Ich liebe es ja immer wieder, extrem dumm und billig gemachte Versuche aus meinem Postfach (oder Spam-Folder) zu kramen, die mir irgendeinen “Passwort-Reset” unterjubeln wollen oder mich aus irgend einem dämlichen Grund dazu bewegen wollen, eine bestimmte Seite aufzurufen oder den Anhang zu öffnen. Bei wie vielen unterschiedlichen Banken ich schon alles Konten haben soll fasziniert mich ja schon seit langem, nun hab ich offenbar auch einen weiteren Facebook-Account auf einer weiteren eMail-Adresse. Zumindest behauptet das die Mail, die ich grad wieder amüsiert gelesen habe:

“Facebook Password Reset Confirmation! Important Message

Dear user of facebook,

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Thanks,
Your Facebook.”

Schon süß irgendwie.

Hoffentlich unnötig zu erwähnen, dass man den Anhang natürlich NICHT öffnet…

Popularity: 1% [?]

Der Bundesdatenschutzbeauftragte Peter Schaar hat wieder einmal eine Pressemitteilung veröffentlicht: Google-Street-View-Fahrten werden auch zum Scannen von WLAN-Netzen genutzt! Oh!

Aussage unter anderem:

“Nach gegenwärtigen Erkenntnissen ist davon auszugehen, dass neben der örtlichen Erfassung, dem Verschlüsselungsstatus der Geräte, der weltweit eindeutigen MAC-Adresse auch der vom Betreiber vergebene Name (sogenannte SSID) gespeichert wurde. Bei letzterer verwenden Privatpersonen nicht selten ihre Klarnamen oder andere auf sie hinweisende Informationen. Sowohl mit Blick auf die Benutzung des eigenen Namens als auch auf die Möglichkeit, die WLAN-Netze aufgrund ihrer örtlichen Lage Bewohnern von Häusern zuzuordnen, handelt es sich um die Erfassung und Speicherung personenbezogener Daten und deren Übertragung in die USA.”

Sacken lassen, kurz drüber nachdenken und – lachen.

Entschuldigung Herr Schaar, aber das, was sie da behaupten, ist einfach nicht korrekt. Aufgrund der Tatsache, dass ein WLAN-Netz im Umfeld von einigen Häusern empfangen werden kann, kann man nur eins erkennen: Dieses WLAN-Netz ist um Umfeld von einigen Häusern empfangbar. Mehr erst einmal nicht. Auf Details hierzu gehe ich weiter unten ausführlich ein.

Zudem kann ich die Behauptung, dass die Benutzung des eigenen Namens als SSID “nicht selten” sei, aus eigener Erfahrung und Praxis nicht mal ansatzweise bestätigen. Ich habe eher festgestellt, dass dieser Umstand sogar “extrem selten” ist. Viel wahrscheinlicher als den Namen des Besitzers als SSID eines WLANs wird man Namen wie beispielsweise “FritzBOX” oder dergleichen antreffen.
Im übrigen muss ich sagen: Wer tatsächlich seinen Namen als SSID seines WLANs nutzt, kann an seinem Fenster direkt ein großes Transparent “Hier wohnt Peter Müller” aufhängen. So viel dazu.

(Unter anderem) im Heise-Forum geht es nun wieder heiß her, es wird diskutiert und auf Google eingeprügelt, dass es eine wahre Pracht ist. Und dabei werden mit Unwahrheiten und technischem Halbwissen Szenarien konstruiert, dass einem schwindelig werden kann. Ich werde versuchen, aus mancherlei Geschwurbel mal die Inhalte heraus zu ziehen und die tatsächlichen Hintergründe zu erläutern.

Behauptung 1: Google kann anhand meiner SSID und der MAC-Adresse meines WLANs meinen Routern eindeutig mit den zu mir gesammelten Daten verknüpfen.

Das ist schlicht Unsinn. Was sehe ich denn, wenn ich mit einem WLAN-tauglichen Gerät mal nach verfügbaren WLANs scanne? Ich sehe die SSID, die MAC-Adresse und den Verschlüsselungsstatus. Das wars. Was kann ich mit diesen Daten nun anfangen?

Halte ich mich innerhalb des Empfangsbereiches dieses Netzes auf, kann ich versuchen, die (wahrscheinlich vorhandene) Verschlüsselung zu knacken. Dafür benötige ich aber nicht Google, dafür setze ich mich einfach irgendwo hin und lege los. Wenn ich für lau auf Kosten der WLAN-Betreiber ins Netz will, dann werde ich das an einem Ort tun, den ich bequem erreichen kann. Heutzutage gibt es sicherlich kaum einen Platz innerhalb einer Stadt, an der ich kein WLAN finden werde.

Aber kann Google diese Daten nun eindeutig einer Person zuordnen? Um es kurz zu machen: Nein.

Selbst wenn Google bereits jede Menge Daten über den Nutzer dieses WLAN-Routers gesammelt und gespeichert haben sollte, kann es diese Daten nicht mit der SSID und der MAC-Adresse eines WLAN-Routers in Verbindung bringen. Der Grund hierfür ist ganz einfach: Weder die SSID noch die MAC-Adresse des WLAN-Interfaces werden je von Google (oder jemand anderem im Netz) gesehen. Die SSID sieht noch Euer Notebook oder Handy, danach niemand mehr. Auch die MAC-Adresse des WLAN-Interfaces wird niemals an einen Anbieter eines Internetdienstes übertragen. Um das erschöpfend zu erklären, müsste ich jetzt das OSI-Modell erläutern und von Routing erzählen, wer da etwas mehr Hintergrundwissen erlangen möchte, mag einfach den Links folgen.

Wenn überhaupt eine MAC-Adresse Richtung Provider(!) übertragen wird, dann ist das die MAC-Adresse des Interfaces, welches direkt mit dem Provider verbunden ist. Beispielsweise das DSL-Interface. Spätestens beim Provider verschwindet diese Adresse aber wieder, sie wird für das Routing nicht mehr benötigt. Hier ist dann einzig Eure IP-Adresse des externen Interfaces interessant, die hat aber mit Eurem WLAN mal überhaupt nichts zu tun, eine Zuordnung ist unmöglich.
Und Google sieht von Euch: Eure IP-Adresse. Zuzüglich der Daten, die Ihr freiwillig im Internet preisgebt.

Behauptung 2: Google kann genau feststellen, wo sich mein WLAN-Router befindet und weiß dann, wo ich wohne.

Das ist gleich 2 mal Unsinn. Ich hatte eben bereits erläutert, warum Google (oder jemand anderes) ein WLAN-Netz keiner Person zuordnen kann (solange die betroffene Person nicht so selten dämlich ist, ihren Namen samt Anschrift als SSID zu verwenden).

Um aber den genauen Standort eines WLAN-Routers zu ermitteln, müsste man schon einen Schritt weiter gehen, als Google es tut. Technisch ist das ein alter Hut, das kann prinzipiell jeder mehr oder weniger genau mit ein paar Bauteilen aus dem Elektronik-Shop theoretisch problemlos tun. Aber Google tut es nicht, wie ich gleich erläutern werde.

Zur Standortermittlung eines Signals bedient man sich einer Peilung. Um möglichst verständlich zu erläutern, wie so etwas funktioniert, werde ich jetzt mal etwas “untechnisch”.

Nehmen wir an, auf einem Hügel steht ein Turm, den man aus großer Entfernung sehen kann. Um heraus zu finden, an welcher Position sich der Turm exakt befindet, gibt es 2 Möglichkeiten.
Variante 1: Ich nehme einen GPS-Empfänger, stelle mich in den Turm und sehe dann ganz genau, wo ich mich befinde und wo somit der Turm gebaut wurde.
Habe ich keine Möglichkeit, auch nur in die Nähe dieses Turms zu gelangen, bediene ich mich der Variante 2: Dazu nehme ich wieder den GPS-Empfänger in die Hand, dazu eine Karte. Nun bewege ich mich an einen Ort, von dem aus ich den Turm sehen kann. Hier schaue ich zunächst auf meinen GPS-Empfänger und sehe, wo ich mich befinde. Das zeichne ich in eine Karte mit einem Punkt ein. Nun ziele ich mit einem Kompass auf den Turm (dieses Zielen nennt man peilen) und merke mir die exakte Richtung. Diese kann ich nun als Linie, ausgehend von meinem aktuellen Standort, ebenfalls in meine Karte einzeichnen (die rote Linie in der folgenden Skizze). Wenn ich nun in die Karte schaue weiß ich: Der Turm befindet sich irgendwo auf dieser Linie.

Jetzt fahre ich einfach ein Stück um den Turm herum und wiederhole das Ganze, in der folgenden Skizze als grüne Linie dargestellt. Und nun stelle ich fest: Die beiden Linien kreuzen sich an einem bestimmten Punkt. Dieser Schnittpunkt ist der Standort des Turms. Für noch mehr Genauigkeit wiederhole ich das ein drittes Mal (blaue Linie). Dieses Verfahren nennt man übrigens auch Dreieckspeilung.

Übertragen wir das nun mal auf ein Funknetz wie beispielsweise ein WLAN, dann bedeutet das: Neben meinem aktuellen Standort muss ich zusätzlich auch noch die Richtung feststellen, aus der das Signal eintrifft. Genau das ist bei Funkwellen aber nicht ganz trivial, dafür gibt es spezielle Fahrzeuge. Die hierbei verwendete Spezialantenne ist drehbar und kann somit die Richtung, aus der das Signal am stärksten einfällt, feststellen. Damit wäre die Standortbestimmung eines WLAN-Routers/Accesspoint möglich. Nur: Das geht nicht im Vorbeifahren, hierfür muss sich das Fahrzeug eine gewisse Zeit an einem fixen Standort befinden, um genau einpeilen zu können.

Vergleichen wir nun den Peilwagen im obigen Bild mal mit einem dieser Fahrzeuge: Klick hier. Na, irgendwo eine vergleichbare Antenne zu finden? Eben, nix da.

Nun wird einfach zur Sicherheit behauptet: Braucht Google nicht, anhand der Signalstärke können die errechnen, wo sich der Sender befinden muss. Bis auf wenige Zentimeter genau. Tjaaa…ganz falsch ist das natürlich nicht. Aber eben auch nicht richtig.

Um anhand der Signalstärke an verschiedenen Orten errechnen zu können, muss man folgende Faktoren kennen: Mit welcher Leistung sendet der Sender das Signal überhaupt aus? Und wie breitet sich das Signal in der Umgebung aus?

Letzteres weiß man, wenn man sich auf einer freien Fläche befindet und irgendwo dort steht der Sender. Dann weiß man anhand der physikalischen Gesetzmäßigkeiten, wie stark das Signal in Entfernung zum Sender abnimmt. In einer Stadt ist genau das aber unmöglich zu bestimmen. Jedes Material schirmt die Signale unterschiedlich stark ab. Denkbar ist also, dass ein Signal in 2km Entfernung stärker zu empfangen ist als aus einer anderen Richtung in 100m Entfernung. Weil sich eben bei der 2. Messung ein Gebäude dazwischen befindet, welches die Signale wesentlich stärker abschirmt, als andere. Und schon sind die Messwerte nichts mehr wert.

Wir sehen also: Die Behauptungen sind wieder einmal Blödsinn. Nur, weil man irgendwo mal etwas aufgeschnappt hat, meinen nun manche, daraus ganz schlimme Szenarien konstruieren zu können. Ich denke ich habe gezeigt, dass da mehr Paranoia als Sachverstand im Spiel ist.

Wozu benötigt nun aber Google die Daten, die beim scannen der WLANs gesammelt werden?

Die Antwort ist ganz leicht: Die gesammelten Daten ermöglichen es, eine Standortbestimmung ganz ohne GPS durchzuführen.

Wenn ich an verschiedenen Punkten immer wieder überprüfe, welche WLANs mit welcher Signalstärke empfangen werden können, dann kann ich mit diesen Daten ziemlich exakt meinen eigenen Standort bestimmen, sofern exakt diese Informationen zuvor gespeichert wurden. Jeder Punkt innerhalb einer Stadt hat ein gewisses Schema, eine Art Fingerabdruck. Ich stehe beispielsweise mit dem Notebook vor meiner Haustür und stelle fest: Hier empfange ich die folgenden 8 WLAN-Netze, jedes mit einer ganz bestimmten Signalstärke. Jetzt gehe ich 50 Meter weiter und stelle fest: Es hat sich etwas geändert. Die Signalstärke der einzelnen Netze ist anders, 2 empfange ich hier nicht mehr, dafür ist ein neues hinzu gekommen. Speichere ich diese beiden Ergebnisse zusammen mit meiner aktuellen Position ab, kann ich später erkennen, wann ich mich wieder an dieser Position befinde. Ich kann also ziemlich exakt orten, wo ich mich gerade aufhalte, unabhängig davon, ob ich einen GPS-Empfänger besitze oder nicht. Ich kann allerdings nicht feststellen, wo sich die Sender befinden. Ich weiß nur, wo ich sie empfangen kann.

Dieses Verfahren ist nicht mal neu. Diverse Smartphones nutzen es bereits seit Jahren, allen voran das iPhone. Huch, Apple macht das auch? Dann kann es ja nicht schlimm sein… *hust

Schlimm finde ich an dieser Stelle, dass Peter Schaar sich nicht mal vernünftig informiert, bevor er eine solche Pressemitteilung verfasst. Mindestens seit 2008 ist bekannt, dass die Streetview Cars auch die Handy- und WLAN-Netze erfassen. Daran war nix “heimlich”, wie man nun behauptet. Und genau mit solchen Aktionen schadet Herr Schaar in meinen Augen dem Datenschutz wesentlich mehr, als er ihm nützt. Er sorgt dafür, dass Datenschützer mehr und mehr den Ruf von Paranoikern bekommen, die außer Panik verbreiten nichts können. Und das ist bitter.

Erstaunt hat mich allerdings, dass ausgerechnet der Spiegel in diesem Zusammenhang tatsächlich mal Sachverstand bewiesen hat und nicht einfach auf den Panikzug aufspringen wollte. Kreuz im Kalender.

Update: Ah, Basic Thinking springt auf den Panikzug auf und erzählt uns etwas von “unerlaubterweise“. Jungs, Jungs, Jungs… Euch hätte ich etwas mehr Recherche zugetraut. Siehe oben: Das ist seit 2008 bekannt, also alles andere als eine plötzliche Überraschung.

Noch mehr Panikmache und technischen Unsinn findet Ihr übrigens hier, hier, hier, hier und hier (für die, die drauf stehen), wesentlich mehr Augenmaß zeigen hingegen z.B. Telemedicus und zuihitsu.

Popularity: 1% [?]

Immer dann, wenn irgendwo die Sprache auf Virenscanner oder Bugfixes für Windows kommt, findet man recht flott die immer gleichen Aussagen von Apple-Usern, die da lauten: “Auf meinem Apple brauch ich sowas nicht.”, “Windows ist doch ein Schweizer Käse…” und so weiter. Was mich immer wieder zu einem breiten Grinsen verleitete.

Virenscanner würden nämlich nicht mal ansatzweise irgend eine Hilfe sein, wenn der Hersteller Eures Betriebssystems die Hintertüren und Rootkits frei Haus liefert. Wofür braucht man da noch Viren?

Apple hat mal eben auf einen Schlag 88 Sicherheitslücken in OS X geschlossen. Fefe hat die Highlights mal heraus gepickt:

• Code Execution in Rechtschreibprüfung
• Nach dem Reboot ist manchmal die Firewall aus
• Wenn man bei AFP den Gastzugang abschaltet, ist er noch an, und man kann auf Dateien außerhalb der Share zugreifen
• Code Execution durch Audio oder Video abspielen
• Code Execution durch Plattenimage Mounten
• Rootzugriff über Directory Service oder eine der Lücken in OS Services
• Auch per FTP kann man Dateien außerhalb des FTP-Verzeichnisbaumes abrufen
• beim Chatten kann man den Server ownen
• Bilder aufmachen haben sie anscheinend einmal bei jedem verfügbaren Bildformat verkackt, sogar bei RAW-Bildern.
• Das Konvertieren von Fließkommazahlen führt zu Code Execution
• Man kann sich remote über ein altes Passwort einloggen, und Login-Restriktionen wirken auch nicht
• Postscript-Dateien öffnen führt zu Code Execution
• Quicktime ist eh eine einzige Trojaner-Deployment-Plattform

Hey, das nenn ich echt mal sicher. So sicher wie das Amen in der Kirche ist hier, dass nicht mal ein Bruchteil der User weiß, was auf ihrem System so alles passiert. Von genau solchen Fehlern in der Software rede ich seit Jahren, aber keiner der Apple-Maniacs nahm das je wahr. Hier habt ihr es Schwarz auf Weiß. Liebe Leute, mit so etwas habt ihr die ganze Zeit über “gearbeitet”!

Ich bin gespannt auf den nächsten Schwung. Glaubt mir, das war noch lange nicht alles …

Popularity: 1% [?]

Letztes Wochenende wurde die erste erfolgreiche Man-in-the-middle attack auf Blizzards Authenticator bekannt. Ein WoW-Spieler meldete im Forum einen Account-Hack, der trotz Verwendung des Authenticators erfolgte.

Den Authenticator führte Blizzard vor geraumer Zeit ein, um das weit verbreitete Ausspähen von Accountdaten der World of Warcraft-Spieler zu erschweren und so für mehr Sicherheit zu sorgen. Beim Authenticator handelt es sich um ein bedrucktes DIGIPASS GO 6 von Vasco, einem belgischen Hersteller. Er generiert abhängig von der aktuellen Zeit One-time Passwörter, also Passwörter, die exakt 1 Mal innerhalb eines bestimmten Zeitfensters gültig sind. Das eigentliche Zeitfenster, innerhalb dessen das OTP gültig ist,  ist ungefähr 30 Sekunden groß. Um dieses Zeitfenster herum existiert ein weiteres, etwas größeres Zeitfenster, in dem das OTP nicht mehr gültig ist, aber dennoch akzeptiert wird. Letzteres Zeitfenster hat den Zweck, auch Token, deren interne Uhr nicht ganz genau läuft, verwenden zu können. Auftretende Abweichungen der internen Uhr werden so vom Server erkannt und kompensiert.

Die Gültigkeit eines OTP verfällt automatisch, sobald der generierte Code einmal verwendet wurde. Dies erschwert das Ausspähen von Daten enorm, kann es aber nie ganz verhindern. Üblicherweise werden Accountdaten durch Keylogger ausgespäht, die sich auf dem Rechner des Opfers befinden. Bei der Verwendung statischer Kennwörter gestaltet sich das recht einfach: Die Daten werden ausgespäht, an den Angreifer gesendet und dieser hat nun alle Zeit der Welt, die Accountdaten zu benutzen.

Durch die Verwendung von OTPs wird dieser Vorgang für einen Angreifer erheblich aufwändiger. Zum Einen muss hierbei eine Reaktion durch den Angreifer nahezu in Echtzeit erfolgen, da, wie oben beschrieben, die Gültigkeitsdauer eines OTPs nur wenige Minuten beträgt. Zudem muss der Angreifer verhindern, dass das OTP zum Server gesendet werden kann, da anderenfalls das OTP ungültig würde.

Diese Methoden sind nicht neu, die Gefahr eines solchen Angriffs ist seit langem bekannt und keinesfalls auf Token des Herstellers Vasco beschränkt, alle Token basieren letztlich auf dem gleichen Grundprinzip. Hier irgendeine Verantwortlichkeit beim Hersteller zu suchen wäre also keinesfalls gerechtfertigt. Letztlich bleibt bei jeder Sicherheitsvorkehrung immer ein gewisses Restrisiko erhalten.

Neu ist hingegen, dass ein solcher Angriff erstmalig von einem WoW-Spieler beobachtet werden konnte (musste). Der Spieler versuchte, sich mit seinen Accountdaten und dem OTP im Spiel anzumelden. Unmittelbar nachdem er das OTP eingegeben hatte, crashte der WoW-Client. Und genau in diesem Moment reagierte der Angreifer und loggte sich mit den gerade eben ausgespähten Daten ein. Das deutet darauf hin, dass der eingesetzte Keylogger in Echtzeit kommuniziert. Zudem scheint er die weitere Anmeldung des Spielers zu verhindern, denn Zarakiteque schreibt in seinem Beitrag, dass er sich nach diesem Crash nicht mehr einloggen konnte. Dies gelang ihm erst dann wieder, nachdem er den vermutlichen Schädling auf seinem System identifiziert und unschädlich gemacht hatte. In seinem Fall handelte es sich um eine Datei namens emcor.dll, die sich in seinem Appdata/Temp-Verzeichnis befand.

Blizzard hat inzwischen bestätigt, dass es sich hierbei um eine Man-in-the-middle attack handeln muss und untersucht den Fall, weitere Informationen wird es sicherlich in naher Zukunft geben. Interessant finde ich, dass es sich hierbei offenbar um einen recht neuen Schädling handelt, Virenscanner entdeckten ihn noch nicht und via Google konnte der Spieler nur wenige Tage alte Informationen im Web finden (aktuell führen nahezu alle Suchergebnisse bei einer Suche nach emcor.dll zu Beschreibungen dieses Vorfalls).

Der Fall führt wieder deutlich vor Augen, dass jegliche Sicherheitsvorkehrungen auch umgangen werden können. Es wird sicherlich nie eine Lösung geben, die das Ausspähen von Logindaten (und die anschließende Nutzung) vollkommen verhindern kann. Jede Lösung wird letztlich nur den Aufwand erhöhen, der von einem Angreifer betrieben werden muss. Wenn der Aufwand irgendwann den Nutzen übersteigt, wird ein Angriff möglicherweise uninteressant.

Auch wenn ich es weiter oben bereits schrieb, möchte ich abschließend trotzdem noch einmal darauf hinweisen, dass für derartige Angriffe nicht allein die Produkte des Herstellers Vasco anfällig sind. Die Angriffe sind auch bei Token von RSA oder anderen Herstellern möglich. Vasco steht allein deshalb nun im Rampenlicht, weil dessen Produkte von Blizzard eingesetzt werden. Die Funktionsweise derartiger Token ist immer identisch, demzufolge funktioniert exakt diese hier eingesetzte Methode auch in der Praxis mit jedem beliebigen OTP-Generator sämtlicher Hersteller. Vasco ist hier also kein Vorwurf zu machen.

Dumm wäre es jetzt, OTPs generell abzulehnen, wie es in manchen Foren bereits geschieht. Auch wenn ein Angriff möglich bleibt: Er ist wesentlich schwieriger und mit höherem Aufwand durchführbar, als wenn allein Benutzername und Kennwort genutzt würden. Die Verwendung von OTPs erhöht in jedem Fall die Sicherheit, auch wenn sie Angriffe nicht vollends ausschließen kann. Hier ist (wieder einmal) der Anwender gefragt, der genügend Aufmerksamkeit und zusätzliche Absicherungen aufbringen muss, um das Einnisten eines Schädlings zu vermeiden. Sich allein auf die Verwendung einer bestimmten Maßnahme zu verlassen, reicht eben nicht.

Im übrigen setzen auch Paypal und eBay die Token von Vasco ein, diverse Banken nutzen sie ebenfalls und an vielen Stellen werden Lösungen von RSA eingesetzt. Ich bin gespannt, wann hier die ersten vergleichbaren Vorfälle bekannt werden.

Popularity: 1% [?]