(videolink, via)

[See only posts in English]

Microsoft’s BitLocker is, for all we know, a proper disk encryption software. It encrypts data at rest against attacks originating outside the running system. If you use BitLocker and your computer is stolen while turned off, there is essentially no way of reading data from the disk without having the proper key(s)—your BitLocker PIN, a key file on a USB stick, or both. If an attacker gets access to the machine while it is running, there may be ways of compromising it through Windows or in other ways, but such attacks are clearly outside the scope of disk encryption.

We know, however, another class of attacks against disk encryption: evil maid attacks. This term describes a general strategy rather than a particular implementation. If you leave your computer unattended, let’s say in a hotel room, an attacker, let’s say an evil maid, might manipulate it such that your data will be compromised as soon as you return and provide it with your encryption keys. There are various ways of doing so, for instance installing a hardware keylogger if your keys are based on passwords, or altering the unencrypted boot code to install a Trojan horse that will leak your keys later.

BitLocker is different from other software-based disk encryption products, such as TrueCrypt, in that it supports Trusted Computing technology for added security. If used with a Trusted Platform Module (TPM)—a small chip inside your computer—BitLocker needs not only your key(s) but also another key stored inside the TPM to decrypt your data. First and foremost this implies that stealing just your disk is futile if the target is your data, since without the TPM part of the key will be missing.

But this is not all the TPM does. It also watches the boot process to ensure your system hasn’t been tampered with before releasing its part of the encryption key. This won’t solve the hardware keylogger problem, but many people seem to believe that this would be sufficient to prevent software-based variants of evil maid attacks. After all, you can either boot the unaltered system and get your data encrypted or boot a system that has been tampered with, which will fail to obtain the key from the TPM, right?

Well, almost. BitLocker needs to interact with you, the user, to obtain its keys. As the TPM merely records properties of boot components, it will not prevent the software asking for your keys from being altered, or the altered software from being executed. This means that an attacker can alter code on your computer to obtain your PIN or USB key. The TPM only ensures that the cannot boot right into Windows in its altered state. But if the attacker can get away with a single forced reboot—think bluescreen—the malicious code may remove itself before and just leave your keys somewhere on the disk for later retrieval.

The TPM as it is and as it is being used by BitLocker is therefore not sufficient to fend off evil maid attacks, not even the software-based subset. We discussed such and similar attacks in a paper published earlier this year. Now we also demonstrate the BitLocker version of an evil maid attack in a short video starring two of my Fraunhofer colleagues, Jan and Jan. Hence we call this attack the evil Jan attack.

The evil Jan attack does not imply that the BitLocker is broken as a disk encryption scheme. It does not even imply that the TPM would be entirely useless. Our attack has a particular objective, getting unauthorized access to encrypted data in a targeted attack. We show that this remains quite feasible despite the use of the TPM. Attacks with different objectives and side conditions may still get considerably harder due to Trusted Computing. For instance it seems no longer possible for an attacker with physical access to the computer to install malicious software into the running operating system in a single pass.

Just wondered what the present world is like, here some answers.

http://auto.howstuffworks.com/car-computer.htm

http://auto.howstuffworks.com/question113.htm

(direct link, found here)

(direct link)

Frustration Hacking

»Allein die Eignung eines Programms zur Verwendung für einen Hackerangriff mache dessen Einsatz noch nicht strafbar, heißt es in dem am Freitag veröffentlichten Beschluss (Az: 2 BvR 2233/07, 1151/08 und 1524/08, Beschluss vom 18. Mai 2009).«

(Heise Online:
Verfassungsbeschwerden gegen Hackerparagraphen unzulässig)

Lehrreiches Scheitern:

»A Webmail service that touts itself as hack-proof and offered $10,000 to anyone who could break into the CEO’s e-mail has lost the challenge.
(…)
The hacking team of Aviv Raff, Lance James and Mike Bailey set up the attack by sending an e-mail to the company’s CEO Darren Berkovitz. When he opened the e-mail, the team exploited an XSS flaw to take control of the account.«

(Zero Day: StrongWebmail CEO’s mail account hacked via XSS)

Die 10.000 Dollar hätten sie auch gleich bei einem fähigen Security-Tester anlegen können, dann hätten sie für dasselbe Geld wahrscheinlich mehr über ihre Irrtümer gelernt. Allzu weit kommt man mit diesem Betrag zwar nicht, aber die Tester arbeiten wenigstens bis zum Ende des Geldes weiter, statt mit dem ersten gefundenen Problem den Preis abzuräumen. Damit sinkt auf lange Sicht der Preis pro gefunder Verwundbarkeit, während er bei einer Folge von Hackerwettbewerben vielleicht sogar steigen würde.

Erinnert sich noch jemand an die Story von vor sechs Wochen, derzufolge es mit einem manipulierten Nokia 1100 möglich sei, Kurznachrichten an GSM-Teilnehmer abzufangen? Kriminelle würden bis zu 25.000 Euro für ein solches Gerät bieten, weil auf diese Weise mTAN-Sendungen abzufangen seien. Glauben wollte das keiner so recht.

Inzwischen macht die Meldung die Runde, der Firma UltraScan – die das Thema damals in die Nachrichten brachte – sei es gelungen, die Sache (ein einzges Mal) nachzuvollziehen. Von löschbarem ROM in einigen Modellen der Serie aus dem Bochumer Nokia-Werk ist die Rede und von Schlüsseln für eine verschlüsselte Firmware, die in falsche Hände geraten seien. Dann wird es wirr: man könne durch Firmware-Hacking neben der IMEI, die das Gerät identifiziert, auch die IMSI, die Identität der SIM-Karte, manipulieren – wozu man allerdings eine SIM-Karte klonen müsse, was aber trivial sei.

Alles verstanden? Ich auch nicht. Und die Websites von Ultrascan erwecken nicht gerade den Eindruck hoher Kompetenz und Seriosität.

P.S.: Online Barcode Decoder

1. Suchanfrage bauen, die die Zielseite als ersten Treffer liefert. Das kann man interaktiv probieren, bis es klappt.
   Beispiel: inurl:testlab.sit.fraunhofer.de
2. Geeigneten Proxy oder Sniffer starten, zum Beispiel WebScarab.
3. Suchanfrage eingeben und “I’m feeling lucky” klicken
4. URL kopieren: http://www.google.com:80/search?hl=en&q=inurl%3Atestlab.sit.fraunhofer.de&btnI=I%27m+Feeling+Lucky&aq=f&oq=, und ggf. mit den Parametern und ihrer Kodierung spielen
5. URL benutzen, Vertrauen missbrauchen.

(Nach einer Idee von J. Random Spammer.)

Es gibt noch einige andere Funktionen, die sich ähnlich verwenden lassen. Klicks auf einzelne Treffer im Suchergebnis gehen auch über einen Google-Redirect, von dem man normalerweise nichts merkt.

Don’t Click: http://tinyurl.com/af3t4n

Unbricking

Das schrieb man in den 80ern:

»Die Ermittlungen der französischen Behörden führten in die Schweiz zum Genfer Kernforschungszentrum CERN. Dieses beklagt schon seit 1984 ständig Einbrüche durch Hacker. Unter den Hackern selbst gilt CERN als die “Europäische Hackerfahrschule”, in der sich die Hacker “die Klinke in die Hand geben”.«

([Chaos CD][HaBi 2]- BKA unter Fahndungsdruck)

Anscheinend hat sich nichts geändert am CERN. Womit ich übrigens überhaupt kein Problem habe. Irgendwo muss man das Hacken ja üben.

Jetzt tun wir mal etwas völlig Beklopptes, denn damit rechnen sie nicht. Musterklagen sind für Weicheier und bloggende Anwälte. Ich bin weder das eine noch das andere, dafür aber gelernter DDR-Bürger. Was uns, respektive dem Bundeszentralamt für Steuern, das nachfolgende Schreiben beschert:

Bundeszentralamt für Steuern
An der Küppe 1
53225 Bonn

Widerspruch gegen die Zuteilung einer Identifikationsnummer nach § 139b AO

Sehr geehrte Damen und Herren,

mit Schreiben vom … teilen Sie mir die persönliche Identifikationsnummer … zu. Gegen diese Zuteilung lege ich Widerspruch ein.

Begründung:

Ich war von meiner Geburt am … bis zum Inkrafttreten des Vertrages zwischen der Bundesrepublik Deutschland und der Deutschen Demokratischen Republik über die Herstellung der Einheit Deutschlands Bürger der Deutschen Demokratischen Republik. Während dieser Zeit hatte ich meinen einzigen Wohnsitz ohne Unterbruch auf dem Staatsgebiet der Deutschen Demokratischen Republik.

Die Deutsche Demokratische Republik hat ab dem 1. Januar 1970 allen ihren Bürgern eine eindeutige Identifikationsnummer zugeteilt, die sogenannte Personenkennzahl (PKZ). Mir wurde nach meiner Geburt die persönliche Identifikationsnummer … zugeteilt.

Artikel 19 des Vertrages zwischen der Bundesrepublik Deutschland und der Deutschen Demokratischen Republik über die Herstellung der Einheit Deutschlands bestimmt: „Vor dem Wirksamwerden des Beitritts ergangene Verwaltungsakte der Deutschen Demokratischen Republik bleiben wirksam.” Um einen Verwaltungsakt handelte es sich zweifellos bei der Zuteilung einer lebenslang gültigen persönlichen Identifikationsnummer durch die Behörden der Deutschen Demokratischen Republik.

Die persönliche Identifikationsnummer … wurde mir zu keinem Zeitpunkt vor dem 3. Oktober 1990 durch eine dazu berechtigte Behörde der Deutschen Demokratischen Republik entzogen. Die persönliche Identifikationsnummer … wurde mir auch zu keinem Zeitpunkt nach dem 2. Oktober 1990 durch eine dazu berechtigte Behörde der Bundesrepublik Deutschland entzogen.

§139b (1) AO bestimmt: „Eine natürliche Person darf nicht mehr als eine Identifikationsnummer erhalten.”

Die Zuteilung der persönlichen Identifikationsnumemr … steht mithin im Widerspruch zum geltenden Recht, da mir bereits zum Zeitpunkt meiner Geburt die persönliche Identifikationsnummer … zugeteilt und nachfolgend nicht entzogen wurde.

Mit freundlichen Grüßen

Sven Türpe

X-hacker: If you’re reading this, you should visit automattic.com/jobs and apply to join the fun, mention this header.

– HTTP-Response-Header von erichsieht.wordpress.com

Vom 5. bis zum 7. September 2008 finden in Darmstadt wieder die MetaRheinMain Chaosdays statt. Mehr Infos dazu gibt es hier, das Programm dort.

Letzte Woche hat mich ein Kollege auf einen hübschen Dienst aufmerksam gemacht. Wer ein Captcha gelöst haben möchte, der kann das ganze an www.captchakiller.com schicken, die machen aus kleinen JPEGs hübsche kleine ASCII-Zeichenfolgen. Wer jetzt denkt, das Ding sei ein böser Helfer der Spammer, die ihre Robots damit durch die Captcha-Kontrolle bringen wollen, um Webseitenbetreiber in diversen Formen zu belästigen, der irrt. Auf der Seite steht’s, die machen das nur wegen den Blinden, die den Captchas ansonsten völlig hilflos gegenüberstehen - also ganz im Zeichen der Barrierefreiheit. Quote: “CAPTCHA Killer is 100% focused on increasing accessibility on the Internet.” Deshalb haben die Gutmenschen wahrscheinlich auch das Mädchen engagiert, das im häßlichen T-Shirt, aber ohne Höschen die Seite ziert. Auf der Seite tut sich aber seit vergangenem Sommer nicht mehr viel. Der werte Leser möge selbst entscheiden, ob die Blinden doch andere Mittel und Wege gefunden haben, um Captchas zu lösen, oder ab die Macher an einer besonderen Art der Wahrnehmungsstörung leiden.

Die Wikipedia behauptet:

»The ICE 3 is able to play the German National Anthem with its Frequency changers. This is an unofficial feature and needs modification of the software.«

Weiß jemand, ob das stimmt?

Der Kalender sagt, dass es ab 23 Uhr C-Radar gibt. Hoffentlich hat es keinermindestens einer nicht verpeilt.

Eigentlich ein schöner Text für eine Hackerhymne, jedenfalls der Anfang:

Keep on looking
you keep on searching
you keep on moving
and you get a little further
you keep on trusting
you keep on hoping
you keep on facing your faith just to keep on growing

just try…try..you just try

(…)

(Sidsel Endresen & Bugge Wesseltoft, Try)

Der Heise-Ticker berichtet unter der Überschrift 60.000 Dollar Strafe für DNS-Abruf:

»Das Gericht stellte fest, dass Ritz dabei seine “Identität hinter Proxies verbarg, ein UNIX-Betriebssystem verwendete und neben anderen Methoden Shell Accounts einsetzte. Außerdem gab er sich als Mail-Server aus.” Die auf diese Weise gewonnenen Informationen machte Ritz publik. Diese Information, stellte das Gericht fest, sei nicht öffentlich verfügbar gewesen. Damit habe Ritz die Datensicherheit von Sierra gefährdet, Ritz sei also als Hacker einzustufen, schließlich sei der Befehl “host -l” dem normalen Anwender nicht bekannt.«

Offenbar ist dem Richter alles suspekt, was er nicht kennt. Und das ist erfahrungsgemäß ziemlich viel, wenn es um Informationstechnik geht und man die Gefühlswelt eines Juristen zum Maßstab nimmt.

Tatsächlich aber ist weder am Kommando host noch an einem Shell-Account irgend etwas ungewöhnlich. Sogar mein iBook, Inbegriff des Schickimickiklickiwerkzeugs und damit juristentauglich, verfügt über beides. Ein Maßstab dafür, ob jemand unlauter gehandelt hat, ist die Benutzung nicht. Zumal das Kommando host ausgesprochen harmlos ist: es fragt öffentlich verfügbare Informationen aus den öffentlichen Servern eines öffentlichen Dienstes ab, denn DNS ist nichts weiter als eine Art automatische Telefonauskunft für das Internet. Nur hat das dem Richter offenbar keiner erklärt, wenn der meint, die Information sei nicht öffentlich zugänglich gewesen. Doch, das war sie.

Bullshit ist die Behauptung des Klägers, er habe aufgrund der Abfrage seine interne Kommunikationsstruktur ändern müssen. Erstens wäre nämlich an dieser Kommunikationsstruktur etwas sehr kaputt, wenn sie auf die Vertraulichkeit öffentlicher Informationen angewiesen wäre. Zweitens wäre anderenfalls das Sicherheitsproblem bereits durch die Veröffentlichung auf dem DNS-Server entstanden, und dafür kann man kaum denjenigen verantwortlich machen, der lediglich hinschaut.

Hoffentlich fragen deutsche Richter jemanden, der sich damit auskennt, bevor sie jemanden verknacken, dessen Werkzeuge sie nicht verstehen.

Nachtrag: Und so finden Kommandozeilenganoven ihre KompliziInnen.

Theseus brauchte den Ariadnefaden, um aus dem Labyrinth hinauszufinden; Informatiker versuchen es mit Graphen und Backtracking. Und Mediendesigner? Die nehmen einfach Photoshop.