Mitternachtshacking

von www.vorratsdatenspeicherung.de

Wehret dem Schäuble!

(via strcat)

Bei manchen Security Testern frage ich mich ja wirklich: denken die noch selbst oder lassen die die Tools denken und wenn die Tools keine vernünftige Aussage machen, dann rufen wir Mami um Hilfe?

Hier ist wieder so ein Beispiel. Der Autor SkyOut beispielsweise schlägt eine coole Technik vor, um Nikto zu täuschen: ErrorDocument redirects.

Die Kurzusammenfassung lautet in etwa, man verwende

ErrorDocument 400 http://example.com
ErrorDocument 401 http://example.com
ErrorDocument 403 http://example.com
ErrorDocument 404 http://example.com
ErrorDocument 405 http://example.com
ErrorDocument 500 http://example.com

und schon liefert Nikto einen Haufen False Positives:

"+ /admin/config.php - Redirects to http://example.com/ , PHP Config file
may contain database IDs and passwords."

SkyOut schreibt dazu:

„This will be annoying and means a lot of work to filter out, what is wrong and what is interesting. […] Summarizing this we could say, that Nikto is useless or let’s say, it is not that automatic as it was before our changes because now the user does have to do A LOT of work by him- or herself.“

Stimmt: grep -v „Redirects to http://example.com/“ Ich gebe zu, das ist krass viel eigene Arbeit.

Ich versteh’s manchmal echt nicht. Penetrationstests sind ein wenig mehr als nur automatische Tools wie Nmap, Nessus, Nikto, LANguard und Co. zu starten, aus der Ausgabe ein PDF zu machen und  an den Kunden zu schicken. Natürlich steckt die meiste Arbeit in der Auswertung aber genauso gibt es bessere Tools als Nikto und mit ein wenig Kenntnissen von grep und awk (ich empfehle das Buch Unix Power Tools!) hat man den Schrott ruck-zuck ausgefiltert. Seufz.

Naja, coole Domainnamen (Smash the Stack) und leet Kapitelnummern (0x01) garantieren halt noch keinen brauchbaren Inhalt.

In der ZDF Mediathek findet man jetzt komplett alle sechs bisher verfilmten Episoden der Sterntagebücher von Stanislaw Lem. Die kommen heute Nacht auch im Fernsehen.

Die DVD wünsch ich mir zum Geburtstag 🙂

Manchmal hab ich echt den Eindruck ich steh im Wald … heute war wieder so ein Tag.

Ein Kollege und ich hatten ein Gespräch mit einem potentiellen Kunden über Penetrationstests. Wir haben so unsere Leistungen vorgestellt und das Gespräch drehte sich dann über potentielle Einstiegspunkte in ein Netzwerk. Ich sehe da vor allem Webapplikationen und Mails, die User auf Drive-by-Schadprogramme lotsen.

Irgendwann kam dann das Gespräch auf Virenscanner und irgendwer hatte dem Penetrationstest-Interessenten erzählt, Virenscanner seien das absolut übelste was es gibt und man könne mit einer einzigen Mail jeden beliebigen Virenscanner so übernehmen, dass dann ein Programm installiert wird, das dann automatisch eine Verbindung nach außen aufbaut und sensible Programme hinausschleust.

Ich habe mich irgendwie an den Vortrag von Sergio Alvarez auf dem Chaos Camp erinnert, der sich ja mit Sicherheitslücken in Virenscannern beschäftigt hatte aber so krass kam das damals bei ihm nicht rüber. Ich sehe das auch ein klein wenig anders:

1. Virenscannerhersteller sind gewohnt, schnelle Updates zu verteilen. Wenn so eine Lücke auftritt, wird die normalerweise in relativ kurzer Zeit per Scannerengine-Update automatisch aktualisiert. Das „Window of Vulnerability“ dürfte daher meistens relativ klein sein.
2. Mit einer einzelnen Mail lässt sich bestimmt nicht jeder Virenscanner übernehmen.  Ich halte es vielleicht gerade noch für denkbar, dass für (fast) jeden Virenscanner ein Attachment konstruiert werden kann mit dem dieser Virenscanner übernommen werden kann.
3. Die meisten Unternehmen haben mehrere Virenscanner verschiedener Hersteller im Einsatz, am Gateway und auf den Clients, das erschwert zumindest solche Angriffe.
4. Defense-in-Depth bedeutet auch, dass nicht jeder Client beliebig Verbindungen ins Internet aufbauen kann, das sollte also dadurch schon verhindert werden.

Insgesamt stellte sich für mich die Frage: Welchen Sinn hat es, auf Virenscannern rumzureiten, wenn die Ausgangsposition des potentiellen Kunden war, mit Hilfe eines Penetrationstests die Sicherheit der von den Administratoren verwalteten Systeme von Extern überprüfen zu lassen. Ich habe für die verwendete Firewall vielleicht sogar noch einen Zero-Day in der Hinterhand aber das beweist nicht, dass die Administratoren schlechte Arbeit leisten oder das Produkt an sich schlecht wäre. Das beweist lediglich, dass man mit Glück und zum richtigen Zeitpunkt (genau, schon wieder das Window of Vulnerability) eigentlich immer einen Weg irgendwo rein findet.

Ich hab dann mal beim Arbeitgeber von Sergio auf die Webseite gekuckt. Siehe da, die haben ein Produkt mit dem Namen „Parsing Safe“ entwickelt, mit dem sich Virenscanner anscheinend in eine gekapselte Umgebung einbetten lassen, die Exploits verhindern soll. Erinnert mich einerseits an die Sandbox-Technik z.B. von Finjan, auf der anderen Seite an PivX, die irgendwann mal einen Sicherheitslösung für den Internet Explorer entwickelt hatten.

Und klar, wenn man einen Penetrationstest als Verkaufsveranstaltung für die eigenen Sicherheitsprodukte betrachtet, dann macht dieses Vorgehen plötzlich Sinn.

Nur ein Link: http://exploitsearch.com/ … ausprobieren.

für Vielfahrer wie mich gut zu wissen 🙂

Wo kann man eigentlich so ein Blaulicht bestellen?

Wochenende ist Lesezeit und ich habe endlich in der kes vom Dezember geblättert.Thomas Feil hat dort einen sehr lesenswerten Artikel zum § 202c geschrieben. Der Widersinn dieses Gesetzes lässt sich von ihm durch selektives Lesen der Tatvarianten in folgenden Satz kumuliert:

„Wer eine Straftat … vorbereitet, indem er … Passwörter … herstellt, … wird … bestraft.“

In Fachkreisen wird ja auch schon diskutiert, ob die Nutzung von Google möglicherweise nach § 202c strafbar sein könnte, da man mittels Googledorks Passwörter oder vertrauliche Daten ausfindig machen kann.

Sehr geehrte Frau Zypries, es gab noch nie in der Geschichte der Bundesrepublik Deutschland eine derart inkompetente Justizministerin. Sie können stolz auf sich sein. Vielen Dank.

Meine Freundin kam neulich wieder an: „Ein Arbeitskollege hat mir auf einen USB-Stick das Spiel Blocks 5 kopiert, das habe ich mir gerade installiert“. Mein spontane Antwort: „Guter Trick! Wenn ich Dir Schadprogramme unterjubeln wollte würde ich das genauso machen!“. Da hat sie erst einmal gestutzt.

Wenn schon Symantec behauptet, die Old School VXer-Szene wäre am Sterben (und die verdienen mit den Virenscannern ja ihr Geld), dann muss es schließlich ernst sein. Ok, für die Virenscannerhersteller nicht wirklich, die Viren werden hat jetzt von kommerziellen Unternehmen wie dem Russian Business Network entwickelt. Virtuelle Schutzgelderpressung ist schließlich viel bequemer als reale. Man muss nicht raus in den harten kalten russischen Winter.

Aber was das RBN kann, können wir im Kleinen doch auch. Schadprogramme auf USB-Sticks sind nichts neues und dieses Spiel vom Arbeitskollegen bietet sich doch geradezu an.

1. Man nehme ein Open Source Spiel, das so interessant und gut programmiert ist, dass sich ein paar Leute wirklich dafür interessieren. Das Blocks 5 von David Scherfgen ist beispielsweise so ein Spiel und hat mich auch erst auf die Idee gebracht. Das fertige Programm findet man hier, den Source Code hier.
2. Man suche sich ein paar passende Schadroutinen, z.B. aus dem Source Code von Phatbot und binde sie in den Source Code des Spiels ein. Phatbot hat wirklich eine eindrucksvolle Liste von Kommandos und Funktionen und der Source Code ist so 2004 oder 2005 im Internet aufgetaucht (ja, ich habe eine Kopie, nein, ich gebe sie nicht raus).
3. Man erzähle den Kollegen, Freunden, etc. welches coole neue Spiel man im Internet gefunden hat und das ja ganz kostenlos ist (für Lamer).
4. Man setze eine Webseite auf, die diverse Spiele deren Source Code frei verfügbar ist, zum kostenlosen Download anbietet. Natürlich ist prinzipiell jedes der Spiele mit Schadroutinen infiziert aber der kluge Hacker erlaubt den Download mit Schadroutine nur einmal pro Tag von einer IP-Adresse und liefert sonst das harmlose Programm aus und an IP-Adressen von Virenscanner-Herstellern wird natürlich grundsätzlich nur das harmlose Programm ausgeliefert (für Profis).

Hmm, Google liefert 37 Millionen Suchergebnisse für „free game download„. Wahrscheinlich bin ich nicht der erste, der auf diese Idee gekommen ist.

🙂

(via drno, hier auch größer)

In der IT-Presse ist das Thema noch gar nicht so richtig angekommen, dafür wird es z.B. hier ein wenig diskutiert:

Das neue Flagschiff der Flugzeugflotte von Boeing, der Dreamliner 787 scheint die Bordkommunikation nicht sauber zu trennen. Insbesondere die Datenkommunikation der Steuersignale (fly by wire) und die Kommunikation der Passagiere die Wireless im Internet surfen ist nicht komplett getrennt sondern erfolgt teilweise über die gleichen Datenleitungen. Auch wenn da vermutlich VLANs für eine Trennung sorgen sollen, so ganz sauber ist das eigentlich nicht (Tipp: DoS-Angriff) und für derart kritische IT-Komponente auch nicht akzeptabel. So schreibt die Süddeutsche Zeitung:

„So ernst nimmt die amerikanische Flugsicherheitsbehörde Federal Aviation Authority (FAA) diese mögliche Bedrohung, dass sie dem neuen Flaggschiff in der Flotte des Flugzeugbauers Boeing die Zulassung verweigert hat, solange die Firma keine zusätzlichen Sicherheiten in die Bordcomputer einbaut, die Passagieren zur Verfügung stehen.“

So schlimm wird es natürlich nicht kommen. Boeing sind die möglichen Gefahren durchaus bewußt und ein paar zusätzliche Glasfaserleitungen werden schon noch irgendwo Platz finden.

Interessant ist für mich eigentlich die Frage: Wer hat mit welchen Vorstellungen das ursprüngliche Design entwickelt? War das einer dieser Ingenieure, die uns schon WEP (von der IEEE) beschert haben? Wie kann man überhaupt auf die Idee kommen, Flight-Control und Flight-Entertainment über die gleichen Kabel abzuwickeln? Kann man da ein paar Kilo Glasfaserleitungen einsparen? Und warum werden keine IT-Security Spezialisten von Anfang an in die Planung mit einbezogen? Rennen doch genug selbsternannte Schaumschläger in den USA rum.

Fazit: Wenn Ihr irgendwann mal in einem Projekt was planen müßt, das stark auf IT setzt, egal ob das ein Flugzeug, ein Auto, eine Webapplikation oder ein Turnschuh mit MP3-Player ist … fragt irgendwann zwischendrin auch mal jemanden, der sich damit auskennt.

Auch der Originalartikel des Seattle Post-Intelligencer liefert leider keine genaueren Hinweise, wer das ursprünglich verbockt hat.