Protokoll Donnerstag 13.1.2005

So Jan 16 20:10:53 CET 2005

Am 13.1.2005 traf sich die LUG-Ravensberg im Heimathaus Steinhagen gegen
19:00 Uhr. Drei der Anwesenden (Volker G�th, Patrick Willam, Fran k
Matthie�) waren auf dem 21C3[1] der j�hrlich vom  Chaos Computer Club
e.V. (CCC)[2] veranstaltet wird.

[1] http://www.ccc.de/congress/2004/index.de.html
[2] http://www.ccc.de

Volker breichtete als ersten �ber den schlechtesten Vortrag("Automated
Hacking via Google"[3]) den er jemals gesehen hatte, der der Refernent
augenscheinlich hoffnunglos mit dem Vortrag �berfordert war. Volker
hatte den Eindruck, das der Refernent _sehr_ schlecht vorbereitet war.

Aber es gab viele Lichtblicke bei den Vortr�gen und Vortragenden. Einer
der Highlights ist "Trusted Computing, Eine unendliche Geschichte"[4]
von R�diger Wei� und Andreas Bogk in der neben dem intressanten Thema
die beiden Referenten ihr Publikum zu begeistern wissen.

"...die �blichen Three-letter Organisationen NSA, CIA, SAP und CCC...."
 (R�diger Weis)
"Die brauchen doch nicht zu glauben bessere Menschen zu sein, nur weil
 sie eine Maus mit einer Taste benutzen!"
 (R�diger Weis)

R�diger berichtet in dem Zusammenhang auch immer wieder �ber den letzten
Stand der Kryptografie, von St�rken und vor allem der Schw�chen.

Letztes Jahr habt R�diger auf die Unsicherheit von 1024-Bit RSA
Schl�sseln aufmerklsam gemacht[5], um dieses mal eindringlich auf die
Schw�chen der Hash-Algorithmen MD5 und SHA1 aufmerksam zu machen.

Schw�chen hei�t in diesem Zusammenhang, das entdeckt worden ist, wie ein
verschiedener Inhalt den gleichen Hashwert ergibt. Die praktische
Auswirkung ist, das signierte Mails(GnuPG, S/MIME), die die o.g.
Verfahren nutzen, kritsch betrachet werden m�ssen. Beide Referneten
haben die Entwickler von Software mit kryptografischen Komponenten
aufgefordert nur noch SHA256 zu verwenden. In der Praxis spilen diese
Schw�chen (noch) keine Rolle. 

[3] http://www.ccc.de/congress/2004/fahrplan/event/113.de.html
[4] http://www.ccc.de/congress/2004/fahrplan/event/64.de.html
[5] http://www.ccc.de/congress/2003/fahrplan/event/546.de.html

Volker berichtete �ber den Vortrag "Old Skewl Hacking: Infra Red. MMIrDA
(Major Malfunction's Infra Red Discovery Application"[6], in dem der
Referent von seinen Ergebnissen in der freien Wildbahn, sprich
Hotelumgebungen und Garagensteuerungen berichtete. Das Ergebnis kann als
erschreckend bezeichnet werden, da es keine Sicherung des
IrDA-basierenden Hotel-Managmentsysstem gibt. Mit den Infrarot-Systemen
werden in Hotel ebend nicht nur TV-Ger�te ferngesteuert, sondern auch
die Logistik abgewickelt:

* Auftragsvergabe f�r Zimmerreinigeungen,
* Auff�llen von Minibars,
* Abrechnen von Minibars,
* Pay-TV Abrechnung
* Pay-TV Steuerung f�r alle Zimmer

Da der Refernet beruflich bedingt viel Zeit in Hotels verbringt, war die
Motivation entsprechended hoch, sich mit dem System zu besch�ftigen.
Auch die Steuerungen von Garagentoren ist �hnlich "gesichert" neben den
schnell durchprobierten 256 M�glichkeiten gibt es wohl einen geheimen
Herstellerschl�ssel. Das Fazit unserer Runde war auch in diesem Fall:
Denn sie wissen icht was sie tun!

[6] http://www.ccc.de/congress/2004/fahrplan/event/125.de.html

Leider war das ein eher harloser Fall von Fehlkonstruktion. Der Vortrag
"Sicherheitsanalyse von IT-Gro�projekten der �ffentlichen Hand.
Untersuchung eines Austauschsystems f�r hochsensible personenbezogene
Daten"[7]. Das Fazit von Volker der diesen Vortrag �ber das Projekt
"Gesundheitskarte" geh�rt hat ist: "Die einzige Sicherung ist
ISDN-Callback". Die elektronisch durch Verschl�sselung gesicherte
Patientenakte bietet faktisch keine nennenswerte Verschl�sselung. Das
verwendete Verfahren sieht einen 128 Bit-Schl�ssel vor. Leider sind
gro�e Teile des Schl�ssel durch feste Vorgaben, die leicht zu erraten
sind, belegt. Laut Volker bleiben ca 2-3 Bit f�r einen zuf�lligen
Schl�ssel �brig. Der Referebnt hat das Projekt als Totalschaden
bezeichnet, bei dem sinnvollerweise bei Null angefangen werden m��te um
zu einem Verfahren zu kommen, das den geltenden Datenschutzrichtlinien
gerecht wird. Im Projekt wird ausdr�cklich darauf hingewiesen, das
Virenschutz, Firewalls und geh�rtete Betriebsysteme f�r den Schutz der
Daten nicht notwendig sei, da ja die Verschl�sselung f�r hinreichende
Sicherit sorgen w�rde. "Denn Sie wissen nicht was tun! Oder doch?"

In unserer Runde kam das Gespr�ch darauf, dass mit dieser Art von
Sicherheit ich ganz einfach Leib und Leben von Menschen in Gefahr
bringen lassen, in dem bei einer Patientenakte eine Allergie
rausmanipuliert wird. Die Folgen so einer Manipulation sind
vorhersehrbar. Es gaht hier also nicht nur um das Geheule der "Spinner
mit dem Datenschutz" sondern um handfeste Risiken. Auch die
Kosteneinsparungen �ber die Vermeidung von doppelten Untersuchungen
sto�en an ihre konzeptionellen (ISDN)Grenzen. Bei der Bereitstellung von
hochaufl�senden R�ntegnbildern soll das gro�e Datenvolumen �ber das
verlustbehaftete Bildkompressionsverfahren JPEG in den Griff bekommen
werden. Da der Mediziner aber auf die Details der hochaufl�senden Bilder
angeweisen ist, stellt sich hier die Frage ob die �bertragenen Bilder
f�r eine Diagnose noch verwendbar sind. Desweiteren ergibt sich das
Problem, das diese Datenmengen �ber einen max 15kBytes/Sekunde gro�en
Datenkanal gehen sollen. Wir hzaben in der Runde gewitzelt, das die
zuk�nftigen Patienten auf morgen vertr�stet werden, da die ISDN Leitung
erst dann wieder frei ist.

Auch die Absicherung der Schl�ssel �ber Smartcards stellt sich im
Nachhinein als schlechter Witz heraus. Die Schl�ssel der Patienten und
�rtztekarten werden von der Karte auf den jeweiligen Praxis-PC
transferiert. Das bedeutet, das der Schl�ssel, der recht sicher in der
Karte aufbewahrt wird, �ber einen offenen Kanal in eine ungesicherte
Umgebung kopiert wird(Windows PC). Die Verifikation der Echtheit der
Karte scheint ein simples "Bist Du echt?" zu sein, was einfach mit "Ja!"
zu beantworten ist. Auch hier sind m�glichen Manipulation T�r und Tor
ge�ffnet. 

[7] http://www.ccc.de/congress/2004/fahrplan/event/307.de.html

Volker und Frank berichteten von der/einer Kultveranstaltung: "Security
Nightmares 2005. Oder: wor�ber wir n�chstes Jahr lachen werden"[8]

Traditionell wird das von Ron und Frank Rieger moderiert, die man als
"alte Hasen" bezeichnen kann. Diesmal allerding begann Ron damit
anzumerken, das seine Stimme angeschlagen sei, da er den ganzen Tag am
Abuse-Telefon Rede und Anwort stehen musste, da wieder einmal ein Hack
die Gem�ter von ca. 18.000 Hostingkunden zu beruhigen. Der Hack lief
nach seiner Information wie folgt ab. Durch eine fehlerhafte
Konfiguration der Hostingsysteme sind Hacker an eine MySQL Datenbank
gekomne, die die Authenifizierungsdaten von 18.000 Hostingkunden
enthielt. Nun hatten die Hacker nicht besseres zu tun als ein Script zu
bauen, das die vorhandene index.html umbenennt und eine "neue Version"
einspielt". Die "neue Version" machte auf den 21C3 "aufmerksam". In der
folgenden Darstellung und anschlie�enden Diskussion wurde ernsthaft nach
dem Sinn diser Aktion gefragt, das es viele einfach Kunden und
Gewerbetreibende getroffen hat. "Was hat das jetzt gebracht?" Das die
Hacke aus dem Umfeld des CCC zu soetwas in der Lage sind, ist landl�ufig
bekannt und gef�rchtet. Wozu dann nochmal in _der_ Qualit�t zuschlagen.
Frank Rieger merke noch an, dass das Gespr�ch mit dem LKA diesmal in
sehr entspannter Atmosph�re stattfand, da die Beamten bereits
CCC-erfahren waren.

Da das Thema "weggekommenen Datenbanken" nun auf dem Tisch war, begann 
die eigentliche Veranstalltung. Ron und Frank konnten sich nur in aller
Form f�r den sehr peinlichen Vorfall[9] entschuldigen, bei dem die
Registrationsdaten vom Sommercamp 2003 "abhanden" kamen. 

[8] http://www.ccc.de/congress/2004/fahrplan/event/95.de.html
[9] http://www.heise.de/newsticker/meldung/53748
    https://www.ccc.de/updates/2004/camp-server-hack?language=de

Neben der sehr unterhaltsamen Art das zuende gehende Jahr anhand der
letzen "Security Nightmares" Revue passieren zu lassen und die Dinge
herauszuarbeiten die "letzte Jahr vergessen worden sind" ist die Sicht
in die Zukunft, "wor�ber wir n�chstes Jahr lachen werden" eine
lohenswerte Veranstaltung. Aus dem Publikum, welches sich in allen
Phasen aktiv beteiligt, kamen zwei Breicht �ber Sicherheitproblem die zu
allgemeinen Erheitung beigetragen haben:

1. Informative Bankomaten[10]. Durch einen Scriptfehler ist ein Fenster
   mit Eingabeaufforderung offengeblieben ;-) Da diese neuen
   Infoterminal alle mit einer Tastatur ausgestatten sind, war "happy
   hacking" angesagt. Der Hacker merkte nur an, das es sehr unangenehm
   sei, dabei gefilmt zu werden! Da die Kisten nun "offen" waren, haben
   die Freunde der Tastatur die vorhandenen Schachprogramme gestartet,
   wobeio der Computer gegen sich selbst spielte ;-)

   [10] http://www.ulm.ccc.de/projekte/bankomat/

2. Der zweite Hacker berichtete �ber Internetterminals die in seiner
   Region recht verbreitet sein und �ber Touchscreen verf�gen. Da es
   sich um einen Internet Explorer handelte liegt wohl ein Windows
   zugrunde ;-). Nun hat der Gute auf seiner Homepage eine Seite mit
   einem IE/Windows Exploit ausgestattet, um diese Seite dan mit den
   Internetterminal "anzusurfen". Auf diese Wesie hat er sich Zugang zum
   drunterliegenden Windows verschafft. Nun konnte er mit dem
   Windowsoftwarekeyboard(f�r Touchscreenbenutzer eine M�glichkeit der
   alphanumerishen Eingabe) diverse n�tzliche Informationen herausholen.
   Als Erstes hat er sich die Registry mit Regedit angetan und die
   Benutzerdaten f�r die Sybase Datenbankanbindung  ausgesp�ht. In der
   Folge zeige sich das es sich um eine Windowsdom�ne handelt. Unser
   Freund hat mal eine Anmeldung als "Administrator" in der Dom�ne
   ausprobiert und das Datenbankpassowrt verwendet. Schwups, drin! Ron,
   der Moderator sprach von soetwas wie einen Lottogewinn. Auch die
   Fernwartung via VNC ist passwort gesichert, und auch hier hat
   Faulheit �ber Sicherheit gesiegt. Auch hier handelte es sich um das
   selbe Passwort. Der Hackerkollege wurde aufgefordert, das ganze in
   der Datenschleuder[11] zu ver�ffentlichen.

[11] http://ds.ccc.de/?language=de

Frank berichtete �ber zwei Vortr�ge die wieder eine Anonymisierung der
Internetnutzung m�glich machen. "Anonymous communications"[12] und "TOR.
An anonymizing overlay network for TCP"[13]. Der erste Vortrag
beschreibt die Lage der anonymen Kommunikation in der Vergangenheit und
heute um daraus die Voraussetzugnen f�r eine zuk�nftige Architektur
abzuleiten. Nach der allgemeinen Betrachtung wurde das Mixminion
Projekt[14] als aktuelle Antwort auf die Anforderungen vorgestellt.
Dabei handelt es sich um ein Mailsystem mit hoher Latenz. Das Konzept
sieht nicht nur die M�glichkeit des anonymen Sendens, sondern auch das
anonyme Empfangen von Mails vor. 

Der zweite Vortrag stelle TOR[15] vor, in dem Konzept verwirklicht werden,
die eine Anonymisierung von IP-Verkehr erm�glicht. Mit TOR k�nnen
anonyme Kommunikationkan�le aufgebaut werden. Auch der Betrieb eines
anonymen Server ist m�glich. In der Runde kam die Frage auf, wof�r
mensch das braucht und ob nicht der Mi�brauch durch Kinderproneh�ndler,
Terroristen und andere zwieleichtige Zeitgenossen gegen den Einsatz
solcher Systeme spricht. Dem wurde das Recht auf freie Meinungs�u�erung
entgegen gehalten, das in machen L�ndern nicht ohne Konsequenzen
ausge�bt werden kann. Die Frage blieb letzlich offen, da damit auch
leicht ein ganzer Abend in Anspruch genommen werden kann.

[12] http://www.ccc.de/congress/2004/fahrplan/event/100.de.html
[13] http://www.ccc.de/congress/2004/fahrplan/event/183.de.html
[14] http://www.mixminion.net/
[15] http://tor.eff.org/

Patrick berichtete dar�ber das auf der Heimfahrt mit Kurt, Peter
Palfrader und Florian Reitmeir �ber einen SSH-Keyserver diskutiert
wurde, der es erm�glicht die Serverkeys mit einenn eigen Schl�ssel zu
signieren, um ein "Web of Trust" f�r SSH-Serverkeys auszubauen. Damit
besteht die M�glichkeit �ber Vertrauensketten von Signaturen die
Echtheit eines fremden SSH-Serverkeys festzustellen.

Volker hatte sich einen Vortrag eines Reakreurs aus USA angetan, in dem
er �ber die Menschrechtsverletzungen in seinem Land berichtete. Er
forderte das Amerikanische Staatsb�rger bei der Einreise im Ausland
genauso behandelt werden, wie Ausl�nder bei der Einreise in den USA. Er
kein kein Zweifel daran, dass das Vorgehen der US-Administration falsch
ist.  Sein Bericht bezog sich auf eine angemeldete "Anti-Bush" Demo, die
von Polizeikr�ften in eine Nebenstra�e angedr�ngt wurde, um dann
anschlie�end Verhaftungen vorzunemehen die unter Einsatz von rabiaten
Methoden vorgenommen wurden.  Das Ganze ist auf seiner mitlaufenden
Kamera dokumentiert, die offensichtlich unauff�llig genug war. Der
Referent machte nochmal auf die gro�e Sammelwut von Personaldaten in den
USA aufmerksam, die auch gegen US-Recht versto�en. Bisher hat das
a'illegale Vorgehen der Administration offensichtlich keine
Konsequenzen. Der Referent f�hrte aus, das die genutzten
Biometriescanner einfach auszutricksen sind. Das einzige Verfahren,
welches ein hohes Ma� an Sicherheit biete ist der Augeniris-Scan. Der
Augeniris-Scan kommt alledings nicht zur Anwendung, da es sich hier um
ein patentiertes Verfahren handelt, was wohl f�r den breiten Einsatz zu
teuer ist. 

Thomas Scholz brachte nochmal das Thema der Teilebeschaffung f�r den
Selbstbaubeamer auf. Er beobachtet diverse Aktuionen auf ebay, musste
jedoch feststellen das die Preise in dieser Zeit durchweg unakzeptable
sind. Er stellte fest, das er jeweils f�r das Display und den
Tageslichtprojektor ca. 100 EUR aufwenden m�chte. Sollte in dieser
Preisregion eine Auktion laufen, dann wird er bis zu dieser Grenze
mitbieten.

In der Frage und Antwortrunde wurden neben allgemeinen und eher
un�blichen Themen der professionelle Einsatz von Openoffice.org im
harten B�roeinsatz angesprochen. In der gro�en Runde wurden die
M�glichkeiten und Probleme eine B�roeinsatzes von OOo diskutiert. 
Frank Tiemann fragte nach Referenzkunden, die OOo schon im Einsatz
haben. Das konnte in der Runde aber nicht beantwortet werden. Frank
Matthie� gab den Hinweis, doch mal bei Openoffice.org oder Sun
nachzufragen.

Der Import von M$-Officedokumenten gestaltet sich schwierig, wenn die
Quelldokumente "unsauber" formatiert seien:
 * fehlerhafte Formeln in Exceltabellen
 * Bilder
 * Einr�ckungen mit Tabs die OOo anders voreingestellt sind
 * Textrahmen

Patrick machte darauf aufmerksam, das die Previes von OOo 2.0 in dem
Bereich viel besser funktionieren w�rden als die aktuelle stabile
Version. Desweiteren verwendet die OOo 2.0 ein neuse Dokumentenformat,
welches auf den Standard OASIS[16] basiert. Der Standard stehr vor der
Ferstigstellung. Dabei hat es einige �nderungen im XML-internen Bereich
gegeben. Zu einen Namens�nderungen von Werten und eine �nderung des
MIME-Typ des Dokuments umd die neuen Dokumente unterscheinden zu k�nnen. 

[16] http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=office

Das n�chste Treffen findet wieder im Heimathaus Steinhagen am 27.1.2005
um 199:00 Uhr statt.

Frank.
-- 
Frank Matthie�

Wer anderen der Spiegel vorh�lt, braucht selbst nicht hineinzuschauen.
--- Johannes Gross
-------------- n�chster Teil --------------
Ein Dateianhang mit Bin�rdaten wurde abgetrennt...
Dateiname   : nicht verf�gbar
Dateityp    : application/pgp-signature
Dateigr��e  : 189 bytes
Beschreibung: Digital signature
URL         : http://lug-owl.de/pipermail/lugrav/attachments/20050116/e80e2718/attachment.pgp 