Liebe Sparkasse,

November 1, 2009

dass Verified by Visa und MasterCard SecureCode Werbegags ohne sicherheitstechnischen Mehrwert für den Karteninhaber sind, wisst Ihr sicher selbst. Dass es eine Scheißidee ist, die überflüssige Registrierung dafür unter der Adresse https://secure5.arcot.com/ durch eine Organisation abwickeln zu lassen, die Eure Kunden nicht kennen können, muss man Euch aber offensichtlich noch einmal erklären. Ratet mal, was Ihr Euren Kunden damit beibringt.

Oder ist das gar nicht Euer Werk, sondern jemand hat Eure Websites gehackt?


Misha Glenny investigates global crime networks

September 27, 2009

Digital Cold Reading: The CSS History Hack

September 20, 2009

[See only posts in English]

Cold reading is a technique used by mentalists to simulate psychic powers and impress people. Essentially, the cold reader is supplying words and the other person supplies their meaning as well as hints for the reader.

The CSS history hack, which seems to impress quite a few people, is nothing more than the Web’s version of cold reading. Your impression is that any Web site can read your browser history. Now there is indeed an information leak and no Web site should get access to history information. But this leak is very small. It doesn’t reveal the history altogether to anyone daring to ask. The CSS history issue only gives us an oracle. We can ask the oracle whether a particular URL is in the history or not. So to find out that you’ve read this blog post we would have to ask the oracle about the precise URL of this post.

Nonetheless demonstrations of the history hack impress people. The trick is simple and similar to the cold reading technique. History hack demos use a set of URLs that leads to a hit for almost every Internet user on the world: Google, YouTube, Microsoft, Wikipedia, Flickr, Apple, Slashdot, Amazon, and so on. A mentalist would guess and suggest these until you start giving feedback on which to hook. The CSS history hack replaces this interaction with asking the oracle to avoid wrong guesses. The trick is really to use a set of Web sites that guarantees a hit, and use a minor information leak to remove the wrong guesses from the set that would spoil the effect. This works well with the top 20/top 50/top 1000 sites on the Web, but it won’t scale to arbitrary URLs.


Vielen Dank, …

August 21, 2009

Unterschätzte Risiken: Hackerwettbewerbe

June 6, 2009

Lehrreiches Scheitern:

»A Webmail service that touts itself as hack-proof and offered $10,000 to anyone who could break into the CEO’s e-mail has lost the challenge.
(…)
The hacking team of Aviv Raff, Lance James and Mike Bailey set up the attack by sending an e-mail to the company’s CEO Darren Berkovitz. When he opened the e-mail, the team exploited an XSS flaw to take control of the account.«

(Zero Day: StrongWebmail CEO’s mail account hacked via XSS)

Die 10.000 Dollar hätten sie auch gleich bei einem fähigen Security-Tester anlegen können, dann hätten sie für dasselbe Geld wahrscheinlich mehr über ihre Irrtümer gelernt. Allzu weit kommt man mit diesem Betrag zwar nicht, aber die Tester arbeiten wenigstens bis zum Ende des Geldes weiter, statt mit dem ersten gefundenen Problem den Preis abzuräumen. Damit sinkt auf lange Sicht der Preis pro gefunder Verwundbarkeit, während er bei einer Folge von Hackerwettbewerben vielleicht sogar steigen würde.


Digitalräuberpistole

May 31, 2009

Erinnert sich noch jemand an die Story von vor sechs Wochen, derzufolge es mit einem manipulierten Nokia 1100 möglich sei, Kurznachrichten an GSM-Teilnehmer abzufangen? Kriminelle würden bis zu 25.000 Euro für ein solches Gerät bieten, weil auf diese Weise mTAN-Sendungen abzufangen seien. Glauben wollte das keiner so recht.

Inzwischen macht die Meldung die Runde, der Firma UltraScan – die das Thema damals in die Nachrichten brachte – sei es gelungen, die Sache (ein einzges Mal) nachzuvollziehen. Von löschbarem ROM in einigen Modellen der Serie aus dem Bochumer Nokia-Werk ist die Rede und von Schlüsseln für eine verschlüsselte Firmware, die in falsche Hände geraten seien. Dann wird es wirr: man könne durch Firmware-Hacking neben der IMEI, die das Gerät identifiziert, auch die IMSI, die Identität der SIM-Karte, manipulieren – wozu man allerdings eine SIM-Karte klonen müsse, was aber trivial sei.

Alles verstanden? Ich auch nicht. Und die Websites von Ultrascan erwecken nicht gerade den Eindruck hoher Kompetenz und Seriosität.


Phishing Scams in Plain English

April 3, 2009

Starke Passworte

March 8, 2009

Ein Nachtrag zu meinem Passwort-Post neulich:

Im aktuellen Risks Digest 25:60 findet sich ein Hinweis auf ein Paper mit dem Titel Do Strong Web Passwords Accomplish Anything? das ähnlich argumentiert und außerdem die unterschiedlichen Perspektiven einzelner Nutzer und einer ganzen Organisation betrachtet. Die Autoren weisen am Ende aber auch darauf hin, dass ihr Paper nicht dazu gedacht ist, Verhaltensregeln für Benutzer abzuleiten.


Gone Phishing

February 16, 2009

Nicht klicken

February 12, 2009

Unterschätzte Risiken: De-Mail-Bürgerportale

February 5, 2009

De-Mail: unter diesem seltsamen Namen soll in Zukunft eine sichere Kommunikationsinfrastruktur zur Verfügung stehen. Das sieht zumindest ein Gesetzentwurf vor, den die Bundesregierung gestern verabschiedet hat. Betreiber sollen Unternehmen sein, beaufsichtigt vom BSI, und benutzen sollen es – vorerst freiwillig – wir alle.

Für die herkömmliche E-Mail ändert sich nichts. Zusätzlich zu dieser bewährten Infrastruktur erhalten wir aber die Möglichkeit, die ganzen selten benutzten Sonderfunktionen des Postzeitalters im Netz zu nutzen: Einschreiben, Ausweis zeigen, Porto zahlen. Ja, Porto. Was wir dafür bekommen, ist Sicherheit. Lehrbuchsicherheit, um genau zu sein, das heißt Mechanismen, die formale Probleme formal lösen. Ein realitätsbezogenes Bedrohungsmodell gibt es nicht, sondern man wird Sicherheitsmechanismen aus dem Lehrbuch zusammensetzen zu etwas, das dann vor den Bedrohungen schützt, vor denen die gewählten Mechanismen eben schützen. Was alten Männern mit Kugelschreibern eben so einfällt, wenn sie in einem Wahljahr beweisen wollen, für wie modern sie sich halten. Read the rest of this entry »


Sicherheit durch Nagware?

January 13, 2009

Kaum nutzt man mal Muttis Computer, wird einem schlagartig eine Menge klar. Zum Beispiel warum Leute auf zweifelhafte Antivirensoftware hereinfallen. Dass sich plötzlich ein Fenster öffnet und ihnen was verkaufen will, kennen sie nämlich schon: vom kostenlosen Antivirusprogramm, das man ihnen im Seniorencomputerkurs empfohlen hat. Für sich genommen ist Nagware ja harmlos, aber ob Sicherheitssoftware auf dem PC eines IT-Laien der richtige Platz für dieses Marketingkonzept ist?

Avira-Eigenwerbung

Ich suche übrigens gerade eine Studentin oder eine Studenten für eine Bachelorarbeit, die sich mit der Frage beschäftigen soll, ob von Antivirus-Software ein Sicherheitsgewinn zu erwarten ist. Details stehen weiter unten in diesem Blog.

Read the rest of this entry »


In einem Wort

September 29, 2008

Nice Try

July 8, 2008

Wer könnte solch einer Einladung widerstehen?

Ich nicht, und der Klick aufs Werbebanner führte erwartungsgemäß zu einer nur beschränkt seriösen, aber wohl legalen Website.


Phishing? Nein, Microsoft.

March 30, 2008

Das liest sich wie ein Phishing-Versuch zur Verbreitung von Schadsoftware, zumal der Text dazu animiert, etwas herunterzuladen und zu installieren:

Ein Microcode-Zuverlässigkeitsupdate ist verfügbar das verbessert die Zuverlässigkeit Systeme, die Intel-Prozessoren verwenden. Dieser Artikel beschreibt, wie dieses Update gedownloadet wird.

(…)

Q:: welche Probleme werden von dem Microcode-Zuverlässigkeitsupdate behoben?

A:: das Microcode-Zuverlässigkeitsupdate behebt die folgenden Probleme:

  • Ein mögliches Intel-Prozessor-marginality
  • Ein potenzieller Quell des unvorhersehbaren Systemverhaltens
  • Ein Fehler “ob 0×7E abbricht” der bei Start auf einigen Systemen auftreten kann, die ein älteres Pentium 5 CPU ausführen

(…)

Ist aber in Wirklichkeit eine Maschinenübersetzung von Microsoft, über die man stolpert, wenn man den Links zu den Updates folgt. Welcher Text zu lesen ist, hängt übrigens von den Spracheinstellungen des Browsers ab.


Frage zu 2004 Deutz-Fahr TTV 1145

March 29, 2008

Aus meiner Inbox:

Ich habbe ihnen die zahlung fuer das traktort fuer 2 wochen gesicht und sie antworten mir garnicht,ich werde meine anwalt ruffen und ihnen zu ebay und das polizei denunzieren weil sie um meinen geld die 4000 euro das ich ihnen in voraus gesicht habbe betrugt.Sie mussen antwort so bald wie moglich oder sie werden das polizei zu ihre tuer habben in ein par tage.
Bitte antworten Sie ASAP.

Wer fällt denn bitte auf so etwas rein?


Phishers now keeping track of state?

March 20, 2008

[Notice for our international readers]

Yesterday I received this phishing mail:

To: ****@********
Date: Wed, 19 Mar 2008 10:49:50 +0000
From: Wachovia Connection banking Consumer support <news@wachovia.com>
Subject: Wachovia Connection Web application security

Dear Wachovia Connection Bank Customer:
Due to the emergency situation with our server room and the closing of
the New Orleans Branch of the Federal Reserve, Wachovia Connection
Bank is presently unable to process wire transfers. Therefore we are
asking that customers please refrain from initiating wire transfer
requests through Wachovia Connection until further notice. All wires
initiated before 12:30 PM CDT will be processed; however, there may be significant delays in doing so.

IMPORTANT: All customers must validate personal information.

(...)

and today, a followup message reminding me: Read the rest of this entry »


Scientology legt nach

January 25, 2008

Nach dem viralen Video, das Presse und Blogger gleichermaßen gern verbreiten halfen, schließt sich jetzt ohne Medienbruch eine Runde Astroturfing an. Heise Security meldet:

»Eine anonyme Gruppe hat Scientology im Internet den Krieg erklärt. Über ein YouTube-Video verkündet die sich selbst “Anonymous” nennende Gruppe, gegenüber der Scientology-Kirche die Redefreiheit verteidigen zu wollen.«

Da werden die Scientologen aber zittern. Oder noch ein wenig an ihrer sattsam bekannten Selbstdarstellung als verfolgte Unschuld feilen. Und alles nur, weil wir uns eine ausnutzbare Angstneurose gönnen. Wer seine kurieren will: ich verleihe gern meinen Hubbard. Weiter als bis Seite 50 ist noch keiner gekommen, ohne ihn kopfschüttelnd zur Seite zu legen.


Vorsicht DachHai!

January 20, 2008

Die Eigenheimbesitzer unter unseren Leserinnen und Lesern warnt Dexheimer Inside vor den DachHai und erklärt, was im Falle einer Begegnung zu tun ist. Die gute Nachricht daran ist, dass man den DachHai leicht erkennt, die schlechte, dass er trotzdem oft genug sein Fressen findet und nicht ausstirbt.


Vertrauen Sie niemandem

January 18, 2008

Eine kurze Erinnerung zwischendurch: vertrauen Sie niemandem, auch nicht der Feuerwehr. Vielleicht wollen Ihnen die netten Herren nur teure Rauchmelder andrehen. Bevor Sie Feuerwehrleuten etwas abkaufen, lassen Sie sich entweder ihren Ausweis zeigen, oder das Feuer.


Scareware

January 17, 2008

Die Masche ist bekannt: irgendwo im Netz stößt man auf eine Website, die einen kostenlosen Sicherheitscheck verspricht. Dazu lädt man sich ein Program herunter und führt es aus. Dieses Programm findet tatsächlich eine Reihe von Sicherheitsproblemen oder behauptet das jedenfalls. Und es hört mit dem Behaupten gar nicht mehr auf, denn das Opfer soll auf jeden Fall die »Vollversion« kaufen, von der es heißt, sie könne die gefundenen Probleme beseitigen.

Seit es diesen Betrug auch für den Mac gibt, hat er sogar einen schönen Namen: Scareware.


Ausgedehntes Bit

May 29, 2007

TeleTrusT und Microsoft tun was gegen Phishing. Die Lösung ist so einfach, man hätte schon viel früher darauf kommen können. Und so falsch, dass man besser nie darauf gekommen wäre. Das Schlangenöl des Tages: Extended-Validation-Zertifikate. Das sind besondere SSL/TLS-Serverzertifikate.

Read the rest of this entry »


So phishen Profis

May 14, 2007

Gefunden bei Stefan Niggemeier: ein Beitrag von Plusminus über die Praktiken der Call-TV-Sender. Den Text gibt’s bei der Süddeutschen.

Link: sevenload.com