Mitternachtshacking

Die Black Hat Asia findet dieses Jahr Anfang November in Abu Dhabi statt. Wer da schon immer mal hinwollte, der Call for Paper ist bis 1. September offen.

Cisco hat auf der VMware Konferenz Vmworld einen komplett in Software implementierten virtuellen Switch basierend auf der Cisco Nexus-Architektur vorgestellt. Der Cisco Nexus 1000V integriert sich in den VMware Hypervisor und nutzt VMwares vNetwork Distributed switch framework. Soweit so unspektakulär.

Meines Wissens ist das jedoch die erste komplette und veröffentlichte Cisco Switch-Implementierung die auf einer Standard-PC-Hardware läuft. Und für eine Standard-PC-Hardware habe ich einen guten Debugger.

Ich denke, wir werden in den nächsten Jahren noch viele spannende Vorträge ähnlich dem von Michael Lynn auf der Black Hat 2005 in Las Vegas sehen. Und vermutlich noch viele Drohbriefe amerikanischer Cisco-Anwälte, die versuchen werden die Veröffentlichung von Sicherheitslücken zu verhindern.

Danke, Cisco

Ich habe heute angefangen, in der IT-Security relevante Kongresse aufzuführen, um so einen Orientierungskalender für das Jahr 2008 zu schaffen. Aufgeführt werden alle Kongresse, deren Schwerpunkt auf IT-Security liegt, also keine reinen Herstellerveranstaltungen, Hausmessen oder allgemeine Konferenzen auf denen IT-Security nur Nebensache ist (z.B. bei diversen Open Source Konferenzen).

Die Tabelle ist sicher nicht vollständig, darum würde ich mich über jede Ergänzung hier in den Kommentaren freuen. Ein Anspruch auf Aufnahme besteht nicht, die Tabelle ist rein subjektiv nach meinen persönlichen Interessen zusammengestellt.

Joanna Rutkowska, die Autorin von Blue Pill, einer Software die ein laufendes Betriebssystem unbemerkt in eine virtuelle Umgebung verschiebt, hat den Source Code von Blue Pill auf der Webseite BluePillProject veröffentlicht. Damit kann der Streit in die nächste Runde gehen.

Joanna behauptet, mit einer solchen Virtualisierung lässt sich komplett unentdeckbarer Schadcode entwickeln, der vom Betriebssystem innerhalb der virtuellen Umgebung nicht mehr erkennbar ist. Der Hypervisor kann das innen laufende System kontrollieren, alle Tastatureingaben überwachen, den Netzwerkverkehr filtern und das ohne Gefahr der Entdeckung. Virenscanner scannen ja nur das eigene System und prüfen bisher nicht, ob ein Hypervisor vorhanden ist.

Thomas Ptacek von Matasano ist gänzlich anderer Meinung und beschreibt welche Ansätze Virtualisierung zu erkennen möglich sind und was davon in seinem Black Hat Vortrag bereits erzählt wurde.

Ich persönlich neige dazu, Thomas rechtzugeben.

Die Präsentationen der Black Hat 2007 sind jetzt auch online.

http://www.blackhat.com/html/bh-media-archives/bh-archives-2007.html

Cool stuff, z.B.

• Steve Christey
  Unforgivable Vulnerabilities
• Barrie Dempster
  VoIP Security: Methodology and Results
• HD Moore & Valsmith
  Tactical Exploitation

um mal ein paar herauszuheben.

Der notorische Dan Kaminsky mit seinen jährlichen Black Ops. Ich frage mich ja, was er dann auf dem Congress im Dezember bringt, weil da kann er seine Black Hat Slides nicht schon wieder recyceln. Das gab übrigens ganz schön Buh-Rufe von den Zuhörern, daß auf den Slides nicht mal “Black Hat Conference” durch “Chaos Communication Camp” ausgetauscht war. Ich frag mich ja, was eigentlich originäre Arbeit von Dan in den Präsentationen ist und was er so zugetragen bekommt. Beim Thema Flash-Vulnerabilites fand ich den Vortrag von Fukami inhaltlich um Klassen besser. Nur die Show und das gehample auf der Bühne hat Dan besser drauf.

Angriffe mit Flash und DNS Rebinding

Jedenfalls hat Dan das Thema Flash und DNS Rebinding wieder aufgegriffen und ein wenig genauer erklärt. Das Problem wurde wohl erstmals 1996 als Princeton Attack veröffentlicht und für Flash von Dan Boneh von der Stanford University genauer untersucht. Zurückzuführen läßt sich das alles auf die “Same Origin Policy”, die davon ausgeht, daß eine Datenquelle mit einem Rechnernamen identisch ist. Nur stammen die Daten von einer IP-Adresse und der Rechnername aus DNS. Und die DNS-Einträge lassen sich schnell mal ändern. Zu einem Zeitpunkt zeigt www.example.com auf einen Webserver und lädt die Flash-Applikation, zu einem späteren Zeitpunkt (nur Sekunden später) auf eine private interne IP-Adresse und führt einen Angriff aus. Damit läßt sich natürlich sehr schön jede Firewall umgehen.

Dan unterscheidet zwischen Angriffen Level 1 (nur der Browser ist betroffen), Level 2 (Web-Plugins werden zum Angriff verwendet) und Level 3 (Plugins mit Socket-Funktion werden verwendet, Angriffe in das LAN sind möglich). Sockets finden sich beispielsweise in Flash und Java. Java war übrigens das Originalziel der Princeton Attacke von ‘96.

Für das DNS-Rebinding sieht Dan als alter DNS-Hacker drei Möglichkeiten:

1. Temporal: Die TTL wird auf 0 gesetzt, dann darf der DNS-Server eigentlich nicht cachen. Einige DNS-Server implementieren jedoch eine Minimum-TTL (meist so etwa 5 Minuten) und ignorieren eine TTL=0.
2. Spatial: Man kann für einen DNS-Namen mehrere IP-Adressen angeben. Allerdings hat man dann keine Kontrolle, welche IP-Adresse der Browser wann verwendet. Aber man kann ja mehrfach versuchen.
3. Ridiculous: Mit Hilfe von CNiping, d.h. der Verwendung von CNAME anstatt direkten IP-Adressen läßt sich ein Eintrag im DNS-Cache auch überschreiben, wenn die TTL noch nicht abgelaufen ist. Da kann man was mit anfangen.

Und nun setzt Dan ein paar Bausteine zusammen. Dazu verwendet er den Browser mit einer speziellen Flash-Anwendung, den Angreifer, der über den Browser in das lokale Netz eindringen will und einen speziellen Proxy (Slirpie). Dabei handelt es sich um einen Multiprotokoll-Server, der TCP-Stream von/zum Flash, HTTP für den Browser, DNS für das Rebinding und XML-Socket zur Kontrolle der Policy unterstützt. Anscheinend hat Dan sowas programmiert, leider jedoch nicht veröffentlicht.

Mit einem Rückgriff auf Slirp (1995) und PPTP ist es damit möglich, VPN über den Browser einzurichten, wobei der Browser nicht als VPN-Client sondern als VPN-Gateway dient. Scary!

Provider Hostality

Der zweite Teil des Vortrags beschäftigt sich mit der Thematik eines neutralen Netzes. Welche Möglichkeiten gibt es, um eine Provider zu entdecken, der einzelne Webseiten in seinem Netz bevorzugt transportiert und andere Seiten ausbremst oder noch schlimmer Content manipuliert in dem z.B. Werbeeinblendungen verändert werden.

Hier gab es ein paar interessante Ideen, z.B. über einen transparenten Proxy, der alle Seiten cached zu ermitteln, ob der Provider irgendwas manipuliert. Als geeignetes Werkzeug bietet sich ein Sniffer im Browser an, hier hat Dan etwas mit dem Namen “Inspector Pakket” gebastelt aber leider auch noch nicht veröffentlicht.

Mal sehen, was davon demnächst als reale Software auftaucht. So ein Metasploit als Flash im Browser um die Angriffe von innen auszuführen wäre schon cool

Ist mir ja gerade erst richtig aufgefallen:

28. Juli - 02. August: Black Hat USA 2007 in Las Vegas

03. August - 05. August: DefCon 15 in Las Vegas

08. August - 12. August: Chaos Communication Camp in Berlin/Finowfurt

Kann man nicht meckern

Vor den bösen Hackern ist aber auch gar nix sicher. Die Probleme mit Virenscannern und Backup-Software sind ja schon lange bekannt, aber natürlich wird auch alles andere angegriffen.

Der neueste Gag ist, Software anzugreifen, die eigentlich für die forensische Analyse gedacht ist. Auf der aktuell laufenden Black Hat Conference in Las Vegas hat es Guidance Software erwischt, den Hersteller von EnCase der von Behörden am häufigsten eingesetzten Software zur forensischen Analyse.

Passiert ist eigentlich noch nichts. ISec hat ein wenig mit Fuzzern rumgespielt und die EnCase-Software zum Absturz gebracht. Ich glaube nicht, daß das besonders schwierig war. Interessant ist eher die Haltung von Guidance Software dazu. Das sei keine Sicherheitslücke, die Angriffe seien konstruiert und übrigens gäbe es keine Crash-sichere Software. Das kommt mir irgendwie bekannt vor. Da können wir in den nächsten Monaten sicher ein paar spannende Exploits erwarten, denn wer sich so ignorant verhält, hat es nicht anders erwartet.

Zur Erinnerung, Guidance Software ist übrigend der Laden, der 2005 böse gehackt worden ist. Da sind von allen Kunden die Kreditkartendaten geklaut worden. Der Schaden war vor allem deshalb so hoch, weil Guidance widerrechtlich die drei Ziffern der CVV gespeichert hat, was gemäßt den Richtlinien von Visa und Mastercard streng verboten ist. Es trifft also keinen falschen.

Hihi, dumm gelaufen. Die USA haben Halvar Flake, den Chef von Sabre Security nicht einreisen lassen, weil sein Vertrag mit der Black Hat Konferenz auf ihn persönlich und nicht auf seine Firma ausgestellt war. Da er mit einem Touristenvisum eingereist ist, darf er aber keinen persönlichen Arbeitsvertrag haben. Rausgekommen ist es, weil er die ausgedruckten Schulungsunterlagen dabei hatte. Dumm gelaufen. Hauptsächlich wohl für die USA, so bleibt das Wissen in Europa. Mehr in Halvars Blog.

Quelle und kompletter Text: The Register

1. Die Black Hats bilden eine integrierte Gemeinschaft, die Wissen und Know-how effizient tauscht
2. Black Hat ist sogar für zweitklassige Hacker eine Karrieremöglichkeit
3. Es gibt spzielle Viren, um gängige Antivirusprodukte zu umgehen
4. Es gibt komplette SDKs zur Entwicklung von Schadprogrammen
5. Es gibt einen Markt für geklaute Daten
6. Es gibt komplette Botnetze zu Mieten
7. Einige Schad-Webseiten sind sehr subtil und clever
8. Gute Hacker werden nicht erwischt (und ziehen nach Moldawien)
9. Sogar Banken haben sichere Geld-Transferkanäle
10. Nicht alle Geschäftsleute scheuen sich vor einem Hackerangriff (auf einen Konkurrenten)

Na, dann steht einer Karriere als Black Hat ja nichts mehr im Weg, oder?