Clickjacking – CSRF, revisited!

Seit kurzem ist eine neue Form von Cross-Site Request-Forgery (oder auch `UI Redress Attack`, da der Angriff eben keine CSRF-Attacke im klassischen Sinne darstellt) im Gespräch – das so genannte Clickjacking. Während beim klassischen CSRF versucht wird, einen Request (z.B. durch das Abschicken eines versteckten Formulars) an eine fremde Seite zu schicken, in der Hoffnung, das Opfer wäre dort z.B. per Cookie authentifiziert (was dazu führt, dass der Request in `seinem Namen` ausgeführt wird), ist der Weg beim Clickjacking ein anderer. Hier wird die Seite, auf der man das Opfer bestimmte Aktionen vornehmen lassen will, in einem (unsichtbaren) IFRAME geladen. Nun wird versucht, das Opfer auf bestimmte Bereiche klicken zu lassen (die Bereiche, wo sich – rein zufällig – die Buttons und Links im unsichtbaren IFRAME befinden).

Vom Klickdieb…

Bis die Technik von Robert Hansen und Jeremiah Grossman näher untersucht wurde, wurde sie vor allem mit Manipulation von Umfragen in Verbindung gebracht. Die Analyse brachte jedoch zu Tage, dass solche Angriffe weitaus gefährlicher sind, als bisher angenommen – Scheinbar sind die Informationen darüber so brisant, dass Adobe die Forscher bat, den angekündigten Vortrag OWASP-Konferenz zurückzuziehen – was sie am Ende auch taten.

…zum Spion

Nun hat aber Guy Aharonovsky ein Proof-of-Concept einer solchen Attacke veröffentlicht. Seine Demo-Seite simuliert ein JavaScript-basiertes Klickspiel (bei dem es – angeblich – darum geht, möglichst viele Buttons in möglichst kurzer Zeit anzuklicken). Im Hintergrund wird die Seite
http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager06.html
geladen – das Privacy-Tab des Flash-Einstellungsmanagers. Durch Mischung von wirklich sinnlosen `Spielklicks` und Klicks, die im unterliegenden IFRAME mit der Flash-Einstellungsseite Aktionen auslösen, wird schlussendlich erreicht, dass der (in diesem Fall hoffentlich nicht ahnungslose) Benutzer für die Domain in den Webcam- und Mikrofonenstellugen das `immer zulassen`-Flag setzt. Die im ursprünglichen Proof-of-Concept gezeigte Schwachstelle wurde durch Macromedia soweit behoben, als dass das Einbinden der obigen Seite in einen IFRAME durch einen JavaScript-Hack verhindert wird. Dies hindert einen Angreifer jedoch nicht daran, direkt die Flash-Datei

http://www.macromedia.com/support/flashplayer/sys/settingsmanager.swf?defaultTab=privacy

in den IFRAME zu laden. Ein entsprechend gepatchtes PoC findet sich hier.

Und nun?

Es dürfte nun klar sein, dass die Gefahren, die von einem Benutzer ausgehen, der gutgläubig da klickt, wo es ihm eine bestimmte Webseite vorgibt, nicht zu unterschätzen sind. Wie kann man sich schützen? Schutz verspricht die Firefox-Erweiterung Noscript seit Version 1.8.2 – aus dem Changelog:

New “ClearClick” protection, specifically addressing Clickjacking, Clickjacket and other UI-redressing vulnerabilities: UI interaction with embedded objects is disabled if they’re obstructed or not clearly visible (thanks Sirdarckcat, RSnake, Michal Zalewski and Matt Mastracci for inspiration and discussion)

In den folgenden Versionen wurde der `ClearClick` genannte Algorithmus weiter verbessert.
Eine weitere Lösung bestünde natürlich darin, sich zu überlegen, welche Webseiten man besuchen will und welche nicht – und darin, JavaScript, Flash und ähnliche Spielereien nur dort zu aktivieren, wo man sie auch braucht…

Heute feiert Google…

…seinen zehnten Geburtstag. Dass Google von Sergey Brin und Larry Page in einer Garage gegründet wurde, ist gemeinhin bekannt – dies geschah am 7. September 1998, Heute vor relativ genau 10 Jahren (die genaue Tageszeit der Gründung ist nicht bekannt). Vorläufer war die Suchmaschine BackRub – eine Technologie, die bei den damaligen Portalen auf Abneigung stiess. Ja, Internetportale – erst Google brachte die Erkenntnis, dass eine Suchmaschine keine Wettervorhersagen oder News braucht, um Erfolg zu haben, in die breite Masse. Jahre später wird sich das mit der `personalisierten Startseite`, später `iGoogle` genannt, wieder ändern. Schon damals war bei Google im ersten Jahr ein Merkmal vorhanden, das man von vielen heutigen Web 2.0-Diensten kennt – ein `Beta`-Vermerk.

Von der beliebten Beta-Version…

Anfänglich war Google beliebt – 1999, zum Ende der Beta-Periode, wurden täglich bereits über eine halbe Million Suchanfragen verzeichnet. Dienste wie Google Groups, AdWords/AdSense, Google News und GMail sollten in den nächsten Jahren hinzukommen. Gut und schön, wäre da nicht die eine Sache…

…zur missliebigen Datenkrake

Schon relativ früh stellte sich heraus, dass Google nicht nur auf die gespiderten Ausschnitte aus Webseiten scharf ist. Google möchte irgendwann in der Lage sein, Fragen wie `Was soll ich morgen tun?` oder `Welchen Job soll ich morgen annehmen?` sinnvoll zu beantworten. Ob das möglich ist, sei dahingestellt – wenn es möglich wäre, müsste man in jedem Fall ein umfangreiches Wissen über das Privatleben des Suchenden haben – und genau darauf ist Google aus. GMail mit seinen bald 7GiB Speicherkapazität – nett für die User die keine Mails löschen müssen, aber auch nett für Google, da die Mails ewig zur Kombination zur Verfügung stehen (an dieser Stelle sei jedoch angemerkt, dass der oft kritisierte Paragraph der Nutzungsbedingungen, dass die Mails automatisch durchsucht würden, bei praktisch jedem anderen Freemail-Anbieter in ähnlicher Form zu finden ist – kontextsensitive Werbung ist nun einmal leider zeitgemäss). Zusammen mit den Daten aus Web-Suchanfragen, den News- und Usenet-Recherchen, Kalender-Einträgen, eingestellten Texten & Tabellen, eventuellen Blog-Posts oder -Kommentaren auf blogger.com sowie den Informationen, die aus den in vielen Seiten eingebundenen Google-Ads gewonnen werden können, lassen sich durch Kombination wohl einige persönliche Details erfahren, die man selbst lieber nicht veröffentlicht hätte.
Gerade der Kalender wurde kürzlich kritisiert, da anscheinend einige Personen unbeabsichtigt das `öffentlich`-Flag gesetzt haben, und danach Suchanfragen wie `Kreditkarte` Daten zu Tage gebracht haben, die man üblicherweise geheim halten will – gut, dafür kann Google nichts.

Unmut, verchromt!

Ebenfalls viel Kritik und Lob erntete der neue Google-Browser – Google Chrome. Während die Geschwindigkeit des kürzlich veröffentlichten und auf WebKit basierten Browsers gelobt wurde, sorgt insbesondere die Tatsache, dass in der Standardkonfiguration alles, was in das eine Eingabefeld getippt wird, an Google gesendet wird, für Unmut. Auch der anscheinend 1:1 von Google Docs kopierte, schon damals hart kritisierte und mittlerweile wieder entferne Passus der EULA, der besagte, dass man Google ein irreversibles Nutzungsrecht an allen übermittelten Daten einräume, sorgte für allgemeinen Missmut. Mittlerweile warnt laut Golem.de auch das deutsch BSI vor Chrome – aus sicherheitstechnischen Gründen sei die Anhäufung von Daten bei einem einzelnen Unternehmen kritisch. Völlig korrekt!

Die Zukunft…

…liegt laut Google in Webapplikationen. Darauf ist Chrome ausgelegt, dafür wurde Google Gears entwickelt. GMail, Google Docs (Texte & Tabellen) und Google Calendar illustrieren diese Idee. Als Nebeneffekt würden eventuell sogar die oben genannten Zukunftsfragen von Google beantwortet. Nur – will man das wirklich? Diese Frage mag jedermann für sich entscheiden.

`Aber du…

…benutzt doch auch GMail!` – Korrekt. Ich benutze tatsächlich GMail, um automatisch generierte Blog- und Board-Benachrichtigungen zu verwalten. Mit dem Webfrontend von GMail kann sich kein anderer Freemailer messen. Allerdings blocke ich sämtliche Cookies, die nicht direkt von mail.google.com stammen. Hiermit wünsche ich Google viel Spass mit der Information, dass ich blogge und unter dem Nick `Kugelfisch23` im gulli:board registriert bin.

Last but not least, trotz allem – Happy Birthday, Google!

«All packtets are equal…

…but some packets are more equal than others.»

Die Netzneutralität ist ein wertvolles Konzept, das in der heutigen Zeit immer weiter eingeschränkt wird. `Netzneutralität` bedeutet, dass sowohl ISPs als auch Carrier jedes Datenpackt gleich zu behandeln haben – insbesondere darf keine Filterung oder Priorisierung anhand des Inhalts, des Protokolls oder des vermuteten Anwendungsbereichs vorgenommen werden. Während Internetzensur ebendieses Konzept von der einen Seite bedroht, steht an der anderen Front die Anti-P2P-Lobby sowie einige ISPs wie Comcast, die versuchen, Pakete, die vermuteterweise mit einem Peer-to-Peer-Netz ausgetauscht werden, zu verwerfen oder zumindest stark zu limitieren. Das ist jedoch nicht alles – Sandvine, die Entwickler des Filtersystems, das unter anderem von Comcast eingesetzt wird, hat vor kurzem ein neues Produkt vorgestellt, `FairShare` genannt. Während die Pressenotiz von Sandvine nicht viel über die Funktionsweise von `FairShare` verrät, spricht Sandvines Paper `The Value of Traffic Optimization in a World with Network Neutrality` eine deutlichere Sprache.

A policy is applied to heavy users during periods of congestion to allow light users a fair opportunity to use the available bandwidth. This policy usually consists of traffic shaping action and/or traffic prioritization to limit the abusive traffic during the congestion period.

Folglich soll die Bandbreite derjenigen, die ihre bezahlte Flatrate stark auslasten, zumindest während den Spitzenzeiten eingeschränkt werden. Ihre Pakete werden niedriger priorisiert, ihre Übertragungsgeschwindigkeit limitiert. Dies soll, laut Sandvine…

By encouraging heavy users to shift their usage to off-peak times, bandwidth can then be divided fairly among users throughout the day. The overall effect is an improved user experience.

…den armen Usern helfen. Die Wirklichkeit sieht aber so aus, dass sich der ISP in seiner Mischkalkulation vetan hat – schon in der Vergangenheit wurden Fälle bekannt, in denen ISPs Kunden, die viel Bandbreite verbraucht haben, gekündigt haben. Ebenfalls ist die Frage nicht beantwortet, wie die Bandbreiteneinschränkung genau erfolgen soll – wird das über BitTorrent heruntergeladene Debian-Image niedriger priorisiert als der Download des neusten Kinofilms über einen One-Click-Hoster, unter Benutzung des HTTP-Protokolls? Und wie sieht es mit den meist mehr oder weniger sinnlosen YouTube-Streams aus – oder mit Video-Streams von öffentlich-rechtlichen Fernsehsendern, z.B. über BBCs iPlayer, um einen Vorfall aufzugreifen, der sich im August letzten Jahres ereignet hat?

Der CCC veröffentlicht einen Fingerabdruck…

…des deutschen Innenministers Wolfgang Schäuble. Ein Sympathisant hat dem Club ein Glas, das von Schäuble benutzt wurde, zugespielt. Angehörige des CCC haben ganze Arbeit geleistet, den Fingerabdruck rekonstruiert und in der Datenschleuder #92 veröffentlicht. Besagter Zeitschrift liegt auch eine fertige Fingerabdruck-Attrappe bei, die benutzt werden kann, um Schäubles Fingerabdruck auf diversen glatten Oberflächen zu hinterlassen. Dirk Engling alias Erdgeist, Sprecher des CCC, empfiehlt:

[...] die Abdrücke bei erkennungsdienstlichen Behandlungen, bei der Einreise in die USA, bei der Zwischenlandung in Heathrow, aber auch im örtlichen Supermarkt und – prophylaktisch – beim Berühren möglichst vieler Glasflächen zu benutzen.

Auch eine Wunschliste für ein biometrisches Sammelalbum verschiedenster Politiker – unter anderem Angela Merkel – wurde veröffentlicht, nebst einer Anleitung, wie Fingerabdrücke von Gläsern und ähnlichen glatten Oberflächen abgenommen und nachgebildet werden können. Der Fingerabdruck des Innenministers liegt in digitaler Form auch auf dem Webserver des CCC.

Es stellt sich natürlich die Frage, ob Fingerabdrücke von Politikern überhaupt veröffentlicht werden dürfen. Wenn man die Aussage des deutschen Innenministeriums, dass dass Bilder des Gesichts und der Finger in ihrer Bedeutung für die Privatsphäre im wesentlichen identisch seien, konsequent anwendet, kann dies klar bejaht werden – schliesslich wird der Presse auch nicht verboten, Porträts von Personen des öffentlichen Lebens zu veröffentlichen.

Schussendlich bleibt mir noch, dem Fazit des Chaos Computer Club…

Die Verwendung von Fingerabdrücken zur Identifizierung von Bürgern ist ein technischer und sicherheitspolitischer Irrweg, der so schnell wie möglich beendet werden muss.

…zuzustimmen, und darauf hinzuweisen, dass Datenschleudern sowohl als Einzelexemplar in gedruckter Form erhältlich sind, als auch im PDF-Format zum Download angeboten werden – wobei es noch etwas dauern kann, bis #92 eingestellt wird.

Das FBI verbreitet zwar keine Kinderpornografie…

…gab dies aber vor. Ein Honeypot wurde eingerichtet und in `einschlägigen` Foren verlinkt. Der FBI-Server selbst enthielt keinerlei illegales Material (die verlinkte Datei war «verschlüsselt und nicht-pornografisch»), doch die Zugriffe wurden protokolliert und jeder, der sich verirrte, ob absichtlich oder nicht, bekam eine Hausdurchsuchung beschert. Einige Richter haben laut CNET dem Vorgehen des FBI zugestimmt und entschieden, dass der Besuch eines Links eine Absicht nahelege, an Kinderpornografie zu gelangen. Auch die Tatsache, dass der Angeklagte in diesem Fall bestätigterweise ein offenes WLAN betreibt, wurde nicht berücksichtigt.

In dieser Hinsicht scheint ein Anklicken eines Links schlimmer zu sein, als die Anstiftung zur Verbreitung von Kinderpornografie, wie es der FBI-Agent tat…

Havent’ seen her on the board before – if anyone has anymore, PLEASE POST.

…als er `seinen` Honeypot-Link verteilte.

Ein Dozent aus Pennsylvania, Roderick Vosburgh, wurde der Aussage seines Anwalts…

no reasonable jury could have found beyond a reasonable doubt that Mr. Vosburgh himself attempted to download child pornography

…zum Trotz angeklagt – er wird des Versuches, sich Kinderpornografie besorgen zu wollen, beschuldigt. Ein Thumbnail-grosses Bild mit zwei nackten Minderjährigen kommt erschwerend hinzu – da kann sogar die Tatsache, dass keinerlei weitere Bilder oder Videos sichergestellt werden konnten, getrost vernachlässigt werden…

Den Beweis dafür, dass einmal vorhandene Daten Begehrlichkeiten wecken…

…hat die Volksbank in Stuttgart soeben erbracht. Zur Verfolgung einer `fäkalen Verunreinigung` – der Bereich um einen Geldautomaten wurde mit von Hundekot verunreinigten Schuhen betreten – wurden die Überwachungsvideos sowie die Kundendatenbank und die Aufzeichnungen des Geldautomaten gesichtet. Der Mutter der dreieinhalbjährigen Übeltäterin wurde eine persönlich adressierte Rechnung über 52.96 € zugestellt – einen doch recht kleinen Betrag, beachtet man den Imageschaden (immerhin berichten neben den lokalen Nachrichten auch Golem und Heise über den Vorfall) und den unangenehmen Fragenkatalog, den die Aufsichtsbehörde für Datenschutz eingereicht hat. So unangenehm Hundekot auch sein mag – es ist zu vermuten, dass die durch die Nachforschung entstanden Kosten höher als die Kosten für die Reinigungskräfte waren. Ausserdem ist fraglich, in wie weit die Mutter in diesem Fall überhaupt für ihr Kind haftet.

Update: Den Stuttgarter Nachrichten zufolge stellt die Bank den Vorfall etwas anders dar – die Sprecherin, Isabell Sprenger, meint, es gehe aus den Überwachungsvideos eindeutig hervor, dass «es [...] sich nicht um einen Hundehaufen gehandelt [hat], der von außen hereingetragen wurde», sondern «eine massive Verunreinigung durch das Kind» vorliege, und die Mutter bemerkt habe, wie sich die Tocher erleichtert habe…

Update 2.0: Nachdem sich der Fall – wie es zu Ahnen war – zu einem PR-Super-GAU für die Bank entwicklt hat, verzichtet sie nun `grosszügigerweise` auf die 52.96€, ohne in der Stellungnahme dazu auf die Datenschutzbedenken einzugehen. Vermutlich zu spät, um den ins Rollen geratenen Stein – genauer gesagt: das Interesse der Datenschützer an diese Fall – noch stoppen zu können…

Update 3.0: Das Vorgehen der Bank wurde für unverhältnismässig befunden. Die Videoaufzeichnungen und die geloggten Daten des Bankautomaten hätten nicht genutzt werden dürfen.

Ja, die Möglichkeiten der heutigen Technik sind wirklich toll…

Stasi 2.0 a.k.a. Vorratsdatenspeicherung kommt definitv

Die Vorratsdatenspeicherung (offizieller Name: Vorratsverbindungsdatenspeicherung, von bösen Zungen oftmals zurecht als Stasi 2.0 bezeichnet) tritt in Deutschland nun definitv am ersten Januar 2008 in Kraft. Schuld daran ist unter anderem der Bundespräsident, der die Vorlage allen Warnungen und Protesten zum Trotz unterschrieben hat. Damit steht dem Gesetz nun Tür und Tor offen. Die VDS soll nicht nur die ISPs sowie die Mobilfunk- und Telefonanbieter zum Loggen der `Verbindungsdaten` zwingen – nein, auch Anonymizer sollen in Zukunft loggen (was, am Rande erwähnt, den Begriff des `Anonymizers` ad absurdum führt). Wie das etwa in TOR möglich sein wird, ist unklar – warum sollten sich die TOR-Entwickler auch die Mühe machen, eine Schnüffelfunktion einzubauen? Glücklicherweise gibt es genügend Nodes in vernünftigeren Ländern, die ein solches Gesetz nicht kennen. Wobei diese Länder sicherlich nicht mehr lange existieren werden, haben doch dort Terroristen sicherlich ein vielfach leichteres Spiel…

Im übrigen scheint es im Netz tatsächlich einige Befürworter dieses Gesetzes zu geben. Wer Zeit und Lust hat, dem sei der Diskussionsthread auf dem G:B empfohlen.

Österreich gegen den Überwachungsstaat

Da das österreichische Parlament die Gesetzesänderung, die es erlaubt, Mobilfunkanbieter und ISPs ohne richterliche Genehmigung in Berufung auf eine angebliche Gefahr im Verzuge zur Herausgabe von Realdaten ihrer Kunden zu zwingen, schon angenommen hat, müssen wieder einmal die Bürger die Politik selbst in die Hand nehmen: Drei Informatik-Professoren haben eine Petition gegen den Überwachungsstaat gestartet. Der berechtigte Hauptkritikpunkt ist, dass es hier – wie so oft – um heimliche Massnahmen geht, wobei auch eine nachträgliche Informierung der Betroffenen nicht geplant ist.

Sie haben überhaupt nur eine Chance, zu erfahren, dass Sie überwacht wurden, wenn es ein Strafverfahren gibt. Ist es aber eine rein polizeiliche Ermittlung [...], ist die Chance gleich Null.

Es ist doch traurig zu sehen, wie immer mehr Überwachungsmassnahmen eingeführt und von grossen Teilen der Bevölkerung stillschweigend hingenommen werden. Sehr lobenswert in diesem Sinne sind die Schweizer, die den Bundesrat Blocher, der unter anderem Online-Durchsuchungen gefordert hat, in der letzten Woche abgewählt haben.

Schweiz: Anonyme WLAN-Karten schützen Kinderschänder…

…mit dieser Argumentation wurde im schweizer Nationalrat ein Vorstoss eingereicht, der `anonyme Wireless-Prepaid-Karten` registrierungspflichtig machen will. Nun: Was ist das überhaupt? Nicht ganz so offensichtlich sind damit die WLAN-Karten gemeint, die man von diversen Hot-Spot-Betreibern, etwa Swisscom oder Orange, erhält. Schon 2003 wurde der erste Schritt getan, in dem Prepaid-SIM-Karten registrierungspflichtig wurden – da man nun über Public-WLANs ähnlichen Unsinn bauen kann, sollen auch diese Karten registrierungspflichtig werden. Die Frage ist nur, woran man eine solche Karte identifiziert – das einzige garantiert eindeutige Merkmal ist die MAC-Adresse (es handelt sich hierbei um jene 48-Bit-Zahl, die man unter unixoiden Betriebssystemen mit `ifconfig wlan0 hwaddr 00-23-de-ad-be-ef` beliebig ändern kann). Ausserdem ist unklar, wie mit normalen WLAN-NICs umgegangen werden soll, zumal die Autehtifizierung mancher PWLANs wirklich zu wünschen übrig lässt und immer noch genügen offene WLANs existieren.

Fragen über Fragen…

Der `Jugendschutz` ist am kommen

Nach der jüngst beschlossenen YouPr0n-Zensur seitens Arcor hat nun die Huch Medien GmbH eine Einstweilige Verfügung gegen Arcor beantragt – Arcor soll die Pr0n-Webseite namens Google sperren. Dem Antragssteller zufolge sei Google voll mit jugendgefährtenden Inhalten, insbesondere die Bildsuche. Daher sollen die Domains google.de und google.com gesperrt werden.

Schwer wird dem Gericht diese Entscheidung wohl nicht fallen – immerhin muss es nur dem Fall YouPr0n folgen…

Schöne neue Netzwelt…

Update: Es wurde entschieden, dass Google nicht zensiert werden muss.Die Begründung wiederspricht in weiten Zügen derjenigen im Falle YouPr0n. Ob nun YouPr0n entsperrt wird, ist noch unklar.