Datenkanal (Entries tagged as sicherheit)

DK100: Das Standard-Datenschutzmodell

nospam@example.com (Jens Kubieziel) — Sun, 26 Feb 2023 13:48:00 +0000

Die heutige Sendung beschäftigt sich mit einem Aspekt aus dem Feld des Datenschutzes, dem Standard-Datenschutzmodell (SDM). Das SDM beschäftigt sich mit der Verarbeitung von personenbezogenen Daten und hilft, dies zu planen, einzuführen und zu betreiben. Martin Rost erzählt, wie er zum SDM kam und aus welchen Teilen das Modell besteht.

Dabei geht er auf die historische Entwicklung der Schutzziele ein. Zunächst waren die Schutzziele

Vertraulichkeit
Verfügbarkeit
Integrität

bekannt. Zusammen mit Prof. Andreas Pfitzmann und anderen kam er zu der Erkenntnis, dass es die weiteren Schutzziele

Transparenz
Nichtverkettbarkeit
Intervenierbarkeit

geben muss und dass diese teilweise in Konkurrenz zueinander stehen. Nach der Diskussion um Schutzziele müssen auch Risiken geklärt werden. Auch darauf gehen wir im Rahmen unseres Gesprächs ein.

Schließlich sprechen wir noch über Datenschutz-Folgenabschätzungen und das Verzeichnis von Verarbeitungstätigkeiten.

Shownotes

Download und Anhören

DK67: Meltdown und Spectre

nospam@example.com (Jens Kubieziel) — Tue, 06 Feb 2018 23:14:21 +0000

Wir greifen in der heutigen Sendung die Anfang 2018 bekannt gewordenen schweren Sicherheitslücken auf. Unter den Namen Meltdown und Spectre wurden drei Probleme bei CPUs bekannt. Wir erklären zunächst, wie CPUs funktionieren und was spekulative Ausführung bedeutet. Danach erklären wir, wie die Lücken funktionieren.

Leider hört die Aufzeichnung zehn Minuten vor dem eigentlichen Ende auf.

Download und Anhören

Shownotes

DK60: WannaCry

nospam@example.com (Jens Kubieziel) — Sun, 11 Jun 2017 21:25:18 +0000

Diese Sendung widmeten wir einem etwas aktuelleren Thema. Diverse Computersysteme wurden von der Schadsoftware WannaCry befallen. Wir besprachen, die Hintergründe und Ursachen dazu. Daneben diskutierten wir mögliche Schutzmaßnahmen und die Rolle der Geheimdienste.

Download und Anhören

Musik

Zur Überbrückung spielte Jörg am Anfang den Titel Breathe von AXL & ARTH.

Shownotes

folgen.

DK53: Sammelsurium Teil 2

nospam@example.com (Jens Kubieziel) — Sun, 18 Dec 2016 16:30:57 +0000

In der Sendung greifen wir einige lose Enden auf und sprechen darüber. Zunächst geht es ein wenig um die letzte Sendung und die Frage, wie viele Hörerinnen und Hörer der Datenkanal eigentlich hat. Jens hatte zunächst einen einfachen Ansatz mit awk und sed gewählt und war dabei auf viel zu hohe Zahlen gekommen. Nach der Sendung verfolgte er nochmal den Ansatz, die Dateigrößen der heruntergeladenen Dateien zu addieren und diese durch die jeweiligen Größen der Audiodateien zu teilen. Dabei stelle sich heraus, dass der Datenkanal 52 etwa 100mal (Opus und MP3) bzw. ca. 70mal (OGG) in der ersten Dezemberhälfte heruntergeladen wurde. Jörg erzählt noch, welche Erfahrungen er mit dem Tracking gesammelt hat.

Im zweiten größeren Themenblock sprechen wir über die Wahl in den USA und schneiden Hillarys Mails an. Schließlich hat sich Jörg noch Auskünfte nach dem Bundesdatenschutzgesetz über sich eingeholt. Wir diskutieren, was er erfahren hat und welche Schlüsse sich ziehen lassen.

Download und Anhören

Shownotes

DK52: Sicherheit unter Android

nospam@example.com (Jens Kubieziel) — Thu, 01 Dec 2016 09:56:36 +0000

In der heutigen Sendung unterhalten sich Katharina Schmid und Jörg über Sicherheit bei Android-Geräten. Katharina ist Studentin der Mathematik und schreibt an ihrer Masterarbeit zum Thema Quanten-Kryptografie. Jens ist leider abwesend.

Nach allgemeinem Vorgeplänkel sprechen beide über allgemeine Sicherheitsmaßnahmen, Antivirenscanner und die Sicherheit von Apps. Weiterhin diskutieren sie, was Google an Sicherheit vorab bietet und wo die Schwächen dieses Systems liegen.

Download und Anhören

Links aus der Sendung

Die Links werden noch nachgeliefert.

DK41: 32C3

nospam@example.com (Jens Kubieziel) — Sun, 10 Jan 2016 21:29:00 +0000

Die heutige Sendung entstand in Kooperation mit dem Campusradio Jena. Carsten vom Campusradio fragte mich, ob ich zu ihm in die Sendung kommen könne und mich mit ihm über die 32C3 unterhalten will. Da der nächste geplante Datenkanal mit Jörg noch eine Weile hin ist, sagte ich zu.

Wir unterhielten uns in der Sendung über den 32. Chaos Communication Congress. Der fand kurz vor dem Jahreswechsel in Hamburg statt. 12.000 Hacker aus aller Welt trafen sich im Gebäude des Congress Centrum Hamburg und diskutierten über allerlei Sachen.

In der Sendung versuchte ich, den Aufbau des Gebäudes mit den diversen Projekten zu erklären. Später ging ich auf einzelne Vorträge ein. In der Sendung stellte sich heraus, das Carsten auch ein alter Congress-Hase ist und schon geengelt hat. So konnte er ein paar alte Erinnerungen beisteuern und ich die aktuellen vom letzten Congress.

Download und Anhören

Musik

Die meiste Musik hatte Carsten vorab rausgesucht. Dankenswerterweise kam er meinem Wunsch nach, sich etwas bei Jamendo rauszusuchen. Damit kann ich die Musik im Podcast lassen.

DK38: 31C3, Chemnitzer Linux-Tage und Safer Internet Day

nospam@example.com (Jens Kubieziel) — Tue, 31 Mar 2015 08:39:09 +0000

Der vorige Datenkanal drehte sich ganz um den 31C3 in Hamburg. Dort gab es jedoch so viel zu entdecken und zu hören, dass wir in der Sendung nicht alles beleuchten konnten. Daher haben wir uns noch die jetzige Sendung genommen und einige Worte über den Kongress verloren. Daneben standen auch die Chemnitzer Linux-Tage vor der Tür. Hier warfen wir einen Blick auf die Vorträge und die Veranstaltung. Schließlich fand kurz vor der Sendung der Safer Internet Day statt. Wir bekamen einen Mitschnitt eines Interviews ins Studio. Dort wurde Stefan Schumacher vom Wartburgradio befragt. Im Anschluss an das Interview diskutierten wir noch ein wenig die Inhalte.

Download und Anhören

Musik

The Commonfield von Emerald Park (ab 1:14:14)

Shownotes

DK33: DNSSEC

nospam@example.com (Jens Kubieziel) — Mon, 07 Jul 2014 08:31:22 +0000

Eine der Grundlagen und zugleich ältesten Protokolle des Internets heißt DNS. Dies beantwortet die Frage, welche IP-Adresse eine Domain besitzt. Wie so viele Protokolle ist auch hier kein Schutz vor falschen Antworten und anderem eingebaut. Ein Versuch, den Zustand zu heilen, heißt DNSSEC. Damit können Einträge kryptografisch geprüft und Fälschungen erkannt werden.

Wir haben Lutz Donnerhacke in die Sendung eingeladen. Lutz arbeitet bei einem Jenaer ISP und ist Mitglied des EURALO-Boards der ICANN. Er hat vielfältige theoretische und praktische Erfahrung im Einsatz von DNSSEC und stand uns in der Sendung Rede und Antwort.

Download und Anhören

Musik

Eine Liste der gespielten Titel folgt später.

Shownotes

DK26: Live-Hacking

nospam@example.com (Jens Kubieziel) — Sun, 25 Aug 2013 19:46:12 +0000

Im Laufe des Jahres sendeten wir verschiedene Beiträge zur IT-Sicherheit. Diese Sendung sollte ein wenig interaktiver verlaufen. Jens installierte dazu auf einem VServer ein Debian GNU/Linux. Dazu kam diverse Serversoftware, wie Apache, MySQL, SSH und anderes, sowie Wordpress, DVWA und kippo. Teile der installierten Software besassen Schwachstellen bzw. DVWA simuliert diverse Schwachstellen.

Die Aufgabe der Live-Hörer war es nun, das System anzugreifen. Zur Koordination der Angreifer richteten wir ein Pad ein. Dort sollten die Teilnehmer ihre Erkentnnisse eintragen und so effektiv arbeiten. Gleichzeitig hat das Pad einen Chat zur Koordination.

Zu Beginn der Sendung ist Jörg damit beschäftigt, die Zeit, die Jens zum Start des Systems braucht, zu überbrücken. Er erzählt einige Details zu Ringstrukturen im Betriebssystem und hält nochmal Rückschau auf die vergangenen Sendungen.

Als die ersten Teilnehmer Hand an das System legen, kommt recht schnell Nmap zum Zuge. Die detaillierte Ausgabe sah folgendermaßen aus:


PORT     STATE SERVICE  VERSION
22/tcp   open  ssh      OpenSSH 6.0p1 Debian 4 (protocol 2.0)
| ssh-hostkey: 1024 73:76:69:d4:c9:ba:3c:1f:79:23:cc:c1:50:66:44:21 (DSA)
|_2048 48:b2:35:16:07:15:87:d9:ed:b5:64:8f:a8:a3:f9:88 (RSA)
80/tcp   open  http     Apache httpd 2.2.22 ((Debian))
|_html-title: Site doesn’t have a title (text/html).
111/tcp  open  rpcbind?
| rpcinfo:  
| 100000  2,3,4    111/udp  rpcbind  
|_100000  2,3,4    111/tcp  rpcbind  
2222/tcp open  ssh      OpenSSH 5.9p1 Debian 5ubuntu1.1 (protocol 2.0)
| ssh-hostkey: 1024 c4:e8:bb:ad:3c:eb:01:47:07:8f:8d:15:f1:72:04:79 (DSA)
|_2048 00:5b:b0:39:2d:b1:32:ac:06:85:6f:5f:71:63:52:29 (RSA)
3306/tcp open  mysql    MySQL (unauthorized)
5222/tcp open  unknown
5269/tcp open  unknown

Wir diskutieren die Ausgabe des Programmes und weitere Möglichkeiten von Nmap in der Sendung. In obiger Ausgabe fehlt beispielsweise der Port 2222. Dort lief das Programm kippo.

Unter anderen ist zu sehen, dass ein Webserver läuft. Das heißt, mit Hilfe eines Browsers kann man verschiedene Verzeichnisse und Dateien probieren. Automatisiert lässt sich dies auch mit w3bfukk0r durchführen. Dabei fanden sich die Unterverzeichnisse wordpress und dvwa.

Das installierte Wordpress war veraltet und hätte dem Angreifer ein paar Schwachstellen geboten. WPScan schaut sich eine Wordpress-Installation an und berichtet wahrscheinliche Schwachstellen.

DVWA steht für Damn Vulnerable Web Application. Die Software bietet eine Vielzahl von klassischen Web-Schwachstellen wie SQL Injection, XSS usw. zum Ausprobieren.

Wir kommentierten die verschiedenen Funde und das wahrscheinliche Vorgehen. Einige Hörer wünschten sich später mehr solche Live-Hacks. Wir werden uns mal Gedanken dazu machen und vielleicht später wieder eine Sendung in der Richtung machen.

Download und Anhören

Musik

In der Sendung gab es das Lied Last War von Platinum Sky.

Shownotes

~~Die Shownotes müssen noch geschrieben werden.~~

Continue reading "DK26: Live-Hacking"

Ankündigung: Live-Hacking im Datenkanal 26

nospam@example.com (Jens Kubieziel) — Tue, 16 Jul 2013 16:00:00 +0000

Der neue Datenkanal wird eine Therapiestunde für euch. Ihr sollt hacken und darüber reden. Wir haben zwar kein Sofa, dafür ein Pad und ein Telefon. Legt euch also bequem auf euer Sofa, nehmt den Rechner auf den Schoss, das Telefon in die Hand und macht unsere Sendung an.

Wir haben einen Server aufgesetzt und ein bisschen Software installiert. Die Software hat diverse Schwachstellen und ihr sollt diese finden. Für eure Funde und für die Koordination gibt es ein Pad. Schreibt dort einfach rein, was ihr probiert habt, was geklappt und was nicht geklappt hat.

Die Sendung soll aber ein wenig Interaktivität bieten. Ruft uns an und erzählt uns, was ihr versucht habt und ob dies erfolgreich war. Die Nummer im Studio ist 03641/522222. Wir freuen uns auf eure Anrufe.

Wenn ihr es schafft, den Rechner zu übernehmen, denkt bitte daran, dass sich andere auch versuchen wollen. Denn falls jemand Unfug baut, schalte ich den Rechner ab. Dann ist der Versuch vorschnell zu Ende. Kommt lieber stattdessen ins Pad oder direkt in die Sendung und teilt uns mit, welchen Weg ihr genommen habt.

Die »Kontaktdaten« des Servers geben wir kurz vor der Sendung bekannt. Beobachtet das Blog oder unseren Twitter-Kanal.

Viel Spass in der Sendung und beim Testen des Rechners

DK22: Schwachstellen im Web II (OWASP Top Ten)

nospam@example.com (Jens Kubieziel) — Sat, 27 Apr 2013 21:52:00 +0000

Die Sendung schließt nahtlos an den Vorgänger an. Im Datenkanal 21 sprachen wir hauptsächlich über SQL Injections und Cross-Side-Scripting (XSS). Diesmal wanderten wir grob an der Top Ten des Open Web Application Security Projekts entlang.

Zu Beginn der Sendung holten wir die Geschichte über der UEFI-Schlüssel raus, der auf einem frei zugänglichen Server lag. Über die Betrachtung von IT-Sicherheit als Prozess und den Demingkreis ging es dann weiter. Einen zweiten Kreis machten wir um das Erlernen einer Programmiersprache. Früher gab es so tolle Bücher, die versprachen, eine Sprache in Stunden oder höchstens Tagen zu erlernen. Heute gibt es Webseiten, die einen nachhaltigen Ansatz verfolgen.

Im weiteren Verlauf sprachen wir einzelne Einträge in den Top Ten an und erzählten etwas zu unseren Erfahrungen.

Download und Anhören

Musik

Jörg hat sich diesmal Van Syla rausgesucht. Wir spielten zuerst The Death of a Star. Als zweites Lied sollte in der Sendung Memories kommen. Vermutlich war das zu leise, denn in der Livesendung war plötzlich andere Musik (Notprogramm?) zu hören. Ich habe daher das Lied nachträglich in die Aufnahme reingeschnitten.

Shownotes

Continue reading "DK22: Schwachstellen im Web II (OWASP Top Ten)"

DK21: Schwachstellen im Web I (SQL Injection und XSS)

nospam@example.com (Jens Kubieziel) — Sat, 06 Apr 2013 21:45:32 +0000

Diese Folge setzt unsere Betrachtungen von IT-Sicherheit fort. Nachdem wir mit dem Buffer Overflow einen Klassiker angesprochen haben, wenden wir uns in der Folge hauptsächlich der SQL Injection zu. Gegen Ende der Sendung kommen wir noch auf Cross Site Scripting (XSS) zu sprechen.

Zu Anfang gehen wir kurz auf Webanwendungen, PHP und SQL ein. Danach nähern wir uns der SQL Injection auf verschiedenen Wegen und erklären einige mögliche Schutzmechanismen. Über ein paar Umwege über Passwörter, Seitenkanalangriffe und HSTS kommen wir schließlich zu XSS.

Wir hatten ursprünglich vor, noch weitere Punkte mit in die Sendung zu nehmen. Aufgrund des Zeitmangels am Ende machen wir demnächst eine weitere Sendung zu dem Thema.

Zu Anfang der Sendung hatten wir ein paar Probleme mit dem Headset. Nach einem Tausch funktionierte dann alles problemlos.

Exploits of a mom (xkcd)

Download und Anhören

Musik

Jörg suchte sich die zwei Titel, Electrolife und Aren’t you clever von Trancendam raus.

Shownotes

Continue reading "DK21: Schwachstellen im Web I (SQL Injection und XSS)"

DK19: Der gemeine Buffer Overflow

nospam@example.com (Jens Kubieziel) — Fri, 01 Mar 2013 11:00:46 +0000

In der letzten Sendung sprachen wir über Sicherheitsschwankungen bei Software. Dabei kam uns die Idee, einzelne Probleme aufzugreifen und in einer eigenen Sendung zu besprechen. Der neunzehnte Datenkanal macht den Anfang mit Buffer Overflows oder zu deutsch Pufferüberläufen.

Am Anfang der Sendung kamen wir von leichtgewichtigen und simplen Protokollen zur Erschaffung einer besonders kleinen ELF-Datei. Die Brücke zum eigentlichen Thema bildete der Free-Your-Android-Workshop im Krautspace. Wir erklärten den Aufbau des Stapelspeichers (Stacks) und nutzten dieses Bild, um Pufferüberläufe zu erklären. Denn letztlich werden im Speicher Kisten aufeinander gestapelt. In den Kisten lagern nach unserem Bild Blätter. Die werden beschrieben und wenn der Schreiber nicht aufpasst, kleckst die Tinte bzw. er übermalt Blätter. Geschicktes Übermalen bzw. Klecksen legt die Grundlagen für einen erfolgreichen Exploit. Das Bild sollte schön klar machen, wie ein Buffer Overflow funktioniert. Wir schweifen an einigen Stellen immer mal auf diverse C-Funktionen und anderes ab.

Der Schutz vor derartigen Schwachstellen ist im letzen Viertel dran. Wir starten mit Kanarienvögeln und arbeiten uns über ASLR zum NX-Bit. Der Ausflug ist wieder ein wenig technischer. Aber mit dem obigen Erklärungen sollte das gut zu verstehen sein.

Im Rahmen der Sendung sprechen wir über die Datei /proc/self/maps. Unten finden ihr eine Beispielausgabe mit dem Befehl less. Ich habe die Speicheradressen mal in Rot eingefärbt. Das Feld rechts daneben sind die angesprochenen Zugriffsrechte.

00400000-00421000 r-xp 00000000 fe:01 58740                              /bin/less
00620000-00621000 r--p 00020000 fe:01 58740                              /bin/less
00621000-00625000 rw-p 00021000 fe:01 58740                              /bin/less
00625000-0062a000 rw-p 00000000 00:00 0 
01531000-01552000 rw-p 00000000 00:00 0                                  [heap]
7f1d90aa8000-7f1d90c28000 r-xp 00000000 fe:01 60787                      /lib/x86_64-linux-gnu/libc-2.13.so
7f1d90c28000-7f1d90e28000 ---p 00180000 fe:01 60787                      /lib/x86_64-linux-gnu/libc-2.13.so
7f1d90e28000-7f1d90e2c000 r--p 00180000 fe:01 60787                      /lib/x86_64-linux-gnu/libc-2.13.so
7f1d90e2c000-7f1d90e2d000 rw-p 00184000 fe:01 60787                      /lib/x86_64-linux-gnu/libc-2.13.so
7f1d90e2d000-7f1d90e32000 rw-p 00000000 00:00 0 
7f1d90e32000-7f1d90e57000 r-xp 00000000 fe:01 14369                      /lib/x86_64-linux-gnu/libtinfo.so.5.9
7f1d90e57000-7f1d91056000 ---p 00025000 fe:01 14369                      /lib/x86_64-linux-gnu/libtinfo.so.5.9
7f1d91056000-7f1d9105a000 r--p 00024000 fe:01 14369                      /lib/x86_64-linux-gnu/libtinfo.so.5.9
7f1d9105a000-7f1d9105b000 rw-p 00028000 fe:01 14369                      /lib/x86_64-linux-gnu/libtinfo.so.5.9
7f1d9105b000-7f1d9107b000 r-xp 00000000 fe:01 60790                      /lib/x86_64-linux-gnu/ld-2.13.so
7f1d910e8000-7f1d9125f000 r--p 00000000 fe:02 388520                     /usr/lib/locale/locale-archive
7f1d9125f000-7f1d91262000 rw-p 00000000 00:00 0 
7f1d91278000-7f1d9127a000 rw-p 00000000 00:00 0 
7f1d9127a000-7f1d9127b000 r--p 0001f000 fe:01 60790                      /lib/x86_64-linux-gnu/ld-2.13.so
7f1d9127b000-7f1d9127c000 rw-p 00020000 fe:01 60790                      /lib/x86_64-linux-gnu/ld-2.13.so
7f1d9127c000-7f1d9127d000 rw-p 00000000 00:00 0 
7fff5c705000-7fff5c726000 rw-p 00000000 00:00 0                          [stack]
7fff5c7ff000-7fff5c800000 r-xp 00000000 00:00 0                          [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall]

Download und Anhören

Musik

Wir waren bei der Sendung so in unser Gespräch vertieft, dass wir keine Musik spielten. Jedoch würde wahrscheinlich das Lied »Buffer Overflow« von Under The Hat ganz gut passen.

Shownotes

Continue reading "DK19: Der gemeine Buffer Overflow"

DK18: Sicherheitsschwankungen bei Software

nospam@example.com (Jens Kubieziel) — Thu, 14 Feb 2013 21:43:43 +0000

In der aktuellen Sendung haben wir über Sicherheitsprobleme und zum Teil allgemein Programmierfehler bei Software gesprochen. Über die Themen Pufferüberlauf und Code Injection kamen wir zu den Paketen des Todes. Damit ist nicht der Ping of Death gemeint, sondern eine Schwachstelle, die eine bestimmte Kombination von Mainboard und Netzwerkkarte angreift. Wir streifen die Themen Honeypots und Virenanalyse ein wenig. Schließlich fragen wir uns, wie man mit gefundenen Schwachstellen umgehen kann.

Letztlich haben wir mit der Sendung ein wenig an der Oberfläche gekratzt. Direkt in der Sendung haben wir daher beschlossen, dass wir einzelne Themen in den folgenden Sendungen vertiefen wollen.

Wundert euch nicht über den abrupten Start in die Sendung. Der Recorder im Studio hatte meine erste Einleitung nicht aufgenommen. Daher habe ich den Anfang ein wenig gekürzt.

Download und Anhören

Musik

Trancendam mit Electrolife aus dem Album Hybride
Van Syla mit The Death of a Star aus dem Album The Death of a Star

Shownotes

Continue reading "DK18: Sicherheitsschwankungen bei Software"

Ankündigung: Sendung 18 zu Sicherheitsschwankungen bei Software

nospam@example.com (Jens Kubieziel) — Tue, 05 Feb 2013 14:13:23 +0000

In der nächsten Woche startet die 18. Sendung des Datenkanals. Jörg und ich unterhalten uns über Sicherheitsschwankungen bei Software. Wir wollen verschiedene Software besprechen und erklären, welche eventuellen Probleme es gab. Vielleicht auch, wie diese gelöst wurden. Wenn euch im Vorfeld eine besprechenswerte Software einfällt, hinterlasst bitte einen Kommentar.

Die Grafik unten stammt vom Veracode-Blog. Die Autoren haben sich so genannte Bug-Bounty-Programme angeschaut. Diese zahlen Geld, wenn ein Bug gefunden und gemeldet wird.

Continue reading "Ankündigung: Sendung 18 zu Sicherheitsschwankungen bei Software"