Profile

Cover photo
Frank Köhntopp
Attended Gymnasium Kirn
Lived in Hochstetten-Dhaun
3,469 followers|556,156 views
AboutPostsPhotosYouTube+1's

Stream

Frank Köhntopp

Shared publicly  - 
 
Tunnelblick by Frank Köhntopp
4
Helen Natsioks's profile photo
 
Interesting.
Add a comment...

Frank Köhntopp

Shared publicly  - 
 
Frankfurt/M. Langzeitbelichtung 30sec
1
Add a comment...

Frank Köhntopp

Shared publicly  - 
 
 
Diese Lenovo Superfish Sache, wie schlimm ist die?

Dieser ars technica Artikel ist ganz gut darin zu erläutern, was passiert und wieso das schlimm ist.

Superfish installiert ein CA Cert und das CA Cert ist unrestricted, also für Kommunikation und für Code Signing zu verwenden. Das System wird in Zukunft also Code und Kommunikation akzeptieren, die mit dem Private Key für dieses Cert signiert sind. Eine Uninstallation von Superfish läßt das Cert im System zurück und deinstalliert ihn nicht.

Insbesondere zerschreddert so ein CA Cert auch Google Chrome  Cert Pinning, weil Google das Cert Pinning absichtlich so gebaut hat, daß es auf diese Weise unterlaufen werden kann. Der Sinn ist, daß in einer Firma der Systemadministrator ein Firmen CA-Cert installieren kann, mit dem in der Firma SSL MITM machen kann, um einen Corporate Security Proxy, etwa einen Virenscanner, einzuschleusen.

Der Private Key ist im Binary enthalten, ein einfaches "strings ... | grep -i 'private'" findet ihn. Er ist verschlüsselt.

Das Paßwort steht im Klartext im Binary.

Damit jeder, der eine Kopie von Superfish hat, sich den Private Key nehmen und Kommunikation und Code auf allen Systemen installieren, die von Lenovo geshipped worden sind - oder das ist schon passiert.

So oder so kann jeder, der ein von Lenovo geshipptes Windows einsetzt erst mal seine Daten sichern und die Kiste neu machen.

Der IT Fachbegriff dafür ist "einen Sony pullen"  (http://en.wikipedia.org/wiki/Sony_BMG_copy_protection_rootkit_scandal), d.h. ein Verantwortungsloser Salesdroid hat ohne zu wissen was er da tut den Ruf einer Firma komplett und dauerhaft ruiniert.

Dies ist ein Totalschaden.
 ·  Translate
Superfish may make it trivial for attackers to spoof any HTTPS website.
13 comments on original post
1
Add a comment...

Frank Köhntopp

Shared publicly  - 
 
 
The superfish spyware cert is password protected. The password is 'komodia'. This is also the name of a company, http://www.komodia.com/, that makes an SSL "redirector" for doing exactly the sort of interception that SuperFish is doing. They market it as security software so you can spy on your kids, and stuff.

"[ Using this cert ] I can now use this to Man-in-the-Middle people with Lenovo desktops (in theory, I haven't tried it yet)."

Ghetto Brute Forcer for SSL Certs at https://github.com/robertdavidgraham/pemcrack
I extracted the certificate from the SuperFish adware and cracked the password ("komodia") that encrypted it. I discuss how down below. Note: this is probably trafficking in illegal access devices under the proposed revisions...
20 comments on original post
1
Add a comment...
Have him in circles
3,469 people
Oleh Shovenko's profile photo
Karen Allum's profile photo
Julia Emde's profile photo
shirley lim lay choo's profile photo
Lam Kuong Wan's profile photo
Paul Dugas's profile photo
noureddine shami's profile photo
Thomas Reisser's profile photo
Thorsten Schnorrbusch's profile photo

Frank Köhntopp

Shared publicly  - 
 
Gibt es externe USB 3.0 Gehäuse mit RAID1 die man für den Betrieb am Mac empfehlen kann? 
Es gibt ein Sharkoon 5 Bay Gehäuse, das kann aber wohl nicht mir Macs.

Einsatzzweck: meine Arbeitsdaten (Bilder, Musik) habe ich komplett auf externen Platten. Derzeit 2, von denen eines TimeMachine macht. Damit habe ich Sicherung gegen Dummheit, jetzt fehlt noch Sicherung gegen Hardwareausfall.

Oder doch lieber einen HP Microserver mit FreeNAS für die Sicherung...?
 ·  Translate
1
Add a comment...
 
 
Vulnerability counting is a horrible metric (and the security industry needs to stop pretending it isn't)

A few times a year I see a report lamenting all the vulnerabilities found in a class of major software, somehow trying to equate raw numbers in public reports to effective security. I get the appeal of this approach. There's an inherent perception of rigor and objectivity when you slap a bunch of numbers on a page, and it just feels like it should mean something. But the truth is it's mostly just noise when you’re looking at a single product, and outright harmful for comparing between products.

First, you should understand that if you're not seeing vulnerability reports against a piece of software it almost always means the software is either trivial from a security perspective or (more likely) no one is looking at its security. That may not seem like a great reality, but the fact is that any sufficiently complex piece of software is going to have security bugs. And given the tradeoffs that are typically made in terms of runtime performance and developer productivity, we have a good sense of how and where those security bugs are going to show up. So a lack of signal more often than not indicates a lack of effective investigation.

The next thing to appreciate is that that there’s wide variability in what a vulnerability report exactly means and what a software maker chooses to report. This is easier to see if you look at large, publicly developed, open source software project like Chrome or Firefox. When you do, you'll find the lion’s share of the “vulnerabilities” are internally found bugs that typically fall into the rather broad class of possible memory corruption.

Of course, for Chrome and Firefox the vast majority of these bugs haven’t been verified as being genuinely dangerous. Some may be bad, but many are going to be very difficult (or impossible) to reliably exploit. And while it’s certainly possible to work out a full exploitability analysis on every bug found, it is immensely more expedient to just fix the problem and push a timely update to users. (On Chrome we actually used to assign CVEs to all of these bugs, but was tremendous hassle and a net negative to our users, because the information was so prone to misinterpretation.)

The interesting corollary in closed source software is that it also has similarly large numbers of internal finds like these. However, the associated bug trackers aren't public and closed source software makers don't often see a reason to disclose any details on internal reports. So, if a potential security bug is found internally or through a partner, you most likely will never know. A fix will get shipped at some point, but you're almost certainly not going to see a timeline or breakdown of vulnerabilities for anything outside of verified reports from external parties.

That of course brings us to how external reports are verified. If you've reported a vulnerability to e.g. Microsoft you're probably familiar with the dance that typically ensues with MSRC (or the many other vendors who operate similarly). You report the vulnerability and get push back for delivering anything short of a full, working PoC (proof of concept). And even when you deliver a PoC, there’s often still back and forth over how reliable an exploit would be in the wild, or how severe the impact really is. So, it ends up as a bit of a negotiation, because the software maker is: 1) concerned with filtering out the noise (from often a huge volume) of junk reports; and 2) focusing on details they believe will best inform their consumers' patch deployment strategies. The downside here is that the strategy might be preventing real vulnerabilities from getting reported because it places a large burden on the bug reporter.

On the opposite end of the spectrum you have the reporting process for e.g. Chrome. The exploitability and impact assessment are very cursory, and the tendency is to just assume the worst potential impact, push a fix, and pay out a bounty. (The process is actually so permissive that I've seen Chrome list bugs as a vulnerabilities and pay out bounties in cases where I was certain the bugs were not exploitable.) The upside here is that a legitimate vulnerability is extremely unlikely to slip through the cracks. But, the downside is that the vulnerability details are less curated, so this process puts the onus on the end consumer to apply patches or accept updates more aggressively than they might otherwise.

Accepting the wide variance in what gets counted as a vulnerability, it gets worse when you realize that there’s essentially no consistency in how vulnerabilities are scored by anyone. Attempts have been at made with things like CVSS (common vulnerability scoring system), but in the end the scoring systems are very subjective and open to wide interpretation. So, most big software makers have gravitated toward simpler scales that generally don't align with other software in the same class. And even if we could get the rankings to align, the whole point is really to help the consumer answer the question of how quickly they need to patch—an answer which is almost always ASAP, so why bother with complicated rankings?

tl;dr: Vendor provided vulnerability information covers a very broad spectrum, where the quantity of vulnerabilities listed and the details included within vary wildly, are heavily influenced by the approach of the vendor itself, and can change regularly over the lifetime of a given product. Simply put, it’s just not possible to use that information to make qualitative statements about the relative security of a single product, much less for comparing different products or different vendors. In the end, it’s going to be an apples-to-bowling-balls comparison at best and an apples-to-interstellar-warcraft comparison at worst.

In closing... Please, in the name of everyone’s sanity, just don’t play the vulnerability counting game. It doesn't do anyone any good.

#chrome #security
View original post
1
Add a comment...

Frank Köhntopp

Shared publicly  - 
 
"Der korrekte Ansatz wäre, den Start des betreffenden Servers mit einem kaputten Cert zu verhindern, anstatt das Problem dem User anzuzeigen."
 ·  Translate
 
Comodo ist eine Root-CA mit mehr als 30% Marktanteil. Die Aufgabe einer CA ist es, SSL-Zertifikate so zu unterschreiben, daß nur die Leute ein Zertifikat haben, die den Namen der so beglaubigten Website rechtmäßig führen. 

Comodo hat das 2011 nicht hin bekommen, und man hätte deren Root-CA Cert damals aus seinem Browser entfernen sollen. Das kann man nicht, weil dadurch ein Drittel aller SSL-Webseiten in vielen Browsern nicht mehr funktionieren würden.

Comodo verteilt jetzt gerade Software, bei denen sich PrivDog mit installiert. Das ist eine Software, die SSL MITM macht, genau wie Superfish oder andere Komodia-Software, und die SSL-Zertifikate falsch prüft und signiert.

Auch jetzt kann man das Comodo Root Zertifikat nicht löschen, auch wenn Comodo sich zum zweiten Mal als komplett unfähig erwiesen hat. Sogar noch weniger als je zuvor, denn inzwischen gibt es eine Menge Websites, die Unsinn wie HSTS verwenden

http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

HSTS ist der kleine, kaputte Bruder von Cert Pinning, und der würde es unmöglich machen, auf eine Website noch zuzugreifen, wenn man das CA-Cert der CA entfernte, das das Cert dieser Website ausgestellt hat.

http://blog.chromium.org/2011/06/new-chromium-security-features-june.html
»The same HSTS technology also prevents users from clicking through SSL warnings for things such as a self-signed certificate. These attacks have been seen in the wild, and users have been known to fall for such attacks. Now there’s a mechanism to prevent them from doing so on sensitive domains.«

Entferne Comodo, greife nie wieder auf eine Site zu, die HSTS verwendet und ein Comodo Cert hat.

SSL ist kaputt. Und die Forschung konzentriert sich auf den SSL Dialog und warum Leute da so oft weiter klicken anstatt "sich mit dem Problem zu beschäftigen und nicht auf die offensichtlich kompromittierte Site zuzugreifen"
http://static.googleusercontent.com/media/research.google.com/en//pubs/archive/41927.pdf

Das ist so, weil in der Erfahrung der Leute jede einzelne SSL Warnung jemals ein Server-Problem war, und nie ein Angriff.

Es ist außerdem nicht durch den User fixbar, sondern nur durch den Serverbetreiber.
https://plus.google.com/+KristianK%C3%B6hntopp/posts/Kqgx3Pf7WGJ

Der korrekte Ansatz wäre, den Start des betreffenden Servers mit einem kaputten Cert zu verhindern, anstatt das Problem dem User anzuzeigen.

Das passiert nicht.

Und der Rest von SSL ist auf dieselbe Weise kaputt.
 ·  Translate
16 comments on original post
1
Add a comment...
 
Die Austeritätspolitik für Griechenland verglichen mit den Reparationszahlungen Deutschlands nach dem ersten Weltkrieg. Faszinierend, Ökonomie.
 ·  Translate
7
9
Tiberiotertio's profile photoJoachim Schaaf's profile photoPatrick G.'s profile photoOluf Lorenzen's profile photo
 
Krugman arbeitet für die Propagandaabteilung der U.S.A., Abteilung "Märchen und Fabeln".

Nicht ernst nehmen.
 ·  Translate
Add a comment...

Frank Köhntopp

Shared publicly  - 
 
 
Diese Lenovo Superfish Sache, wie schlimm ist die?

Dieser ars technica Artikel ist ganz gut darin zu erläutern, was passiert und wieso das schlimm ist.

Superfish installiert ein CA Cert und das CA Cert ist unrestricted, also für Kommunikation und für Code Signing zu verwenden. Das System wird in Zukunft also Code und Kommunikation akzeptieren, die mit dem Private Key für dieses Cert signiert sind. Eine Uninstallation von Superfish läßt das Cert im System zurück und deinstalliert ihn nicht.

Insbesondere zerschreddert so ein CA Cert auch Google Chrome  Cert Pinning, weil Google das Cert Pinning absichtlich so gebaut hat, daß es auf diese Weise unterlaufen werden kann. Der Sinn ist, daß in einer Firma der Systemadministrator ein Firmen CA-Cert installieren kann, mit dem in der Firma SSL MITM machen kann, um einen Corporate Security Proxy, etwa einen Virenscanner, einzuschleusen.

Der Private Key ist im Binary enthalten, ein einfaches "strings ... | grep -i 'private'" findet ihn. Er ist verschlüsselt.

Das Paßwort steht im Klartext im Binary.

Damit jeder, der eine Kopie von Superfish hat, sich den Private Key nehmen und Kommunikation und Code auf allen Systemen installieren, die von Lenovo geshipped worden sind - oder das ist schon passiert.

So oder so kann jeder, der ein von Lenovo geshipptes Windows einsetzt erst mal seine Daten sichern und die Kiste neu machen.

Der IT Fachbegriff dafür ist "einen Sony pullen"  (http://en.wikipedia.org/wiki/Sony_BMG_copy_protection_rootkit_scandal), d.h. ein Verantwortungsloser Salesdroid hat ohne zu wissen was er da tut den Ruf einer Firma komplett und dauerhaft ruiniert.

Dies ist ein Totalschaden.
 ·  Translate
Superfish may make it trivial for attackers to spoof any HTTPS website.
13 comments on original post
1
Add a comment...
 
Double #selfie  
19
Sam Colbear's profile photoUlf Jönsson's profile photoKelvin Bastow's profile photo
3 comments
 
Mate you need update to android L.
Add a comment...
People
Have him in circles
3,469 people
Oleh Shovenko's profile photo
Karen Allum's profile photo
Julia Emde's profile photo
shirley lim lay choo's profile photo
Lam Kuong Wan's profile photo
Paul Dugas's profile photo
noureddine shami's profile photo
Thomas Reisser's profile photo
Thorsten Schnorrbusch's profile photo
Education
  • Gymnasium Kirn
    1985
  • FH Worms
    Informatik, 1991
Basic Information
Gender
Male
Apps with Google+ Sign-in
Story
Introduction
http://www.gadgetguy.de - SAP Security Expert, SCN Moderator, Geek, Possibility Junkie, Obsessive Problem Solver, #photog, Stuck in the 80s.
Work
Occupation
Product Security Governance @SAP
Places
Map of the places this user has livedMap of the places this user has livedMap of the places this user has lived
Previously
Hochstetten-Dhaun - Worms - Paderborn - Esslingen - Frankfurt am Main - Wöllstein - Wendelsheim
Links
Other profiles
Contributor to
Frank Köhntopp's +1's are the things they like, agree with, or want to recommend.
Withings
plus.google.com

Withings creates smart products and apps to take care of yourself and your loved ones in a new and easy way.

A wish list for those wonderful folks at Panasonic, Olympus or some cool...
visualsciencelab.blogspot.com

Austin, Texas Portrait Photographer's Blog about Digital Photography, Art and Writing by Kirk Tuck.

Ralfs Foto-Bude
plus.google.com

Die Fotoseite für jeden – Tests, Ratgeber, Tipps, Neuheiten

Review Panasonic Leica DG Summilux 25mm F1.4 ASPH
benjamin-jehne.blogspot.com

Die Umfrage hat entschieden und daher gibt es diesmal den Review zum Panasonic Leica DG Summilux 25mm F1.4 ASPH. Danke an alle, die sich an

Fluidr
plus.google.com

Fluidr makes viewing photos on Flickr easier.

Sony NEX Lenses on the Sony A7r?
www.stuckincustoms.com

The Sony NEX 10-18mm on the Sony A7r. I did a full comparison here of the two main wide-angle lenses that are currently available from Sony

Yubikey for Android
market.android.com

If you want to use "Yubikey for Android", you need to buy a real Yubikey. (Yubikey is a OTP generator of yubico.) "Yubikey for Android" has

Thomas Hawk Digital Connection » Blog Archive » Yahoo and Flickr Renege ...
thomashawk.com

The New Yahoo Advertising Tool Bar on Flickr is Ugly. One of the things that I've liked about being able to pay Yahoo and Flickr $24.95 per

Caring for Your Introvert
www.theatlantic.com

The habits and needs of a little-understood group

500px
plus.google.com

Best photography in the world

Dilbert comic strip for 02/23/2012 from the official Dilbert comic strip...
dilbert.com

The Official Dilbert Website featuring Scott Adams Dilbert strips, animation, mashups and more starring Dilbert, Dogbert, Wally, The Pointy

Dilbert comic strip for 03/10/2013 from the official Dilbert comic strip...
dilbert.com

The Official Dilbert Website featuring Scott Adams Dilbert strips, animation, mashups and more starring Dilbert, Dogbert, Wally, The Pointy

Mobile phone pricing and light users
steverumsby.blogspot.com

I'm not a heavy user of my mobile phone. Well, not of the phone part at least. I do use a lot of data, but make very few calls and send only

Meine Wünsche für Lightroom 4
elfpunkt.net

Nach meinem Umstieg von Aperture 3 auf Lightroom 3 im letzten Jahr fange ich langsam an, mich mit LR anzufreunden. Beide Programme haben ihr

Fefes Blog
blog.fefe.de

Fefes Blog. Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de! Fragen? Antworten! Siehe auch: Alternativlos. We

Fefes Blog
blog.fefe.de

Fefes Blog. Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de! Fragen? Antworten! Siehe auch: Alternativlos. Tu

Geheimes Rechtsgutachten zu ACTA » Rechtsanwalt Markus Kompa
www.kanzleikompa.de

Suchen. Seiten. Home · Impressum · Profil · Qualifikationen · Veröffentlichungen. Kategorien. Abmahnung (426); Allgemein (1228); Beweise (16