Mitternachtshacking

Aber wirklich. Ich bin gerade in Bern und obwohl ich schon oft und auch schon für längere Zeit in der Schweiz war, sind die Schweizer immer noch seltsam.

Auf der einen Seite kann ein Supermarkt wie der Migros hier in Bern komplette Paletten mit Waren Nachts vor dem geschlossenen Supermarkt auf dem Bürgersteig lagern und nichts davon verschwindet, auf der anderen Seite sind bei der Kontrolle der Tickets in der Tram heute morgen rund 1/3 der mitfahrenden Schweizer hektisch aus dem Zug gestürzt, um keine „Busse“ zahlen zu müssen.

Auf der einen Seite hatte ich am Montag beim Abendessen penetrante Werbung von Suisse Garantie (sowas wie bei uns CMA, die das Bundesverfassungsgericht ja gestutzt hat) auf den Servietten, die für natürliche, gentechnikfreie Lebensmittel aus der Schweiz, auf der anderen Seite sitzen die meisten bösen europäischen Genkonzerne wie Syngenta, Novartis oder Nestlé in der Schweiz.

Auf der einen Seite pflegt die Schweizer Politik ihre „Zauberformel„, die jahrzehntelang die Sitzverteilung im Bundesrat (der Schweizer Regierung) fest auf vier Parteien verteilte, egal welchen Stimmenanteil die Parteien tatsächlich hatten, auf der anderen Seite wurde hinter den Kulissen gerade von der SVP um Christoph Blocher schlimmer gestritten als bei den Kesselflickern.

Fotos folgen. Ich hab das USB-Kabel nicht dabei.

Die Ausgabe 66 des Phrack Magazin ist veröffentlicht:

• Introduction
• Phrack Prophile on The PaX Team
• Phrack World News
• Abusing the Objective C runtime
• Backdooring Juniper Firewalls
• Exploiting DLmalloc frees in 2009
• Persistent BIOS infection
• Exploiting UMA : FreeBSD kernel heap exploits
• Exploiting TCP Persist Timer
• Malloc Des-Maleficarum
• A Real SMM Rootkit
• Alphanumeric RISC ARM Shellcode
• Power cell buffer overflow
• Binary Mangling with Radare
• Linux Kernel Heap Tampering Detection
• Developing MacOs X Rootkits
• How close are they of hacking your brain

Oder der komplette Download als TGZ. Zu einzelnen Artikeln im Phrack Magazine möchte ich irgendwann noch Einzelartikel schreiben.

Noch ein paar kommentierte RFCs, weil mir gerade langweilig ist:

• RFC 503: Socket Number List

Nur wegen dem Datum 🙂

• RFC 527: ARPAWOCKY

Der RFC 527 ist der Vorgänger aller 1. April RFCs. Der erste echte April Fool’s Day RFC ist übrigens RFC 748 vom 1. April 1978. Beim Besten bin ich mir nicht sicher. Kandidaten sind natürlich RFC 1149 aber auch RFC 2550 oder RFC 3093.

• RFC 561: Standardizing Network Mail Headers

In den Urzeiten des Internets wurden E-Mails noch nicht per SMTP sondern mittels FTP übertragen. Der RFC 561 definiert erstmals Teile eines E-Mail Headers mit FROM:, DATE: und SUBJECT:. Interessant, der Empfänger (TO:) fehlt. RFC 221 (Mail Box Protocol) legt eine Standardmailbox 0 fest, die dann automatisch verwendet wird, wenn nichts anderes angegeben ist.

• RFC 602: „The Stockings Were Hung by the Chimney with Care“

Harhar, das Arpanet hatte 1973 schon lustige Sicherheitsprobleme: „The ARPA Computer Network is susceptible to security violations for at least the three following reasons: (1) many people still use passwords which are easy to guess; (2) The TIP (=Telefoneinwahl) required no user identification before giving service; (3) There is lingering affection for the challenge of breaking someone’s system.  This affection lingers despite the fact that everyone knows that it’s easy to break systems.“ Hach, es hat sich seither eigentlich nichts geändert.

• RFC 644: On the Problem of Signature Authentication for Network Mail

Wieder eine Baustelle, die uns seit 1974 bis heute verfolgt und die (PGP/GPG mal außen vor, das verwenden leider viel zu wenig Leute) faktisch immer noch ungelöst ist. „The existence of a mechanism which RP, the receiving process, can use to distinguish mail authenticated with respect to the sending host from mail that has not been authenticated by the sending host.“ Klingt für mich verdächtig nach Protokollen wie Sender-ID, dem eigentlich vielversprechenden Ansatz, den Microsoft im September 2004 vorsätzlich gegen die Wand gefahren hat aus dem alleinigen niederen Motiv, Open Source Software zu schaden.

• RFC 706: On the Junk Mail Problem

Passt hervorragend zum vorherigen RFC. „It would be useful for a Host to be able to decline messages from sources it believes are misbehaving or are simply annoying.“ Mir war gar nicht bewusst, dass das Spam-Problem schon 1975 aktuell war. Interessant, dass Wikipedia behauptet die erste Spam-Mail wurde am 3. Mai 1978 also erst drei Jahre später verschickt.

• RFC 760: Internet Protocol (aktualisiert durch RFC 791)
• RFC 761: Transmission Control Protocol (aktualisiert durch RFC 793)
• RFC 768: User Datagram Protocol
• RFC 777: Internet Control Message Protocol (aktualisiert durch RFC 792)

Zu diesen Standards brauche ich nichts mehr schreiben, denke ich.

• RFC 772: MAIL TRANSFER PROTOCOL

Der RFC 772 beschreibt den Vorläufer des Simple Mail Transfer Protocol (SMTP), der erst in RFC 821 beschrieben wird. Insbesondere führt RFC 772 die Fehlercode-Gruppen ein (1xx, 2xx, 3xx, 4xx, 5xx), die uns bis heute auch in HTTP verfolgen. 404 war damals allerdings noch nicht spezifiziert.

• RFC 799: Internet Name Domains

Jetzt geht es also los mit DNS. Das Protokoll fehlt zwar noch aber die Grundüberlegungen und Funktionen (Hierarchie, Aliases, Multihomed) sind schon beschrieben. Die Details beschreiben dann RFC 881 und RFC 882, das Protokoll DNS erscheint erstmals in RFC 883.

• RFC 801: NCP/TCP transition plan

Ab Mitte 1981 beginnt die Umstellung des Arpanets auf TCP/IP also die Internet-Struktur wie wir sie heute kennen. Interessant finde ich, woraus das Internet praktisch besteht: „The principal services are: Telnet, File Transfer, and Mail.“ Man ersetzte Telnet durch SSH, File Transfer durch HTTP und Mail … nunja, ist weiterhin Mail. Eigentlich hat sich seither nicht viel verändert.

• RFC 896: Congestion control in IP/TP internetworks

Das ist einer der unscheinbaren RFCs, die massiven Einfluss auf das interaktive Verhalten im Internet und damit auch die Akzeptanz vieler Protokolle hatte. In diesem RFC wird erstmals der Nagle Algorithmus beschrieben. Erstaunlich einfach und doch so wirkungsvoll. In diesem Zusammenhang kann man feststellen, dass sehr viele der frühen RFCs sich mit Ergänzungen und Optionen zu Telnet beschäftigen. Telnet dient und diente für fast alle Protokolle der Anfangstage des Internets als Grundlage und Basis,

• RFC 913: Simple File Transfer Protocol
• RFC 916: Reliable Asynchronous Transfer Protocol (RATP)

Zwei RFCs, die heute nur noch historischen Wert haben aber im Grunde vollständige Protokollspezifikationen für Anwendungen haben die damals als wichtig angesehen wurden. „We are witnessing today an explosive growth in the small or personal computer market.  Such inexpensive computers are not normally connected to a computer network. But virtually all of them have an RS-232 interface. They also usually have a modem.“ Und wir reden von 1984. Mein erstes Modem an einem PC hatte ich 1992.

• RFC 918: Post Office Protocol
• RFC 937: Post Office Protocol – Version 2

Jetzt geht es los mit Mailabrufen. In diesem RFC werden viele Fehler gemacht, die uns heute noch verfolgen. Beispielsweise, dass POP, POP2 und heute noch POP3 das Passwort im Klartext überträgt und nicht etwa ein Challenge Response Verfahren verwendet. Aber damals hat man sich noch nicht wirklich Gedanken um das Abhören des Datenverkehrs gemacht. War eh alles vom US Verteidigungsministerium bezahlt. Seltsamerweise verwendet POP „+OK“ und „-ERR“ als Fehlermeldungen und nicht wie SMTP und andere bereits etablierte Protokolle Nummern (1xx, 2xx, 3xx, 4xx, 5xx). Aber damals waren Eigenbrötler charakterisierend für die Entwicklung.

• RFC 950: Internet Standard Subnetting Procedure

Subnetting. Argh.

Im Bereich ab 900 gibt es übrigens noch eine große Zahl weiterer spannender RFCs zu Standarddiensten die immer noch gebräuchlich sind. Beispielsweise RFC 958 (NTP), RFC 977 (NNTP), aber auch sehr sehr obskure Protokolle wie in RFC 972 (Password Generator Protocol) oder RFC 978 (Voice File Interchange Protocol). Einfach selbst mal gucken!

Durch eine Anfrage der FTPFDP-Bundestagsfraktion und die offizielle Stellungnahme der Regierung ist nun also amtlich: Zensursula, die Familienministerin Ursula von der Leyen hat gelogen.

Aber immer wieder interessant zu sehen, wie schamlos so eine Ministerin die Öffentlichkeit belügt, obwohl sie völlig ahnungslos in der Materie rumstochert.

Details u.a. bei Netzpolitik und Alvar Freude, der auch das PDF hat.

Hier steht das nur deshalb, weil man gar nicht oft genug schreiben kann, dass Ursula von der Leyen die Bürger, also ihre Wähler belügt.

Im Grunde genommen finde ich die Idee ja nicht schlecht:

Spezialisierte Unternehmen (ich habe z.B. mit BlackSpider vor der Übernahme durch Websense erfreulich gute Erfahrungen gemacht) bieten einen zentral verwalteten Scanner für Viren, Spam und sonstigen E-Mail Schadcode an und verkaufen das als Dienstleistung.

Ein grundsätzliches Problem ist natürlich, dass man dem beteiligten Unternehmen vertrauen muss, mit den E-Mails keinen besonderen Unsinn anzustellen. Gerade bei US-Anbietern kann das ein Problem sein, weil die dortigen Behörden auf Recht und Gesetz wenig Rücksicht nehmen und gerne mal fremde Mails mitlesen. Wenn man sich jedoch wegen Industriespionage keine besonderen Sorgen machen muss halte ich das Scannen eingehender Mails „in der Cloud“ grundsätzlich mal für keine schlechte Idee.

Etwas schwieriger wird es jetzt jedoch mit Zusatzleistungen. Die Firma Zscaler hat mir neulich eine unverlangte Werbe-Massenemail mit einem gaaanz tollen Whitepaper (PDF) über ihre Web Security Cloud Services geschickt. Die technischen Informationen tendieren zwar wie zu erwarten gegen Null, dafür gewinnt man mit den Buzzwörtern darin jedes Bullshit Bingo. Ein paar Auszüge gefällig? TeraCloud (klingt groooß und bezeichnet anscheinend deren Rechenzentrum). Oder NanoLog (komprimierte, aufbereitete Logfiles; erinnert mich aber irgendwie an den Schaumschläger Steve Gibson, kennt den noch jemand?). Und nicht zu vergessen SafeSearch (filtert Pron aus Google/Yahoo/Bing-Suchergebnissen). Aber gut. Ist ja Werbung, auch wenn Whitepaper drüber steht.

Stutzig bin ich dann aber bei der Funktionsübersicht geworden. Zscaler bietet für ausgehende E-Mails und Web-Traffic in der Cloud auch Data Loss Protection (DLP) an. Ich persönlich halte ja DLP an sich schon für reichlich überschätzt und gehypt. Data Loss Protection in der Cloud finde ich aber komplett daneben. Die sensiblen Daten haben das Unternehmen schließlich schon verlassen, sind auf nicht abhörsicheren (genaugenommen von der CIA und NSA garantiert abgehörten) Leitungen ins Zscaler-Rechenzentrum in die USA gewandert und werden da dann elegant rausgefiltert, wenn es praktisch schon zu spät ist. Und um dem ganzen die Krönung aufzusetzen fand ich in der Mail auch noch ein lustiges PDF von Gartner, warum Zscaler „cool“ ist.

Ich frage mich jetzt nur noch, ob Zscaler den hauseigenen Spam auch rausfiltert oder ob dafür extra eine Whitelist eingerichtet wurde.

Der Versuch einer Gliederung. Hab ich was wichtiges vergessen? Oder würde man das anders gliedern?

Klar, VPN oder IPS ordnen viele Hersteller bei Firewalls mit ein, weil die Produkte auf dem Markt das integrieren. Desktop Clients bieten inzwischen auch Virenscanner, Intrusion Detection, Personal Firewall und Plattenverschlüsselung in einem an.  Ich möchte aber nach technischen Verfahren gliedern und da ist Firewall halt was anderes als Verschlüsselung als Virenscanner.

• Authentisierung
  • Passwörter
  • Einmalpasswörter
    • Zeitsynchronisierte Token
    • Eventsynchronisierte Token
  • Zertifikate
    • Digitale Signaturen
    • Chipkarten/SmartCards
    • USB Zertifikatsspeicher
  • Biometrische Verfahren
• Netzwerksicherheit
  • Firewall
    • Access Control Lists (ACL)
    • Proxy-Server
    • Stateful Filtering
  • Network Access Control (NAC/NAP/UAC)
  • VLAN Sicherheit
  • Wireless LAN
    • Wired Equivalent Privacy (WEP)
    • Wifi Protected Access (WPA, WPA2)
• Verschlüsselung
  • Virtual Private Networks (VPN)
    • IPSec
    • SSL-VPN
  • E-Mail
    • PGP/OpenPGP
    • S/MIME
  • Dateiverschlüsselung
  • Festplattenverschlüsselung
  • Steganografie
• Content Security
  • Antivirus (AV)
  • Antispam
    • Real-Time Blocklisten (RBL)
    • Reputation-Listen
    • Bayes’sche Filter
  • URL-Filter
  • Antispyware
  • Data Leak Protection (DLP)
• Monitoring/Überwachung
  • Security Information and Event Monitoring (SIEM)
  • Vulnerability Tracking
  • Intrusion Detection / Prevention
    • Host-basierte Intrusion Detection (HIDS)
    • Netzwerk-basierte Intrusion Detection (NIDS)
    • Intrusion Prevention (IPS)
    • Honeypots
• Datensicherung
  • Backup
  • Archivierung
  • Dokumentenmanagement
• Systemsicherheit
  • System Hardening
  • Patchmanagement
• Hochverfügbarkeit
  • USV/Notstromversorgung
  • Clustering
• Compliance / IT-Governance
  • Auditierung
    • IDW PS 330
    • ISO 27001
    • BSI Grundschutz
    • Payment Card Industry Data Security Standard (PCI)
• Penetration Testing
  • Externe/Interne Penetrationstests
  • Code Review
  • Social Engineering
• Social Security
  • Mitarbeitersensibilisierung
  • Schulung

Ach ja, Physical Security habe ich bewußt weggelassen.

Die 3-jährige Tochter meiner Freundin sieht Angela Merkel auf einem Wahlwerbeplakat:

„Da ist die Babbeltante wieder, die immer sagt bitte wenden!“

Die Stimme des Navigationssystems wird von ihrem Opa nämlich auch als Babbeltante bezeichnet und jetzt weiß sie, wie die aussieht 🙂

Dieser Beitrag über verbesserte Angriffe gegen SHA-1 bei Heise sollte dem einen oder anderen Verantwortlichen von Webservern für Zahlungsverkehr (also Internetbanking oder Paypal) Schweißperlen auf die Stirn treiben.

Unsere gesamte kommerzielle Zertifikatsinfrastruktur hatte ja schon zu kämpfen, MD5 loszuwerden und die im Zertifikatsspeicher hinterlegten RootCA-Zertifikate zu aktualisieren. Wenn SHA-1 fällt dann wird es erst recht spannend. Klar, SHA-256, SHA-512 etc. sind längst definiert und standardisiert, basieren aber auf dem gleichen Algorithmus wie SHA-1 und verwenden eigentlich nur eine größere Hashlänge. Die Angriffe gegen SHA-1 sollten sich daher durchaus anpassen lassen.

Klar, das NIST führt gerade eine Hash Competition durch, um wie bei AES einen neuen Hash-Algorithmus zu finden. Die Timeline ist jedoch ausreichend großzügig dimensioniert. Erst Ende 2012 soll der neue Algorithmus als Standard verabschiedet werden. Ich bin mir (a) nicht sicher, ob noch so viel Zeit bleibt und (b) ob überhaupt ausreichend sichere Algorithmen übrig bleiben. Man beachte, wie viel der Verfahren schon wieder gebrochen sind.

Webbugs

Ich spiele seit einiger Zeit mit dem Firefox-Addon Ghostery herum und es ist echt erschreckend, wie viele Bugs manche Webseiten implementieren. Bisher habe ich da mit meinen eigenen Filtern herumgebastelt aber das nimmt langsam echt überhand. Hier meine aktuelle Sperrliste im Adblock Plus:

• .ivwbox.de/cgi-bin/* (Infoline SZM)
• */ivw-bin/ivw/* (Infoline SZM)
• */cgi-bin/igare/CP/* (Infoline SZM ??)
• /ivw.* (Infoline SZM)
• .etracker.com/nscnt.php?* (eTracker)
• .etracker.com/cnt.php?* (eTracker)
• .etracker.com/t.js?* (eTracker)
• .nuggad.net/bk?* (nugg.ad)
• .sitestat.com/* (Nedstat)
• quantserv.com/* (Quantcast)
• 2o7.net/* (Omniture)
• .hitbox.com/* (Omniture)
• .extreme-dm.com/c.g?* (Extremetracking)
• .lijit.com/res/images/wijitTrack.gif?* (Lijit)
• .lijit.com/res/images/empty.gif?* (Lijit)
• .google-analytics.com/* (Google Analytics)
• /botd.wordpress.com/botd.gif?* (WordPress Botd)
• .webtrekk.net/* (Webtrekk)
• /track.webtrekk.de/* (Webtrekk)
• /c*.statcounter.com/* (StatCounter)
• /*.doubleclick.net/ad/* (DoubleClick)
• /stats.blogoscoop.net/* (Blogoscoop)
• .yahoo.com/b?P* (Yahoo)
• /stats.big-boards.com/* (Big Boards)
• /static.getclicky.com/* (Clicky)
• /www.browser-statistik.de/browser.png?* (browser-statistik.de)
• /statse.webtrendslive.com/* (Webtrends)
• /dcstest.wtlive.com/*  (Webtrends)
• /anormal-tracker.de/countv2.php?* (Anormal Media, immerhin zeigt dieser Tracker nicht die kompletten IP-Adressen an, Datenschutz positiv umgesetzt)
• /wikia-ads.wikia.com/onedot.php?* (Wikia Inc.)

Kennt jemand einen Trick, wie man mit Adblock Plus zuverlässig Webbugs, d.h. die 1×1-Pixel Grafiken die gerne in Seiten eingebettet werden, blockieren kann? Leider gibt es halt neben den Webbugs auch 1×1-Pixel Grafiken, die als Platzhalter für das Layout eingesetzt werden. Deshalb dürfen nur 1×1-Pixel von fremden Domains blockiert werden, nicht aber von der Domain (oder von Subdomains) von der die eigentliche Seite geladen wird.

Urchin

Noch schlimmer sind die diversen Varianten von JavaScript, die ständig irgendwo eingebettet werden. Selbst Mozilla.org lässt einen damit nicht mehr in Ruhe. Ich habe inzwischen gesperrt:

• */__utm.js (das Original Urchin Tracker Modul, Urchin 5)
• */__utm.gif?* (Urchin Tracker Modul ??)
• */urchin.js (das um Google Analytics erweiterte Modul, Urchin 6)
• */ga.js (das neue Google Analytics Javascript)
• */__ga.js (das neue Google Analytics Javascript)

Es gibt sogar Google Autorisierte Urchin Consultants. Was sollte man denn effizienterweise noch alles blockieren? Kann man Javascript blockieren, das die Zeichenfolge „Urchin“ enthält?

Ach ja, so global gesehen sind die Adblock Plus Filter richtig gut. Ich habe bisher erst eine einzige Ausnahmeregel benötigt:

•  @@*/imagedb/*

weil der Adblock Plus Ares ABP + Easylist zu viel blockiert hat.

Ich persönlich hasse ja Podcasts, Webcasts und sonstige *casts. Einladungen von Herstellern oder Distributoren wandern eigentlich generell in die Ablage P. Aber auch wenn ich mir die Podcasts des CERT vermutlich nie anhören werden, hier trotzdem der Link:

CERT’s Podcast Series: Security for Business Leaders

Unterteilt sind die Podcasts in folgende Kategorien:

• Governing for Enterprise Security
• Measuring Security
• Privacy
• Risk Management and Resilience
• Security Education and Training
• Software Security
• Threat
• Trends and Lessons Learned
• Tips from the Trenches: Areas of Practice

Eventuell ist das ja von allgemeinerem Interesse.