14. April 2007

Mitternachtshacking War Googling

Kategorie: Mitternachtshacking, Hacking, Work — Christian @ 21:27

“Google ist das wichtigste Hacker-Tool!” Diese Aussage hört man immer wieder, besonders wenn es um die Suche von Lücken in Webservern geht. Johnny Long hat auf seiner Webseite in der Google Hacking Database eine Vielzahl von sogenannten “Googledorks” zusammengestellt. Damit sind Suchanfragen gemeint, mit denen man sensible Daten wie Passwörter, Vulnerabilities und anderes finden kann.

Wir haben dieses Thema im April 2006 aufgegriffen und einen Abend Mitternachtshacking zu typischen Sicherheitslücken auf Webanwendungen veranstaltet. Die Inhalte decken z.B. kostengünstig Shoppen in schlecht gemachten Webshops ab, Spamversand über E-Mail-Kontaktseiten von Firmen und natürlich, wie man all das möglichst einfach und bequem per Google finden kann.

Unsere eigene Präsentation (PDF, 1200 KB) und natürlich die Originalpräsentation von Johnny Long auf der Black Hat Europe Konferenz 2005 in Amsterdam sind sehr spannend anzusehen.


Tags: , , , , ,
6. April 2007

Black Hat Europe 2007

Kategorie: Hacking — Christian @ 15:55

Die meisten Präsentationen der Black Hat Europe 2007 Sicherheitskonferenz sind inzwischen Online. Die Konferenz in Amsterdam ist relativ teuer (zumindest im Vergleich zum Chaos Communication Congress jedes Jahr im Dezember in Berlin) und daher war ich nicht live dabei. Andererseits ist der Vista-Bootkit-Hack von Nitin und Vipin Kumar auch schnell durch die Medien gegangen.

Viel spannender finde ich aber die Themen, die keine große Medienaufmerksamkeit geniessen. Beispielsweise ist Adam Laurie immer wieder für ein paar Lacher gut. Auf dem 22C3 hat er einen hervorragenden und sehr amüsanten Vortrag mit dem Titel “Old Skewl Hacking - InfraRed updated” gehalten. Auf der Black Hat Europe 2007 hatte Laurie einen Vortrag mit dem Titel “RFIDIOts!!! - Practical RFID hacking”. Sehr lustig ist die vorletzte Seite der Präsentation mit der Reaktion der Firma ACG:

    “Unfortunately your companies activities seem to be counter to ACG’s interests so we will not be able to support you any further.”

Manche Firmen scheinen immer noch nicht kapiert zur haben, wie das mit der IT-Sicherheit funktioniert. Abstreiten, blind und taub stellen ist leider keine Lösung.

Die weiteren wichtigen Themen sind immer noch Web-Application Security, mal wieder Oracle und natürlich dominiert Vista den Ring. Der Trend geht offensichtlich ganz klar zu immer weiter automatisierten Vulnerability Scannern, insbesondere Fuzzer sind groß dabei.

Und in SS7 werde ich mich demnächst mal ein wenig einlesen.


Tags: , , ,
« Vorherige Seite