Fortsetzung: Digitales Debakel

Der Herr Comodohacker alias Ichsun behauptet, dass er GlobalSign und noch drei weitere CAs gehackt hat (Zitat). Wenn das stimmt, ist das möglicherweise der Anfang vom Ende von aktuell genutzten PKI-Strukturen. Das betrifft dann Homebanking genauso wie jede Menge elektronische Geschäftsanwendungen und staatliche Projekte.

Klassischer “Single Point of Failure”.

Ich hätte zudem erwartet, dass eine CA wie DigiNotar seine Systeme besser sichert, als das der Fall war. Die Zertifikate lagen wohl auf ungepatchten Windows-Systemen ohne Virenschutz, die Domäne war mit bruteforcebarem Passwort gesichert. Zudem konnte Herr Comodohacker anschließend die Logfiles löschen, wie es eben Hackertradition ist. Jetzt weiß man hat nicht so ganz genau, was er alles getrieben hat. Irgendwie kann ich kaum glauben, dass das alles wahr ist.

Digitales Debakel

Dank des DigiNotar-Debakels fällt nun so manchem auf, dass SSL/TLS am seidenen Faden einiger recht willkürlich gewählter CAs hängt. *Irgendjemand* war offenbar in der Lage, sich selbst für Domains u.a. von Twitter, Google, Mossad, CIA, MI6 aber auch so netten Dingen wie windowsupdate.com zu erstellen. Letzteres ist besonders delikat, wenn man das Codesigning noch hinbekommt.

*Irgendjemand* kann damit nun, sofern er einen MITM-Angriff schafft, den DNS oder die host-Liste manipuliert, die von/zu den in dieser Liste genannten Domains vermeintlich sicher übertragenen Daten mitlesen oder verändern.

CAs sind ein Single Point of Failure der Internetsicherheit. Und Browser vertrauen diesen CAs recht blind. Es ist höchste Zeit, über strukturelle Änderungen in diesem Bereich nachzudenken.

Malta: 50 points — EU-Statistik über Installationen von Sicherheits-Software und Infektionshäufigkeit

EUROSTAT hat im Rahmen des gestrigen “Safer Internet Day” eine interessante Statistik veröffentlicht. Man hat dabei unter anderem den Prozentsatz der Rechner mit Sicherheitssoftware der Häufigkeit des Malware-Befalls gegenübergestellt.

Ich war so frei, diese Daten grob aufzubereiten, um mögliche Zusammenhänge erkennbar zu machen. Hier ist das Ergebnis:

Die rote Kurve zeigt den Prozentsatz der Befragten, deren Rechner mindestens eine Infektion erleben musste. Danach habe ich die Werte aufsteigend sortiert. Interessant ist, dass es dabei offenbar erhebliche Unterschiede zwischen den Ländern gibt.

Interessanter finde ich allerdings, dazu im Vergleich die grüne Kurve zu betrachten: Das Vorhandensein von Sicherheits-Software wie z.B. Antivirus-Software und Firewalls. Wie man unschwer erkennt, gibt es kaum einen Zusammenhang zwischen den beiden Kurven, nur mit Mühe kann man sich vorstellen, dass die Infektionshäufigkeit mit der Installation von Sicherheits-Software abnimmt.

Ich sehe da hauptsächlich zwei Erklärungsansätze:

  1. Viren und Trojaner sind in einigen Ländern erfolgreicher gegen Sicherheits-Software als in anderen.
  2. Sicherheits-Software bietet keinen nennenswerten Schutz gegen erfolgreiche Angriffe.

Zu 1: Da Malware wohl keine Landesgrenzen kennt und meist global funktioniert, dürfte es hier keine allzu relevanten Unterschiede geben. Möglicherweise gibt es allerdings Unterschiede im Sicherheitsbewusstsein der Anwender zwischen den Ländern. Aber sind diese Unterschiede z.B. zwischen Frankreich und Österreich wirklich so groß?

Zu 2: Mir fällt es schwer, die Zahlen alleine mit Punkt 1 zu erklären. Wenn z.B. in Malta 91% der Befragten angeben, Sicherheitssoftware zu nutzen, muss man sich fragen, warum trotzdem 50% infiziert wurden.

Zugegeben, das ist rein spekulativ und ein wirklicher Nachweis ist so nicht führbar. Aber die Scheinkausalität entbehrt nicht eines gewissen Reizes.

Wie Ägypten das Internet ausknipste

Die Medien sprechen ja schon von der Facebook-Revolution und ja, ich vermute auch, dass die Social Networks im Fall Ägypten eine Rolle gespielt haben. Sie eignen sich ideal zur Kanalisierung, Kommunikation und Koordination von großen Gruppen — und das ad-hoc, quasi in Echtzeit. Was seinerzeit Flashmobs meist als Spaß demonstriert haben, war der Proof-of-Concept für die spontane Massenmobilisierung.

Offenbar hatten die aktuell unter Druck geratenen bzw. gestürzten Regimes diesen Angriffsvektor (hier wohl im positiven Sinne) nicht auf dem Radar, denn sie haben nur reagiert statt hier präventiv zu handeln. Ich fürchte, dass das anderen Regierungen eine Lehre ist und dass wir nun eine Welle von Internetzensur- und -überwachungsinitiativen rund um den Globus erleben werden. Man sollte das Thema in den kommenden Wochen und Monaten auf dem Schirm haben.

In Tunesien wurden Facebook-Konten gehackt, in Ägypten hat man direkt das Internet abgeschaltet. Aber wie macht man Letzteres?

Wie zu erwarten war, hat Ägypten die Achillesferse des Internet genutzt: BGP. BGP ist und bleibt das schwächste Glied in der globalen Kommunikation. Es ermöglicht das gezielte Umleiten von Traffic, wie es damals Pakistan mit Youtube versucht hat (und auf die Nase gefallen ist) und auch das Ausklinken ganzer Staaten aus dem Netz. Für Netzprovider sind diese Manipulationen von außen leicht zu beobachten, da sich in diesen Fällen die sonst eher zäh-stabile Vernetzung der Autonomen Systeme dann schlagartig ändert.

Einen interessanten Bericht darüber findet man bei Renesys. Wer sich nicht von technischen Details erschrecken lässt, kann auch direkt in die BGP-Updatelogs z.B. bei potaroo.net sehen. Dort sieht man schön, dass z.B. der Ägyptische Provider AS Data (einen Link dorthin spare ich mir, denn AS Data hat sich mit der Aktion natürlich selbst aus dem Netz geschossen) für die fünftstärkste Änderung weltweit in den letzten sieben Tagen verantwortlich ist (zum aktuellen Zeitpunkt). Vom 27. auf den 28. Januar 2011 wurden 2576 ägyptische Routen zurückgezogen. Fast ausschließlich das Netz von Noor ist noch erreichbar. Darüber läuft die Ägyptische Börse. Interessant ist auch, dass SaudiNet schon an Position sieben folgt. Das mag eine politische, kann aber auch rein technische Gründe haben, dass sie hier reagieren mussten.

Ah, wie ich gerade sehe, hat Ripe eine Statusseite zum Thema aufgemacht.

Update: Jetzt fahren sie in Ägypten anscheinend das Fidonet wieder hoch (warning: visual hazard!). Hoffentlich hat noch jemand die Nummern.

Neues von Stuxnet

Über Stuxnet ist ja schon fast alles gesagt worden. Jetzt kommt heraus, dass einer der vier Zeroday-Exploits darin seit einem Jahr bekannt, bei MS gemeldet und per Demo nachgewiesen war. Also kein Zeroday-, sondern vielmehr ein Oneyear-Exploit. So manch ein Softwarehersteller kann froh sein, dass er nicht für Schäden haftbar gemacht werden kann. Die Durchseuchung der entsprechenden Systeme scheint nach aktuellen Zahlen höher zu sein, als bisher offiziell bekannt: Das Siemens-Tool zum Entfernen von Stuxnet wurde angeblich bereits 12000mal heruntergeladen.

Ich weiß jetzt gerade nicht, ob ich das als Erfolg werten soll oder nicht.

Schwäche oder nicht Schwäche des nPA?

nPAZunächst muss ich sagen, was der nPA eigentlich ist. Ich meine damit den neuen Personalausweis, der ab dem 1.11.2010 in Deutschland eingeführt wird. Der Ausweis ermöglicht im Prinzip eine Menge neuer Anwendungen wie z.B. eine Identifikation bei Internetgeschäften. Wie nicht anders zu erwarten war, stürzen sich Interessierte, Fachleute und Bösewichte auf das, was da kommt und versuchen, Schwachstellen zu finden.

Wie erdgeist vom CCC berichtet, hat man nun die erste Schwachstelle gefunden. Naja. Das Problem ist wohl, dass man Card Reader ohne PINpad verteilt. Dummerweise muss man die PIN dann am PC eingeben. Und wenn sich dieser einen Keylogger gefangen hat … eben. Die Lösung wäre natürlich, nur Reader mit integriertem PINPad anzubieten, aber aus mir unbekannten Gründen ist das nicht passiert.

Unterhaltsam ist auf jeden Fall das mediale Ping-Pong, das darauf folgt (siehe z.B. hier, hier oder hier).

Eigentlich ist das Problem nicht wirklich groß und man könnte damit argumentieren, dass ja schließlich auch Online-Banking ausreichend sicher mit am PC eingegebenen PINs funktioniert. Wenn man bedenkt, dass Phishing genau darauf (offenbar erfolgreich) abzielt, ist das jedoch kein gutes Argument.

Wie auch immer: Aus heutiger Sicht und bei richtiger Nutzung ist der nPA konzeptionell sicher. Ob das so bleibt, werden die kommenden 10 Jahre zeigen, denn so lange ist er gültig. Ich bin mir nicht sicher, ob das wirklich gut ist, denn 10 Jahre sind eine Ewigkeit in IT-Maßstäben.

© Copyright schulten.net