Page hijacking for dummies

In order to hijack a web page and make it distribute malicious content, an attacker usually has to find a vulnerability in the respective web server or the employed scripts. As twitter user @Random_Robbie and Kevin Beaumont [1,4] noticed, sparking an online discussion, this cumbersome process is not always necessary!

It has become common practice for web pages to load content from remote locations in order to incorporate external content, both information as well as scripts such as Javascript or PHP. Most people are not aware that when they visit a web page, it is actually composed from dozens of sources that are outside of the visited domain. If one of those links to an external resource is broken, as might easily happen during copy-pasting of code segments or the misconfiguration of yet another wordpress plug-in, the intended external content will not be loaded.

This is not necessarily a security issue. But in this specific case the link was not simply broken but referenced a file in an Amazon S3-Bucket that had not been registered…. yet. All an attacker needs to do is simply register that bucket and deploy a script file that caters to his or her needs. This is an imminent threat and is not just limited to those who use Amazon S3. Likewise, the link might have referenced a yet unregistered domain, posing the exact same risk. Still, relying on S3 makes this a little more delicate. Even if the bucket already existed, chances are you might still be able to exchange content as buckets are commonly misconfigured and writable to the public as has been revealed within the last two weeks [2,3].

Although any kind of web space can be misconfigured, this case of publicly writable buckets is S3-specific. On the other hand, loading content from non-existing sources is obviously a risk in any scenario and not limited to Amazon. What is not obvious, though, is how and why such a scenario arises.

Possible explanations are manifold, ranging from human error to malicious intent. Either way, loading content from locations that one is not in control of is, in my humble opinion, a bad habit that unfortunately evolved to be common practice.

[1] https://twitter.com/Random_Robbie/status/968386467058929664
[2] https://www.techrepublic.com/article/unsecured-amazon-s3-buckets-are-prime-cloud-target-for-ransomware-attacks/
[3] http://www.bbc.com/news/technology-42839462
[4] https://twitter.com/GossiTheDog/status/968391071049945088

Föderierte Identitäten und Single Sign-On – Wettbewerb der Systeme in Deutschland und Europa

Anbieterübergreifende Lösungen für digitale Identitäten sind einer der Schlüssel für den Ausbau digitaler Angebote. Die Vielfalt an unterschiedlichen Identifizierungsmitteln und -systemen ist für Verbraucher zunehmend ein Problem und ein Hindernis für die Nutzung neuer digitaler Dienste. Für die Anbieter können mit anbieterübergreifenden Lösungen erhebliche Kostenvorteile generiert werden, weil die teuren Prozesse der Erstregistrierung und die steigenden Anforderungen an die Datenschutz- und IT-Sicherheits-konforme Absicherung der Identitäten entfallen. Hinzu kommen Mehrwerte, die durch die anbieterübergreifende Möglichkeit der Zusammenführung von Kundendaten – im Rahmen des datenschutzrechtlich zulässigen – entstehen.

Wenig verwunderlich, dass die großen US-Plattformanbieter seit einigen Jahren das Feld des anbieterübergreifenden Identitätsmanagements besetzen. Facebook, Google, Twitter und LinkedIn bieten ihre ID als Lösung an, zunehmend ist auch die Amazon-ID als Identitätsmittel bei weiteren Anbietern im Einsatz. Die Nutzung dieser ID-Services ist allerdings unweigerlich damit verbunden, dass die großen Plattformen noch mehr gezielte Daten der Kunden bekommen: nicht nur die Nutzung der eigenen Plattformdienste, auch die Nutzung fremder Angebote können einzelnen Nutzern genau zugeordnet werden, wenn sie die jeweilige ID nutzen.

In Deutschland rüsten sich mittlerweile vier unterschiedliche Anbietergruppen, um eine von den US-Plattformen unabhängige Lösung für sogenannte föderierte Identitäten bzw. Single Sign-On anzubieten. Mit VERIMI geht ein Konsortium aus deutschen Großunternehmen an den Start, in Kürze eine in besonderem Maße Datenschutz-konforme, europäischem und deutschem Recht unterliegende Identitäts- und Zahlungsplattform aufzubauen. Mit beteiligten Unternehmen wie der Deutschen Bank, Lufthansa, Axel-Springer und der Deutschen Telekom sind Partner an Bord, die einen ganz erheblichen Kundenstamm aufweisen können, deren Identitäten sukzessive auf VERIMI-ID überführt werden könnten. Die Plattform will offen sein für beliebige Anbieter und in Kürze starten.

Unmittelbare Konkurrenz ist die Login-Allianz, ein Konsortium aus United Internet, Pro7 und RTL, die ähnliche Ziele verfolgen wie VERIMI und nach eigenen Aussagen auch mit Händlern wie Zalando kooperiert. Ein Marktstart ist noch nicht bekannt, offenbar soll der Dienst spätestens zum Inkrafttreten der ePrivacy-Verordnung verfügbar sein. Einen etwas anderen Ansatz als die beiden Plattformen verfolgt das kürzlich vorgestellte gemeinnützige Projekt ID4ME, das eine nutzerbestimmte Auswahl von Identitätsprovidern mit Hilfe von Domainnamen vorsieht. Getragen von der deutschen Registry Denic, dem Softwareprojekt Open-Xchange und dem Unternehmen 1&1 soll eine Nonprofit-Organisation in Brüssel für die Verbreitung von ID4ME werben. Ob es hier eine Zusammenführung mit der Login-Allianz geben wird – 1&1 ist Tochterunternehmen von United Internet – ist unklar.

Vierter großer Player in Deutschland ist der Staat. Auf Basis des neuen Online-Zugangsgesetzes soll ein Portalverbund von Bund, Ländern und Kommunen errichtet werden, über den Verwaltungsdienstleistungen aller staatlichen Stellen digital genutzt werden können. Teil des Portalverbundes soll, so das Gesetz, die Einrichtung von Nutzerkonten für die Bürgerinnen und Bürger sein, mit denen sie sich einheitlich gegenüber der deutschen Verwaltung identifizieren können. Dem Vernehmen nach baut der Staat hier eine eigene Lösung auf, eine Übernahme einer der oben genannten privaten Lösungen ist bislang nicht geplant.

Die Einrichtung föderierter Identitäten und eines Single Sign-On ist dabei zunächst einmal unabhängig von der Sicherheit des einzelnen Identifizierungsmittels. So haben sowohl VERIMI als auch der Portalverbund vor, den neuen Personalausweis einzubinden; bei jedem Identitätsprovider werden aber verschiedene Identifizierungsmittel möglich sein müssen, auch das schlichte Einloggen mit Benutzername und Kennwort.

 

Eine aktuelle Studie des Beratungsunternehmens Asquared hat in Europa 94 verschiedene anbieterübergreifende e-Identity-Lösungen in 30 Staaten identifiziert. Die deutsche Vielfalt und Konkurrenzsituation zeigt sich auch im europäischen Markt. Um im Wettbewerb mit den großen US-basierten Plattformen erfolgreich zu sein, muss die Zersplitterung überwunden werden. Es ist zu hoffen, dass sich Staat und private Anbieter zusammenraufen. Das klare Bekenntnis des Koalitionsvertrages von CDU/CSU und SPD vom 7. Februar 2018 lässt hoffen: Der Wille zur Förderung einer „sicheren, mobilen, digitalen Authentifizierung“ sowie das Bekenntnis zur „Stärkung nationaler und europäischer Plattformen“ stimmen optimistisch, dass die nächste Bundesregierung das Thema entschlossen angeht.

„Bei Hacking-Risiken oder Sicherheitslücken fragen Sie bitte Ihren Arzt oder Apotheker“

…in etwa diese Maßnahme empfahl am 29. August der Medizingerätehersteller Abbott etwa 745 000 Patienten weltweit, die sich im Krankenhaus nun ein Software-Update für ihren Herzschrittmacher aufspielen lassen müssen. Das Update soll eine Sicherheitslücke in der Systemsoftware schließen, die Hacker per Funk ausnutzen und damit potentiell den Tod von Patienten verursachen können.

In Deutschland sind etwa 13 000 Patienten betroffen. „Patienten sollten mit ihrem Arzt sprechen, um festzustellen, ob das Update richtig für sie ist“, sagte eine Sprecherin des Unternehmens Spiegel Online Continue reading

Zwei-Faktor-Authentisierung: Nutzung des neuen Personalausweises wird erleichtert

Fast täglich werden digitale Identitätsdaten gestohlen, sei es durch Schadprogramme beim Nutzer, sei es durch erfolgreiche Angriffe auf Diensteanbieter. Oft werden Millionen von Datensätzen entwendet, allzu häufig nicht oder nur schwach verschlüsselt. Der Schwarzhandel mit Identitätsdaten blüht. Der BSI-Lagebericht 2016 weist darauf hin, dass zunehmend Identitätsdaten auf den Schwarzmarkt kommen, die offenbar aus lange zurückliegenden Diebstählen stammen. Nach wie vor erfolgt die überwältigende Menge aller Authentisierungsvorgänge im Internet mit einer Kombination aus Benutzername und Passwort. IT-Sicherheitsexperten sind sich einig, dass die Umstellung auf Zwei-Faktor-Authentisierung das Mittel der Wahl ist, um unberechtigte Zugriffe auf digitale Dienste zu verhindern. Zwei-Faktor-Authentisierung bedeutet, dass für eine erfolgreiche Authentisierung zwei unterschiedliche Faktoren nötig sind, zum Beispiel ein Geheimnis (wie das Passwort) und ein Smartphone oder auch ein Fingerabdruck und eine Chipkarte. Vom Geldautomaten ist die Zwei-Faktor-Authentisierung mittels Karte und PIN bekannt. Continue reading

Google calls experiment with post-quantum crypto in browsers a success

Today’s internet security architecture heavily relies on so called public-key cryptography. Without this public-key cryptography, web-traffic encryption does not work and applications such as secure online banking are not be possible.  Public-key crypto is well understood and currently no efficient attacks against these cryptographic systems are known. However, already in the 90s Peter Schor was able to show that if a quantum computer can be build all state-of-the-art public-key cryptosystem would become insecure[https://en.wikipedia.org/wiki/Shor‘s_algorithm]. Continue reading

Wo ist mein Koffer 4.0

Der deutsche Kofferhersteller RIMOWA bietet sein Anfang 2016 Koffer mit integriertem „Electronic Tag“ an. Bei diesen Modellen kann bei Flugreisen auf das Aufkleben des Gepäckaufklebers verzichtet werden. Der „Baggage Tag“ genannte Aufkleber entfällt, sein Inhalt wird in dem Display des Electronic Tag angezeigt. Für die Flugreisenden soll dadurch das Einchecken weiter erleichtert, für die Airlines weniger personalintensiv ausgestaltet werden. Der Ablauf ist wie folgt: Beim elektronischen Einchecken in der App der Airline (derzeit nur bei Lufthansa) kann ausgewählt werden, wieviel Gepäck mitgeführt werden soll und dass die Kofferanhänger  elektronisch erbeten werden. Das Gepäck wird im Check-In-System registriert, die elektronischen Tags auf das Smartphone übertragen (derzeit nur für iPhone verfügbar). Dort muss sich eine spezielle RIMOWA-App befinden, die über Bluetooth den Gepäckaufkleber digital an den Koffer überträgt und dort unveränderlich speichert und anzeigt. Selbst Batterieversagen soll der e-Ink-Anzeige nichts anhaben können. Eine Veränderung des Tags durch Dritte, so der Hersteller, sei nicht möglich. Den Koffer mit dem elektronischen Tag kann man dann (im Idealfall) am Flughafen ohne Schlange-Stehen auf ein Band legen. Die Ausweitung auf weitere Smartphone-Betriebssysteme und der Einsatz bei weiteren Airlines seien geplant, so RIMOWA. Mit den neuen Koffern erreicht das Internet-of-Things die Gepäckabteile der Flugzeuge. Wohin ein Koffer transportiert wird, entscheidet sich nicht mehr anhand des papiernen Kofferanhängers, sondern durch die gespeicherten digitalen Daten. Die Anzeige des altmodischen Barcodes ist dabei sicherlich nur eine Übergangstechnologie, bis in späteren Schritten elektronisch sendende Tags in den Koffern das optische Lesen ganz ablösen. Continue reading

Banana sales strategies in gaming under scrutiny

The software industry is notoriously known to ship their products as early as possible – which is quite frequently way before maturity. That’s why their products have been equated with bananas: they ripen with the customer. But this annoying practice of debugging a product right in the market has now been confronted. In the UK, an amendment to the UK Consumer Rights Act has been made regarding digital-only purchases of videogames. Games are quite known for being shipped with buggy code or sold as offering features demonstrated in trailers, but not present in the final product. The game “The Witcher 3” provides a recent example, where graphics in trailers were superb, but obviously not available to common gaming PCs, where the game looked much less elegant and rather crude. So consumer protection stepped in. Gamers can now seek refunds or repairs from gaming companies if products are not working properly. The amendment is still criticized to be too vague in wording. This may be a reaction to the many difficulties in determining “proper functionality” of software, but is in turn also owed to the fact that it does not want to curb the videogames industry too much. A moderate first step seems more sensible, testing the waters for this kind of regulation. The regulation also made a smart little addendum, avoiding an obvious tactic for the gaming industry to ditch the new rules. It provided “consumers [the right] to challenge terms and conditions which are not fair or are hidden in the small print“. Continue reading