Mitternachtshacking

Weil wir gerade beim Virenscanner sind … Trend Micro hat Mitte letzten Jahres mal angekündigt, die Virus Bulletin VB100 Zertifizierung nicht mehr mitmachen zu wollen.

Weiß zufällig jemand, ob andere Hersteller dem gefolgt sind oder ob Trend Micro reuig zur Zertifizierung zurückgekommen ist?

Manchmal finde ich F-Secure peinlich.

Eigentlich hat F-Secure einen ganz guten Virenscanner. Ich setze den selbst auf meinen Terminalservern und Firmenclients ein, der Virenschutz ist schnell und braucht wenig Ressourcen, die Erkennungsrate ist gut und insgesamt lässt sich die ganze Suite auch einfach konfigurieren. Aber es gibt bei F-Secure Sachen die einfach schrecklich sind.

Die Süddeutsche Zeitung hat unter dem Titel „Alt und gefährlich“ einen Artikel veröffentlicht, der sich mit der Problematik veralteter und damit angreifbarer Software auf einem Rechner beschäftigt. Das ist ein bekanntes Problem und beispielsweise Secunia hat mit dem PSI (für Privatanwender) und CSI (für Firmen) ein recht nützliches Tool entwickelt, das aufzeigt welche veralteten und angreifbaren Programme sich noch auf einem Rechner befinden. Ich wünsche mir eigentlich schon seit längerem so eine Funktion integriert in einen Virenscanner. F-Secure ist nun auf diesen Zug aufgesprungen. Leider.

Der Link der Süddeutschen Zeitung verweist auf den F-Secure Health Check. Wenn man diese Seite mit abgeschaltetem Javascript oder ohne Flash betritt, bekommt man nur den lapidaren Hinweis: „Get Adobe Flash Player“. So etwas geht gar nicht. Der Flash Player ist eine der vielen Anwendungen, die oft veraltet auf Systemen rumliegen und leicht angegriffen werden können. Gerade bei einem Angebot, das mich vor veralteter Software schützen sollte, darf ich nicht schlimmstenfalls gezwungen werden, noch extra Software installieren zu müssen. Davon abgesehen, welcher Webseitenbetreiber ist denn so daneben, eine Webseite ausschließlich in Flash zu gestalten (ausgenommen natürlich derBauer)?

Das einzige, was diese völlig unnütze Flash-Seite übrigens macht, ist auf eine andere F-Secure Seite weiterzuleiten. Und hier wird es dann völlig peinlich. Diese Seite funktioniert auch nur mit Javascript. Und meldet meinem Browser dann lapidar: „F-Secure Health Check requires Microsoft Internet Explorer 6 or later“, sogar mit Copyright- und Trademark-Hinweis. Der F-Secure Health Check ist nämlich ein ActiveX-Control und läuft natürlich nicht in Firefox.

Hallo F-Secure! Aufwachen!

1. ActiveX ist die kaputteste Variante, so einen Dienst zu implementieren. Fragt mal die anderen Virenscanner-Hersteller, wie dumm das ist. Beispielsweise Panda, Bitdefender, Authentium, nochmal Panda, Symantec Norton, McAfee, nochmal Symantec, schon wieder Panda und McAfee, usw. … oder wie Heise damals schrieb: „Sicheres ActiveX und andere Märchen„.
2. Vielleicht hat es sich bis Finnland noch nicht herumgesprochen: es gibt auch andere Webbrowser als den Internet Explorer. Und es gibt gute Gründe, Firefox, Opera oder Safari unter Windows einzusetzen, z.B. weil man dann die Sicherheitsprobleme mit ActiveX nicht hat.
3. Wenn sogar der Süddeutschen Zeitung auffällt, dass ActiveX eine dumme Idee ist, dann sollte man vielleicht was ändern. Wörtlich aus dem Artikel: „Auf einen solchen Eingriff reagieren Sicherheitsprogramme aber meist allergisch. Denn das Programm lädt ein ActiveX-Applet auf den Rechner, das dann auch noch einige Updates nachlädt, um den Rechner dann zu durchsuchen.“
4. Und nein, der lapidare Kommentar von Herrn Rapp, „das ActiveX-Applet landet im Browser-Cache und lässt sich somit leicht entfernen“ ist keine Lösung. Die meisten Windows-Nutzer dürfen nämlich damit überfordert sein, den Cache zu löschen oder ActiveX-Controls zu deaktivieren. Besonders wenn in der FAQ dazu steht: „Delete folder PCHC_1_1 in C:\Documents and Settings\xxxxxxx\LocalSettings\Temp\“.

Liebe Freunde von F-Secure, so gut euer Virenscanner auch ist, DAS hier ist völlig daneben. Setzen, 6.

Soso, es gibt also eine „Govware“. Golem schreibt in einem Artikel

„BND-Vizechef Arndt Freiherr Freytag von Loringhoven hat vor den Mitgliedern des Parlamentarischen Kontrollgremiums (PKG) eingeräumt, mit dem Bundestrojaner Computer im Ausland attackiert zu haben. In den vergangenen Jahren sei in mindestens 90 Fällen im Ausland mit der Govware operiert worden.“

Im Artikel des Focus, auf den sich Golem zwar bezieht aber vielleicht aus Scham nicht direkt verlinkt, steht kein Wort von „Govware“, da heißt die Software ganz klassisch weiter „Bundestrojaner“. Ich fürchte, das war Golem für einen Artikel nicht schmissig genug.

So eine Schweinerei. Mein Virenscanner schützt zwar vor Adware und Spyware aber noch nicht vor „Govware“. Ich glaube, da muss ich mal reklamieren.

Kurzbesuch bei Juniper in Amsterdam. Die haben da einen coolen Showroom:

Ich würde schätzen, da steht bestimmt Hardware im Wert von mehreren Millionen Euro rum.  Für Netzwerker eine prima Spielwiese 🙂

Heute war wieder ArchITecture, die Hausmesse von Ingram Micro und wie die letzten Jahre habe ich den Live Hacking Vortrag am Morgen gehalten.

Dieses Jahr habe ich über Viren und Schadprogramme referiert.

Die Live-Show, die nicht aus der Präsentation erkennbar ist, umfasste eigentlich nur ein paar Kleinigkeiten, die Show-Wirkung ist aber nicht zu unterschätzen.

Der erste Teilbereich handelt von Ideen, ein Schadprogramm auf den Rechner zu schleusen.

1. Vorführen eines einfachen Keyloggers
2. Vorführung wie ein Backdoor-Programm wie z.B. Netbus funktioniert
3. Basteln eines einfachen Trojaners mittels Elitewrap aus Netbus und einem harmlosen Flashfilm
4. Einstecken einer CD oder eines USB-Sticks mit Autorun um automatischen Programmstart zu demonstrieren
5. Hochladen dieses Trojaners bei Virustotal

Hier gibt es dann immer den ersten lustigen Aha-Effekt, weil ausgerechnet Symantec Norton und Trend Micro den Trojaner nicht erkennen.

Der zweite Teilbereich behandelt das Verstecken von Dateien

1. Ein erkanntes Schadprogramm kann mit Winzip in der BZIP2-Kompression verpackt werden und wird dann von der Hälfte der Virenscanner auf Virustotal nicht mehr erkannt
2. In NTFS kann man Dateien in Alternate Data Streams (ADS) verstecken und wieder starten
3. Mit ADS Spy oder vergleichbaren Tools lassen sich die Dateien wieder anzeigen
4. Konfiguration und Anwendung von Winrootkit (geht nicht mit XP SP2) um Dateien zu verstecken
5. Rootkit Revealer, um die versteckten Dateien wieder aufzuspüren

Das sind Möglichkeiten, die nicht nur von Schadprogrammen sondern auch von regulären Programmen genutzt werden.

Im dritten und letzten Block geht es dann um die fortschreitende Kommerzialisierung. Besonders faszinierend ist kommerziell angebotene Spyware, die man direkt per Kreditkarte kaufen kann.

1. Demo des Hacker Defender Rootkits (ehemals kommerziell)
2. Demo des Refog Employee Monitor
3. Verweis auf einschlägige Webseiten wie VX Heaven

Die komplette Show dauert etwa 1,5 Stunden, in Neuss hatte ich leider nur rund 45 Minuten und musste daher ein paar Sachen weglassen. Aber bereits der erste Block und vielleicht noch der Hinweis auf die Refog-Webseite reicht in der Regel, um den einen oder anderen nervös werden zu lassen.

Ach ja, die Show kann gerne auch bei mir gebucht werden 🙂

Inanny erlaubt es, in Zukunft die ganze Familie mit einem GPS-Empfänger zu versehen und jede Bewegung über das Mobilfunknetz zu tracken. Für nur 129,- € pro Gerät und 9,99 Euro pro Monat für die Abfrage über das Internet.

Interessante Frage, wie die Persönlichkeitsrechte von Kindern dabei gewahrt werden sollen.

Notiz für mich selbst:

Wenn ich das nächste mal Ike-Scan verwende, einfach im RFC 2409 und der IPSec-Registry der IANA nachkucken, welche Transforms welche Bedeutung haben. Dann versteht man auch

–trans=(1=7,14=128,2=2,3=1,4=5)

🙂

Gibt es eigentlich außer der Liste von NTA-Monitor noch eine weitere Vendor-ID Datenbank?

Wenn es in der deutschen Sprache irgendwann ein Synonym für „zahnloser Bettvorleger“ gesucht wird, ist „Deutscher Presserat“ einer der heißesten Kandidaten. Zumindest die versammelte Springer-Presse (Demagogen! Alle! Zwanziger gegen Zwanziger hier spenden! Ach nee, das war was anderes, wollte ich aber auch bei passender Gelegenheit verlinken) hat die Rügen des Presserates eigentlich schon immer großzügig ignoriert.

Sehr amüsant fand ich daher den Beitrag von Golem. Der Deutsche Presserat hat die Berichterstattung der Computerzeitschrift PC-Welt über die „15 illegalsten Hacker-Tools“ gerügt. Der Artikel entspreche nicht den journalistischen Grundsätzen weil das Ansehen der Presse in Gefahr gerate, wenn eine Zeitschrift Gebrauchsanweisungen für verbotene Software gibt. Unglaublich, dieser Quatsch.

PC-Welt … das ist doch die Zeitschrift, die 1998 getitelt hatte: „Streng Geheim! Wie Sie Microsoft austricksen & die Grenzen von Windows sprengen“ und dafür prompt von Microsoft verklagt wurde. Der damalige Chefredakteur Michael Klein verteidigte den Bericht mit „Wir haben nur Informationen veröffentlicht, die schon einmal woanders standen.“ Beispielsweise in Microsoft-Schulungsunterlagen aber auch in speziell von Microsoft eingerichteten Newsgroups.

Von einem PC-Welt Artikel über die 15 illegalsten Hacker-Tools (erscheint die PC-Welt eigentlich auch in Österreich und der Schweiz? Da wären die meisten Tools gar nicht illegal, nur wir hier in Deutschland leiden unter Frau Zypries) erwarte ich mir daher im Grunde so etwas wie:

• Absolut Geheim: Nessus hier herunterladen!
• Völlig Top Secret: Mit Wireshark Pakete im Netzwerk abhören!
• Nur für Profis: BackTrack von USB starten!
• Noch geheimer als Geheim: Exploits bei Milw0rm.com (besser ohne Link)

Aber jetzt mal im Ernst … wer die PC-Welt wegen ein paar streng geheimen Windows-Tricks verklagt ist genauso wenig ernst zu nehmen wie jemand, der die PC-Welt wegen ein paar Hackertools rügt. Da müsste Heise ja fast täglich eine Rüge bekommen. Nur die Damen und Herren vom Presserat haben noch nicht gemerkt, dass sich praktisch jede Zeitung in Deutschland inzwischen über sie lustig macht.

Ich warte ja darauf, dass die Hampler der Presserat auch Online-Publikationen ins Auge fast und mir eine Rüge wegen polemischer Kritik am Presserat erteilt 😉

In Österreich geht die Diskussion um Überwacher und Überwachte in eine neue Runde. Ein dem FoeBuD PrivacyDongle vergleichbarer USB-Stick wird in Österreich verbreitet, aber nicht etwa von Bürgerrechtsgruppen.

Statt dessen organisiert die Herstellung und Verteilung laut ORF die Wirtschaftskammer! Erreicht werden sollen mit dem Dongle Ärzte, Rechtsanwälte und Journalisten.

„Wir haben ordentliche Maschinen mit entsprechender Leistung aufgestellt, ausschließlich dedizierte Server“, sagte UBIT-Obmann Friedrich Kofler am Montag zu ORF.at, „sie stehen bei kleinen und mittleren Betreibern im Wiener Raum.“

Das muss man sich vorstellen. In Österreich stellt die Fachgruppe Unternehmensberatung und Informationstechnologie (UBIT) und die IT-Security Experts Group der Wirtschaftskammer Österreich (WKÖ) die TOR-Server auf. In Deutschland werden sie von den Handlangern des Schäubleterrorismus wieder einkassiert.

Im Falle von sensiblen Kundendaten liegt das freilich etwas anders, denn hier gibt es eine Berufspflicht, diese zu verbergen. Der typische Benutzer des Anonymisierungsdienstes sei zum Beispiel die „kleine Rechtsanwaltskanzlei, die ich als Unternehmer betreue“, sagte Martin Prager, Sprecher der Security Experts Group, zu ORF.at.

Unglaublich, was die Österreicher da auf die Beine stellen.

Windows 2000 SP4, aktuelle Service Packs. Nessus (aktuelle Version 3.2.1.1, aktueller Commercial Feed) hat mir folgendes ausgespuckt:

SMB Registry : Autologon

Synopsis :

Anyone can logon to the remote system.

Description :

This script determines whether the autologon feature is enabled. This feature allows an intruder to log into the remote host as DefaultUserName with the password DefaultPassword.

Solution :

Delete the keys AutoAdminLogon and DefaultPassword under
HKLM\SOFTWARE\Microsoft\Window NT\CurrentVersion\Winlogon

Risk factor :

High / CVSS Base Score : 7.2
(CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C)

Hat zufällig einer der Mitleser eine Idee, wie man das aus der Ferne ausnutzen kann? Der Server steht im gleichen LAN in dem ich mich auch befinde. Es gibt keine Firewall dazwischen. Der Zugriff auf Shares ist prinzipiell möglich, scheitert aber an Rechten.