Mitternachtshacking

F-Secure hat festgestellt, daß der Adobe Reader die gefährdetste Anwendung ist. Fast 49 Prozent aller Client-Side Angriffe richten sich gegen den Reader oder das Reader-Plugin im Browser. Auf Platz zwei mit rund 39 Prozent folgt Microsoft Word. Es wird also Zeit, über Alternativen nachzudenken. Mehr bei F-Secure.

(via The Register)

Ein nettes Gedankenspiel neulich während eines Workshops:

Aufgabe: Programme bzw. Schadcode unter Mithilfe eines internen Mitarbeiters an allen Sicherheitsvorkehrungen vorbeizuschleusen.

Problem: Nur E-Mail ist erlaubt, ein Virenscanner aktiv, Attachments außer PDF verboten. USB-Sticks und CD-ROM-Laufwerke sind abgeschaltet. Der Helfer im LAN hat nur den Acrobat Reader und Winzip zur Verfügung.

Meine Idee läßt sich wie folgt skizzieren:

1. Man nehme ein nützliches Executable, z.B. nmap.exe
2. Dieses Binary kodiert man mittels mimencode als Base64-File (-> nmap.b64)
3. Das Base64-File lädt man in einen Texteditor, z.B. Word (-> nmap.doc)
4. Aus dem Word-Dokument erzeugt man ein PDF (-> nmap.pdf)

Das PDF enthält jetzt reinen Text, kein embedded Executable oder sonstwas, notfalls kann man auch noch ein paar Leerzeilen manuell einfügen, um den Text zu maskieren. Kein mir bekannter Virenscanner schlägt an.

Das zurückkonvertieren ist ebenfalls recht einfach:

1. Das PDF mit dem Acrobat Reader öffnen und “Datei -> als Text speichern” (-> nmap.txt)
2. Das daraus resultierende Textfile in file.b64 umbenennen
3. Das Base64-File mit Winzip öffnen, wenn die Verknüpfungen passen mit Doppelklick
4. Das darin befindliche File Unknown.001 extrahieren
5. Das File Unknown.001 wieder in nmap.exe umbenennen

Das konvertieren in ein PDF ist etwas komplizierter, ich hab bisher auch kein mimencode für Windows gefunden. Das zurückkonvertieren ist jedoch so einfach, das kann ich sogar meiner Freundin einer Kollegin erklären.

Fertig

Die verschieden konvertierten Nmap-Versionen enthält dieses Zip-File, so kann das jeder selbst nachvollziehen. Ich habe mimencode verwendet, weil das Base64-Format im Gegensatz zum Beispiel zu uuencode keinen Header benötigt. Allerdings unterstützt nicht jedes Zip-Programm Base64.

Edit: Mist, meine Freundin liest mein Blog.

Also man kann ja von JavaScript denken was man will, man kommt kaum noch drum herum. Wie viele Sprachen entwickelt sich folglich auch JavaScript weiter, als nächstes folgt die Version 4, aktuell als “ECMAScript 4th Edition” in der Standardisierung.

Und jetzt wird es mal wieder lustig.

Die Spezialisten von “Embrace and Extend“, von proprietären Erweiterungen die nur einem Hersteller nutzen und allen Kunden schaden, genau dieser Hersteller jammert jetzt rum, daß ECMAScript 4 zu viele Erweiterungen enthalte. Die Taktik ist natürlich klar. Wenn ECMAScript 4 eine vollwertige Programmiersprache wird dann braucht es weniger proprietäre Ansätze wie C# etc., d.h. ein einzelner Hersteller kann nur verlieren während alle anderen gewinnen. Irgendwie erinnert mich das an OOXML …

Unabhängig davon … JavaScript ist echt eine Seuche. Inzwischen taucht der Dreck sogar schon in PDF auf und ich muß meinem Acrobat Reader mühsam beibringen, daß er kein JavaScript ausführen darf (und der verdammte Reader warnt bei jedem File mit einem verdammten Popup, weil JavaScript deaktiviert ist). Ich frag mich ja, wo noch so JavaScript drin ist wo eigentlich nix drin sein sollte.

• PDF (Acrobat Reader)

Was noch?

Das BSI tut uns auch mal etwas Gutes, hier mit der BSI OSS Security Suite, aktuell in der Version 2.0.

Live Linux Hacking CD-ROMs wie die Back Track CD haben ein paar Nachteile. Der wichtigste ist vielleicht, daß in den meisten Unternehmen Hacking-CDs nicht sonderlich gerne gesehen werden. Auf diesen CDs sind oft eine Reihe von Exploits enthalten, der Inhalt generell ist nicht kontrollierbar und die Firmen haben (oft verständlicherweise) ein wenig Angst vor zu erwartenden Problemen. Ein weiterer Nachteil insbesondere der Back Track CD ist, daß die neuen sehr restriktiven Lizenzbedingungen von Nessus v3 es nicht mehr erlauben, Nessus auf der Back Track mit zu integrieren. Back Track hat konsequenterweise Nessus komplett entfernt. In der praktischen Arbeit hinterläßt das jedoch eine Lücke.

Die BSI Open Source Software Security Suite, kurz BOSS ist eine im Auftrag des BSI entwickelte Software, die Nessus (allerdings v2), Nmap und ein paar weitere nützliche Tools zur schnellen Prüfung der Sicherheit eines Unternehmens enthält. Und da die CD-ROM von der Webseite des BSI heruntergeladen werden kann und sogar mit einem BSI-Logo kommt, ist es interessanterweise für viele Unternehmen akzeptabel diese CD einzusetzen.

Aus diesem Grund haben wir vor einiger Zeit die Präsentation Mitternachtshacking BSI BOSS (PDF, 720 KB) zusammengestellt, die neben der Bedienung von Nessus und NmapFE auch ein paar Infos zum Portscannen an sich enthält. Sicher nicht die besten und detailliertesten Inhalte, aber besser als nichts.

Heute auf Heise.de: OpenOffice führt Code aus rtf-Dokumenten aus

Manchmal könnte ich schon depressiv werden. PDFs sind seit geraumer Zeit nicht mehr sicher, z.B. das integrierte Javascript und XSS und das Catalog Dictionary. JPGs waren schon mal dran, wir erinnern uns an JPEG-of-Death. HTML bietet immer das Problem integrierten Javascripts und Browser sind sowieso ein ganz eigenes Problem. Microsoft Formate wie DOC, XLS, PPT waren ja noch nie sicher und jetzt kann man nicht einmal mehr gefahrlos RTF austauschen.

Was haben wir als nächstes zu erwarten? Buffer Overflows in notepad.exe beim Öffnen von ASCII-Dateien?