Schlagwort-Archive: Hacking

Shooting the messenger

Veröffentlicht am von

Aus mehrfach aktuellem Anlass – und nachdem auch die Politik aktuell wieder heult, dass im letzten Jahr wieder massiv gecybert wurde.

Liebe Unternehmen: Bekommt eure Security und vor allem euer Verhalten gegenüber Sicherheitsforschenden endlich mal in den Griff.

Nachdem es bei Golem und Heise zu lesen war und es nicht der erste Fall von „Shooting the messenger“ dieses Jahr war und mir ehrlich gesagt mittlerweile der Kamm ein wenig schwillt, mal (m)eine Meinung und Erfahrung zum Thema Sicherheitsforschung und der Umgang von Unternehmen mit der Thematik.

Der Vollständigkeit halber (und nein, das soll keine Prahlerei sein): ja, auch ich habe schon Sicherheitslücken entdeckt und gemeldet. Details sind sind an der Stelle unwichtig, zur groben Einordnung, zwei Meldungen hatten IIRC einen CVSS-Score von 7,4 und 8,6.

Was ich in der Kommunikation mehrfach beobachten konnte waren folgende Reaktionen in dieser Reihenfolge:

  • „Kann gar nicht sein“
  • „Warum glauben Sie, dass es eine Sicherheitslücke gibt?“
  • „Oh.“
  • (vermutlich hektischer Griff zum Telefonhörer, keine Reaktion – nach längerem Warten und mehreren Rückfragen)
  • „Wir haben es gefixt, bitte prüfen“

Meine Gedanken dazu: Ok, ok, es kann ja jeder daherkommen und Dinge behaupten. Aber selbst mit einer groben Beschreibung was falsch läuft, sollte jemand der/die „security“ in der Mailadresse hat entweder seine Kompetenz nutzen oder entsprechende Ressourcen im eigenen Betrieb aktivieren.

Gleiches gilt für Punkt zwei. Muss man als unbezahlte(r) dritter wirklich immer einen proof of concept darlegen? War bei mir bis jetzt immer der Fall. Leute, es eure Sicherheit. Euer Kapital, eure Verantwortung. Muss man wirklich eure (bitte entschuldigt die Ausdrucksweise aber etwas milderes fällt mir dazu nicht ein) Nase in den Kackhaufen drücken, auch wenn man von weitem schon sieht, dass der einfach nicht auf den Parkettboden gehört?

Das darauf folgende „Oh.“ gibt zwar ein wenig Genugtuung – aber: man im Zweifel Stunden oder gar Tage für etwas aufgewendet, was eigentlich in der verdammten Verantwortung des „zerforschten“ liegt. Seis drum. Man hilft ja gerne.

Selten oder eigentlich eher so gut wie gar nicht habe ich Proaktive Kommunikation von der Gegenseite bekommen. Warum auch: man hat ihr unliebsame Arbeit beschert und nervt dann auch noch damit, wann endlich die ureigensten Probleme gelöst sind.

Und ja, auch der letzte Punkt ist nicht erfunden. „Will review for code and food“. Man muss sich echt wundern, mit welcher Erwartungshaltung manche Menschen durchs Leben gehen. Natürlich werde ich an einer Blackbox bestätigen, dass das Teil jetzt sicher ist, obwohl die Sicherheitslücke im Zweifel nur einen kleinen Schritt zur Seite gemacht hat – und zum Schluss noch „Haftung“ dafür zu übernehmen. Ja ne, is klar Kollege.

Eine andere Beobachtung (allerdings schon ein paar Jahre her): Es kann durchaus schwierig sein jemanden zu erreichen, der/die sich tatsächlich überhaupt verantwortlich für Sicherheit fühlt. Auf Anfragen über Kontaktformulare oder zentrale Mailverteiler wurde nicht reagiert und es war social engineering erforderlich, um einen Kontakt aufzubauen.

Was läuft falsch?

Die für mich markantesten Punkte sind:

  • Es ist erstaunlich schwierig, einen Kommunikationskanal aufzubauen
  • Man muss mehr beweisen als eigentlich nötig wäre
  • Probleme werden heruntergespielt oder die Tragweite verkannt
  • Um die Analogie „Daten sind das Öl des 21. Jahrhunderts“ auszuschlachten: Die Gewinne sind wichtig, aber für eine Tankerhavarie gibt es weder einen Notfallplan noch eine schnelle Eingreiftruppe. Zerstöre Ökosysteme: kann man nichts machen, das bringt der Fortschritt halt mit sich
  • Obwohl man hilft, bleibt man Bittsteller oder ein Störfaktor
  • Es gilt das Schubkarrenprinzip: Es bewegt sich nur was, wenn man schiebt

Grundsätzlich kann man es wie folgt zusammenfassen: Die Erwartungshaltung der beiden Parteien divergiert.

Zugegeben: ich habe den Eindruck, dass es (auch dank DSGVO und den damit verbundenen Strafen) etwas besser geworden ist und auch die Angst vor der Veröffentlichungen etwas größer geworden sind.

Dennoch ist die noch recht junge security.txt Stand Oktober 2021 leider noch nicht so richtig etabliert.

Liebe Unternehmen, bitte beachtet:

Sicherheitsforschende…

  • …machen das ggf. in deren Freizeit
    (nicht sie binden eure die Zeit, ihr macht das mit ihrer)
  • …sind nicht die Ursache eurer Probleme
  • …haben euch gegenüber keine keine Verpflichtung oder Bringschuld
  • …haben erst einmal keine persönlichen Vorteile, euch zu helfen
  • …haben kein Interesse, euch ans Bein zu pinkeln
    (sonst würden sie die Lücke gleich woanders verkaufen)
  • …sollten euch nicht erklären müssen, wie ihr es richtig macht
  • …sollten euch nicht den Hintern hinterher tragen müssen
  • …wollen sich nicht und lassen sich nicht gerne verarschen lassen

Herangehensweise

An der Stelle sei hervorgehoben: das sind keine verbindlichen Ratschläge, dafür habe ich weder die Expertise noch eine Autorität. Ein recht interessanten Artikel zum Thema bietet z. B. Heise Online.

Aus meinen bisherigen Erfahrungen halte ich für sinnvoll:

  • Diskretion bewahren
  • Wenn es nicht viel Aufwand ist, bereits ein proof-of-concept vorbereiten – die meisten Unternehmen werden euch nicht glauben. Je schnell man das „Oh“ erreicht, desto besser
  • So früh wie möglich Entdeckungen dokumentieren, auch wie man sich durchhangelt
    • Screenrecordings sind dank OBS mittlerweile sehr einfach zu erstellen und sicher auch schönes Futter, sollte man es beim Congress auf die Bühne schaffen 😉
    • Ist etwas physisches im Spiel: Video möglichst ohne Schnitte um zu zeigen, dass es keinen doppelten Boden gibt
  • Wenn Daten Dritter im Spiel sind: So viel wie nötig, so wenig wie möglich sehen/speichern, möglichst früh anonymisieren. Metainformationen reichen bereits oft für den „Aha-Effekt“
    • Wenn man nicht/schlecht anonymisieren kann: Kryptographie für die Dokumentation verwenden.
  • Zeitlich nachvollziehbar und nicht manipulierbar dokumentieren
    • Hashes von veröffentlichbaren Dokumenationen (Daten Dritter müssen irreversibel geschützt sein) auf nicht verfälschbaren Plattformen (z. B. Twitter) veröffentlichen, dadurch hat man einen Zeitstempel
    • Verschlüsselte Daten in ein öffentliches (z. B. Git) Repo packen
  • Noch vor der ersten Kontaktaufnahme prüfen
    • Wer ist steht einem gegenüber?
      • Gibt es eine Vulnerability-Kultur (Bug bounty-Programme, CVE)
      • Würde man für sie arbeiten wollen?
      • Sind sie schon durch Behandlung von Hackern in Erscheinung getreten?
  • Die erste Kontaktaufnahme gilt zum Aushandeln eines sicheren Kommunikationsweges, keine Details („Ich habe (vermutlich) eine Sicherheitslücke gefunden, bitte senden Sie mir eine verschlüsselte Mail mit Ihren Public Keys an …“)
  • Es kann sinnvoll sein, anonym oder unter Pseudonym an Firmen heranzutreten um Angriffsfläche zu verringern
  • Mit der ersten verschlüsselten Mail die „Spielregeln“ festlegen
    • Freundlich aber bestimmt bleiben („ich will euch nichts Böses, aber ihr müsst etwas machen“)
    • Auch wenn umstritten: CVSS-Score ermitteln und kommunizieren
    • Typ des Disclosures ansagen (Responsible oder Coordinated, siehe auch den oben verlinkten Heise-Artikel)
    • Durchführbaren aber festen Zeitrahmen/Meilensteine festlegen
      • Nicht vertrösten lassen, aber Verzug mit guter Begründung gewähren lassen
    • Konsequenzen beim Verstreichen von Fristen festlegen
      • Zero-Days sind nicht die beste Option
      • Zusammenarbeit mit Plattformen, Benachrichtigung von potenziell geschädigten Partnern/Kunden (nicht im Sinne von Endverbrauchern), Medien
    • Von vorne herein proaktive Rückmeldung des Gegenüber einfordern
    • Wenn es einem wichtig ist: Belohnung aushandeln
  • „Alles was Sie sagen, kann und wird gegen Sie verwendet werden“ gilt für beide Richtungen
  • Security Advisories vor der Veröffentlichung zum Gegenlesen verlangen (eigene Erfahrung: bei einer Stand ziemlich großer Unsinn und wurde trotz deutlichem Hinweis nicht korrigiert)
  • Wenn man zu Meetings eingeladen wird: jemanden im Hintergrund nach Pressemeldungen Ausschau halten lassen
  • Soweit wie sinnvoll möglich kooperieren – es geht um die Sache, nicht um Befindlichkeiten

Nachtrag, Januar 2022:

Die Hacker*innen von zerforschung hatten auf dem rc3 einen guten Talk zum Thema.

Auch wenn ich mich bei ihrem Argument „keine Druckmittel/Erpressung“ in Hinblick auf Konsequzenzen beim Verstreichen von fristen etwas ertappt fühlte, bleibe ich dabei: aufgrund bisheriger Erfahrungen ist ein Mittel, das man in Erwägung ziehen kann – wenn man nicht von vorne herein gemeinsam mit einer Vertrauensperson arbeitet, was je nach „Gewicht“ des Fundes und Breite des eigenen Rückens sehr sinnvoll sein kann.

30C3 – meine Videoliste

Veröffentlicht am von

Zeit für ein paar sehr interessante Videos?

Vor ein paar Tagen hat der 30. Chaos Communication Congress (30C3) in Hamburg stattgefunden. Dort war ich leider nicht, habe aber einige Talks im Stream und nachher als Video angesehen – und ich muss sagen: Oftmals sehr interessant, manchmal sehr lustig aber oft auch beängstigend bis verstörend. Wie eigentlich jedes Jahr ist Sicherheit ein großes Thema, beim 30C3 waren die Enthüllungen rund um die NSA natürlich Grund und Hintergrund einiger Talks. ich möchte aber nicht allzu viel um den heißen Brei schreiben, hier meine persönliche Auswahl an Vorträgen:

  • Bullshit made in Germany – über De-Fail, ähh: De-Mail, Mailtransport, „Schlandnet“ (bzw. dem tollen Peering userer Netzknoten) und sonstige Wahnsinnigkeiten, die in der politischen Netzwelt so produziert werden. Natürlich dürfen die Spezial-Experten von BearingPoint und CSC nicht fehlen. Richtig unterhaltsam präsentiert von Linus Neumann. Bestes Zitat (muss den genauen Wortlaut nochmal heraussuchen): „Ein Staat wäre dumm, seinen Bürgern ein sicheres Kommunikationsmittel zu überlassen“
  • CounterStrike – bisschen chaotisch (weil’s zu viele Slides waren/FX zu wenig Zeit hatte) über die Lawful Interception, also dem Abgreifen von Daten. War ehrlich gesagt nicht ganz so meines.
  • Reverse engineering the Wii U Gampad – wie es funktioniert: das Gamepad ist größtenteils dumm, es ist im Prinzip „nur“ ein Videostreaming-Client mit integriertem Gamepad. Spoiler: man kann eigenes Zeug streamen, aber momentan noch etwas instabil.
  • Script Your Car! – in einer Bluetooth-Freisprecheinrichtung von VW steckt doch etwas mehr, als man denkt – nämlich ein kompletter Linux-Stack. Zugriff aufs Display im Kombiinstrument inklusive. Schöner Hack von Felix Domke!
  • Sysadmins of the world, unite! – War im Stream größtenteils unbrauchbar, weil sich jemand an der Infrastruktur zu Schaffen gemacht hat. Von Assange kann man halten, was man mag – der Teil von Jacob Appelbaum ist aber auf jeden Fall sehenswert!
  • Drones – Was geht, was kommt. Sehr interessant fand ich, dass an einem zivilen GPS-Empfänger gearbeitet wird, der 1 cm Raumauflösung bei 50 Hz Datenrate bieten soll. „Shut up and take my money!“
  • Der tiefe Staat – was wäre, wenn wir in einem Staat leben, der von einem Staat regiert wird. Über die nachrichtendienstliche Virtualisierung unserer Länder. Erinnert mich irgendwie an „Per Anhalter durch die Galaxis“: „Seine [Präsident] Aufgabe besteht nicht darin, Macht auszuüben, sondern die Aufmerksamkeit von ihr abzulenken“.
  • Das FlipDot-Projekt – der Münchner CCC hat alte Flipdot-Anzeigen (richtig große) von der Autobahn-Meisterei bekommen und sie u. a. an den Raspberry Pi gehängt.
  • Security of the IC Backside – extrem interessanter Vortrag über das Hacken von physischen ICs, wie man reinkommt, was man sehen kann und dass man aktive Teile von Halbleiterschaltungen sogar mit einer Infrarot-Kamera sehen kann.
  • Hillbilly Tracking of Low Earth Orbit – Wie man als Privatperson (Spionage-)Satelliten verfolgen und abhören kann, und warum Frank the cat kein Kater ist.
  • Fnord News Show – Für blog.fefe.de-Leser absolutes Pflichtprogramm, für alle anderen auch. Der bizarr-lustig-komisch-kritsche Jahresrückblick vom von-Leitner-Institut für verteiltes Echtzeit-Java und natürlich Frank Rieger.
  • Seeing The Secret State: Six Landscapes – über die „Hobbyfotos“ eines Amerikaners, der sich für Militärbasen, CIA-Schattenfirmen, Missionsaufnäher und Spionagesatelliten. Lustig bis gruselig.
  • To Protect And Infect, Part 2 – Kranke Geschichten über die Spionagemethoden der Geheimdienste. Am Besten Aluhüte und Beruhigungsmittel bereithalten.
  • Amtliche Datenschützer: Kontrolleure oder Papiertiger? – Peter Schaar über das, was er leider nicht mehr macht. Leider ziemlich kurz, hätte sicher auch ein mindestens 2 Stunden langer Vortrag werden können 😉
  • Jahresrückblick des CCC – Was ist 2013 aus (medienseitiger) CCC-Sicht alles passiert.
  • The Exploration and Exploitation of an SD Memory Card – SD-Karten sind kein „dummer Speicher“ – auf dem eingebauten Controller kann man durchaus eigene Software laufen lassen, mit Nutzen aber auch Gefahren. Bin gespannt, wann der erste Datenlogger rauskommt…

Die Liste ist in der Reihenfolge, wie ich die Videos auf der Übersicht gefunden habe, also ohne irgendwelche Prioritäten.

Ein paar Talks habe ich mir noch nicht angeschaut – es gibt noch ein paar, die ich unbedingt sehen will…