Mitternachtshacking

Eben kam die Ankündigung per E-Mail rein: von 18.-20. Oktober findet die Hack.lu 2007 in Kirchberg / Luxemburg statt.

Jetzt steht der Termin in meinem Kalender. Mal sehen ob es wirklich klappt.

Die Jungs (und Mädels) von Tweakers.net haben einen Secustick von Sipal International zerlegt, der angeblich absolut sicheren USB-Speicher anbietet. Die Daten werden geschützt auf dem Stick abgelegt und nach mehrfacher falscher Passwort-Eingabe automatisch gelöscht … angeblich.

Mit ein wenig Fummeln und Debuggen am Stick, wie in diesem Artikel beschrieben, haben die Holländer den gesamten Schutz umgangen und sind auf einfachste (und reproduzierbare) Weise an alle geschützten Daten gekommen. Der Trick besteht einfach darin, in der Abfrageroutine des Passworts mit einem Debugger einen Breakpunkt zu setzen und dann den Rückgabewert für ein falsches Passwort auf den Wert für ein richtiges Passwort (1 statt 0) zu ändern.

„Normally, the amount of security is sufficient, not everyone has the technical expertise that you have“, said a spokesperson.

Für Bruce Schneier ist das ein typisches Beispiel für „Snake-Oil Security“. Ich finde, da hat er recht.

Zu schön:

Hit F11 for full terminal screen

Ich fühle mich wieder richtig jung … 🙂

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat manchmal auch den Bezug zur Realität komplett verloren. Besonders eindrucksvoll demonstriert das meines Erachtens dieses PDF: Ein IT-Grundschutzprofil für eine kleine Organisation (2 MB!).

„Herr Anders führt einen kleinen Familienbetrieb mit 3 Angestellten. Zu den Angestellten zählt Frau Bauer (eine Sekretariatskraft), die halbtags arbeitet und zwei Außendienstmitarbeiter, die den ganzen Tag vor Ort bei den Kunden des Familienbetriebs beschäftigt sind.“

Eine Vertriebsfirma mit 2,5 Mitarbeitern neben dem Chef hat andere Sorgen als sich um Grundschutz zu kümmern. Außerdem reden wir in diesem „IT-Verbund“ von gerade mal zwei PCs, zwei Druckern und einem Notebook. Ach ja, die TK-Anlage nicht vergessen (auch wenn die gar nicht vernetzt ist). Am besten sollte man dem gleich das GSTool andrehen. Bei so wenig Rechnern kann man tatsächlich noch bei allen Bausteinen die erledigten Maßnahmen abhaken. Spätestens bei 40 oder 50 Objekten ist das viel zu umständlich. Da skaliert die Software gar nicht mehr. Aber vermutlich ist das im BSI mit ihren 30 oder 40 Rechnern in einer „mittleren“ Institution noch gar nicht aufgefallen.

Wenn zufällig jemand eine brauchbare Software zur Grundschutzmodellierung kennt, ich wäre ein dankbarer Abnehmer. Was ich gerne hätte wäre die im GSTool angedeutete Möglichkeit, Maßnahmen effizient mit Aufwand (MT) und Kostenangaben (einmalig, jährlich) zu versehen um eine schnelle Abschätzung der Kosten der Aufrechterhaltung der IT-Sicherheit zu erhalten.

Netter Artikel auf The Register: Chocolate the key to uncovering PC passwords

„Eine Studie unter 300 Büroangestellten, durchgeführt von Infosecurity Europe an einem Londoner Bahnhof zeigte, dass 64% der Befragten ihr PC-Passwort für eine Tafel Schokolade und ein nettes Lächeln herausgeben würden.“

und weiter:

„Die Studie zeigte außerdem, dass 29% der Angestellten das Passwort eines Kollegen wissen. Außerdem gibt es immer jemanden, der das Passwort des Chefs hat.“

nichts neues soweit … aber jetzt:

„Auf einer IT Konferenz wurden die Teilnehmer zuerst nach dem häufigsten Passwort und anschließend nach ihrem eigenen Passwort gefragt. Nur 22% der Befragten gaben ihr Passwort heraus … Durch weitere Social Engineering Techniken verrieten weitere 42% der Teilnehmer ihr Passwort … Was viele ITler nicht realisierten war, dass zusätzlich ihr Name und ihr Arbeitgeber auf den Teilnehmer-Badges stand“

Ahhh, Social Engineering ist schon was cooles …

Da fällt mir die alte Empfehlung wieder ein: Man nehme einen beliebigen Satz, davon die Anfangsbuchstaben und hat ein gutes Passwort. Ok, dann nehme ich: „Gabi erwartet heute einen indischen Mitarbeiter“.

Die Entwicklungszeit von Patches und Updates für Sicherheitslücken in Microsoft-Produkten lässt mich manchmal ein wenig staunen:

Aus dem eEye Research Portal (alle mit Remote Code Execution):

• Windows Workstation Service NetpManageIPCConnect Buffer Overflow: 112 Tage
• Windows Media Player BMP Heap Overflow: 120 Tage
• Windows Metafile Multiple Heap Overflows: 224 Tage
• Windows Local Security Authority Service Remote Buffer Overflow: 188 Tage

Aus der Bugtraq Mailingliste:

• Xbox 360 Hypervisor Privilege Escalation Vulnerability: 6 Tage

Mit der Hypervisor Privilege Escalation lassen sich z.B. kopierte Spiele auf der XBox spielen oder Linux installieren. Also nichts, was Remote durchführbar wäre.

Ich denke man erkennt die Prioritäten …

Ich hatte neulich mal wieder die beliebte Diskussion zur letzten Regel einer Check Point Firewall: „Was ist besser? Drop oder Reject?“ Ich finde, die Frage lässt sich gar nicht so einfach beantworten.

Drop, das ist klar, lässt ein Datenpaket einfach verschwinden. Weg. Futsch. Keine Antwort. Für einen NMap SYN-Scan schön erkennbar: open, closed, filtered. Keine Antwort = filtered. Bei UDP ist das jedoch ein wenig komplizierter, da lässt sich zwischen open und filtered nur schwer unterscheiden. Die IP-Adresse der Firewall krieg man meist trotzdem raus, zum Beispiel oft mit einem TCP-Traceroute. Cain& Abel kann so etwas.

Reject schickt eine Antwort zurück. Nur … welche? Und ist das konfigurierbar wie bei Netfilter?

• ICMP Type 3, Code 0 (Network Unreachable)
• ICMP Type 3, Code 1 (Host Unreachable)
• ICMP Type 3, Code 3 (Port Unreachable)
• ICMP Type 3, Code 13 (Communication Administratively Prohibited)

Zumindest die letzte Fehlermeldung gibt schon sehr genau Aufschluss darüber, dass ein Paketfilter vorhanden ist.

Andere Überlegung: Im Idealfall sollte es eigentlich egal sein, ob der Angreifer weiß, dass eine Firewall vorhanden ist, welche IP-Adresse die Firewall hat, von welchem Hersteller sie ist und welcher Regelsatz implementiert ist. Gut, in der Praxis trifft das oft nicht zu, aber wir glauben heute mal an das Gute im Firewall-Administrator. 🙂

Dann bleibt für mich übrig: Bei einem Reject schickt die Firewall Pakete an eine fremde (d.h. nicht näher bekannte) IP-Adresse. Wenn die Absenderadresse nun gefaked ist, kann man die Firewall leichter z.B. für einen DoS-Sturm missbrauchen und das will ich lieber nicht.

Das ist so ähnlich wie mit den Rückmeldungen per E-Mail, dass eine angeblich von mir verschickte Mail einen Virus enthalten hätte. Nur verwenden viele Viren gefälschte Absenderadressen aus den Adressbüchern und meistens ist genau der, der als Absender drinsteht für den Virus gar nicht verantwortlich. Und ich freue mich bestimmt nicht über die penetrante Werbung einzelner Virenscannerhersteller, dass sie wieder einen Virus vernichtet haben (aber nicht in der Lage sind zu erkennen, dass die Absenderadresse gefälscht war und eine Rückmeldung daher sinnlos).

Gut, der Artikel in The Register ist von August 2001, aber er zeigt wunderschön die Notwendigkeit der Datenverschlüsselung auf mobilen Geräten: Festplattenverschlüsselung auf Notebooks, Flash-Verschlüsselung auf PDAs und natürlich auch auf Blackberry und Co.

Und der Artikel liest sich wirklich schön:

„The survey, which quizzed 131 of the capital’s 24,000 licensed cab drivers, also claimed the more bizarre items left in cabs included a small girl, a cat, a goldfish in a water-filled bag, and a suitcase packed with diamonds and £2,000 in cash. „

Ein kleines Mädchen, soso … 🙂

Ach ja, als Argument für Kunden, für die Verschlüsselung Geld auszugeben, eignet sich der Artikel natürlich auch.

Ich erstelle aktuell mit Hilfe der SecureAware Software von Neupart eine komplexe Security Policy für einen Kunden. Dabei sind alle Schikanen enthalten, d.h. die Policy muss verschiedene Geschäftsbereiche mit komplett unterschiedlichen Sicherheitsanforderungen abdecken, es gibt Nutzer die unterschiedliche Bereiche der Policy sehen dürfen, andere Bereiche jedoch wieder nicht, wichtige Teile sind mit Betriebsvereinbarungen abgedeckt, Handlungsanweisungen sollen mit der Policy verknüpft werden … also das ganze Programm.

SecureAware erlaubt es, die Policy modular aus vielen kleinen Bausteinen aufzubauen und unterschiedliche Sichtweisen auf das Konzept zu erhalten. Beispielsweise gibt es mehrere Bereiche der Policy, die sich mit Passwort-Regelungen beschäftigen. Diese Bereiche befinden sich unangenehmerweise auch noch in verschiedenen Kapiteln. Wenn man da eine konsistente Policy erhalten will, muss man schon viel blättern. In SecureAware kann man nun die ganzen Bausteine, die sich mit Passwörtern beschäftigen, mit der Inhaltskategorie „Passwortpolicy“ verknüpfen und dann auf einen Blick alle Bausteine sehen, die sich mit Passwörtern beschäftigen. Selbstverständlich können Bausteine und Inhaltskategorien dabei frei erstellt und definiert werden.

Ein zweiter Vorteil ist, dass man einzelne Bausteine für unterschiedliche Benutzergruppen sichtbar oder unsichtbar machen kann. So gibt es jetzt eine Regelung für Benutzerpasswörter und eine Regelung für Administratorpasswörter. Die Regelung für die Administratorpasswörter bekommen normale Nutzer aber gar nicht angezeigt. Dadurch bleibt die Policy für diese Gruppe sehr klein und effizient, was wiederum die Chance erhöht, dass sie tatsächlich gelesen und verstanden wird.

Die in SecureAware enthaltenen Texte, überwiegendÜbersetzungen bzw. Anpassungen des ISO 27001 Standards helfen oft nur in einfachen Sicherheitskonzepten wirklich weiter. Entscheidend für mich ist jedoch die Fähigkeit von SecureAware, ein an die Anforderungen von Sicherheitskonzepten angepasstes Content Management System bereitzustellen. Die Möglichkeiten die sich geben sind wirklich gigantisch, weil man jeden Baustein einer Sicherheitskategorie, einer Inhaltskategorie und einer Zielgruppe zuordnen kann. Die vordefinierten Texte und Kategorien geben jedoch einen sehr guten Überblick der Fähigkeiten von SecureAware.

Zu den anderen Fähigkeiten von SecureAware, z.B. im Bereich Mitarbeiter-Awareness, Risikobewertung und Compliance demnächst mehr.

Fazit: Für die effiziente Erstellung und Verwaltung von Sicherheitskonzepten ist nach meiner Meinung SecureAware von Neupart die beste, aktuell auf dem Markt verfügbare Software, wenn man nicht selbst an die Programmierung Hand anlegen will.

Falls sich jemand für SecureAware und die Möglichkeiten (und Preise) interessiert, einfach eine kurze Mail schicken 🙂

Kurz nach Mitternacht nur eine kurze URL:

Ha.ckers.org XSS Cheat Sheet

Sehr praktisch, wenn mal wieder ein Webserver in einem Penetrationstest überprüft werden soll.