Komplette Festplatte verschlüsseln mit Truecrypt 5

Mit der brandneuen Version 5.0 von Truecrypt lässt sich erstmals die gesamte Festplatte verschlüsseln. Bisher konnte Truecrypt nur einzelne Container erstellen und verschlüsseln.

Diese Container bieten zwar bereits eine hohe Sicherheit, es besteht jedoch die Gefahr, dass eine Anwendung beim Öffnen eines Dokumentes eine temporäre Datei anlegt und diese beim Beenden nicht vollständig löscht. Es können also nicht verschlüsselte Spuren zurückbleiben. Anders sieht es aus, wenn die gesamte Festplatte samt Betriebssystem und aller Daten verschlüsselt wird. Read More …

Firefox nun bei Version 2.0.0.12

Gestern ist das automatische Update für Firefox wieder angesprungen. Die neue Version 2.0.0.12 schließt drei kritische Lücken:

Mozilla Foundation Security Advisory 2008-01: Mozilla developers identified and fixed several stability bugs in the browser engine used in Firefox 2.0.0.12 and other Mozilla-based products. Some of these crashes showed evidence of memory corruption under certain circumstances and we presume that with enough effort at least some of these could be exploited to run arbitrary code.

Mozilla Foundation Security Advisory 2008-03: Mozilla contributors moz_bug_r_a4 and Boris Zbarsky submitted a series of vulnerabilities which allow scripts from page content to escape from its sandboxed context and/or run with chrome privileges. An additional vulnerability reported by moz_bug_r_a4 demonstrated that the XMLDocument.load() function can be used to inject script into another site, violating the browser’s same-origin policy.

Mozilla Foundation Security Advisory 2008-06: Mozilla contributor David Bloom reported a vulnerability in the way images are treated by the browser when a user leaves a page which utilizes designMode frames. The reported issue can be used to steal a user’s navigation history, forward navigation information, and crash the user’s browser. The crash showed evidence of memory corruption and might be exploitable to run arbitrary code.

Ein als „hoch“ eingestuftes Sicherheitsloch:

Mozilla Foundation Security Advisory 2008-05: Gerry Eisenhaur reported the chrome: URI scheme improperly allowed directory traversal that could be used to load JavaScript, images, and stylesheets from local files in known locations. This traversal was possible only when the browser had installed add-ons which used „flat“ packaging rather than the more popular .jar packaging, and the attacker would need to target that specific add-on.

Mozilla researcher moz_bug_r_a4 reported that this vulnerability could be used to steal the contents of the browser’s sessionstore.js file, which contains session cookie data and information about currently open web pages.

Sowie drei „moderate“ und drei als niedrige Gefahr eingestufte Lücken. Die Informationen dazu finden sich hier.

Hausdurchsuchung? Ja, klar!

Wie erschreckend schnell es zu einer Durchsuchung der eigenen vier Wände kommen kann, beschreibt mal wieder der Rechtsanwalt Udo Vetter in seinem Weblog: Ein Mandant von Vetter betreibt ein Internetforum. Dort taucht ein Beitrag mit einem Link zu einer Datei bei Rapidshare auf. In der Folge wird eine Wohnung durchsucht. Aber nicht die des Link-Posters. Auch nicht die des Uploaders. Nein, die des Betreibers des Forums.

Eigentlich sollen Richter ja verhindern, dass die Exekutive gleich losstürmt. Man nennt das hierzulande Richtervorbehalt. Aus der Wikipedia dazu: „Der Richtervorbehalt ist eine gesetzliche Zuständigkeitsvorschrift, wonach nur ein Richter für bestimmte staatliche Maßnahmen und Entscheidungen zuständig ist.“ Das bringt allerdings nur wenig, wenn der Richter von der Materie entweder nix versteht oder nicht verstehen will.

Lesenswert sind auch die Kommentare bei Vetter:

Zeuge zum Richter: „Sie kennen doch Webseiten im Internet …“
Richter darauf: „Naja, ich habe schon davon gehört, aber selbst noch nie gesehen.“

Tipps zum Schutz gegen Keylogger

Wenn man beispielsweise im Urlaub in einem Internet-Café seine E-Mails lesen will, läuft man Gefahr, dass ein heimlich installierter Keylogger die Zugangsdaten mitschneidet. Ein einfacher, aber effektiver Trick dagegen ist es, beim Eingeben des Passworts zusätzliche Zeichen einzutippen. Im Keylogger-Protokoll steht so am Schluss nur ein sinnloser Zeichensalat.

Das geht so: Man ruft seine Webmail-Seite auf und tippt den Zugangsnamen ein. Dann wechselt man mit der Maus in die Adresszeile des Browsers und beginnt damit mehrere beliebige Buchstaben und Ziffern einzugeben. Mit der Maus wechselt man dann in das Passwort-Eingabefeld und tippt das erste richtige Zeichen ein. Danach wieder zurück ins Adressfeld und mehrere falsche Zeichen eingeben. Ab jetzt mehrmals hin- und herwechseln, bis das korrekte Passwort fertig ist.

Statt dem richtigen Passwort

geheim

steht danach im Keylogger-Protokoll nur zum Beispiel der folgende Wirrwarr

POg2Aefrh19edEiJm

Es ist nicht genau bekannt, was Keylogger heute schon alles aufzeichnen können. Aber man kann davon ausgehen, dass sie einen Wechsel des aktiven Programmfensters vermerken. Deswegen auch der Trick, im aktiven Browser-Fenster zu bleiben und nicht beispielsweise zu einem Text-Editor zu wechseln.

Möglicherweise speichert der Keylogger auch Mausklicks. Es ist deswegen wahrscheinlich sinnvoll, auch während der Eingabe der falschen Zeichen in der Adresszeile das eine oder andere Mal mit der Maus zu klicken.

Von einem anderen Trick, einzelne Buchstaben auf einer Webseite zu markieren und über die Zwischenablage in das Passwortfeld einzufügen, halte ich nicht viel. Das Überwachen der Zwischenablage dürfte für die meisten Keylogger kein Problem darstellen.

Eine alternative Schutzmöglichkeit sind eingeblendete virtuelle Tastaturen bei denen das Passwort aus einer (oft zufällig wechselnden Zusammenstellung) ausgewählt wird. Aber erstens bieten die wenigsten Web-Mailer vermutlich dieses Feature an und zweitens kann ein Keylogger auch einfach Screenshots der Klicks machen und abspeichern.

Zuletzt sollte man sich aber natürlich vor jeder Eingabe persönlicher Zugangsdaten an einem öffentlichen Computer fragen, ob das wirklich nötig ist? Selbst, wer „nur“ das Passwort zu seinem Mail-Konto aufs Spiel setzt, riskiert erheblichen Schaden, da in vielen Mailboxen wiederum Zugangsdaten zu weiteren Konten gespeichert sind. Von Online-Banking oder ähnlichem in einem Internet-Café sollte man sowieso immer absehen.

Champions of social justice

Western commentators tend to see political Islam as an antiliberal and irrational form of „Islamo fascism.“ Yet much of the Islamists‘ success in Pakistan and elsewhere comes from their ability to portray themselves as champions of social justice, fighting westernized élites.

William Dalrymple in Time, 14. Januar 2008.

Prickelnde Notebooks

Dell-Kunden berichten über schwache Elektroschocks, die sie von ihrem neuen XPS-Notebook verpasst bekommen haben. Grund dafür sind anscheinend die mitgelieferten 2-poligen Adapter, bei denen auf die Erdung verzichtet wurde. Wenn der Anwender das Aluminium-Gehäuse seines XPS-Notebooks berührt, kann es zu einer Erdung kommen, bei der er dann einen leichten Stromschlag verspürt.

Dell hat dies bereits im vergangenen April bestätigt und unter anderem folgende Infos gepostet:

  • It is not harmful to you the user.
  • It is not harmful to any of the system’s internal components.
  • This issue is not specific to Dell.
  • This issue is not specific to notebook computers even. A “tingle” sensation may be felt on many electronic devices that use a 2-prong AC power source under specific environmental conditions.

Zur Illustration hat ein XPS-Besitzer ein Foto mit den beiden verfügbaren Adaptern veröffentlicht:

Der untere bitzelt, der obere nicht.

Laut oben verlinkter Dell-Meldung bietet der Hersteller seinen Kunden 3-polige Adapter zu vergünstigten Konditionen an. Im Dell-Forum berichten mehrere Teilnehmer jedoch davon, dass sie einen neuen Adapter kostenlos zugeschickt bekommen haben.

Vermutlich muss man nur ordentlich Druck beim Support machen. So ein kostenloser zweiter Adapter fürs Büro hat ja auch was …

SANS Institute: Top-Gefahren 2008

Zwölf Sicherheitsexperten haben für das SANS Institute ihre Einschätzung über die größten IT-Gefahren 2008 gegeben:

  1. Increasingly sophisticated website attacks that exploit browser vulnerabilities – especially on trusted websites.
  2. Increasing sophistication and effectiveness in botnets.
  3. Cyber espionage efforts by well resourced organisations looking to extract large amounts of data – particularly using targeted phishing.
  4. An increase in mobile phone threats, especially against iPhones and Android-based phones.
  5. Insider attacks.
  6. Advanced identity theft from persistent bots. Malicious agents that stay on compromised machines for months will be able to gather enough data to enable extortion attempts (against people who surf child porn sites, for example) and advanced identify theft attempts where criminals have enough data to pass basic security checks.
  7. Increasingly malicious spyware.
  8. Web application security exploits.
  9. Increasingly sophisticated social engineering including blending phishing with VoIP and event phishing. For example, a blended attack may include an inbound email, apparently being sent by a credit card company, asks recipients to „re-authorise“ their credit cards by calling a 1-800 number. The number leads them (via VoIP) to an automated system in a foreign country that, quite convincingly, asks that they key in their credit card number, CVV, and expiration date.
  10. Supply chain attacks infecting consumer devices (USB thumb drives, GPS systems, photo frames, etc.) Retail outlets are increasingly becoming unwitting distributors of malware-infected devices, the experts warns.

(Quelle)

WLAN entschlüsseln?

Der Security-Papst Bruce Schneier plädiert jetzt dafür, WLAN-Verschlüsselung abzuschalten. Mag sein, dass die Welt dadurch ein kleines bißchen besser wird, wie Bruce schreibt, aber das Risiko versehentlich ins Visier der einen oder anderen Behörde zu geraten, ist zu hoch. Und zwar unabhängig davon, ob das Risiko 1 zu 100 oder 1 zu 10 Millionen beträgt.

Gesetzt den Fall, jemand nutzt ein offenes WLAN zum Uploaden von Spam, Warez oder Schlimmerem, dann tut er dies unter der fremden IP. Diese IP ist die erste Anlaufstelle für den ISP oder sogar eben Strafverfolger. Mag auch sein, dass man bei einer Hausdurchsuchung und der Beschlagnahme von PCs, Festplatten, CDs etc. ja auf das offene WLAN verweisen kann, wie Bruce vorschlägt. Aber ein beschlagnahmter PC ist erst mal weg; und bis man ihn wiederbekommt, kann einiges an Zeit vergehen. Mal abgesehen von der „Freude“ morgens von einem Polizeitrupp aus dem Bett geworfen zu werden.

No way, mein WLAN bleibt verschlüsselt beziehungsweise gleich ganz aus.