Mitternachtshacking

Didier Stevens hat ein interessantes Experiment durchgeführt. Er hat eine Google-Anzeige geschaltet, mit dem Text:

Drive-By Download
Is your PC virus-free?
Get it infected here!
drive-by-download.info

Das Ergebnis war nicht sonderlich überraschend: die Leute klicken auf alles! Innerhalb von 6 Monaten wurde die Anzeige 259.723 mal angezeigt und 409 Leute haben darauf geklickt. Bei Kosten von 17 € für die Anzeige. Nicht schlecht … 4 Cent pro infizierten Rechner.

Im großen und ganzen bringt uns das Experiment folgende Weisheiten:

• User sind dumm. User klicken auf alles, es sei denn man nimmt ihnen die Maus weg
• Social Engineering ist gar nicht nötig, so dumm sind die User
• Werbung scheint inzwischen effizienter und günstiger zu sein als Spam zu verschicken
• Google is evil. Statt die Nutzer vor bösartigen Anzeigen zu schützen wird lieber das Geld eingesteckt.

Also nichts neues hier. Bitte weiterzugehen, nicht stehenbleiben. Es gibt nichts zu sehen.

Es ist Wochenende und ich habe wenig zu tun, also mal alte Notizen durchgehen.

Dabei ist mir ein Vortrag vom Chaos Communication Congress 2005 über Syscall Proxying in die Finger gefallen. Der Vortrag ist von CSK, die Präsentation liegt auf uberwall.com und entwickelt hat die Technik Core Security.

Die Idee ist bestechend: Man bastelt einen kleinen speicherresidenten Agenten, bringt den auf einem gehackten System zum Laufen und hat lokal einen Proxy, der Systemcalls abfängt und an den Agenten weiterleitet. Dort werden die Syscalls dann real ausgeführt, der Rückgabewert an den lokalen Proxy zurückgeschickt und hier an die laufende Anwendung zurück gereicht. Die Vorteile liegen auf der Hand: die diversen Hacking-Tools müssen nicht mehr auf das gecrackte System übertragen werden, der Agent läuft nur im Speicher und sichert nichts auf der Festplatte und nach einem Reboot kann die forensische Analyse nichts mehr entdecken.

Nur: da kommt nichts mehr. Ein paar Demo-Tools um zu zeigen, dass die Technik funktioniert und dann nichts mehr. Lediglich Core Security hat das in Core Impact realisiert. Dabei wäre das wirklich gut. Ich bin leider kein brauchbarer Programmierer, sonst würde ich mich damit mal hinsetzen. So eine Bibliothek hätte die Qualität einer Dsniff-Suite, von der heute immer noch jeder spricht, obwohl Dug Song längst nicht mehr damit beschäftigt ist. Ich muss mir da mal länger Gedanken machen …

Ich lese ja gerne The Register. Die Engländer schreiben oft sehr pointiert und zynisch, manchmal richtig bösartig. Und die meisten Artikel enthalten fundierte Informationen.

Heute gab es auch einen netten Artikel: „Memory sticks top security concern for firms„

USB Sticks und MP3-Player gelten bei vielen Firmen inzwischen als primäres Sicherheitsrisiko. Fast 40 Prozent der Befragten nannten Memory Sticks, nur noch knapp 25 Prozent sehen Viren und 22 Prozent Spyware als größte Gefahr. Ich kann das gut verstehen. Auf die MP3-Player eines bekannten Herstellers mit Apfel-Logo passen bequem mehrere GB Daten und dem Wachdienst fällt nicht auf, was da gerade aus dem Unternehmen geklaut wird.

Mein persönlicher Eindruck ist, dass die Gefahr durch Datendiebstahl gerade in mittelständischen Unternehmen noch stark unterschätzt wird. Einige große Konzerne haben das Problem erkannt, die ganz kleinen Unternehmen sind weniger stark davon betroffen. Aber der Mittelstand wird in den nächsten Jahren ein Problem bekommen. Nur fehlt die Sensibilisierung, um wirklich Maßnahmen ergreifen zu wollen.

Die AACS LA ist ja gerade dabei Webseiten abzumahnen, die eine 128 Bit Ziffer veröffentlichen, mit der viele HD-DVDs entschlüsselt werden können.

Ich denke, da kann man ein Geschäftsmodell draus machen. Bei Freedom to Tinker kann man sich eine 128 Bit Ziffer zufällig generieren lassen, mit der ein einfaches Haiku von Edward Felten verschlüsselt wird. Meine ist

A0 74 B0 1B 79 20 7E AE C0 3D BA D3 43 99 7C 6E

Und wenn jetzt jemand meine 128 Bit Ziffer verwendet oder veröffentlich, dann verklage ich den … 🙂

IPv6 hat ein lustiges Sicherheitsproblem mit einem Routing Header.

Dazu muss man erst einmal wissen, wie IPv6 funktioniert. Bei IPv6 sind die Adressen nicht mehr nur 32 Bit lang, wie aktuell im Internet Protokoll sondern 128 Bit, also gerade vier mal so lang. Das Problem dabei ist, damit steigt natürlich für jedes Datenpaket der Overhead an. Ein normaler IPv4 Header hat üblicherweise 20 Byte (ohne IP-Optionen, aber die lässt eh kaum eine Firewall durch), mit den neuen Adressen hätte der Header plötzlich 44 Byte, also mehr als doppelt so groß. Mögliche Header-Optionen sind dabei noch nicht eingerechnet.

Man hat sich nun entschieden, den IPv6-Header etwas anders zu strukturieren. Der Standardheader ist immer gleich groß, nämlich 40 Byte. Durch die konstante Größe wird u.a. das Offloading, d.h. die Verarbeitung in einem extra Chip vereinfacht, der Durchsatz der Netzwerkkarten steigt. Optionen werden in IPv6 durch sogenannte „Extension Header“ an den Standardheader angehängt.

Einer dieser Extension Header ist nun der Routing Header 0, kurz RH0 und der hat ein kleines Problem. Man kann da nämlich Adressen angeben, via die ein Paket geschickt werden soll. Bei IPv4 gibt es das auch, entweder als Strict oder Loose Source Routing und jeder weiß, dass das ein Problem sein kann.

Der Witz bei IPv6 ist nun, mittels RH0 kann man bis zu 88 Adressen angeben, via die ein Paket geschickt werden soll. Das ist richtig cool wenn man clevere Denial-of-Service Angriffe fahren will. Dann gibt man einfach 88 Adressen an und kann die im günstigsten Fall alle gleichzeitig DoSen. In der Praxis wird das nicht so einfach sein.

Interessant ist jedenfalls die Lösung der IETF, die für den Standard zuständig ist: Abschalten der Option. Fertig. Das hätte ich vorher auch schon sagen können.

PS:

Wenn ich mich so umsehe, scheinen die klassischen TFN, Stacheldraht und Trinoo immer noch die bekanntesten DDoS-Programme zu sein. Es scheint an der Zeit, mal was geeignetes für IPv6 zu basteln 🙂

Das ZDF hat ein paar der Abenteuer von Ijon Tichy verfilmt.

Für die Banausen: Ijon Tichy, Weltraumfahrer, ist die Hauptfigur der Sterntagebücher von Stanislaw Lem. Und der wiederum gehört zu meinen Lieblingsautoren.

Meine Lieblingsepisode mit den relativistischen Effekten ist auch dabei und man kann sich die Kurzfilme als Videostream ankucken.

Ein paar Gedanken zum Scannen:

TCP- und UDP-Scanning ist durch Nmap weitgehend erschlagen. Da gibt es nicht mehr ganz so viel zu ergänzen. Interessant sind jedoch spezielle Scanner, die nur ein einzelnes Protokoll berücksichtigen, dafür jedoch erweiterte Möglichkeiten anbieten.

SNMP beispielsweise. Der SNMP-Scanner von Foundstone (jetzt McAfee) ist schon ganz brauchbar. Man kann mittels Dictionary Community Strings testen und sehr schnell und effizient Netzwerke nach SNMP-Agenten durchscannen.

Richtig beeindruckt hat mich aber der IKE-Scanner von NTA. Man kann damit IKE Phase 1 Pakete mit diversen IKE-Parametern erzeugen und auswerten wie der VPN-Gateway darauf reagiert. Ein paar Sachen zu IKE kann man bei der Gelegenheit auch gleich lernen. Richtig cool.

Unglaublich, Microsoft hat tatsächlich gelegentlich sogar brauchbare Informationen auf ihrer Webseite. Gut, der Untertitel „Verbessern Sie Ihr Netzwerk mit Microsoft Technologien“ ist offensichtlich als Gag gemeint. Aber der Rest ist echt empfehlenswert.

Der Cable Guy erklärt jeden Monat einen Dienst oder ein Protokoll im Netzwerk und in der Regel so, dass man das gut verstehen kann. Die meisten Artikel sind leider Vista Werbung, aber ab und zu ist eine echte Perle dabei.

Ich war auf der Suche nach der Explicit Congestion Notification (ECN) Erweiterung von TCP/IP. Nmap verwendet das als eine der Methoden zum OS Fingerprinting. Beschrieben wird ECN in RFC 3168, erklärt jedoch nicht. Eine brauchbare Beschreibung hatte freundlicherweise der Beitrag von Oktober 2006.

Weitere interessante Themen sind IPv6, hier gibt es eine Vielzahl von Erklärungen sowie diverse Beiträge zu Wireless LAN. Am besten einfach mal durch die Themen stöbern und in die interessant klingenden Artikel reinschnuppern. Ich kann das sehr empfehlen.

Die IP-Adressen werden irgendwann knapp. Nicht so sehr bei uns, aber in China, Indien, etc. wird es irgendwann (und zwar relativ bald) ein Problem geben. Deshalb ist ja IPv6 in der Pipeline und wird irgendwann das aktuelle IPv4 ablösen.

Stuart Brown von Modern Life hat sich die Mühe gemacht, das mal auf Länder und Einwohner runterzubrechen. Mit interessanten Ergebnissen. Die meisten IP-Adressen, zumindest umgerechnet auf die Anzahl der Einwohner hat ….. der Vatikan.

Die komplette Liste mit netter Grafik gibt es bei hier.

OSCON 2005 Keynote – Identity 2.0 von Dick Hardt

genial … unbedingt anschauen

und in diesem Zusammenhang: The Laws of Identity