftwerken werden durch Computer so austariert, dass ihre Temperaturen, Drücke und Zusammensetzungen im kontrollierten, ungefährlichen Bereich gehalten werden. Software überwacht die Temperatur einer chemischen Reaktion und entsprechend auch Kühlung und Zufluss neuer Grundstoffe. Fehler und Manipulationen können zu ernsten Katastrophen führen. Die Herzen dieser Industrie-Computersteuerungen basieren häufig auf dem von Siemens entwickelten S-7-System. Es besteht aus vielen einzelnen Computer-Bausteinen, sogenannten speicherprogrammierbaren Steuerungen, kurz SPS. Sie überwachen jeweils eine Handvoll Messfühler - etwa elektronische Thermometer - und steuern Ventile, Motordrehzahlen oder den Durchsatz von Kühlwasserpumpen. stuxnet dient also einem einzigen Ziel: der verdeckten Installation einer Manipulationssoftware in einer Industrieanlage. Zwar gab es seit einigen Jahren Vorträge auf Sicherheitskonferenzen, in denen die Auswirkungen von Manipulationen dieser Industriesteuerungen - auch SCADA für „Supervisory Control and Data Acquisition“ genannt - diskutiert wurden, aber in der freien Wildbahn wurden solche Angriffe bisher nicht beobachtet. Nun kamen die spannenden Fragen: Gegen welche Anlagen richtet sich der Angriff? Wer steckt dahinter? Wo ist das eigentliche Ziel? Der Programmcode von stuxnet gibt einige spärliche Hinweise. Jede Industriesteuerung ist hochgradig individuell. Sie wird vom Erbauer aus Hunderten vernetzten Einzelkomponenten zusammengestellt, entsprechend den Anforderungen der konkreten Anlage. Industriesteuerungen haben standardisierte grafische Oberflächen, die dann in der Leitwarte den Zustand der einzelnen Prozesse visualisieren und für den Bediener Möglichkeiten zum Eingriff in das Geschehen bieten. Die Software für diese Visualisierung der Parameter und die zentralisierte Programmierung der einzelnen kleinen SPS-Steuercomputer heißt bei Siemens WinCC und läuft unter Windows. stuxnet sucht nun von einmal infizierten Computern aus gezielt nach den WinCC-Installationen im gesamten Netz. Über diese gelingt dem Schadprogramm dann der Sprung auf die eigentlichen SPS-Steuercomputer der Anlage. stuxnet könnte - hier ist die Analyse noch nicht abgeschlossen - auch die Visualisierung der Anlagenparameter manipulieren. Das würde dazu führen, dass die gezielten Veränderungen an den Einstellungen der Anlage für den Bediener gar nicht sichtbar werden. Er hätte keine Chance mitzubekommen, dass etwas schiefläuft, bevor es zu spät ist. Üblicherweise sind nur noch wenige „echte“ Messgeräte in Großanlagen installiert, die eine manuelle Überprüfung von Temperaturen oder Drehzahlen bieten. Die einzige Möglichkeit, alles im Blick zu behalten, sind die computerisierten Anzeigen. Und die wären im Falle der angegriffenen Anlage unter der Kontrolle der Schadsoftware. Der extreme Aufwand, der von den Autoren von stuxnet getrieben wurde, schließt Hobbyhacker oder lumpige Cyber-Kriminelle aus. Die Entwicklung sowie der Ankauf der notwendigen Angriffskomponenten in dieser Qualität und Zuverlässigkeit verursachen Kosten im siebenstelligen Euro-Bereich. Auf vielen Ebenen stellt stuxnet sicher, dass die Verbreitung absolut zuverlässig und unbemerkt vor sich geht. Am Ziel angekommen, also auf einer passenden Siemens-Industrieanlage, stellen umfangreiche Überprüfungen sicher, dass wirklich nur die spezifische Anlage, auf die stuxnet zielt, manipuliert wird. Auf allen anderen Anlagen passiert - trotz heimlichen Festsetzens des Trojaners - nichts. Die Angreifer verfügten also über hochpräzise Informationen zum Aufbau der Anlage und der darin verwendeten Software. Ohne exakte Kenntnisse der Konstruktionsdetails und der Art des Zusammenwirkens der einzelnen S-7-Komponenten wäre ein Angriff dieser Präzision unmöglich. Angesichts dieses Aufwandes bleiben als Autoren nur Nationalstaaten übrig, die über entsprechende Ressourcen verfügen, um eine derart hochgezüchtete Cyber-Waffe zu entwickeln und zu testen - und zwar, bis sie nahezu nebenwirkungsfrei ist. „Cyber-Kriege“ können aufgrund des nötigen langfristigen Entwicklungsaufwandes für die digitalen Angriffswerkzeuge de facto nur von Entitäten in der Größenordnung von Staaten geführt werden. Eine faszinierende Kette von Indizien Wer also könnte diese Präzisionswaffe entwickelt, wer sie eingesetzt haben? Mit letzter Sicherheit weiß das nur der Auftraggeber. Es ist eine Kerneigenschaft von Computer-Netzwerkangriffen, dass die Identifikation des Urhebers eines kompetenten Angriffes fast unmöglich ist. Letztlich gestaltet sich die Suche anhand der technischen Indizien als das Tasten durch ein großes Spiegellabyrinth, in dem es keine verlässlichen Bilder gibt. Ähnlichkeiten im Programmierstil, in der Art des Aufbaus der Software können manchmal Anhaltspunkte bieten, so, wie man einen bestimmte Graffiti-Sprayer finden könnte, indem man nach Sprühereien sucht, die einen verwandten Stil aufweisen. Doch das ist immer eine unscharfe Methode, die auf dem Bauchgefühl der beteiligten Experten beruht, die aus langer Erfahrung und Kenntnis darüber, wer über die Talente für so einen Angriff verfügen könnte, unscharfe Schlüsse ziehen. Auch bei der Suche nach dem möglichen Ziel des Angriffs ist man auf kleine Hinweise, zeitliche Korrelationen und Gerüchte angewiesen. Aus Gesprächen mit Insidern aus verschiedenen europäischen Ländern ergibt sich aber eine Indizienkette. Sechzig Prozent der Infektionen mit stuxnet wurden in Iran verzeichnet. Der Trojaner war so programmiert, dass er eigentlich im Januar 2009 aufhören sollte, sich weiter zu verbreiten. Offenbar durch Computer, auf denen das Datum nicht korrekt gesetzt ist - ein durchaus häufiges Vorgehen, um das Auslaufen von zeitgebundenen Software-Lizenzen zu umgehen -, verbreitete er sich trotzdem immer weiter, bis er schließlich entdeckt wurde. Ausgehend von Anfang 2009 als Aktionsdatum, ergibt sich eine faszinierende Kette von Indizien. Mitte Juli 2009 publizierte Wikileaks eine kryptische Notiz mit dem Hinweis eines Informanten aus Iran auf einen nuklearen Unfall in Natanz, der sich kurz zuvor ereignet haben soll. In Natanz wird ein Großteil des iranischen Urans mit Hilfe von Zentrifugen angereichert. Die BBC meldete zur gleichen Zeit, dass der Leiter der iranischen Atombehörde, Gholam Reza Aghazadeh, zurückgetreten sei. Schon damals gab es Spekulationen über ein Einwirken im Rahmen des klandestinen Antiproliferationsprogrammes, das westliche Geheimdienste seit Jahren gegen den Iran betreiben. Die Dienste versuchen durch allerlei Methoden, das iranische Atomprogramm zu behindern und zu verzögern. Statistiken, die aus Daten der Internationalen Atomenergiebehörde erstellt wurden, legen nahe, dass nach dem Frühjahr 2009 die Zahl der tatsächlich betriebenen Anreicherungszentrifugen in Iran deutlich abgenommen hat, trotz Installation von immer mehr Zentrifugen. Ereignisse im Frühjahr 2009 haben die Kapazität des iranischen Anreicherungsprogrammes offenbar nachhaltig beschränkt. War stuxnet womöglich der Auslöser? Anreicherungszentrifugen sind komplexe Präzisionsmaschinen, die eine sehr genaue Steuerung von Vakuum, Drehzahl und Gasfluss erfordern. Tausende Zentrifugen müssen in Serie geschaltet werden, um am Ende die nötige Anreicherung des spaltbaren Atommaterials zu erreichen. Ohne entsprechende Computersteuerung ist eine solche Anlage effektiv nicht zu betreiben. Die Analyse von stuxnet weist nun ein faszinierendes Detail auf: Ein Teil der Schadsoftware, die in die Steuerungsprozesse eingreift, scheint darauf ausgelegt, sich auf viele einzelne Steuercomputer in einem Netz zu verbreiten und die Schadensroutinen zeitlich zu synchronisieren. Der logische Weg zur Steuerung von vielen tausend Anreicherungszentrifugen ist es, jede mit einem kleinen separaten Steuercomputer zu versehen, der seine aktuellen Parameter über das Netz an die zentrale Überwachungseinheit meldet und von dort Kommandos empfängt. Das, was den Experten bisher über die Struktur der eigentlichen Schadenskomponente in stuxnet - der innersten Matroschka - bekannt ist, würde perfekt dazu passen. Mit den üblichen Mitteln ist eine Verteidigung nicht möglich Dass Iran gern Siemens-Industriesteueranlagen verwendet, ist aus verschiedenen Vorfällen bekannt, bei denen Exporte abgefangen wurden, die an Firmen gehen sollten, die dem iranischen Nuklearkomplex zugeordnet werden. Dass die Manipulation solcher Steueranlagen zu katastrophaler Sabotage genutzt werden kann, wurde spätestens im März 2007 klar, als ein Team am Idaho National Laboratory in den Vereinigten Staaten mit Hilfe eines Computerangriffes einen Kraftwerks-Stromgenerator im eigenen Labor gezielt zerstörte. Ein Video dieses Versuchs wurde im September des gleichen Jahres publik und löste eine kleine Welle von Panik angesichts der Verwundbarkeit der Infrastrukturen im Westen aus. Möglicherweise liegt hier auch die Keimzelle der Idee, das iranische Anreicherungsprogramm per Computerangriff zu sabotieren. Bleibt die Frage, wie die Angreifer in den Besitz der notwendigen Detailkenntnisse, inklusive Zugang zur Software der angegriffenen Anlage, kamen. Ohne perfekte Informationen über das Ziel wäre die aus der Analyse von stuxnet ersichtliche Schadensfunktion nicht realisierbar. Denkbar wäre, dass einer der diversen iranischen Überläufer, die in den letzten Jahren in den Westen kamen, die notwendigen Daten mitbrachte. Denkbar ist auch, dass die Informationen von Agenten vor Ort erlangt wurden. Der ungewöhnliche, aber spezifisch für stuxnet gewählte Verbreitungsweg legt nahe, dass für den Angreifer zumindest die Möglichkeit bestand, einen USB-Stick irgendwo im Umfeld der Zielanlage in einen Computer stecken zu lassen. Möglicherweise war der Informant auch in der Lage, die Blaupausen und Konfigurationsinformationen zu besorgen. stuxnet wird wohl als erste offensichtlich von einem Nationalstaat eingesetzte Cyberwaffe in die Geschichte eingehen. Einer der Gesprächspartner beschrieb Qualität und Aufwand der Erstellung des Trojaners mit den Worten: „So etwas bauen große Staaten zusammen, wenn die Alternative bei einem Misserfolg wäre, einen Krieg anzufangen.“ Mit den üblichen Mitteln der IT-Sicherheit ist eine Verteidigung gegen derartige Angriffsmethoden nicht möglich. Es lässt sich wohl kaum ausschließen, dass kritische Systeme nicht einmal mit einem potentiell infizierten USB-Stick - zum Beispiel mit einem Software-Update des Herstellers - in Berührung kommen. Die von den deutschen Energieversorgern dieser Tage vorgebrachten Beteuerungen, ihre Atomkraftwerke könnten auf keinen Fall durch einen Angriff in der Art von stuxnet manipuliert und mit möglicherweise katastrophalen Folgen konfrontiert werden, erscheinen angesichts der Qualität und Durchschlagskraft dieses Trojaners wie das Pfeifen im Walde. Die Kriterien zur Beurteilung der Sicherheit von Atomanlagen können sich zukünftig jedenfalls nicht mehr nur auf die Dicke von Betonhüllen und Tests der Elektrik beschränken. Text: F.A.Z. Bildmaterial: AP
    14 years ago by @jaeschke
     
     
  •  

    FOAF+SSL is a secure authentication protocol that enables the building of distributed open yet secure social networks.
    15 years ago by @jaeschke
     
     
  •  

     
  •  

    The RFID Security and Privacy Lounge references technical works related to security and privacy in RFID systems published in journals, conference proceedings, technical reports, thesis, eprints, and books. It is maintained and updated roughtly monthly by the UCL's Information Security Group in Belgium headed by Gildas Avoine.
    15 years ago by @jaeschke
     
     
  •  

     
  •  

    SSL Intro for techs; mini OpenSSL CA
    16 years ago by @jaeschke
     
     
  •  

     

publications  8  

  • ⟨⟨
  • 1
  • ⟩⟩