Erich sieht

Um sich vor Skimming zu schützen, genügt es übrigens nicht, den Geldautomaten selbst gründlich zu untersuchen:

»Die Trickbetrüger hatten am vergangenen Wochenende über dem Geldautomaten eine als Rauchmelder getarnte Kamera installiert, die Kunden beim Eintippen ihrer Geheimzahl filmte. Zudem hatten sie ein Kartenlesegerät an der Tür manipuliert, um an die Kundendaten zu kommen.«

(hr: Kontodaten ausgespäht: Betrüger richten fünfstelligen Schaden an; Hervorhebung von mir)

Die Bilanz des Sicherheitsmechanismus “Zugangskontrolle zur SB-Zone” dürfte sich damit ins Negative verlagern. Die Zugangskontrolle ist dank der weiten Verbreitung von Karten keine mehr; Sparkassenpartys verhindert nicht der elektrische Türöffner, sondern die Polizei. Damit kann man leben, aber wenn der Mechanismus nun nicht mehr nur geringen Nutzen hat, sondern für Angriffe missbraucht wird, sieht die Sache anders aus.

Man kann die Angriffsmethode weiterspinnen. Gefährdet ist alles, was dem Angreifer hinterher mit einer gewissen Wahrscheinlichkeit die korrekte Zuordnung zwischen Kartendaten und ausgespähter PIN erlaubt.

So kann BCM auch aussehen:

MDR-Text im Internet

Die Geschichte zum Screenshot steht dort.

Als Berater würde man so etwas jetzt aufbauschen und ganz schlimm finden. In Wirklichkeit ist es einfach egal, die Website des MDR war ohne Störung nicht wesentlich interessanter.

Urlaub ist ein teures Vergnügen, gerade jetzt in der Hauptsaison. Ist die Reisekasse leer, muss Nachschub her. Aus ehrlicher Arbeit kann er freilich nicht kommen, wer will schon im Urlaub arbeiten. So geht es ohne Arbeit:

1. Suchen Sie sich einen geeigneten Ort. Dieser hier zum Beispiel ist ideal: ein recht schmaler Strand, dahinter gleich die Küstenstraße und jenseits dieser Straße Häuser und Seitenstraßen. Warum das alles gut ist, werden wir gleich sehen.
2. Seien Sie kein Neger. Der durchschnittliche Urlauber ist genauso rassistisch wie unsere Zöllner von neulich. Vorm Neger hat man in Europa immer noch Angst, oder man traut ihm jedenfalls nicht.

Read the rest of this entry »

Theorie.

Praxis.

Ich hatte vor einem halben Jahr bereits verhalten gejubelt. Anlass war damals die Meldung, dass Kommunen in ihren eVerwaltungs-Angeboten auf den Zwang zur digitalen Signatur verzichten wollen, damit die Bürger diese Dienste auch nutzen. Jetzt fragt Sascha Kremer in seinem Blog rhetorisch: »Qualifizierte Signaturen: zum Scheitern verurteilt?« und weist sogleich auf das für Juristen offensichtlichste Problem dieser Technik hin:

»Tatsächlich schafft der Verbraucher mit der via qualifizierter elektronischer Signatur sicheren und vielleicht sogar verschlüsselten elektronischen Kommunikation zunächst einmal einen Beweistatbestand gegen sich selbst. Und genau das ist es, woran der Verbraucher weder im E-Commerce noch im Web 2.0 Interesse hat.«

Mein Reden seit Jahren und übrigens exakt der Grund, aus dem ich höchst selten E-Mail signiere. Der Rest seines Textes ist auch äußerst lesenswert, eine knappe, aber gute Analyse der Situation. Read the rest of this entry »

boruttisieren

What is the purpose of antivirus companies? They produce tools to detect and remove malicious software on a large number of computers. Their basic process is pretty simple. They collect samples of new malicious software from various sources, including the general public. You, too can send a piece of software to antivirus companies if you suspect it might be malicious. Each sample will be analyzed by the antivirus company. If it really is malicious, a signature will be produced and disseminated to all users of the company’s products through an automated mechanism. After receiving the new signature, antivirus software is capable of detecting the new malicious software and often also stopping it from working in one way or the other.

Sounds innocent, but the bad guys discovered this might be a suitable infrastructure to enforce end-user license agreements. If you rent a botnet and fail to comply with its operators’ terms, they threaten to forward your bot to antivirus companies. I really like that idea, although I see a couple of pitfalls here, as do the guys who originally reported this.

Why don’t we simply shut down terrorists?

(via Δfoxtrot)

Update: Shocking, but False, comments a TSA spokesman.

Was meint Ihr?

(Mist, jetzt ist es kaputt.)

Looks like they really care about their wireless security at the Radisson SAS in Lillehammer. This D-Link something box is secured by not just one but two surveillance cameras, so you can feel really safe and secure while using the network. And no, I did not scan the network for Webcams, although I should have. Shame on me!

The Sectest08 workshop, which I attended today, was of typical workshop size, so my plan to use the flipchart rather than PowerPoint did work out well.

The Keynote speaker, David Litchfield, gave a pretty good introduction into the kind of security testing that he is doing—bug-hunting of various kinds. He included a live presentation of format string vulnerabilities, presented the notion of surety for what might be missed by the too formal approaches to security and described security testing as exploring interesting avenues and evaluating implications. His talk pretty much covered the issues and topics of my own world of security testing. He embraced the idea that (this type of) security testing might be an art, claiming that the bug-hunting type of security testers were often also into artistic activities such as painting or photography and that teams of testers would work best if they included scientific and artistic types of persons. Read the rest of this entry »

Der Paranoiker in mir fragt sich bei Werbegeschenken zuerst, was das Ding wohl wirklich tut, während es auf dem Schreibtisch herumliegt oder -steht. Gleich danach kommt die Neugier. Taugt es was und was kann ich damit anstellen?

Heute gab’s eine Ladung Stifte, die der Hersteller als außerordentlich fälschungssicher anpreist. Ein Fall fürs Testlabor? Ist zwar keine IT und damit außerhalb unserer <BWL>Kernkompetenz</BWL>, aber die grundlegende Fragen sind dieselben:

• Welche Sicherheitsanforderungen muss ein Schreibgerät unter welchen Randbedingungen erfüllen, damit es als fälschungssicher gelten darf?
• Welche Sicherheitseigenschaften muss er dazu haben?
• Welche Eigenschaften darf er nicht haben?
• Welche Anforderungen an ein Gesamtsystem kann der Stift schon prinzipbedingt überhaupt nicht selbst abdecken?
• Wie hängt die Sicherheit von der Einsatzumgebung ab?

Je länger ich darüber nachdenke, desto absurder erscheint mir die Idee eines fälschungssicheren Stiftes, aber erst mal sind meine Leser dran. Was heißt Fälschungssicherheit und was muss ein fälschungssicherer Stift können?

Als ich Auszüge aus dem Urteil 23 U 38/05 des Oberlandesgerichtes Frankfurt ins Blog stellte, hielt ich mich zunächst mit Kommentaren zurück. Jetzt diskutiert ein Telepolis-Artikel das Urteil im Zusammenhang mit der Kameraüberwachung in Supermärkten und der Möglichkeit, damit Kunden bei der PIN-Eingabe zu beobachten.

Der Artikel endet mit der anscheinend unvermeidlichen Forderung nach besserer Sicherheitstechnik. So einfach ist das aber nicht. Das Grundproblem des EC-Karten-Urteils ist ja gerade die Überschätzung der Sicherheitstechnik. Grob gesagt ist das Gericht der Ansicht, alle möglichen und aus Sicht des Sicherheitsingenieurs erforderlichen Betrachtungen nicht anstellen zu müssen, sondern System und Verfahren dem Anschein nach für sicher halten zu dürfen. Bessere oder auch nur für besser gehaltene Sicherheitstechnik kann die Richter in dieser Sicht nur bestärken. Einwände hätten dann noch weniger Chancen auf Gehör und ernsthafte Berücksichtigung.

Das könnte man hinnehmen, gäbe es eine mehr oder weniger perfekte Technik, die alle Probleme angemessen löst. So eine Sicherheitstechnik ist jedoch nicht in Sicht. Einige Anregungen, was sich mit Karten und Terminals noch alles anstellen lässt, gibt die Truppe um Ross Anderson in ihrem Blog:

• Relay attacks on card payment: vulnerabilities and defences
• Chip & PIN terminals vulnerable to simple attacks

Wenn man solche Gedanken zu Ende spinnt, kommt man zu dem Schluss, dass vorerst in jedem System mit Schwachstellen zu rechnen ist, gerade an der Schnittstelle zum Benutzer. Was wir wirklich brauchen, ist deshalb nicht bessere Sicherheitstechnik, sondern klügere Gerichte. Sie müssen klären, welche Einwände gegen die Sicherheitsvermutung gerechtfertigt sind und welche nicht, und das geht nur auf der Grundlage einer detaillierten technischen Betrachtung des Gesamtsystems. Die ist mühsam und aufwändig, aber notwendig. Nach Augenschein kann man Sicherheit nicht sinnvoll beurteilen.

Derzeit hat man als Geschädigter die besten Karten, wenn ein Verfahren Sicherheitsmängel hat, die auch ein Richter versteht, und wenn man außerdem erklären kann, was diese Sicherheitsmängel mit dem konkreten Fall zu tun haben oder zu tun haben könnten. Solche Fälle landen allerdings oft gar nicht erst vor Gericht, weil die Banken so böse dann doch nicht sind. Das Urteil des Oberlandesgerichts macht uns also letztlich nicht schlauer, sondern folgt implizit einer perversen Logikeinem Zirkelschluss: wäre eine echte Schwachstelle ausgenutzt worden, wäre der Fall gar nicht vor Gericht gelandet, deshalb wird die Klage abgewiesen. Das kann vollkommen richtig sein, aber die Begründung ist falsch.

Keylogger sind eine wachsende Bedrohung für die IT-Sicherheit. Ein Keyloger protokolliert alle Eingaben eines Benutzers: E-Mail, Passworte, PINs, TANs, Chatnachrichten und was sonst noch so alles über die Tastatur in den Computer gelangt. Besonders gefährlich sind Hardware-Keylogger. Sie laufen nicht als Programm auf dem Computer, sondern sie stecken unauffällig irgendwo im Verbindungskabel zwischen Tastatur und PC. Dort tun sie ihre Arbeit, bis jemand kommt und mit einem geheimen Kommando die gespeicherten Daten ausliest. Solche Keylogger werden weder von Antivirus- oder Antispywareprogrammen noch von der Trusted-Computing-Technologie erkannt.

Unser Sicherheitstipp:  Benutzen Sie stets drahtlose Tastaturen, dann kann Ihnen keiner einen Keylogger ins Kabel schmuggeln. Mit dem Problem konfrontiert, wird ein Datendieb mit hoher Wahrscheinlichkeit nach einem anderen, leichteren Ziel suchen und von Ihrem System ablassen.

Das liest sich wie ein Phishing-Versuch zur Verbreitung von Schadsoftware, zumal der Text dazu animiert, etwas herunterzuladen und zu installieren:

Ein Microcode-Zuverlässigkeitsupdate ist verfügbar das verbessert die Zuverlässigkeit Systeme, die Intel-Prozessoren verwenden. Dieser Artikel beschreibt, wie dieses Update gedownloadet wird.

(…)

Q:: welche Probleme werden von dem Microcode-Zuverlässigkeitsupdate behoben?

A:: das Microcode-Zuverlässigkeitsupdate behebt die folgenden Probleme:

• Ein mögliches Intel-Prozessor-marginality
• Ein potenzieller Quell des unvorhersehbaren Systemverhaltens
• Ein Fehler “ob 0×7E abbricht” der bei Start auf einigen Systemen auftreten kann, die ein älteres Pentium 5 CPU ausführen

(…)

Ist aber in Wirklichkeit eine Maschinenübersetzung von Microsoft, über die man stolpert, wenn man den Links zu den Updates folgt. Welcher Text zu lesen ist, hängt übrigens von den Spracheinstellungen des Browsers ab.

Aus meiner Inbox:

Ich habbe ihnen die zahlung fuer das traktort fuer 2 wochen gesicht und sie antworten mir garnicht,ich werde meine anwalt ruffen und ihnen zu ebay und das polizei denunzieren weil sie um meinen geld die 4000 euro das ich ihnen in voraus gesicht habbe betrugt.Sie mussen antwort so bald wie moglich oder sie werden das polizei zu ihre tuer habben in ein par tage.
Bitte antworten Sie ASAP.

Wer fällt denn bitte auf so etwas rein?

Ausgerechnet Google greift zu Mitteln des Papierzeitalters und schickt Postkarten.  Diesen Hinweis erhält, wer bei Google Maps eine Geschäftsadresse einträgt:

Was auf den ersten Blick absurd wirkt, ist auf den zweiten weder dumm noch selten. Der Medienbruch ist gegen einige Bedrohungen ein geeigneter Sicherheitsmechanismus. Im vorliegenden Fall funktioniert das (vermutlich — ich habe es weder endgültig durchdacht noch richtig getestet), weil der mögliche Schaden und der mögliche Gewinn des Angreifers gering ist und damit auch der Schutzbedarf. Wer es wirklich will, der kann eine Postsendung an eine Firma gewiss abfangen; Angrifsskizzen sind in den Kommentaren willkommen. Es lohnt sich aber kaum. Der Angreifer gewinnt nichts als ein wenig Spaß, und der Schaden durch falsche Suchergebnisse dürfte in der Regel auch nicht allzu hoch sein. In erster Linie geht es also darum, das Zumüllen mit Nonsens-Einträgen zu verhindern, und dafür genügen bereits geringe Kosten pro Eintrag.

Medienbrüche werden aber auch dort eingesetzt, wo es um echtes Geld geht, im Online-Banking. Ob Chipkarte und Kartenleser mit eigener Tastatur, TAN-Generator oder mTAN als Kurznachricht aufs Händi, stets finden wir einen Sicherheitsanker außerhalb des Computers und damit außerhalb des Einflussbereichs vieler Angriffe. Damit ist man nicht automagisch gegen alles geschützt, aber bei richtiger Implementierung muss ein Angreifer zwei Komponenten des Systems angreifern, zwischen denen es nur wenige, kontrollierte Wechselwirkungen gibt.

Looks like I was wrong. (via Fefes Blog)

[Notice for our international readers]

I knew the TSA blog would yield something for me right when they started it. I didn’t expect this to happen so soon, though. Today they proudly present their 20 layers of security. Twenty! The TSA has twice as many layers of security as the average U.S. worker gets paid vacation days. This is impressive. Look at their diagram for a while (slightly larger version here). Impressive, marvelous, rainbow-colored, magnificent, fantastic. Read the rest of this entry »

(direct link)

[Notice for our international readers]

Yesterday I received this phishing mail:

To: ****@********
Date: Wed, 19 Mar 2008 10:49:50 +0000
From: Wachovia Connection banking Consumer support <news@wachovia.com>
Subject: Wachovia Connection Web application security

Dear Wachovia Connection Bank Customer:
Due to the emergency situation with our server room and the closing of
the New Orleans Branch of the Federal Reserve, Wachovia Connection
Bank is presently unable to process wire transfers. Therefore we are
asking that customers please refrain from initiating wire transfer
requests through Wachovia Connection until further notice. All wires
initiated before 12:30 PM CDT will be processed; however, there may be significant delays in doing so.

IMPORTANT: All customers must validate personal information.

(...)

and today, a followup message reminding me: Read the rest of this entry »