Mitternachtshacking

Dieser Beitrag über verbesserte Angriffe gegen SHA-1 bei Heise sollte dem einen oder anderen Verantwortlichen von Webservern für Zahlungsverkehr (also Internetbanking oder Paypal) Schweißperlen auf die Stirn treiben.

Unsere gesamte kommerzielle Zertifikatsinfrastruktur hatte ja schon zu kämpfen, MD5 loszuwerden und die im Zertifikatsspeicher hinterlegten RootCA-Zertifikate zu aktualisieren. Wenn SHA-1 fällt dann wird es erst recht spannend. Klar, SHA-256, SHA-512 etc. sind längst definiert und standardisiert, basieren aber auf dem gleichen Algorithmus wie SHA-1 und verwenden eigentlich nur eine größere Hashlänge. Die Angriffe gegen SHA-1 sollten sich daher durchaus anpassen lassen.

Klar, das NIST führt gerade eine Hash Competition durch, um wie bei AES einen neuen Hash-Algorithmus zu finden. Die Timeline ist jedoch ausreichend großzügig dimensioniert. Erst Ende 2012 soll der neue Algorithmus als Standard verabschiedet werden. Ich bin mir (a) nicht sicher, ob noch so viel Zeit bleibt und (b) ob überhaupt ausreichend sichere Algorithmen übrig bleiben. Man beachte, wie viel der Verfahren schon wieder gebrochen sind.

Im Einsatz:

• Check Point NGX R6x (ich glaube R65)
• RSA Authentication Manager 6.1
• Radius Authentisierung

Prinzipiell funktioniert die Authentisierung ABER: NextTokencode und NewPIN geht nicht. Mit dem Radius-Server in 6.0 scheint es noch funktioniert zu haben.

Hat zufällig jemand eine Idee, warum nicht?

Coole Technik, die Ksplice da entwickelt hat. Patchen des Betriebssystems im laufenden Betrieb, ohne das System neu starten zu müssen. Hat das schon mal jemand ausprobiert?

Als Hacker kann ich nur hoffen, dass sich das nicht verbreitet 🙂

Das Wall Street Journal hat einen Bericht veröffentlicht, nach dem vermutlich staatlich finanzierte Angreifer aus China und Russland in die Steuerungssysteme des US-Stromnetzes eingedrungen und die Infrastruktur ausgespäht haben. Konkrete Angriffe und Störungen wurden nicht beobachtet, anscheinend ging es (erstmal?) lediglich darum, den Aufbau Infrastruktur zu ermitteln. Ob tatsächliche Angriffe geplant sind bzw. waren, ist natürlich nicht bekannt. Die Verantwortlichen dementieren natürlich.

Generell halte ich solche Angriffe für realistisch durchführbar. Es gibt bekannte Sicherheitslücken in diverser SCADA-Software und noch viel mehr Lücken, die gar nicht öffentlich bekannt werden. Insbesondere in den USA ist die Veröffentlichung solcher Probleme legal praktisch unmöglich geworden. Klar, der Aufwand für solche Angriffe ist gewaltig und vieles davon lässt sich nicht über das Internet ausführen. Man wird zumindest Anfangs lokal vor Ort sein müssen, um direkt über Datenleitungen und Funknetze Zugang zu bekommen, bevor sich die Systeme dann auch fernsteuern lassen. Aber gerade die staatlich finanzierten Angreifer haben da fast unbegrenzte Ressourcen, wenn man beispielsweise den Militärhaushalt Chinas oder Russlands betrachtet.

In diesem Zusammenhang ist auch eine ISS-Präsentation (PDF) auf der Black Hat Federal 2006 Konferenz zu erwähnen, die viele der bekannten Lücken und Zugangsmöglichkeiten aufzeigt. Und das NERC (North American Electric Reliability Corporation), ein Zusammenschluss der Energieerzeuger und  Grid-Betreiber, warnt seit Jahren regelmäßig vor möglichen Angriffen und fordert zur Verbesserung der Cybersecurity auf. Nicht zuletzt, nachdem 2003 der Slammer Wurm in ein Kernkraftwerk in Ohio eingedrungen ist.

(via Teltarif, nach Hinweis von Sören)

Ich halte aus vielerlei Gründen nicht viel von den unzähligen Fraunhofer-Instituten. Beispielsweise weil sie erst angewandte Forschung mit Staatsknete machen und die Ergebnisse dann als Produkte und Dienstleistungen in direkter Konkurrenz zur Privatwirtschaft anbieten. In Bayern greifen sie nebenbei noch die Patente der Uni-Diplomanden ab und lizenzieren sie so teuer, dass bereits einige Uni-Startups von Diplomanden an den Lizenzkosten der eigenen Erfindung gescheitert sind.

Naja … jetzt bastelt ein Fraunhofer Institut an einem selbstlernenen Intrusion Detection System, das auf den Grundlagen des maschinellen Lernens basiert. Außer einem „Sendung mit der Maus“-Video und einem nichtssagenden Datenblatt kann ich nicht viel dazu finden.

Ist das Vaporware oder kommt da wirklich was brauchbares raus? Hat zufällig irgendjemand ergänzende Informationen?

Firefox ist zwar ganz nett, aber ab und an könnten die Standardeinstellungen (about:config) besser sein. Ein paar Änderungen, die ich bei mir grundsätzlich einrichte möchte ich hier dokumentieren, dann vergesse ich sie nämlich nicht gleich wieder:

• browser.identity.ssl_domain_display = 1
  (verbesserte Anzeige der SSL-Zertifikatsgültigkeit)
• dom.disable_window_open_feature.menubar = true
  (ich mag nicht, wenn mir Webseiten das Menü wegnehmen)
• dom.disable_window_open_feature.personalbar = true
  (ich mag generell nicht, wenn mir Webseiten das Aussehen verändern)
• dom.disable_window_open_feature.scrollbars = true
  (ich mag nicht, wenn mir Webseiten den Scrollbalken wegnehmen)
• dom.disable_window_open_feature.titlebar = false
  (Finger weg, von der Titelleiste)
• dom.disable_window_open_feature.toolbar = false
  (Und Finger weg von meiner Toolbar)
• signon.rememberSignons = false
  (ich mag nicht, wenn Firefox meine Passwörter kennt)
• network.prefetch-next = false
  (mein Browser lädt nur, was ich klicke)
• browser.download.manager.scanWhenDone = false
  (danke, ich habe einen Virenscanner auf meinem Rechner der sowieso beim Schreiben scannt)

Bei einigen Parametern bin ich mir nicht ganz sicher, ob ich die will oder nicht:

• browser.safebrowsing.enabled = true|false
  (das schaltet den Phishing-Filter, der URLs zur Prüfung an Google schickt. Siehe auch Privacy-Hinweis im Firefox)
• browser.safebrowsing.malware.enabled = false
  (ich habe ein Recht auf mein tägliches Malware-Download … ich sammel das Zeug schließlich für meine tägliche Arbeit)

Weitere Informationen zum Lockdown, z.B. im Unternehmenseinsatz findet man bei PPC-Services.

Nachtrag:

Nach Hinweis von Tom aktualisiert.

Ich habe mal angefangen, ein paar Dokumente zu sammeln, die sich mit dem § 202c beschäftigen:

• Bitkom: Leitfaden zum Umgang mit Hackertools (PDF, 523 KB)
• EICAR: IT-Sicherheit und § 202c (PDF, 226 KB)
• IT-Sicherheit und der 202c StGB (PDF, 47 KB)
• Die Überkriminalisierung der IT-Sicherheitsbranchen in Deutschland (PDF, 21 KB)

Außerdem gibt es von Dennis Jlussi, der den Eicar-Beitrag geschrieben hat noch ein paar Präsentationen zum Thema. Mehr habe ich bisher nicht gefunden. Kennt noch jemand ein paar Diplomarbeiten von angehenden Rechtsverdrehern oder so, die sich ebenfalls kompetent mit dem Thema beschäftigen?

Ich habe wieder ein paar Termine auf meinem Security Kalender 2009 nachgetragen. Falls jemand weitere Security Konferenzen (bitte nur in Europa) oder konkrete Termine kennt, bitte mitteilen.

Kurzbesuch bei Juniper in Amsterdam. Die haben da einen coolen Showroom:

Ich würde schätzen, da steht bestimmt Hardware im Wert von mehreren Millionen Euro rum.  Für Netzwerker eine prima Spielwiese 🙂

Heute war wieder ArchITecture, die Hausmesse von Ingram Micro und wie die letzten Jahre habe ich den Live Hacking Vortrag am Morgen gehalten.

Dieses Jahr habe ich über Viren und Schadprogramme referiert.

Die Live-Show, die nicht aus der Präsentation erkennbar ist, umfasste eigentlich nur ein paar Kleinigkeiten, die Show-Wirkung ist aber nicht zu unterschätzen.

Der erste Teilbereich handelt von Ideen, ein Schadprogramm auf den Rechner zu schleusen.

1. Vorführen eines einfachen Keyloggers
2. Vorführung wie ein Backdoor-Programm wie z.B. Netbus funktioniert
3. Basteln eines einfachen Trojaners mittels Elitewrap aus Netbus und einem harmlosen Flashfilm
4. Einstecken einer CD oder eines USB-Sticks mit Autorun um automatischen Programmstart zu demonstrieren
5. Hochladen dieses Trojaners bei Virustotal

Hier gibt es dann immer den ersten lustigen Aha-Effekt, weil ausgerechnet Symantec Norton und Trend Micro den Trojaner nicht erkennen.

Der zweite Teilbereich behandelt das Verstecken von Dateien

1. Ein erkanntes Schadprogramm kann mit Winzip in der BZIP2-Kompression verpackt werden und wird dann von der Hälfte der Virenscanner auf Virustotal nicht mehr erkannt
2. In NTFS kann man Dateien in Alternate Data Streams (ADS) verstecken und wieder starten
3. Mit ADS Spy oder vergleichbaren Tools lassen sich die Dateien wieder anzeigen
4. Konfiguration und Anwendung von Winrootkit (geht nicht mit XP SP2) um Dateien zu verstecken
5. Rootkit Revealer, um die versteckten Dateien wieder aufzuspüren

Das sind Möglichkeiten, die nicht nur von Schadprogrammen sondern auch von regulären Programmen genutzt werden.

Im dritten und letzten Block geht es dann um die fortschreitende Kommerzialisierung. Besonders faszinierend ist kommerziell angebotene Spyware, die man direkt per Kreditkarte kaufen kann.

1. Demo des Hacker Defender Rootkits (ehemals kommerziell)
2. Demo des Refog Employee Monitor
3. Verweis auf einschlägige Webseiten wie VX Heaven

Die komplette Show dauert etwa 1,5 Stunden, in Neuss hatte ich leider nur rund 45 Minuten und musste daher ein paar Sachen weglassen. Aber bereits der erste Block und vielleicht noch der Hinweis auf die Refog-Webseite reicht in der Regel, um den einen oder anderen nervös werden zu lassen.

Ach ja, die Show kann gerne auch bei mir gebucht werden 🙂