Mitternachtshacking

FX, obwohl kein Flash-Programmierer berichtet (nein, ranted) über das Sicherheitsmodell von Flash. Wir wissen bereits von den Vorträgen von Fukami, dass das ein echtes Problem ist. Gerade mit den Erweiterungen in Flash 9 und später sind Sockets und damit viele neuen Angriffe gegen den Client möglich. Die Prinzipien wie Same Origin Policy sind im großen und ganzen bekannt. Ihre Schwächen von Dan Kaminsky aufgedeckt worden. Viele Sicherheitseinstellungen z.B. zu Flash LSOs können nur über eine Flash-Applikation auf der Webseite von Macromedia gemacht werden. Zusätzlich listet Securityfocus rund 40 Sicherheitslücken in Flash auf.

Angriffe gegen Flash:

• DNS Rebinding (siehe Dan Kaminsky)
• OS Enumeration (um targeted Exploits schreiben zu können)
• Exploits
• etc.

Malware

• Redirector/Downloader
• Binary Exploits
• Web Attack Vehicle
• z.B. SWF AdJack/Gnida
• z.B. Downloader Trojans

Flash-Malware wird nebenbei extrem schlecht von Virenscannern erkannt. Da Flash meistens komprimiert wird, ist die Erkennung von unkomprimierten Dateien noch viel schlechter. Virustotal ist Zeuge. Aber das ist nichts neues.

Flash besteht aus zwei Virtual Machines, AVM1 (das Originalflash und für über 80% des Flash-Inhalts im Internet zuständig) und AVM2 (nach ECMA-262, für ActionScript3, fast wie Javascript). Theoretisch ist das recht clever, praktisch ist das ein echtes Problem. AVM1 wurde mit SWF3 eingeführt und mit SWF4 auf eine Turing-komplette Maschine erweitert. SWF5 hat dann Typen eingeführt. SWF9 hat die AVM2 eingeführt. Aktuell ist SWF10 und alles muss abwärtskompatibel sein! Flash kann Code an verschiedenen Stellen enthalten: DoAction, DoInitAction, DefineButton2 im ButtonRecord2 sowie zwei weitere Stellen. Viele Tools analysieren nur den Code in DoAction bzw. DoInitAction.

Nun gibt es ein neues Tool, den Blitzableiter, einen Flash File Parser in C# der auch auf Mono laufen soll. Und damit kommt auch die bei FX schon übliche Marketingveranstaltung seiner neuen Software. SWF Obfuscation ist nicht sehr sinnvoll. Die meisten Flash-Obfuscator erzeugen invaliden Code der von statischen Codeanalysetools nicht mehr akzeptiert wird. Insgesamt funktioniert Blitzableiter mit 82% der von Fukami bereitgestellten Flash-Programme, bläht den Code jedoch auf 224% auf. Ob das Programm wirklich nützlich ist, vermag ich nicht zu beurteilen.

Praktisch muss das Tool jedoch nicht nur Flash sondern auch diverse andere Formate parsen können. Damit läuft FX meiner Meinung nach in die Falle der meisten Virenscanner, dass Parser für diverse Fileformate extrem Komplex sind, die dann wieder Exploits nach sich ziehen. Außerdem werden diverse Virenscannerhersteller schnell nachziehen können und ebenfalls Flash-Analysetools in ihre Scanner integrieren wenn da ein Markt vorhanden ist.

Leider ist der CCC chronisch mit der Bereitstellung eines Videostreams überfordert. Für die große Klappe die Fefe vorher gespuckt hat, ist das gerade eine extrem peinliche Aktion.

Wenn schon nichts anderes spannendes dabei ist (nein, der GoogleLunarXPrice interessiert mich nicht wirklich) und ich den Tag sowieso im Büro verbringe, kann ich die Zeit auch nutzen, kurz in die Lightning-Talks hineinzutunen. Für mich scheinen die spannenden Themen dieses Jahr sowieso in den Kurzvorträgen angesprochen zu werden. Die folgende Liste ist nicht vollständig, ich habe nur notiert, was ich persönlich interessiert.

• Hacking the Government

Über den Nutzen staatlich produzierter und öffentlich verfügbarer Daten und ihrer Auswertung, weil die staatlichen Webseiten unter aller Sau sind. Das Problem sind die Formate der Daten, ihre Lizenzen und die Art der Veröffentlichung.
Link: http://opendata.hackday.net/
Termin: 24. und 25. April 2010 in Berlin

• Mifare Classic Universal toolKit (MFCUK)

Ein OpenSource Toolkit für Angriffe gegen die Mifare Classic Chipkarte. Das Toolkit implementiert den DarkSide Angriff und kann ein Mifare Classic SoftTag emulieren.
Link: http://code.google.com/p/tk-libnfc-crapto1/

• sta.li – Static Linux

Eine Linux-Distribution mit statisch gelinkten Tools. Nur das notwendigste. Keine Bibliotheken, Vermeidung von Libc (das wird Ulrich Drepper nicht gefallen) und keine Kernelmodule.
Link: http://suckless.org

• GPF Crypto Stick

OpenPGP SmartCard on a stick. Das ist in etwas so etwas wie ein Aladdin eToken nur mit einer OpenSource Hardware und offenen Schnittstellen. Damit ist die Kompatibilität mit Linux und Co. weitgehend gewährleistet. Die Version 1 enthält nur die Smartcard und kostet 38,- Euro, die Version 2 wird auch Flash-Speicher enthalten und in einem Alugehäuse erscheinen. Mal sehen, was der kostet.
Link: http://www.privacyfoundation.de/crypto_stick/

• Free Rainbow Tables

Free Rainbow Tables stellt kostenlos Rainbow-Tables zur Verfügung uns benötigt Helfer, um diese verteilt zu generieren. Rainbow-Tables funktionieren immer noch, weil weiterhin nicht-gesaltete Hashes verwendet werden. Und sie brauchen beim Passwort-Cracken weniger Strom.
Link: http://sourceforge.net/projects/rcracki/
Link: http://events.ccc.de/congress/2009/wiki/freerainbowtables

• OWASP Favicon

Mit Hilfe des bei vielen Softwarepaketen enthaltenen Favicons lässt sich z.B. das verwendete CMS enumerieren. Für Nmap gibt es ein Script, das die Favicons ausliest und die Hashes verwendet um die Software und ggf. Version zu bestimmen. Das ist mal eine lustige Enumeration-Idee.
Link: http://www.owasp.org/index.php/Category:OWASP_Favicon_Database_Project

• Apache + Slowloris = FAIL

Es geht um einen Apache Bug der nicht gefixt wird aber für einen DoS-Angriff geeignet ist. Erklärung, Details und Tools hinter dem Link.
Link: http://ha.ckers.org/slowloris/