ITS Blog

IT Security blog – about up to date topics on IT security

Browsing Posts published by nidsche

Gestern hat das Bundesamt für Sicherheit in den Informationstechniken (BSI) eine Warnung zu Geräten mit dem Betriebssystem IOS ausgesprochen.

Betroffen sind:

  • Iphone in der Version 3.1.2 bis 4.0.1
  • Ipad in der Version 3.2 bis 3.2.1
  • Ipod Touch in der Version 3.1.2 bis 4.0
  • Möglicherweise sind Geräte mit älteren Versionen ebenfalls betroffen

Das Problem besteht in der Fähigkeit dieser Geräte PDF Dateien anzuzeigen. Ein Angreifer der diese Schwachstelle ausnutzt kann eigenen Code auf dem Gerät ausführen. Der Angreifer kann aus der Sandbox ausbrechen, dies bedeutet sämtliche Daten auf dem Gerät sind gefährdet, dies sind nicht nur, aber auch: die aktuelle Position per GPS, SMS, Passwörter und Kontaktdaten.

Der volle Text der Warnung kann beim BSI nachgelesen werden.

Das BSI empfiehlt

  • Öffne keine PDF Dateien auf dem Gerät
  • Besuche nur vertrauenswürdige Seiten mit dem Gerät
  • Folge keinen Links in Emails oder auf Webseiten, denen du nicht 100% vertraust
  • Falls du Suchmaschinen wie Google benutzt, klicke nicht auf PDFs

Diese Regeln sollten befolgt werden, bis ein Softwareupdate das Problem behebt.

Yesterday (August, 5th, 2010) the BSI (federal office for security in information technologies), a governmental organization in Germany issued a warning against devices with IOS on them.

Affected are:

  • Iphone with version 3.1.2 to 4.0.1
  • Ipad with version 3.2 to 3.2.1
  • Ipod Touch with version 3.1.2 to 4.0
  • possible devices with older versions as well

The problem is located in the ability to view PDF files on them. Using this hole, an attacker could run his own code on the devices. The attacker is able to evade the sandbox, which means all the data on the device are at risk, not limited to, but including: GPS location, SMS, passwords, emails and contact informations.

For the full warning have a look at the BSI(german).

Their suggestion is:

  • Do not open PDFs on your device
  • visit only trusted sites with your device
  • Do not follow links in emails or websites you do not trust.
  • If you are using Search engines like google, do not click on PDFs

These guidelines should be followed until there is an software update fixing the problem.

Letzte Nacht habe ich die Gelegenheit genutzt und die geleakten Daten per Torrent heruntergeladen.

Um es kurz zu machen, die Daten beinhalteten:

  • Den vollen Namen der verfügbaren Profile
  • Einige agregierte Daten, wie die Vornamen sortiert und gezählt.
  • Ein Skript um die Daten selber zu erfassen.
  • Eine Liste von 170.879.859 URLs, die zu Miniaturansichten der Profilbilder sowie zu bis zu 8 Freunden des Profiles führt.

Am Ende waren die “Profile” nur die Nutzernamen. Um sich die Profile anzuschauen, muss man eingeloggt sein.

Was Ron gemacht hat, ist in etwa mit dem einscannen und veröffentlichen von Telefonbüchern vergleichbar.

Last night I took the opportunity to download the leaked data via Torrent service.

To make it short the data contained:

  • the full names of the available profiles.
  • some agregated information like first names, sorted and counted
  • a script to crawl by yourself.
  • a list of 170.879.859 URLs leading to a miniature picture of your profile image and a list of 8 of your friends.

At the end the profiles were just user names. To have a look at a profile you need to be loged in.

What Ron did was similar to automatic scans of phone books and publishing them to Internet.

Heute, starte ich offiziell mein Blog zum Thema IT-Sicherheit. Ich plane über interessante Themen die einen Bezug zur IT-Sicherheit haben zu bloggen.

Im Falle, das Ihr euch fragt wer ich bin: Ich habe mehrere Jahre als Infrastruktur Gruppenleiter und “Information Security Trustee” beim Weltmarktführer im Bereich Customer Care und Billing – Amdocs- gearbeitet. Im Oktober 2008 habe ich mich entschieden ein neues Abenteur zu suchen und bin zurück an die Universität gegangen. Und hier bin ich, im 3ten Semester meines Studiums zum Master IT- Sicherheit an der Ruhr Universität Bochum. Von nun an möchte ich interessant Teile und aktuelle Themen mit euch teilen.

Fragen und Anmerkungen sind jederzeit willkommen.

Am 28. Juli 2010 wurde die Nachricht verbreitet, das 100-170 Millionen Datensätze von Facebook Nutzern geleakt worden waren [Siehe arstechnica(englisch), bbc(englisch), heise oder skullsecurity(englisch)]. Ron Bowes, ein Sicherheitsforscher, hatte ein Programm erstellt, welches durch das öffentlich verfügbare Nutzerverzeichnis von Facebook Daten sammelte. Dieser Crawler prüfte jedes Profile, das erwähnt wurde und hat die verfügbaren Daten abgespeichert. Seit dem habe ich viele Leute von einem Datenschutzproblem auf Facebook reden gehört.

Aber was ist wirklich passiert?

Facebook und einige seiner Nutzer haben ein großes Interesse daran über Google und andere Suchmaschinen gefunden zu werden. Daher gibt es eine Einstellung in den Profilen, die es dem Nutzer erlaubt zu definieren welcher Teil seiner Informationen wem verfügbar ist. Es gibt auch eine Einstellung die das Profil auffindbar für Suchmaschinen macht.

Um nun die Nutzer auch von Suchmaschinen findbar zu machen, hat Facebook ein Benutzerverzeichnis erstellt: Facebook directory

In diesem Verzeichnis ist jeder Nutzer aufgelistet, der Facebook erlaubt das Profil findbar zu machen.

Neben dieser Option, gibt es weitere, die Facebook erlauben anderen Nutzern bestimmte Details sichtbar zu machen. Dies beginnt mit den eigenen Bildern und endet mit den Kontaktinformationen.

Dies bringt und zu dem Punkt, das der Nutzer selbst entscheiden kann, was über ihn an Informationen verfügbar ist und auch wem.

Der Rest war simples Skipten und Programmieren. Der Angreifer hat ein kleines Programm geschrieben, welches jede Seite angeschaut hat und die Daten auf Platte gespeichert hat. Für solche Aktionen gibt es bereits fertige Tools im Internet. Ron hat anschliessend die gesammelten Informationen via Torrent, einem Beliebten Filesharingdienst, verfügbar gemacht.

Falls du schauen möchtest welche Informationen verfügbar sind, gehe zum Facebook directory und schaue dort selber nach.

Ein weiterer interessanter Aspekt, auf den gulli.com hinweist, ist, das einige globale Firmen, die gesammelten Daten heruntergeladen haben. Nach Aussage von gulli.com gehören zu der Liste auch Organisationen wie Scientology. Für eine vollständige Liste schaut euch den gulli.com artikel an. 

On 28th of July 2010 a news was spread that 100-170 million sets of “user data” was leaked from facebook [see arstechnica, bbc, heise (german) or skullsecurity]. Ron Bowes, a security researcher, created a program, which crawled through the public available User directory of facebook. The crawler checked each and every profile, which was mentioned there and stored the available information.  Since then I heard a lot of people speaking about a privacy problem on facebook.

But what happened really?

Facebook and some users have a huge interest in being found by Google and other search engines. Therefore there is a switch inside the profiles which allows the users to define, which part of information is available to whom. There is also a special switch inside the privacy setting to make the profile public searchable.

To make the users public searchable, facebook opened a directory: Facebook directory

In this directory every user is listed, who allowed facebook to make the profile public searchable.

Beside this option there are others, through which the facebook user allows people to view certain details. This begins with pictures and ends with contact information. All the informations the users added and allowed for all people to view end up in the public searchable profile.

This leads to the point, that it is up to the user if he is available to search engines and being available to search engines means being available to crawlers.

The rest is simple programming and scripting. The attacker write a small crawler which visits each page and saves it to the disk. There are even tools available, which can do the task out of the box. Ron made the data afterwards available via Torrent, a common filesharing system.

It you want to check which information is available there, go to the Facebook directory and have a look by yourself.

Another interesting aspect of this issue is that some big companies downloaded the crawled data. According to gulli.com inside this list are also organizations like scientology. For a full list of companies visit gulli.com. Unfortunately the link is in German.

Today, I am officially starting my IT-security blog. I am planning to blog about interesting topics on IT security related issues.

In case you are curious about me; I worked several years as Infrastructure Group Lead and Information Security Trustee for the World market leader in Customer Care & Billing – Amdocs and decided to leave in order to start the adventure of going back to university. So there I am in the 3rd semester of master studies in IT-security from which I am profiting quite much. From now on I would like to share the most interesting parts and newsworthy issues with you.

Questions, comments and remarks are always welcome.

Während des letzten Wochenendes habe ich an einem Hackercamp in Luxemburg teilgenommen. Abgesehen vom schlechten Wetter, war es ein großes Erlebnis. Die Veranstaltung wurde von Syn2Cat und dem CCC letzebuerg organisiert.

Es gab eine viele Vorträge über eine große Menge an Themen:

  • biomods
  • otrkeys
  • de-anonymisation
  • malware analysis
  • … und vieles mehr

Danke an das organisierende Team, Es hat einen großen Spass gemacht.

Ich kann nur jedem nahelegen, das nächste mal mitzumachen. Im Moment ist leider noch nicht klar ob es nächstes JAhr sein wird. Sobald ich mehr darüber weiß werde ich hier in meinem Blog darüber berichten.

I can only recommend everyone to join the next event. For the moment it is not clarified if it will be next year. As soon as there is any info I will publish it on this blog.

During the weekend I was participating a hacker camp in Luxembourg. Beside the really shitty weather, it was a great experience.The event was organised by syn2cat and CCC letzebuerg.

There were a lot of talks on a huge number of topics:

  • biomods
  • otrkeys
  • de-anonymisation
  • malware analysis
  • … and many others

Thanks to the organizing team… It was a great fun.

I can only recommend everyone to join the next event. For the moment it is not clarified if it will be next year. As soon as there is any info I will publish it on this blog.