Protokoll Donnerstag 13.1.2005

[Frank Matthieß]

Am 13.1.2005 traf sich die LUG-Ravensberg im Heimathaus Steinhagen gegen
19:00 Uhr. Drei der Anwesenden (Volker Güth, Patrick Willam, Fran k
Matthieß) waren auf dem 21C3[1] der jährlich vom  Chaos Computer Club
e.V. (CCC)[2] veranstaltet wird.

[1] http://www.ccc.de/congress/2004/index.de.html
[2] http://www.ccc.de

Volker breichtete als ersten über den schlechtesten Vortrag("Automated
Hacking via Google"[3]) den er jemals gesehen hatte, der der Refernent
augenscheinlich hoffnunglos mit dem Vortrag überfordert war. Volker
hatte den Eindruck, das der Refernent _sehr_ schlecht vorbereitet war.

Aber es gab viele Lichtblicke bei den Vorträgen und Vortragenden. Einer
der Highlights ist "Trusted Computing, Eine unendliche Geschichte"[4]
von Rüdiger Weiß und Andreas Bogk in der neben dem intressanten Thema
die beiden Referenten ihr Publikum zu begeistern wissen.

"...die üblichen Three-letter Organisationen NSA, CIA, SAP und CCC...."
 (Rüdiger Weis)
"Die brauchen doch nicht zu glauben bessere Menschen zu sein, nur weil
 sie eine Maus mit einer Taste benutzen!"
 (Rüdiger Weis)

Rüdiger berichtet in dem Zusammenhang auch immer wieder über den letzten
Stand der Kryptografie, von Stärken und vor allem der Schwächen.

Letztes Jahr habt Rüdiger auf die Unsicherheit von 1024-Bit RSA
Schlüsseln aufmerklsam gemacht[5], um dieses mal eindringlich auf die
Schwächen der Hash-Algorithmen MD5 und SHA1 aufmerksam zu machen.

Schwächen heißt in diesem Zusammenhang, das entdeckt worden ist, wie ein
verschiedener Inhalt den gleichen Hashwert ergibt. Die praktische
Auswirkung ist, das signierte Mails(GnuPG, S/MIME), die die o.g.
Verfahren nutzen, kritsch betrachet werden müssen. Beide Referneten
haben die Entwickler von Software mit kryptografischen Komponenten
aufgefordert nur noch SHA256 zu verwenden. In der Praxis spilen diese
Schwächen (noch) keine Rolle. 

[3] http://www.ccc.de/congress/2004/fahrplan/event/113.de.html
[4] http://www.ccc.de/congress/2004/fahrplan/event/64.de.html
[5] http://www.ccc.de/congress/2003/fahrplan/event/546.de.html

Volker berichtete über den Vortrag "Old Skewl Hacking: Infra Red. MMIrDA
(Major Malfunction's Infra Red Discovery Application"[6], in dem der
Referent von seinen Ergebnissen in der freien Wildbahn, sprich
Hotelumgebungen und Garagensteuerungen berichtete. Das Ergebnis kann als
erschreckend bezeichnet werden, da es keine Sicherung des
IrDA-basierenden Hotel-Managmentsysstem gibt. Mit den Infrarot-Systemen
werden in Hotel ebend nicht nur TV-Geräte ferngesteuert, sondern auch
die Logistik abgewickelt:

* Auftragsvergabe für Zimmerreinigeungen,
* Auffüllen von Minibars,
* Abrechnen von Minibars,
* Pay-TV Abrechnung
* Pay-TV Steuerung für alle Zimmer

Da der Refernet beruflich bedingt viel Zeit in Hotels verbringt, war die
Motivation entsprechended hoch, sich mit dem System zu beschäftigen.
Auch die Steuerungen von Garagentoren ist ähnlich "gesichert" neben den
schnell durchprobierten 256 Möglichkeiten gibt es wohl einen geheimen
Herstellerschlüssel. Das Fazit unserer Runde war auch in diesem Fall:
Denn sie wissen icht was sie tun!

[6] http://www.ccc.de/congress/2004/fahrplan/event/125.de.html

Leider war das ein eher harloser Fall von Fehlkonstruktion. Der Vortrag
"Sicherheitsanalyse von IT-Großprojekten der öffentlichen Hand.
Untersuchung eines Austauschsystems für hochsensible personenbezogene
Daten"[7]. Das Fazit von Volker der diesen Vortrag über das Projekt
"Gesundheitskarte" gehört hat ist: "Die einzige Sicherung ist
ISDN-Callback". Die elektronisch durch Verschlüsselung gesicherte
Patientenakte bietet faktisch keine nennenswerte Verschlüsselung. Das
verwendete Verfahren sieht einen 128 Bit-Schlüssel vor. Leider sind
große Teile des Schlüssel durch feste Vorgaben, die leicht zu erraten
sind, belegt. Laut Volker bleiben ca 2-3 Bit für einen zufälligen
Schlüssel übrig. Der Referebnt hat das Projekt als Totalschaden
bezeichnet, bei dem sinnvollerweise bei Null angefangen werden müßte um
zu einem Verfahren zu kommen, das den geltenden Datenschutzrichtlinien
gerecht wird. Im Projekt wird ausdrücklich darauf hingewiesen, das
Virenschutz, Firewalls und gehärtete Betriebsysteme für den Schutz der
Daten nicht notwendig sei, da ja die Verschlüsselung für hinreichende
Sicherit sorgen würde. "Denn Sie wissen nicht was tun! Oder doch?"

In unserer Runde kam das Gespräch darauf, dass mit dieser Art von
Sicherheit ich ganz einfach Leib und Leben von Menschen in Gefahr
bringen lassen, in dem bei einer Patientenakte eine Allergie
rausmanipuliert wird. Die Folgen so einer Manipulation sind
vorhersehrbar. Es gaht hier also nicht nur um das Geheule der "Spinner
mit dem Datenschutz" sondern um handfeste Risiken. Auch die
Kosteneinsparungen über die Vermeidung von doppelten Untersuchungen
stoßen an ihre konzeptionellen (ISDN)Grenzen. Bei der Bereitstellung von
hochauflösenden Röntegnbildern soll das große Datenvolumen über das
verlustbehaftete Bildkompressionsverfahren JPEG in den Griff bekommen
werden. Da der Mediziner aber auf die Details der hochauflösenden Bilder
angeweisen ist, stellt sich hier die Frage ob die übertragenen Bilder
für eine Diagnose noch verwendbar sind. Desweiteren ergibt sich das
Problem, das diese Datenmengen über einen max 15kBytes/Sekunde großen
Datenkanal gehen sollen. Wir hzaben in der Runde gewitzelt, das die
zukünftigen Patienten auf morgen vertröstet werden, da die ISDN Leitung
erst dann wieder frei ist.

Auch die Absicherung der Schlüssel über Smartcards stellt sich im
Nachhinein als schlechter Witz heraus. Die Schlüssel der Patienten und
Ärtztekarten werden von der Karte auf den jeweiligen Praxis-PC
transferiert. Das bedeutet, das der Schlüssel, der recht sicher in der
Karte aufbewahrt wird, über einen offenen Kanal in eine ungesicherte
Umgebung kopiert wird(Windows PC). Die Verifikation der Echtheit der
Karte scheint ein simples "Bist Du echt?" zu sein, was einfach mit "Ja!"
zu beantworten ist. Auch hier sind möglichen Manipulation Tür und Tor
geöffnet. 

[7] http://www.ccc.de/congress/2004/fahrplan/event/307.de.html

Volker und Frank berichteten von der/einer Kultveranstaltung: "Security
Nightmares 2005. Oder: worüber wir nächstes Jahr lachen werden"[8]

Traditionell wird das von Ron und Frank Rieger moderiert, die man als
"alte Hasen" bezeichnen kann. Diesmal allerding begann Ron damit
anzumerken, das seine Stimme angeschlagen sei, da er den ganzen Tag am
Abuse-Telefon Rede und Anwort stehen musste, da wieder einmal ein Hack
die Gemüter von ca. 18.000 Hostingkunden zu beruhigen. Der Hack lief
nach seiner Information wie folgt ab. Durch eine fehlerhafte
Konfiguration der Hostingsysteme sind Hacker an eine MySQL Datenbank
gekomne, die die Authenifizierungsdaten von 18.000 Hostingkunden
enthielt. Nun hatten die Hacker nicht besseres zu tun als ein Script zu
bauen, das die vorhandene index.html umbenennt und eine "neue Version"
einspielt". Die "neue Version" machte auf den 21C3 "aufmerksam". In der
folgenden Darstellung und anschließenden Diskussion wurde ernsthaft nach
dem Sinn diser Aktion gefragt, das es viele einfach Kunden und
Gewerbetreibende getroffen hat. "Was hat das jetzt gebracht?" Das die
Hacke aus dem Umfeld des CCC zu soetwas in der Lage sind, ist landläufig
bekannt und gefürchtet. Wozu dann nochmal in _der_ Qualität zuschlagen.
Frank Rieger merke noch an, dass das Gespräch mit dem LKA diesmal in
sehr entspannter Atmosphäre stattfand, da die Beamten bereits
CCC-erfahren waren.

Da das Thema "weggekommenen Datenbanken" nun auf dem Tisch war, begann 
die eigentliche Veranstalltung. Ron und Frank konnten sich nur in aller
Form für den sehr peinlichen Vorfall[9] entschuldigen, bei dem die
Registrationsdaten vom Sommercamp 2003 "abhanden" kamen. 

[8] http://www.ccc.de/congress/2004/fahrplan/event/95.de.html
[9] http://www.heise.de/newsticker/meldung/53748
    https://www.ccc.de/updates/2004/camp-server-hack?language=de

Neben der sehr unterhaltsamen Art das zuende gehende Jahr anhand der
letzen "Security Nightmares" Revue passieren zu lassen und die Dinge
herauszuarbeiten die "letzte Jahr vergessen worden sind" ist die Sicht
in die Zukunft, "worüber wir nächstes Jahr lachen werden" eine
lohenswerte Veranstaltung. Aus dem Publikum, welches sich in allen
Phasen aktiv beteiligt, kamen zwei Breicht über Sicherheitproblem die zu
allgemeinen Erheitung beigetragen haben:

1. Informative Bankomaten[10]. Durch einen Scriptfehler ist ein Fenster
   mit Eingabeaufforderung offengeblieben ;-) Da diese neuen
   Infoterminal alle mit einer Tastatur ausgestatten sind, war "happy
   hacking" angesagt. Der Hacker merkte nur an, das es sehr unangenehm
   sei, dabei gefilmt zu werden! Da die Kisten nun "offen" waren, haben
   die Freunde der Tastatur die vorhandenen Schachprogramme gestartet,
   wobeio der Computer gegen sich selbst spielte ;-)
   
   [10] http://www.ulm.ccc.de/projekte/bankomat/

2. Der zweite Hacker berichtete über Internetterminals die in seiner
   Region recht verbreitet sein und über Touchscreen verfügen. Da es
   sich um einen Internet Explorer handelte liegt wohl ein Windows
   zugrunde ;-). Nun hat der Gute auf seiner Homepage eine Seite mit
   einem IE/Windows Exploit ausgestattet, um diese Seite dan mit den
   Internetterminal "anzusurfen". Auf diese Wesie hat er sich Zugang zum
   drunterliegenden Windows verschafft. Nun konnte er mit dem
   Windowsoftwarekeyboard(für Touchscreenbenutzer eine Möglichkeit der
   alphanumerishen Eingabe) diverse nützliche Informationen herausholen.
   Als Erstes hat er sich die Registry mit Regedit angetan und die
   Benutzerdaten für die Sybase Datenbankanbindung  ausgespäht. In der
   Folge zeige sich das es sich um eine Windowsdomäne handelt. Unser
   Freund hat mal eine Anmeldung als "Administrator" in der Domäne
   ausprobiert und das Datenbankpassowrt verwendet. Schwups, drin! Ron,
   der Moderator sprach von soetwas wie einen Lottogewinn. Auch die
   Fernwartung via VNC ist passwort gesichert, und auch hier hat
   Faulheit über Sicherheit gesiegt. Auch hier handelte es sich um das
   selbe Passwort. Der Hackerkollege wurde aufgefordert, das ganze in
   der Datenschleuder[11] zu veröffentlichen.

[11] http://ds.ccc.de/?language=de

Frank berichtete über zwei Vorträge die wieder eine Anonymisierung der
Internetnutzung möglich machen. "Anonymous communications"[12] und "TOR.
An anonymizing overlay network for TCP"[13]. Der erste Vortrag
beschreibt die Lage der anonymen Kommunikation in der Vergangenheit und
heute um daraus die Voraussetzugnen für eine zukünftige Architektur
abzuleiten. Nach der allgemeinen Betrachtung wurde das Mixminion
Projekt[14] als aktuelle Antwort auf die Anforderungen vorgestellt.
Dabei handelt es sich um ein Mailsystem mit hoher Latenz. Das Konzept
sieht nicht nur die Möglichkeit des anonymen Sendens, sondern auch das
anonyme Empfangen von Mails vor. 

Der zweite Vortrag stelle TOR[15] vor, in dem Konzept verwirklicht werden,
die eine Anonymisierung von IP-Verkehr ermöglicht. Mit TOR können
anonyme Kommunikationkanäle aufgebaut werden. Auch der Betrieb eines
anonymen Server ist möglich. In der Runde kam die Frage auf, wofür
mensch das braucht und ob nicht der Mißbrauch durch Kinderpronehändler,
Terroristen und andere zwieleichtige Zeitgenossen gegen den Einsatz
solcher Systeme spricht. Dem wurde das Recht auf freie Meinungsäußerung
entgegen gehalten, das in machen Ländern nicht ohne Konsequenzen
ausgeübt werden kann. Die Frage blieb letzlich offen, da damit auch
leicht ein ganzer Abend in Anspruch genommen werden kann.

[12] http://www.ccc.de/congress/2004/fahrplan/event/100.de.html
[13] http://www.ccc.de/congress/2004/fahrplan/event/183.de.html
[14] http://www.mixminion.net/
[15] http://tor.eff.org/


Patrick berichtete darüber das auf der Heimfahrt mit Kurt, Peter
Palfrader und Florian Reitmeir über einen SSH-Keyserver diskutiert
wurde, der es ermöglicht die Serverkeys mit einenn eigen Schlüssel zu
signieren, um ein "Web of Trust" für SSH-Serverkeys auszubauen. Damit
besteht die Möglichkeit über Vertrauensketten von Signaturen die
Echtheit eines fremden SSH-Serverkeys festzustellen.

Volker hatte sich einen Vortrag eines Reakreurs aus USA angetan, in dem
er über die Menschrechtsverletzungen in seinem Land berichtete. Er
forderte das Amerikanische Staatsbürger bei der Einreise im Ausland
genauso behandelt werden, wie Ausländer bei der Einreise in den USA. Er
kein kein Zweifel daran, dass das Vorgehen der US-Administration falsch
ist.  Sein Bericht bezog sich auf eine angemeldete "Anti-Bush" Demo, die
von Polizeikräften in eine Nebenstraße angedrängt wurde, um dann
anschließend Verhaftungen vorzunemehen die unter Einsatz von rabiaten
Methoden vorgenommen wurden.  Das Ganze ist auf seiner mitlaufenden
Kamera dokumentiert, die offensichtlich unauffällig genug war. Der
Referent machte nochmal auf die große Sammelwut von Personaldaten in den
USA aufmerksam, die auch gegen US-Recht verstoßen. Bisher hat das
a'illegale Vorgehen der Administration offensichtlich keine
Konsequenzen. Der Referent führte aus, das die genutzten
Biometriescanner einfach auszutricksen sind. Das einzige Verfahren,
welches ein hohes Maß an Sicherheit biete ist der Augeniris-Scan. Der
Augeniris-Scan kommt alledings nicht zur Anwendung, da es sich hier um
ein patentiertes Verfahren handelt, was wohl für den breiten Einsatz zu
teuer ist. 

Thomas Scholz brachte nochmal das Thema der Teilebeschaffung für den
Selbstbaubeamer auf. Er beobachtet diverse Aktuionen auf ebay, musste
jedoch feststellen das die Preise in dieser Zeit durchweg unakzeptable
sind. Er stellte fest, das er jeweils für das Display und den
Tageslichtprojektor ca. 100 EUR aufwenden möchte. Sollte in dieser
Preisregion eine Auktion laufen, dann wird er bis zu dieser Grenze
mitbieten.

In der Frage und Antwortrunde wurden neben allgemeinen und eher
unüblichen Themen der professionelle Einsatz von Openoffice.org im
harten Büroeinsatz angesprochen. In der großen Runde wurden die
Möglichkeiten und Probleme eine Büroeinsatzes von OOo diskutiert. 
Frank Tiemann fragte nach Referenzkunden, die OOo schon im Einsatz
haben. Das konnte in der Runde aber nicht beantwortet werden. Frank
Matthieß gab den Hinweis, doch mal bei Openoffice.org oder Sun
nachzufragen.

Der Import von M$-Officedokumenten gestaltet sich schwierig, wenn die
Quelldokumente "unsauber" formatiert seien:
 * fehlerhafte Formeln in Exceltabellen
 * Bilder
 * Einrückungen mit Tabs die OOo anders voreingestellt sind
 * Textrahmen

Patrick machte darauf aufmerksam, das die Previes von OOo 2.0 in dem
Bereich viel besser funktionieren würden als die aktuelle stabile
Version. Desweiteren verwendet die OOo 2.0 ein neuse Dokumentenformat,
welches auf den Standard OASIS[16] basiert. Der Standard stehr vor der
Ferstigstellung. Dabei hat es einige Änderungen im XML-internen Bereich
gegeben. Zu einen Namensänderungen von Werten und eine Änderung des
MIME-Typ des Dokuments umd die neuen Dokumente unterscheinden zu können. 

[16] http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=office

Das nächste Treffen findet wieder im Heimathaus Steinhagen am 27.1.2005
um 199:00 Uhr statt.

Frank.
-- 
Frank Matthieß

Wer anderen der Spiegel vorhält, braucht selbst nicht hineinzuschauen.
--- Johannes Gross
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : http://lug-owl.de/pipermail/lugrav/attachments/20050116/e80e2718/attachment.pgp