Mitternachtshacking

Es gibt ein erstes Seminar „IT-Sicherheit in der Produktion„. Von IFTT EDV-Consult.

SecuriTeam ist der Meinung, die Screenshots braucht es nicht, das kann einfacher aus dem Datenstrom an die Bank gefischt werden:

„PINs can be easily retrieved by sniffing the data sent by the user to the banking site, even though they are encrypted“

Nun, ganz falsch ist das nicht und im Fall dieses Beispiels auch richtig. Aber es gibt genug andere Beispiele, wo ein Screenshot-Trojaner praktisch sein kann. Also keine Entwarnung.

Einige Banken im Ausland gehen ja dazu über, die PIN-Eingabe nicht mehr per Tastatur sondern mittels eines Java-Applets zu machen, in dem der Anwender ein paar virtuelle Tasten drückt. Das schützt vor Keyloggern, die inzwischen in die meisten Viren und Würmer integriert sind.

Im Gegenzug rüsten die Hacker auf. Hispasec demonstriert in diesem Video einen Trojaner, der die Mausbewegung sowie einen Teil des Bildschirms in der Nähe der Maus aufzeichnet. Getriggert wird das durch die URLs von Banken, sobald eine angesuft wird, schaltet sich für einige Zeit die Aufzeichnung ein. Die Aufzeichnung kann dann als Video wieder angeschaut werden, der Hacker erkennt genau, wohin mit der Maus geklickt wurde.

Ok, die Files werden arg groß, das könnte einem auffallen. Aber insgesamt eine lässige Idee.

Manchmal liest oder hört man von jemandem in der IT-Security und fragt sich, wie wohl das Gesicht dahinter aussieht. Bei einigen ist das ja sehr bekannt. Die Glatze von Bruce Schneier ist relativ bekannt, der Vollbart von Phil Zimmermann auch und über die Frisur von Richard Stallman mag ich keinen Kommentar verlieren.

Aber Dan Bernstein (djbdns) ist viel jünger, als ich gedacht habe, Wietse Venema (tcpd) will ich nicht im Dunkeln begegnen und Lance Spitzer sieht man direkt an, dass sein Hauptauftraggeber das amerikanische Verteidigungsministerium ist.

Bei Bugtraq.ru gibt es die gesamte Fotogalerie.

Ich war letzte Woche mal wieder auf Reisen, diesmal in Gorinchem in den Niederlanden. Das Problem mit dem Reisen auf dem Kontinent ist, dass viele Hotels der Meinung sind, mit dem Internet-Zugang kann man mal richtig fett die Kunden abkassieren. Das Hotel in dem ich übernachtete war natürlich keine Ausnahme.

Aber man hat ja sein Spielzeug, in meinem Fall der Allnet Hotspot Finder. Ein saucooles Teil. Der Finder unterstützt die Standards 802.11b, 802.11g und sogar 802.11a! Erkennt, ob WEP- oder WPA-Verschlüsselung eingesetzt wird, hat ein brauchbares, beleuchtetes Display und kann gleichzeitig als USB-WLAN-Adapter fungieren. Und das Akku wird über USB auch wieder geladen. Der Preis liegt so bei 50.- € und ist sein Geld echt wert.

Ich bin dann Abends ein wenig durch die Stadt gebummelt und hatte folglich auch innerhalb von 30 Minuten ca. 6-5 offene Access Points. Der erste war gerade mal 400 m vom Hotel weg. Ich hab dann auch einen mit einem schönen kostenfreien Parkplatz daneben gefunden, so konnte man bequem aus dem Auto heraus ins Internet kommen.

Aber am meisten amüsiert hat mich direkt neben dem Rathaus ein Access Point: „Stadthus“, mit WEP 🙂

Ein weiterer Nachtrag aus der Reihe Mitternachtshacking. Hier ist die Präsentation zum Mitternachtshacking Web-Applications (PDF, 400 KB). Die Präsentation geht nur ganz kurz auf Cross Site Scripting und SQL-Injection ein, die spannenden Sachen wurden dann im Praxisteil gemacht.

Als Webanwendungen zum Hacken haben wir die frei verfügbaren Foundstone Demoanwendungen HacmeBank und HacmeBookstore verwendet. Beide Anwendungen enthalten bewußt einprogrammierte Sicherheitslücken die typisch für reale Webanwendungen sind. Außerdem gibt es eine nette Anleitung, wie man mit den Lücken tatsächlich was anstellen kann und die Erklärung ist durchaus ganz brauchbar.

Endlich wird so eine Smurf Attack einmal anschaulich erklärt 🙂

Open Source Security Information Management

Kennt das jemand? Ist das zu gebrauchen?

Nein, nicht Watergate, aber ein sehr interessanter Artikel auf Milw0rm, wie man das linux-gate.so.1 für einen RET2ESP-Exploit verwenden kann.

Mark Russinovich, der früher mal Sysinternals gemacht hat und heute so ein Microsoft Droide ist, hat was Interessantes zum Tarnen von Programmen geschrieben:

This example highlights a few practices that software vendors should follow for reliability and to prevent the confusion I faced. First is the use of environment variables and Shell special paths instead of hard-coded strings. IECheck (which I presume stands for Icon Editor Check) references the Program Files directory by name, which is only valid on English installations of Windows, so if installed on a foreign system, IECheck would fail to find the executables it looks for. Instead, it should locate the Program Files directory by using the %PROGRAMFILES% environment variable, or call ShGetFolderPath with CSILD_PROGRAM_FILES for the folder parameter.

To avoid scaring security-conscious users, all executables should have a version resource with a company name and a description that clearly identifies the executable’s purpose. Further, vendors should obtain a code signing certificate to digitally sign their code. Windows relies more and more on signature information to help users make trust decisions, and users can leverage tools like Process Explorer, Autoruns, and Sigcheck to verify that executables are what they advertise instead of malware. I’ve contacted the author of IconEdit2 and he’ll be updating his application to follow this guidance. All vendors need to do their part to avoid this kind of needless scare.

Gut, das mit dem Code Signing ist jetzt ein wenig schwierig. Aber alles andere sollte man von einem guten Virenautor doch erwarten. Gebt den Schadprogrammen schlüssig klingende Namen. Packt einen ordentlich gefälschten Versionsstring und einen namhaften Hersteller mit rein, damit das nach was aussieht. Und spart Euch den Unsinn mit den Rootkits, das ist viel zu auffällig.