2. Juli 2012

PHP-Source-Viewer

Category: Hacking — Christian @ 16:59

So ein PHP-Source-Viewer ist eine tolle Sache. Da kann man über die Weboberfläche direkt den Source Code einer PHP-Datei ankucken.

Beispielsweise kann man kontrollieren ob Benutzername und Passwort der Datenbank korrekt eingetragen sind.

 46     $dbtype     = 'mysqli';     // db-Server-Typ        
 47     $host       = 'localhost';     // Server                
 48     $user       = 'root';        // Benutzer             
 49     $password   = '';            // Passwort             
 50     $dbase      = 'cms';        // db-Name

Oder ob noch alle User in der Passwort-Datei stehen.

  1 root:x:0:0:root:/root:/bin/bash
  2 bin:x:1:1:bin:/bin:/sbin/nologin
  3 daemon:x:2:2:daemon:/sbin:/sbin/nologin
  4 adm:x:3:4:adm:/var/adm:/sbin/nologin
  5 lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
  6 sync:x:5:0:sync:/sbin:/bin/sync
226 michae2:x:10288:2524::/home/httpd/vhosts/michaelster.ch:/bin/false

Die Passwörter selbst stehen leider in der Shadow, die der Webserver-Prozess nicht lesen darf. Spannend ist natürlich wenn man anhand der Passwort-Datei erkennen kann, welche Domänen auf dem Server gehostet werden.

Ich hab dem Provider eine Mail geschickt. Mal sehen wie schnell das geschlossen wird.

Aber das scheint öfter vorzukommen.

Nachtrag: In zwei Stunden war die Lücke zu.


Tags:
28. Januar 2012

USB

Category: Allgemein,Hacking — Christian @ 16:16

Bei Nerd6 gibt es es einen schönen Artikel „Deiner USB-Schnittstelle kannst du nicht vertrauen!„. Ich möchte zwei Sätze daraus zitieren:

    „Ein gefundener USB-Stick reicht aus. Sobald dieser an den PC angeschlossen wird, kann alles vorbei sein. Die Autostartfunktion von Windows ist dafür nicht notwendig, sollte aus Sicherheitsgründen aber dennoch immer deaktiviert sein.“

und

    „Auch der elektronische Personalausweis, kann nur so sicher sein, wie sein Lesegerät, das per USB angeschlossen wird. Von der Regierung ist es mehr als naiv zu erwarten, der Bürger könne ein sicheres System betreiben, auf dem er dann den neuen Personalausweis einsetzt.“

Zum einen ist natürlich richtig, dass Computersysteme gerne über USB-Sticks infiziert werden. Andererseits ist es nicht ganz so schlimm wie es sich anhört. USB unterscheidet zwischen dem Host (das ist der PC) und dem Device (das ist der USB-Stick). Ein Device kann nicht einfach auf den RAM des Hosts zugreifen (was USB z.B. von Firewire unterscheidet) sondern muss durch das USB-System des Hosts hindurch. Das kann auf zwei Wegen passieren. Zum einen kann der USB-Stick einen Fehler in der USB-Implementierung des Hosts ausnützen. Das ist ein Exploit der eine Schwachstelle angreift und die muss erstmal bekannt sein. Ich bin mir recht sicher, dass nicht nur Microsoft sondern auch alle anderen Betriebssystementwickler sich nach Stuxnet ihre USB-Implementierung nochmal angeschaut haben. Klar können immer noch Fehler gefunden werden aber die verbrät man nicht für einen popeligen Virus. Das ist gut bezahlte Industriespionage vom feinsten. Ein USB-Device kann sich natürlich fälschlicherweise auch als Human Interface Device (HID) ausgeben und irgendwelche Tastatureingaben vornehmen. Ein programmierbares Teensy-Board in einem USB-Stick-Gehäuse reicht dafür. Aber das ist dann kein Virus mehr sondern extra gebastelte Hardware. Und die verwendet man ebenfalls eher in der Industriespionage als um mal so einen Benutzer zu infizieren. Insofern sehe ich das USB-Problem nicht so kritisch. Allerdings habe ich Firewire im BIOS meines Notebooks deaktiviert, damit mir keiner die Keys meiner Festplattenverschlüsselung aus dem RAM auslesen kann.

Das andere Problem ist der elektronische Personalausweis. Mit den Daten darauf kann man schon viel anstellen und es ist wirklich nur eine Frage der Zeit, bis diese geklaut werden und der Identitätsdiebstahl hier ein ebensogroßes Problem wird wie in den USA. Aber das wird noch länger dauern denn erstens verbreitet sich der neue Ausweis relativ langsam (mein alter Personalausweis gilt noch bis 2015) und die neuen Funktionen lassen sich bevorzugt die Leute freischalten die wissen was sie damit anfangen können. Und die fallen hoffentlich auch nicht so leicht auf den Identitätsdiebstahl rein. Aber vielleicht bin ich auch zu optimistisch und es wird alles noch viel schlimmer. Wir werden es ja sehen.

 

 


Tags: , ,
24. Januar 2012

Hacker tragen keine Skimasken

Category: Fun,Hacking,Offtopic — Christian @ 22:10

98% der Hacker tragen gar keine Skimasken, hat der Postillon festgestellt. Und CDs mit Raubkopien sind vermutlich auch nicht mit „Raubkopie“ beschriftet. Erschreckend. Ich glaube die Tagesschau hat mich die ganze Zeit angelogen.


Tags: ,
20. Dezember 2011

Download-Seiten und die Toolbars

Category: Hacking,Internet,Produkte — Christian @ 14:45

Das Problem ist seit Jahren bekannt: Egal von welcher der vielen Download-Seiten man ein kostenloses Programm runterlädt, bei der Installation wird man bei jedem zweiten Programm gefragt ob man eine dieser vielen ekeligen Toolbars für den Browser mitinstallieren möchte, die keinerlei nützliche Funktionen für den Anwender haben aber die Startseite und die Suchmaschine verändern, das Surfverhalten des Benutzers ausspionieren und ansonsten bei jeder Gelegenheit mit Werbung nerven. Der erfahrene Computernutzer weiß das inzwischen aber ich habe mindestens schon zehn mal bei meinen Eltern die Google-Toolbar, dioe Yahoo-Toolbar, die Ask-Toolbar und ich weiß nicht was noch alles für Dreck deinstallieren müssen. In der Regel bekommen die Softwareentwickler Geld von den Toolbar-Herstellern aber manchmal steckt das Geld auch der Downloadseiten-Betreiber ein und der Softwareentwickler weiß gar nichts davon.

Fyodor, dem Entwickler von Nmap ging es jetzt so. Er hat Beschwerden von Nutzern bekommen die Nmap von C|Net heruntergeladen haben anstatt direkt von nmap.org und sich dabei eine StartNow-Toolbar eingefangen haben die ihre Startseite austauscht und Microsoft Bing als Suchmaschine einstellt. Fyodor ist entsprechend sauer:

    „We’ve long known that malicious parties might try to distribute a trojan Nmap installer, but we never thought it would be C|Net’s Download.com, which is owned by CBS! And we never thought Microsoft would be sponsoring this activity!“

Um echte „Malware“ im Sinne der meisten Virenscanner handelt es sich bei der Toolbar natürlich nicht auch wenn Panda, McAfee und F-Secure Alarm schlagen. (Ich vermute wegen einer Heuristik die einen Binary-Wrapper erkennt). Aber unfreundlich ist das eben schon. Nicht umsonst verbietet beispielsweise Microsoft, Patches auf anderen Webseiten zum Download anzubieten. Und wie Fyodor meint ist das auch ein Verstoß gegen seine Markenrechte an Nmap.

Ich rate sowieso jedem, Dateien immer möglichst vom Originalanbieter herunterzuladen. Und auf keinen Fall irgendwelche Toolbars zu installieren. Nmap good. Toolbar bad.


Tags: ,
12. November 2011

Printer Pass-Back-Attack

Category: Hacking — Christian @ 21:22

Interessant, auf welche Ideen manche Hacker kommen. Die Jungs von Foofus haben mit der Printer Pass-Back Attacke einen Angriff entwickelt, bei dem ein Drucker dazu gebracht wird, LDAP oder SMB Zugangsdaten an den Angreifer zurückzusenden. Mit diesen Daten kann man dann gegebenenfalls auf andere Ressourcen zugreifen.

Der Trick besteht im Kern darin, bei einem Drucker dessen Benutzer sich gegen einen LDAP-Server oder eine Windows Domäne authentisieren müssen, eine Konfigurationsänderung unterzujubeln bei der die Authentisierungsparameter erhalten bleiben, jedoch an einen anderen (unseren) Server geschickt werden. Voraussetzung ist, dass die Administrationsseiten des Druckers nicht geschützt sind oder die Zugangsdaten erraten oder abgehört werden können. Ob das ein realistischer Angriff ist bleibt dahingestellt, vermutlich sind deutsche Administratoren paranoider als amerikansiche und setzen deshalb mehr Passwörter. Aber probieren kann man das ja.

Details bei Foofus

Anmerkung: Einige Drucker erlauben es sogar, LDAP- und SMB-Konfigurationen mittels SNMP auszulesen. Auch das ist eigentlich immer einen Versuch wert.


Tags: , , ,
8. Oktober 2011

Der CCC enttarnt den Bundestrojaner

Category: CCC,Hacking,Politik,Recht — Christian @ 14:59

Der CCC hat offensichtlich eine Kopie des Bundestrojaners bekommen und analysiert. Wobei der CCC anscheinend vermutet, es handelt sich um einen in Bayern eingesetzten Trojaner, zumindest legt der Name 0zaptis einen bayrischen Hintergrund nahe. Das wäre jetzt wenig überraschend, weil nach einem Prozess in Landshut bereits bekannt ist, dass das bayerische LKA mit Hilfe eines Trojaners unerlaubt Screenshots vom PC eines Verdächtigen gemacht hat. Der Bund, in Form des Zolls hat dabei wohl Amtshilfe beim Rechtsbruch geleistet.

Und wie erwartet ist der Trojaner schlecht programmiert, öffnet angreifbare Hintertüren und späht die grundrechtlich geschützte Privatspähre aus. Ich bin echt gespannt ob das diesmal in irgendeiner Form Konsequenzen für die Verbrecher in Uniform hat.


Tags: ,
31. August 2011

Wirft Google Diginotar raus?

Category: Hacking,Produkte — Christian @ 14:11

Ui, Google wird rabiat und sperrt mit einem Update 247 Zertifikate, die vermutlich alle aus dem Diginotar-Hack stammen. Und die Reaktion von Diginotar: Man soll Fehler und Warnungen im Browser ignorieren, schreibt Sophos. Na Danke. Dümmer geht’s offensichtlich immer.


Tags: , , ,
30. August 2011

Diginotar gehackt

Category: Hacking,Internet — Christian @ 22:59

Jetzt ist es öffentlich: Diginotar, eine niederländische Tochter von Vasco, die als Zertifizierungsstelle u.a. Zertifikate für den niederländischen Staat ausstellt ist gehackt worden. Und nicht nur ein bisschen. Bereits am 19. Juli hat Diginotar nach eigenen Angaben einen Einbruch festgestellt und die ausgestellten Zertifikate zurückgezogen. Dabei ist dann vermutlich eines übersehen worden. Dummerweise ein Wildcard-Zertifikat von Google.

Die Angreifer werden in Iranischen Staatskreisen vermutet, weil das falsche Zertifikat zuerst von einem Iraner entdeckt wurde. Wer tatsächlich dahinter steckt wird sich wie üblich nie völlig aufklären und wenn, dann höchstens aufgrund von Indizien aus denen man Rückschlüsse ziehen kann. Für Diginotar sehe ich schwere Zeiten aufziehen. Wenn wie angekündigt wichtige Browser die Zertifikate von Diginotar sperren sind sie für Webseitenbetreiber völlig wertlos. Und da das Zertifikatsgeschäft stark auf Vertrauen basiert ist ein Vertrauensverlust schnell fatal.

Unabhängig davon und egal wie das Diginotar-Problem gelöst wird bleibt das grundsätzliche Problem von SSL jedoch bestehen: Es gibt ein paar hundert mehr oder weniger vertrauenswürdige Zertifizierungsstellen, davon diverse die verschiedenen Staaten gehören. Was in den ganzen CAs passiert, wie die abgesichert sind und welche Leichen noch in den diversen Kellern versteckt sind läßt sich für den normalen Anwender gar nicht feststellen. Im Grunde kann man nur allen SSL-Anbietern gleich wenig vertrauen. Und damit sind die Zertifikate nur noch Snake Oil. Es „sieht“ soll aus, mit dem farbigen Sicherheitsbalken im Browser aber ob das was taugt … keine Ahnung.

Es wird höchste Zeit einen Ersatz für die völlig kaputte SSL-Infrastruktur zu finden.


Tags: , ,
20. August 2011

Pwnie Awards 2011

Category: Fun,Hacking — Christian @ 12:50

Die Pwnie Awards 2011 sind vergeben. Soweit so gut so interessant und so lustig.

Allerdings sticht dieses Jahr der Most Epic Fail heraus:

Pwnie for Most Epic FAIL

Sometimes giving 110% just makes your FAIL that much more epic. And what use would the Internet be if it wasn’t there to document this FAIL for all time?

This award is to honor a person or company’s spectacularly epic FAIL. And the nominees are:

  • SonyAfter Fail0verflow and GeoHot published how to jailbreak the PS3, Sony got a bit miffed. Apparently unfamiliar with how the Internet works and how difficult it is to remove the piss from a swimming pool, Sony proceeded to try erase the information from the Internet and sue GeoHot et al. into oblivion. Needless to say, this was about as successful as the MiniDisc.
  • SonySpeaking of piss in a swimming pool, that just happened to be how well Sony protected their Sony Online Entertainment (SOE) users‘ account info and roughly 25 to 77 million account details were stolen by unknown hackers. That metaphor makes just about no sense at all, but you get the point: FAIL.
  • SonySony is definitely good at one thing: keeping the hits coming and their fans entertained. Oh wait, did we say Sony? We meant LulzSec. I guess that counts as another FAIL for Sony.
  • SonyAfter learning the hard way that their PlayStation Network was about as porous as air, Sony had to shut it down for over two months to rebuild it from scratch. In doing so, they made everyone from your 8-year old cousin to your barber learn about the importance of security. Hooray for us, sorry Sony shareholders.
  • SonyNoticing a pattern here? But wait, it gets better. Sony might have been able to better repel the multitude of attacks if they hadn’t just recently laid off a significant number of their network security team. Great timing, guys.

Ich finde, das hat schon wieder was. Und nun ratet mal, wer gewonnen hat. Der erste der mir die richtige Lösung schickt, bekommt einen kostenlosen E-Mail-Account bei Hotmail :-)


Tags: ,
30. Juni 2011

USB-Maus mit bösem Innenleben

Category: Hacking — Christian @ 11:49

Netragard hat einen netten Marketing-Stunt geliefert. Sie haben eine USB-Maus mit einem Teensy Board ausgestattet, das sich am USB-Anschluss wie ein Human Interface Device (in diesem Fall eine Tastatur) die ohne Zutun des Anwenders einfach Befehle eintippt. Technisch ist das gar nicht so schwierig. Die Teensy Boards kann man einfach bestellen, auch wenn man in Deutschland da ein wenig vorsichtig sein muss, weil die gleichen Boards wohl für irgendwelche illegalen Cracks an Playstations verwendet werden. Die benötigte Software ist frei verfügbar.

Interessant sind solche Angriffe insbesondere, weil der klassische Angriffsvektor mit der autorun.inf bei USB-Sticks schon länger nicht mehr funktiuoniert und Virenscanner wie Avira die autorun.inf sogar schon auf U3-Sticks und CD-ROMs blockieren.

Ich denke ich werde mir bei Gelegenheit auch mal so eine Maus basteln. Zumindest für Awareness Kampagnen ist das eine ganz nette Idee.


Tags: , , ,