Skip to content

Google Sea View

Google hilft den Piraten! Der Internetkonzern schwächt unsere Sicherheitsarchitektur! So oder so ähnlich könnten demnächst Klagen lauten. Mit Piraten sind dabei durchaus die Seeräuber und nicht die gleichnamige Partei gemeint. Doch warum handelt sich Google derartige Klagelieder ein?

Das U.S. Naval Institute organisierte kürtlich die 2012 Joint Warfighting Conference and Exposition. Neben namhaften US-Generälen und Admirälen sprach dort Michael Jones, der Chief Technology Advocate von Google Ventures. Jones stellte zwei neue Projekte vor. Beide konzentrieren sich auf Informationen zur See.

Ein Angebot will alle Schiffe, die sich auf den Flüssen und Meeren bewegen, verfolgen. Bereits jetzt gibt es Seiten wie Vesselfinder, MarineTraffic und andere. Diese Seiten zeigen die Schiffe meist in der Nähe des Ufers an. Google will den Dienst auch auf die Weltmeere ausweiten. Dazu bedient es sich des Automatic Identification Systems (AIS) . Das System besteht aus einer GPS-Einheit sowie aus einem Sender. Die Sender auf den Schiffen reichen bis ca. 20 nautische Meilen. Wenn die Antennen auf dem Land höher montiert werden, so steigt die Reichweite auf etwa 60 nautische Meilen. AIS soll zm einen Schiffe vor Kollisionen schützen und zum anderen sollen die Häfen den Verkehr besser steuern können.

AIS der Straße von Dover
AIS-Ansicht der Straße von Dover (Quelle: Wikipedia)

Google nutzt Satelliten, um die Position der Schiffe zu ermitteln. Nach Jones’ Worten gibt Google drei Millionen Dollar für das Programm aus. Er wird mit den Worten zitiert: »I watch them and they can’t see themselves. It angers me as a citizen that I can do this and the entire DoD can’t.« Doch was wir dann sehen können, kann eben auch ein Pirat in Somalia sehen. Das heißt, eventuell wird es denen erleichtert, die Schiffe auszuwählen. Auf der anderen Seite fahren in der Region die meisten Schiffe schon in dem Bereich der von AIS und den betreffenden Webseiten eh erfasst wird. Insofern fördert das Projekt aus meiner Sicht nicht die Piraterie. Eventuell wird durch die öffentliche Diskussion der eine oder andere Pirat mit der Nase auf die Möglichkeiten gestossen. Militäraktionen werden wohl ebenso nicht gestört. Denn jedes Schiff kann die AIS-Anlage ausschalten. Damit ist das Schiff quasi unsichtbar.

Das zweite Projekt kartografiert den Meeresboden. Google hat Testläufe mit einem unbemannten Sensor gemacht. Dieser macht Bilder vom Untergrund und setzt diese dann zusammen. Am Ende hat der Nutzer eine Art Google Streetview für das Meer, also Google Sea View. :-)

Das könnte auf der einen Seite natürlich Schatzsucher aktivieren. Endlich könnte Atlantis oder das Bernsteinzimmer gefunden werden. Gleichzeitig besteht seitens der Militärs die Angst, dass auch Leute abgestürzte Spionagesatelliten oder ähnliches suchen. Jones meint darauf ganz richtig, dass andere Länder das ganz genau wie Google machen könnten. Während Google die US-Regierung informiert, halten sich andere Länder sicher nicht daran.

Ich denke, hier sind zwei spannende Angebote unterwegs und bin sehr gespannt, wann die online gehen.

via: AOL Defense: Google Can Track Ships At Sea -- Including US Navy; Detailed Maps Planned of Sea Bottom und AFCEA: Deep Blue Sea to Give Up Its Secrets to Google

Update:  Klar gemacht, dass man abgestürzte Satelliten finden könnte.

Rezension des Buches „Web-Sicherheit“ von Sebastian Kübeck

Da die Rezension etwas länger wurde, gibt es in der Artikelübersicht eine Zusammenfassung und in der erweiterten Ansicht alle Details.

Ich wurde kürzlich auf das Buch „Web-Sicherheit – Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen“ von Sebastian Kübeck aufmerksam. Das Thema Web-Sicherheit spielt im Rahmen meiner Vorlesung zu IT-Sicherheit eine Rolle und daher war ich sehr daran interessiert, das Buch kennen zu lernen.

Der Aufbau des Buches gefiel mir sehr gut. Der Leser kann sich zuerst theoretisches Wissen erarbeiten, steigt dann in praktische Aspekte ein und lernt schließlich, wie er die Probleme umgeht.

Beim Lesen fiel mir dann auf, dass einige Teile meinen Erwartungen nicht gerecht werden. So wäre es bei einem Buch über Webanwendungen wünschenswert, dass es zumindest stichpunktartig auf die Techniken des Internet und des Web eingeht. Dieser Teil fehlt hier fast vollständig. Auch werden relevante Aspekte wie beispielsweise SSL zu kurz behandelt. Demgegenüber halte ich die Erwähnung des BTX-Hacks und anderer im Rahmen des Buches vernachlässigenswert.

Im ersten und zweiten Teil des Buches findet sich ein ausführliches Literaturverzeichnis. Das sollte dem Leser helfen, tiefer in die Thematik einzusteigen. Es wäre besser, dass die Zitierschlüssel geändert werden und mehr auf Fachliteratur statt auf Zeitschriftenartikel verwiesen wird.

Ich kann mich schlecht mit Java als Sprache für das Buch anfreunden. Aus verschiedenen Aspekten halte ich diese für weniger gut geeignet und Sprachen wie PHP, Python oder Ruby wären für mich eine bessere Wahl gewesen.

Im Buch selbst ist nach meiner Meinung zu viel Quellcode zu finden. Mindestens ein Fünftel besteht aus abgedrucktem Quellcode. Dabei ist zu viel Irrelevantes mit gedruckt. Für die Beispiele im Buch reichen oft wenige Zeilen. Code über viele Seiten finde ich zu unübersichtlich. Insbesondere auf Grund der Tatsache, dass sich der Autor auch die Arbeit gemacht hat und eine Demoanwendung mitliefert. Hier wäre es empfehlenswert, einfach die zur Erklärung des Beispiels relevanten Zeilen zu drucken und dann auf die betreffende Datei in der Demoanwendung zu verweisen.

Insgesamt bietet das Buch Licht und Schatten. Es hat viele gute Ansätze, die aber noch ausgearbeitet werden sollten. Wenn der Autor dies in einer nächsten Auflage schafft, so ist das Buch dann zu empfehlen. Derzeit bin ich unsicher, ob das Buch dem Publikum wirklich den erhofften Mehrwert bringt.

Continue reading "Rezension des Buches „Web-Sicherheit“ von Sebastian Kübeck"

Behördenwillkür bei Jacob Appelbaum

In Deutschland dreht sich derzeit die Diskussion um den Bundestrojaner, der vom CCC gefunden wurde. Derweil spielt sich in den USA ein anderes Drama ab.

Jacob Appelbaum kann man nur als vielseitigen Zeitgenossen bezeichnen. Er arbeitet beim Tor-Projekt als Entwickler, hat in der Vergangenheit einige spektakuläre Ergebnisse im Bereich der IT-Sicherheit gefunden, engagiert sich bei WikiLeaks, half Hurrikanopfern usw. Die Liste lässt sich beliebig erweitern. Doch eines seiner Hobbys brachte ihm Probleme ein. Auf der Konferenz The Next HOPE hielt er im Juli 2010 einen Vortrag zu WikiLeaks (siehe unten). Seitdem wird Jacob bei jedem Grenzübertritt aus den USA oder in die USA kontrolliert. Das heißt, er wird zum Teil stundenlang festgehalten und befragt. Ihm wurden Geräte weggenommen und anderes mehr. Jetzt werdet ihr euch fragen, auf welcher Basis dies passierte. Dies ist bis heute unklar! Es gibt keine Anklage. 

Nachdem das Justizministerium Informationen von Twitter über Jacob Appelbaum und andere Aktivisten wollte, geht die US Regierung noch einen Schritt weiter. Sie forderte von Google und von dem Provider Sonic alle E-Mail-Adressen mit denen Appelbaum in den letzten zwei Jahren kommunizierte. Ein Artikel im Wall Street Journal hat weitere Details zu der Sache.

Welchen Erkenntnisgewinn soll eine solche Sache bringen? Wenn man die diversen Schritte der Behörden verfolgt, drängt sich der Verdacht auf, dass es nur um Schikane geht. Jacob kann man wohl nichts Böses nachweisen und so scheinen die Behörden einfach ein Exempel zur Abschreckung aufzubauen. Ich kann nur hoffen, dass die Vorgang ein Ende hat und Jacob sich wieder seinen Interessen widmen kann.  

Continue reading "Behördenwillkür bei Jacob Appelbaum"

Anatomie einer Spammail

Bei der LUG Jena hatten wir kürzlich eine Diskussion über Spammails und Viren. Der Grund war, dass ich die untenstehende E-Mail erhielt. Das ist mal kein alltäglicher Spam. Vielmehr wird hier versucht, mir Malware unterzuschieben. Ich will mal versuchen, die Details hier aufzuschreiben.

Zunächst werfen wir einen Blick auf die E-Mail. Die Received:-Zeilen geben Aufschluss über den Weg der E-Mail. Üblicherweise geht man vom Empfänger zum Absender vor. Der Computer mit dem Namen MeinRechner hat die E-Mail von jengate.thur.de entgegen genommen. Der Rechner mit dem Namen demokritos1.cytanet.com.cy hat die E-Mail dort eingeliefert. Dessen IP-Adresse war 195.14.130.192. Der Rechner, mit dem alles begann, nannte sich selbst charmex.ovh.net. Seine IP-Adresse war 94.23.84.123 und die löste zu dem Namen mail.charmex.net auf.

Wie schon zu vermuten ist, löst die Adresse charmex.ovh.net nicht auf. Die IP-Adresse und der richtige Hostname bringen da schon mehr. Der Domainname wurde von Charmex International aus Barcelona registriert. Wie man in untenstehendem StreetView-Ausschnitt sieht, ist das wohl eine richtige Firma mit Sitz in einer dnsmap sagte mir später, dass es die Namen {ftp,mail,smtp,webmail,www}.charmex.net gibt. In der Tat antworten ProFTPd, Apache, Postfix, Courier usw. an den entsprechenden Ports. Der Apache ist auch der Meinung, dass er aus einer Debian-Distribution stammt. Denn ein curl -I http://www.charmex.net/ führt unter anderem zu der Ausgabe Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny8 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g . Robtex zeigt eine ganze Menge zu DNS-Kram an. Auch zu Charmex wusste es einiges zu berichten.

Der folgende Host demokritos1.cytanet.com.cy ist derzeit in zwei RBLs zu finden. Die komplette Domain ist auch bei rfc-ignorant gelistet. Genauere Informationen findet ihr wieder bei Robtex: zum Domainnamen und zur IP-Adresse.

Wenn man den Header-Zeiler glauben darf, wurde die Software The Bat! eingesetzt. Die Version stammt schon aus den Anfangsmonaten von 2005. Die Software kann man kaufen oder testen. Die Testversionen haben normalerweise enen bestimmten String und bei der gekauften ist theoretisch der Käufer registriert. Bei einer derart alten Version vemute ich jedoch, dass man auf dem Wege nicht mehr den wirklichen Besitzer finden würde.

Der Name des Empfängers ist zwar Schall und Rauch und kann leicht gefälscht werden. Dennoch stolperte ich über Namen. Der kann zwar bedeutungslos sein. Jedoch stimmt der mit dem russischen Namen ?????? überein.

Die Message-ID ist nicht vom Programm The Bat! erzeugt worden. Denn die Versionen bis mindestens 4 erzeugen ein Muster ZUFALLSWERT.DATUM@DOMAIN. Der Wert nach dem Punkt ist eindeutig kein Datum. Nun habe ich etwa 140.000 Mails nach einer Message-ID dieser Form durchsucht. Interessanterweise taucht das Muster nur bei Spammails und erst ab April 2011 auf. Viele dieser E-Mails behaupten von The Bat! verfasst worden zu sein. Ich vermute, dass der Mailer positive Punkte bei Spamerkennungssoftware bringt.

Ziemlich am Ende des Kopfes der E-Mail stehen die Zeilen:

MIME-Version: 1.0                                                    
Content-Type: text/plain;                                                       
        charset=“utf-8”                                                         
Content-Transfer-Encoding: 8bit

Diese passen nicht so recht ins Bild. Die meisten Mailprogramme, die ich kenne, erzeugen je nach dem Inhalt eine andere Zeile. In dieser Kombination habe ich es bisher nur von Skripten gesehen. Daher nehme ich an, dass auch diese E-Mail von einem Skript erzeugt wurde.

Im Header könnte man noch weiter herum orakeln. Aber wenden wir uns lieber dem Text der E-Mail zu. Die Anrede wurde klein geschrieben. Ein weiterer Hinweis auf ein Skript. Denn der Rest der E-Mail hat korrekte Groß- und Kleinschreibung. Wenngleich sich die E-Mail liest, als wäre sie durch den Babelfisch gejagt worden.

Das Interessanteste am Text ist natürlich die URL hxxp://cdmirandes.com/.bestellen/Orden.zip. Ich habe absichtlich hier ein xx reingeschrieben. Wer sich die Datei herunterladen will, soll es wirklich wollen. Die Inhalte sind nicht für jeden Rechner gesund. :-)
Ich habe die URL an Virustotal weitergereicht. Nach dem URL-Scan erkannte nur TrendMicro die Seite als Malware-Seite. Der Rest der Virenscanner meldet diese auch heute noch als „clean“. Die Datei Orden.zip hat knapp 180 kB. Das erste Ergebnis von Virustotal war gemischt. Etwa ein Ein Sechstel aller Virenscanner erkannte irgendetwas Böses an der Datei. Mittlerweile erkennt die Mehrzahl der Scanner die Datei als eine Abart des Zeus- Trojaners. Vier Tage nach meinem ersten Scan lag die Erkennungsrate bei knapp 70%. Heute (zwei Wochen danach) sind 81% der Virenscanner der Meinung, dass es Malware ist. Die Jotti-Virenscanner liefern ein ähnliches Bild. Hier wird wieder klar, wie sehr oder wenig man sich auf einen Virenscanner verlassen kann.

Damit kann man auf die Löschtaste drücken und die E-Mail ins Nirvana schicken. Oder man übergibt die Datei an Seiten wie ThreatExpert, CWSandbox oder anderen und schaut nach, was der Trojaner so anstellt. ThreatExpert führt die Software in einer virtuellen Maschine aus und macht vorher und hinter einen Schnappschuss. Damit werden Änderungen an Dateien, der Registry uvm. sichtbar. Für die ausführbare Datei ergab sich folgende Analyse. Eine wesentliche tiefergehende Analyse liefert der Report von CWSandbox. Hier ist auch zu sehen, dass die Datei eine Netzwerkverbindung aufnehmen wollte. Von dem Hostnamen swarsdf45432.com sollte die Datei cfg1.bin abgerufen werden. Leider findet sich unter dem Namen nichts mehr. Er klingt für mich auch nach Fast Flux. Jedoch findet sich auch eine IP-Adresse 94.60.122.90. Unter der Adresse läuft ein Apache und einige weitere Software. Ein Versuch, die Datei abzurufen, endete mit Fehler 503. Damit stelle ich auch meine Rechercheversuche ein. Aber der geneigte Forscher kann sicher an der einen oder anderen Stelle ansetzen und noch ein wenig mehr herausfinden. Viel Spass!

Continue reading "Anatomie einer Spammail"

Schweigen ist Gold

Eine alte Redewendung besagt: „Reden ist Silber, Schweigen ist Gold.“ Gerade im Hinblick auf polizeiliche Ermittlungen ist dieser Hinweis wirklich Gold wert.

Auf dem 23C3 begeisterte der Rechtsanwalt Udo Vetter viele Zuhörer mit seinem Vortrag Sie haben das Recht zu schweigen. Er gab damals einige Hinweise, wie man sich bei einer Hausdurchsuchung verhalten soll. Der mit Abstand wichtigste Hinweis fand sich schon im Titel.

Einige Zeit später stieß ich auf ein Video eines amerikanischen Professors (siehe unten). Auch er erklärte seinen Zuhörern, warum es beim Kontakt mit den Polizeibehörden wichtig ist, nichts zu sagen. Dabei ging er recht methodisch vor und machten an verschiedenen Profilen (Schuldige, Unschuldige, Lügner, Ehrliche etc.) klar, dass niemand einen Vorteil hat, ohne Anwalt mit den Behörden zu reden. Der Vortrag wurde von einem Ermittler ergänzt, der seine Rede mit einer vollumfänglichen Bestätigung des Vorredners begann.

Dennoch hat sich diese Erkentnis noch nicht herumgesprochen und sogar hochrangige Personen tappen in die Falle. Der aktuelle The New Yorker beschreibt die Geschichte von Thomas Drake, einem Ex-NSA-Mitarbeiter und Whistleblower. Drake misfiel die enorme Geldverschwendung der Behörde sowie die Unrechtmäßigkeit der Abhörmaßnahmen. Nachdem er intern keinen Erfolg mit seinen Beschwerden hatte, wandte er sich an die Medien. Durch die Berichte in der Baltimore Sun kam es zu Ermittlungen und er wie einige andere stand im Fokus von Ermittlungen. Bei einer Hausdurchsuchung machte er dann wohl einen entscheidenden Fehler:

…, he viewed the raid as a fresh opportunity to blow the whistle. He spent the day at his kitchen table, without a lawyer, talking. […] He also disclosed his computer password.

Insgesamt kooperierte Drake lange Zeit mit den Behörden und versuchte sich dadurch einen Vorteil zu verschaffen. Mittlerweile ist das Ausmaß seiner „Verbrechen“ klar. Laut Anklageschrift soll er fünf geheime Dokumente entwendet und die Behörden belogen haben. Interessanterweise hatte eines der Dokumente keinerlei Sicherheitseinstufung. Nach der Anklage war das falsch eingestuft und hätte geheim sein müssen. Die Schrift behauptet, das hätte er  wissen müssen. Ein zweites Dokument wurde drei Monate nach der Anklage deklassifiziert, also als nicht geheim erklärt. Dafür erwartet ihn unter Umständen eine Strafe von 35 Jahren im Gefängnis. Bei der Anklage ist der Punkt mit der Lüge interessant. Denn wie der oben erwähnte Professor schon ausführte, kann eben genau das passieren, wenn man sich mitteilt. Das heißt, erzählt man etwas, dass sich später als unwahr herausstellt bzw. die Ermittler der Meinung sind, dass es unwahr ist, so führt das zu einem Extra-Anklagepunkt.

Aber selbst wenn sich jemand vornimmt, nichts zu sagen, so dürfte das in der realen Situation schwierig sein. Zum einen ist eine Hausdurchsuchung für die meisten eine sehr ungewohnte, belastende Lage. Hier wird es schwer, sich an seine „Vorsätze“ zu erinnern. Zum anderen beschreibt der oben genannte Ermittler die Verhältnisse ganz gut. Er sagt: „Stellen Sie sich vor, ein Normalbürger steigt mit einem Profiboxer in den Ring. Wer wird den Kampf gewinnen?“ Der Profiboxer ist in dem Fall der Ermittler, der eine umfassende Ausbildung darin bekommen hat, wie er Menschen zum Reden bekommt. Aber wer von euch hatte schon eine Ausbildung im Schweigen? :-) Der Ermittler beschreibt auch sehr schön die diversen Tricks, mit denen er sein Ziel erreicht.

Solltet ihr mal in eine solche Situation kommen, dann antwortet einfach auf jede Anfrage eures Gegenübers mit dem Satz: „Bitte nehmen Sie zur Kenntnis, dass ich keine Aussage machen möchte“ (frei nach den Worten von Udo Vetter). Hoffentlich wird dann alles gut. ;-)

Continue reading "Schweigen ist Gold"

Podcast rund um die Volkszählung 2011

Michael Ebeling hat in Zusammenarbeit mit dem Radio Flora einen sechsteiligen Podcast zur Volkszählung 2011 gemacht. Wer noch Informationen zum diesjährigen Zensus und seiner Geschichte sucht, ist hier genau richtig. Folgende Themen werden behandelt:

via zensus11.de
cronjob