Die Bahn hatte einen bundesweite Störung ihrer Computersysteme zu beklagen, der massive Störungen beim Fahrkartenverkauf und der Zugabfertigung mit sich brachte. So weit so gut. Das Problem ist bisher allerdings noch nicht ausgemacht, für die Bahn selbst ist das Problem noch “mysteriös” – ihr Sprecher verkündete aber sogleich, dass so ein Ausfall nicht nochmal vorkommen werde!
Mutig!
Wild Guess: ein von einem Bahnarbeiter per USB-Stick eingeschleuster Wurm hat im internen Netz (“muss man ja nicht patchen, kommt ja keiner ran!”) etwas gewütet…
Quelle: Tagesschau
Auf dem 25C3 wurde erstmals ein gefälschtes Zertifikat einer Certificate Authority (CA) generiert und zum Signieren anderer Zertifikate genutzt. Möglich war dies, da die CA den seit 2004 unsicheren MD5 Algorithmus genutzt hat. Theoretisch wurde die Erstellung gefälschter CA Zertifikate bereits 2007 beschrieben, nun aber erstmals praktisch umgesetzt und veröffentlicht. Hierfür wurde ein Cluster mit rund 200 PS3 Konsolen verwendet, der innerhalb eines Tages ein gültiges CA Zertifikat erstellen konnte.
Mit diesem CA Zertifikat lassen sich nun weitere Zertifikate erstellen, die für den Website-Besucher vollkommen korrekt aussehen. Einzig wer für den Firefox das Plugin SSL Blacklist installiert hat, wird in letzter Zeit vermehrt nachfolgende Warnmeldung bemerkt haben.
Die Chance aktuell auf ein potenziell anfälliges SSL Zertifikat ist relativ hoch: Von rund 30.000 gesammelten SSL Zertifikaten auf verschiedenen Webseiten wurden immerhin 9.000 mit MD5 signiert. 97% dieser Zertifikate wurden von RapidSSL zertifiziert, einer Verisign Tochter. Direkt nach der Veröffentlichung des Demo Angriffs hat RapidSSL reagiert und will bis Ende Januar 2009 kein MD5 mehr verwenden. Außerdem können RapidSSL Kunden MD5 signierte Zertifikate kostenlos neu signieren lassen. Zur Zeit verwendet RapidSSL auf der eigenen Homepage jedoch noch ein MD5 signiertes SSL Zertifikat …
Was bedeutet diese Demonstration der MD5 Lücke nun in der Praxis? Wer ein gefälschtes CA Zertifikat besitzt, muss die damit signierten Zertifikate dem Benutzer irgendwie unterschieben können. SSL-Man-in-the-Middle-Attacks stellen dafür eine bekannte Möglichkeit dar, für die es jedoch bereits verschiedene Ansätze zur Verhinderung gibt. Ein wichtiger Schritt wäre zudem, dass die Browserhersteller in naher Zukunft MD5 signierte SSL Zertifikate erkennen und Warnmeldungen ausgeben. In der Zwischenzeit sollten sich Kunden der folgenden CAs über ein Reissue ihrer SSL Zertifikate informieren:
Diese Anbieter haben im Jahre 2008 noch MD5 signierte Zertifikate herausgegeben. Eine Überprüfung der eigenen Zertifikate mit SSL Blacklist ist zu empfehlen. Die o.g. Anbieter werden auf kurz oder lang auf SHA-1 umsteigen, welches schon lange als sichere Alternative zu MD5 bekannt ist und von einem Großteil der CAs genutzt wird.
Ausblick: Gerade für Phisher ist diese Lücke interessant – sobald jemand in den Besitz eines gefälschten CA Zertifikats kommt, kann er die perfekten Phishing Seiten erstellen, die mit einem für den Nutzer echt ausschauenden SSL Zertifikat abgesichert sind.
Für weitere Informationen verweise ich auf den Original Vortrag “MD5 considered harmful today – Creating a rogue CA Certificate”:
Homepage
Folien
Vortrag
Erwähnenswert auch noch:
- Dunking Donuts DDoS
- Die Vortragenden des iPhone-Hacking-Vortrags sind auf dem Video aus offensichtlichen Gründen nicht zu sehen
- Der Wikileaks-Vortrag wurde garnicht aufgenommen, um die Privatsphäre der Vortragenden zu schützen
- Das LKA hat wohl (halbherzig und erfolglos) versucht, die Wikileaks-Leute wg. der BND-Geschichte zu verhaften, leider habe ich keine genaueren Details
- “Der Dritte Raum” hat unter falschem Namen in der Lounge aufgelegt!
- Der Serverraum des Hackcenters war wie immer das totale Chaos – frei nach dem Motto “Kabelsalat ist gesund!”
Rack mit Patchpanel und Core-Switches mit 10GE Uplinks für das Hackcenter:
SAN mit jeder Menge Plattenplatz:
Colocation für ein paar Server:
Achja…schön wars!
Noch ein paar weitere, gesehene Vorträge:
- Banking Trojans 101 – Thorsten Holz -> Eigentlich nur eine Zusammenfassung bereits bekannter Sachen…interessant war aber “then a mystery happens and we get access to the dropzone”, was auch nicht näher erläutert wurde…
- Fnord News Show – Felix von Leitner / Frank Rieger -> Genial wie immer! Jeder sollte ein paar Fnords sehen…mit am Besten war die Diebold-CIA-Koks-Connection!
- Cisco IOS attack and defense – FX of Phenoelit -> Outstanding. Wiedereinmal hat FX neue, Erkenntnisse zum IOS-Hacking publik gemacht. Jeder Netzwerker sollte sich den Talk ansehen!
- Hacker Jeopardy – Stefan ‘Sec’ Zehl / Ray -> Pure Fun, as usual!
- Security Nightmares 2009 – Frank Rieger / Ron -> Hoffentlich funktioniert die Glaskugel nicht korrekt…
- Closing Ceremony / Sandro Gaycken -> wie immer, die Interessante Zusammenfassung der Congressereignisse. Es wurde auch der komische Typ erwähnt, der im Hackcenter und am NOC Helpdesk Hacks gegen Geld kaufen wollte (und daraufhin mit einem “FED”-Schild markiert wurde *gg)
Einige weitere Streams habe ich mir im Hackcenter sitzend angehört, schreibe dazu jedoch erstmal nichts, weil ich einfach dauernd abgelenkt wurde…
Des weiteren war noch der Workshop Bastard ISPs from Hell bemerkenswert, darin ging es um Trafficmanipulationen, die durch ISPs vorgenommen werden können – das Ganze wurde dann auch noch testweise selbst durchgeführt…
Als Systemadministrator hat man häufig andere Anforderungen an Programmier- und Scriptsprachen als ein reiner Anwendungsentwickler. Der Großteil der Fachliteratur geht jedoch auf allgemeine Probleme ein und weniger auf die spezifischen Probleme der Administration von Linux und UNIX Rechnern.
O’Reilly hat nun ein Buch herausgebracht, das speziell auf die Anforderungen in der Systemadministration zugeschnitten ist.
Allen Bloglesern ein Frohes Neues Jahr 2009! Folgende gute Vorsätze bzgl. des Blogs sollen an dieser Stelle festgehalten werden:
- regelmäßige Beiträge
- weniger 1-Zeiler Beiträge, sondern mehr Qualität statt Quantität
- ein maßgeschneidertes Re-Design
Zum Jahresanfang noch was zum Schmunzeln: Der Year-2009-Bug – “It seems that every Zune on the planet has just frozen up and will not work”.
Ich befinde mich derzeit auf dem 25C3…gesehene Vorträge bisher:
- Why were we so vulnerable to the DNS vulnerability? – Dan Kaminsky -> Exzellent
- Attacking Rich Internet Applications – Stefano Di Paolo / Kuzo55 -> Inhalt war OK, allerdings etwas langweilig Vorgetragen – vor allem Stefano Di Paolos Italenglisch war grauenhaft und machte garkeinen Spass
- Vulnerability discovery in encrypted closed source PHP applications – Stefan Esser -> Exzellent, gute technische Details
- TCP Denial of Service – Fabian Yamaguchi -> Gut, wenngleich die Inhalte schon bekannt waren
- Banking Malware – Thorsten Holz -> Läuft grade
Es ist übrigens EXTREMST voll, die Dauertickets sind schon längst allesamt verkauft – wer bei Vorträgen einen Sitzplatz ergattert, darf sich glücklich schätzen! Bei einigen Vorträgen mußten auch Leute rausgeworfen werden, weil es zu voll war und alle Ausgänge komplett verstopft waren…
Es blieb ihnen wenigstens noch der Videostream, der übrigens erstaunlich stabil läuft.
