3. Januar 2008
Microsoft lässt keine Schweinerei aus, um diesen völlig unbrauchbaren und nicht implementierbaren Scheinstandard OOXML doch noch mit Gewalt zum Standard zu erklären. Aktuell fährt Microsoft offensichtlich zweigleisig. Einerseits versucht der Konzern die strittigen Fragen in OOXML gar nicht zu beseitigen sondern lediglich in einen „optionalen“ Anhang zu verfrachten, was das Implementierungschaos nur vergrößern würde. Gleichzeitig versucht Microsoft die ISO durch massive Lobbyarbeit so umzugestalten, dass statt einer internationalen Standardisierungsorganisation nur noch ein Herstellerkonsortium für wichtige Standards verantwortlich wäre. Beides dient nur den kommerziellen Interessen eines Fast-Monopolisten und schadet uns allen.
Ich wünsche mir ja für Deutschland die gleiche Konsequenz wie in Norwegen:
- HTML should be the primary format for publication of public information on the Internet.
- PDF (1.4 or newer, or PDF/A – ISO 19005-1) is compulsory when you wish to preserve the original layout of a document.
- ODF (ISO/IEC 26300) must be used when publishing documents that are meant to be changed after downloading, eg. forms that are to be filled in by the user.
Das gibt jedem Bürger die Möglichkeit, mit kostenfreien einfach zu bedienenden Programmen (z.B. OpenOffice auf Knoppix) am Internet und am eGovernment zu partizipieren. eGovernment darf nicht nur für „Vermögende“ möglich sein, die sich Microsoft Vista und Office leisten können und wollen. Aber … mal ehrlich … kann man eine so bürgernahe, nützliche und ungeschmierte Entscheidung von unseren Politikern erwarten?
Deshalb hier der Aufruf: Unterstützt NoOOXML mit dieser Petition!
bei The Register
„Unfortunately, as you might have guessed, Nokia doesn’t make this phone any more. This splendid design made its debut in 2000, and this model was last refreshed in the Spring of 2003 – almost five years ago. Yes, it’s the ‚old‘ 6310i…“
Ich kann das nur zu 100% unterstreichen, ich nutze das 6310i auch noch 😉
PS:
Ja, das ist noch aus 2007 aber ich möchte wegen dem 24C3 doch die liegengebliebenen Beiträge nicht ganz aus den Augen verlieren, oder?
2. Januar 2008
Ein paar Links auf Artikel in diversen Online-Medien …
am umfangreichsten berichtete natürlich Heise:
dann natürlich Golem
Spiegel Online als wichtigstes Nachrichtenportal will da nicht zurückstehen, nur schafft es der Spiegel leider nicht, die Artikel mit 24C3 oder so zu kennzeichnen damit man sie leichter findet. Dabei ist das doch gar nicht so schwer, oder liebe Redaktion?
Für Focus Online sind übrigens so Themen wie Jackass wichtiger als der Chaos Communication Congress … aber Focus Online war noch nie mein bevorzugtes Portal und das Heft hat meiner Meinung nach auch stark nachgelassen.
Dafür hat der britische The Register ein paar Themen aufgegriffen
Indymedia ist auch dabei, hier nur der Link auf den Hauptartikel
und zu guter Letzt darf die TAZ nicht fehlen, in deren Räumen der CCC ja gegründet wurde
Weitere Hinweise und Links nehme ich gerne mit auf.
Nachtrag:
Die Welt (ja genau, die reaktionäre Springer-Presse) hat sich auch zu einem übrigens erstaunlich positiven Artikel durchgerungen:
Ich persönlich finde den Beitrag von Thomas Lindemann jedenfalls recht gelungen.
1. Januar 2008
Eine Polemik:
„Liebe Mithacker und Mithäcksen,
ein arbeitsreiches Jahr liegt hinter uns, ein Jahr in dem Deutschland alles in allem einen guten Schritt in den Überwachungsstaat getan hat.
Vorneweg beim Kampf gegen das Internet. Millionen von Internetnutzer werden durch die Vorratsdatenspeicherung überwacht, kriminalisiert und pauschal als potentielle Verbrecher eingeschätzt – wer hätte diese Entwicklung vor zwei Jahren für möglich gehalten?!
Auch der Ausbau des BKA zu einer Überwachungs- und Bespitzelungsbehörde schreitet voran. Erstmals seit der Wiedervereinigung ist eine Überwachungsbehörde wie das Ministerium für Staatssicherheit nicht mehr irgendein Wunschtraum eines paranoiden Innenministers; nein, es ist tatsächlich in Reichweite.
Und nicht zuletzt die Lage bei Forschung und Innovation, Bildung und Ausbildung – auch hier geht es rapide abwärts. So werden wir in diesem Jahr nicht mehr unbeschwert forschen und lernen können, der problematische § 202c schwebt über uns allen. Die Unternehmen im benachbarten Ausland werden alles daran setzen, die qualifizierten Köpfe abzuwerben, die in den vergangenen Jahren die letzten Chancen Deutschlands bewahrt hatten.
All dies sind nur ganz wenige Beispiele für die Lage unseres Landes heute. Aber sie alle haben eines gemeinsam. Sie zeigen: In Deutschland geht es spürbar und immer schneller abwärts. Unser Land setzt 75 Jahre lang nicht gekannte Kräfte frei. Und damit knüpft es an alte unsägliche Traditionen aus dem 3. Reich und der DDR an.
Über viele Jahrzehnte war Deutschland das Land der Lebenschancen für jeden – der Chance zum Aufstieg durch lernen, basteln und herausfinden, der Chance zur freien Teilhabe im Internet, der Chance, etwas zu erreichen. Das hat unser Land stark gemacht. Genau das wird durch inkompetente, unfähige und paranoide Politiker endgültig zunichte gemacht.
Heute sehen wir die ersten Ergebnisse. Noch nie nach 1945 ging es unserem Land und unserer Demokratie so schlecht wie heute. Noch nie stand der Überwachungsstaat so direkt vor der Tür. Noch nie haben sich Politiker so schamlos bei den Diäten bedient während Hartz4-Empfänger noch nicht einmal genug Geld bekommen, gesunde und natürliche Lebensmittel zu kaufen.
Andere Länder sehen übrigens sehr genau hin, was sich in Deutschland tut. Man sieht unsere Möglichkeiten bei der Kriminalisierung der Internetnutzer. Und man beobachtet genau, wie wir in Deutschland unsere wirtschaftlichen Möglichkeiten selbst beschränken. Beides zusammen hat Deutschlands Ansehen in den letzten zwei Jahren in der freien Welt massiv geschadet.
Und beides zusammen bringt für die Politiker in Deutschland eine größere Verantwortung mit sich, die sie leider nicht in der Lage sind wahrzunehmen. Statt dessen wird für das Gesetz zur Vorratsdatenspeicherung gestimmt um direkt im Anschluss das Bundesverfassungsgericht um Hilfe zu rufen. Oder in dem Schüler die auf dem Schulhof CDs und Musikdateien austauschen durch die widersinnige und unverständliche Verschärfung der Regelungen zum geistigen Eigentum kriminalisiert werden.
Und nicht zuletzt indem deutsche Soldaten im Inneren eingesetzt werden, Polizisten jeden verfolgen und kriminalisieren, der sich im Internet bewegt und sich der Innenminister KonzentrationsInternierungslager wie Guantanamo wünscht, angeblich um Frieden und Stabilität zu sichern.
Liebe Frau Merkel, dafür bedanke ich mich bei Ihnen.
Deutschland kann seine alte Kraft als das Land der Sozialen Marktwirtschaft nur wieder neu unter Beweis stellen, wenn die korrupte alte Garde der Minister jetzt abtritt. Die Minister Schäuble, Zypries, Jung und vor allem Bundeskanzlerin Merkel stehen für eine menschenverachtende Politik die in diesem Land niemand wünscht.
Deutschland kann seine alte Kraft als das Land der Ideen nur dann wieder neu unter Beweis stellen, wenn die Fehlentwicklungen insbesondere des letzten Jahres zurückgedreht werden. Nur braucht es dafür eine neue Politik mit neuen Köpfen.
Wir alle müssen unseren Teil zum Widerstand gegen die aktuelle Politik beitragen. Wir alle müssen unsere Stärken zum Schutz der Verfassung und des Landes einsetzen. Nur dann kann unsere Demokratie wieder gestärkt werden.
Lasst uns das neue Jahr in einem neuen Geist angehen.
Ich wünsche Euch allen ein erfülltes und gesegnetes neues Jahr 2008!“
PS:
Das Original unserer Bundeskanzlerin findet ihr hier (PDF).
Nachtrag:
Text freigegeben unter Creative Commons cc-by-sa-3.0. Namensnennung durch Link auf diese Seite oder diesen Beitrag. Kommerzielle Nutzung unter diesen Bedingungen gestattet.
31. Dezember 2007
Das Jahr 2007 neigt sich dem Ende, daher nur noch ein letztes Foto:
Gleich im neuen Jahr geht es weiter, ich danke allen treuen Lesern (und auch den untreuen), wünsche einen guten Rutsch ins neue Jahr und freue mich, auch 2008 diverse Themen in der IT-Security kommentieren zu können.
Die aufgelegten Folien will ich kommentarlos als Fotobeweis dokumentieren 🙂
Tim Pritlove hat dann zum Ende noch ein paar Statistiken geliefert:
- 4013 – Besucher
- 17 – Alter des jüngsten Referenten
- 16105 – Zurückgelegte Kilometer des entferntesten Sprechers (gleichzeitig der jüngste)
- 25 – Workshops
- 100 – Präsentationen
- 3 – davon die ausgefallen sind
- 580 – MB Sputnik Tracking Data
- 25,2 – Millionen Sputnik-RFID-Tag Sichtungen
- 37 – Sputnik-Leser im Gebäude
- 210 – Sputnik-Träger die getrackt wurden
- 76 – nicht-anonyme Sputnik-Träger
Das war’s, nächstes Jahr, gleiche Zeit, gleicher Ort.
Alexander Kornbrust ist neben David Litchfield vermutlich der wichtigste Oracle Sicherheitsexperte den wir haben. Wenn von ihm ein Vortrag zu Oracle Security kommt, dann kann man eigentlich immer etwas wichtiges erwarten.
Zu Beginn gab es einen kurzen Abriss zu alten Lücken, insbesondere PL/SQL-Injecion-Fehler. Hier hat Oracle in den letzten Jahren über 1000 Fehler behoben und verwendet inzwischen einen Fortify-Sourcecode-Scanner um weitere Lücken zu erkennen. Das Spiel heißt jetzt nicht mehr „Hacker gegen Oracle“ sondern „Hacker gegen Fortify“. Dummerweise ist der PL/SQL-Code der nicht von Oracle ist weiterhin dramatisch schlecht da die Entwickler in den Unternehmen nur auf ihre Business-Logik achten und teilweise noch nie von SQL-Injection gehört haben. Eine einzige Lücke reicht einem Angreifer jedoch aus um die komplette Datenbank zu übernehmen.
Eie weitere Fehlerklasse hat David Litchfield auf der Black Hat DC 2007 vorgestellt, dort nutzte er eine Lücke im Cursor aus die jedoch inzwischen behoben ist. Der Hack zeigt jedoch, dass weiterhin mit Lücken zu rechnen ist und immer mehr Angriffe automatisiert werden.
Ein Thema mit dem sich Alexander als erster intensiv beschäftigt hat sind „Database Rootkits“. Dabei werden einzelne Einträge wie Benutzer und Passwörter oder Jobs in der Datenbank versteckt. Diese Rootkits haben darüber hinaus den Vorteil, plattformunabhängig und nur datenbankspezifisch zu sein. Eine Variante ist die Modifikation der Database-Views. Die meisten Tools verwenden Views um auf die Inhalte von Tabellen zu kucken. Ein Eintrag kann so in einem View verborgen werden während er in der Tabelle selbst weiter enthalten ist. Es gibt inzwischen sogar kommerzielle DB-Rootkits, z.B. von Argeniss, inzwischen von Gleg aufgekauft. Von Paul Wright (PDF) gibt es ebenfalls ein Rootkit-Whitepaper, außerdem eine neue Methode von David Litchfield, der im Memory (PPT) einzelne Funktionen patcht.
Die wichtigsten Probleme aktuell sind:
- Unvollständiges Auditing, z.B. kann die User-Table nicht überwacht werden
- Default Passwörter / Login und Passwort identisch
- Nicht eingespielte Patches
- Ungeschützte Listener
Die Listener sind ab 10g automatisch geschützt, die Hauptprobleme werden weiterhin Patches sein, da viele Anwender nicht kurzfristig oder regelmäßig Patches einspielen können.
Eine weitere neue Funktion mit Missbrauchspotential ist die Transparent Data Encryption (TDE) die auf jeder neuen Oracle-Installation vorhanden ist und nicht deinstalliert werden kann (jedoch zur Nutzung eine eigene 10.000 USD/CPU Lizenz verlangt). Wenn die TDE eingesetzt wird, hilft sie dem Angreifer, relevante Daten zu finden da nur wichtige Sachen verschlüsselt sind (und die Entschlüsselung beim Query ja transparent erfolgt). Wenn sie nicht eingesetzt wird, gibt es ganz neue Erpressungsmethoden. Einfach die TDE aktivieren und kritische Daten verschlüsseln. Das passiert (da transparent) unsichtbar für den Nutzer. Nach einem Reboot bzw. Neustart der Datenbank ist dann der Schlüssel weg und das Unternehmen zahlt sicher gerne für das fehlende Passwort.
Weitere Themen waren Skripten in Clients für SQL*Plus, die z.B. beim Starten des Oracle-Clients automatisch nach der Anmeldung ausgeführt werden (quasi wie ein Trojaner) sowie Shellcode in Tablenamen, z.B. wenn ein Table „!rm -rF /“ heißt 🙂 Cooles Zeug.
30. Dezember 2007
In der Präsentation „Unusual Web Bugs“ von kuza55 ging es Schlag auf Schlag mit den unterschiedlichen Sicherheitslücken in Browsern und Servern, in PHP und anderen Sprachen. Das ging so schnell, viele Punkte konnte ich gar nicht mitschreiben, ich hoffe die FeM-Leute kriegen das Video bald (und brauchbar) kodiert. Die folgenden Stichpunkte sind daher lediglich meine eigene Gedächtnisstütze, schaut Euch das Video selbst an.
- XSS bei angemeldeten Benutzern
- Missbrauch des Passwort-Managers
- Automatisches Einfügen von Passwörtern in Formulare
- Session Fixation
- Abhängig von Cookies und Regeneration der Cookies
- Cache auslesen (nur IE)
- Sonstige Cookie-Spiele
- Logout durch blockieren des Cookie (CSRF/Flash, Firefox-Tool)
- Login als der Angreifer (Cookie via Flash in Header einschleusen)
- Hilfreich ist, dass die Cookie Policy schwächer als die Same Origin Policy ist
- IE FindMimeFromData
- Encoding-Angriffe gegen SQL-Server (Multibyte-Char)
- und vieles mehr
Ferruh Mavituna hat einiges in diesem Bereich gemacht und bietet u.a. ein SQL Injection Sheet auf seiner Homepage an. Eine andere Quelle ist Ha.ckers.org.
Für meinen Geschmack richten sich die meisten Probleme jedoch gegen den Browser und nicht gegen den Server und die Webapplikation. Angriffe gegen Browser sind mehr für Leute, die Schadprogramme auf die Clients bekommen wollen und ich bin sicher, einige der Angriffe sind bereits im berüchtigten MPack implementiert. Für meine Pentest-Arbeit sind jedoch Lücken in Serverapplikationen nützlicher, da lässt sich auch legal (§ 202c StGB) noch der eine oder andere Exploit anwenden.
Post-Exploitation, d.h. die effiziente Datensammlung von gehackten Systemen wird immer wichtiger, da in den nächsten Jahren insbesondere bei Windows weniger Lücken und Exploits zu erwarten sind. Luke Jennings hat sich in seinem Vortrag (bereits auf der Defcon 15 gehalten (PDF)) daher mit Windows Access Token beschäftigt. Diese Token werden von Windows für praktisch alles verwendet, angefangen von Zugriffsrechten auf Dateien bis hin zu den Rechten mit denen Prozesse gestartet werden und ob sich ein Benutzer anmelden darf.
Mit einem fremden Token sind daher interessante Angriffe möglich, vom Datendiebstahl über Impersonation bis zur lokalen und domainweiten Rechteeskalationen. In älteren (nicht gepatchten) Windows Systemen gibt es darüber hinaus einen Fehler, dass solche Token nicht komplett gelöscht werden wenn sich ein Benutzer abmeldet. Dieses Token kann mit speziellen Tools wiedergefunden und genutzt werden.
Die Programme find_user und incognito sind von Luke veröffentlicht worden und kann entweder von der Milwaukee Area Defcon Group oder von SourceForge heruntergeladen werden.
Bei den Vorträgen von Ilja hab ich regelmäßig das Problem, dass ich höchstens die Hälfte davon verstehe. Das geht immer so weit in C- und Kernel-Interna, das brauche ich normalerweise nicht und ich programmiere auch nicht besonders gern. Diesmal habe ich zwar ganz gut verstanden, worum es ging aber die potentiellen Lücken zu einem Exploit zu entwickeln ist nochmal ein eigener Schritt.
Der erste Teil beschäftigte sich mit /dev/kmem und möglichen Race Conditions beim Auslesen des Kernel-Speichers. Die Lücken sind auf NetBSD bezogen, können aber ähnlich in allen anderen Systemen auftreten, die noch /dev/kmem verwenden (neuere Systeme greifen auf sysctl bzw. /proc zu und benötigen /dev/kmem nicht mehr).
Das Auslesen der Prozesstabelle via /dev/kmem funktioniert im Detail wie folgt:
- Finde die Prozesstabelle im Kernel-Speicher
- Finde die passende Prozessstruktur in der Prozesstabelle
- Finde den Zeiger in der Prozessstruktur, der z.B. auf den Prozessnamen zeigt
- Lese die Informationen auf die der Zeiger der Prozessstruktur zeigt
- Gib die Daten aus
Zwischen den Schritten zwei und drei kann eine interessante Race Condition auftreten. Das kommt vor, wenn während dieses Ablaufs der Prozess beendet wird und aus der Prozesstabelle verschwindet. Der Angriff sieht dann wie folgt aus:
- die Prozessstruktur wird wieder freigegeben
- der Speicher kann reallokiert werden
- wenn der Angreifer die Kontrolle über diesen Speicherbereich bekommt, kann er dort beliebigen Inhalt hineinschreiben
- der Inhalt sollte aussehen wie eine Prozessstruktur
- die Stelle an die der Pointer zeigt kann ausgelesen werden
Ein wunderbarer Data Leak direkt aus dem Kernel mit allen damit verbundenen Sicherheitsimplikationen. Noch schöner ist es, dass zwei SGID-kmem NetBSD-Programme (trsp/trpt) ihre Privilegien beim Starten nicht verwerfen und sogar core-Files einlesen (womit sie anfällig für manipulierte core-Files werden). Damit dürfte unter geeigneten Umständen eine Rechteeskalation zur Gruppe kmem und damit der komplett lesende Zugriff auf /dev/kmem möglich sein.
Eine zweite Fehlerklasse verursacht der Systemaufruf snprintf() in C, der zwei Eigenschaften hat. Zum einen ist der Rückgabewert der Funktion beim Schreiben in einen Puffer nicht die Zahl der tatsächlich geschriebenen Zeichen sondern die Zahl der geschriebenen Zeichen wenn alles in den Puffer gepasst hätte. Zum zweiten gibt snprintf() bei einem Fehler -1 als Rückgabewert zurück. Einige Funktionen prüfen jedoch den Rückgabewert nicht sondern verwenden ihn direkt zur Zeigermanipulation. Bei geeigneten mehrfachen Aufrufen mit Fehler (-1) kann dieser Zeiger dann auf eine beliebige Adresse gesetzt werden.
Der letzte Teil des Vortrags beschäftigt sich mit Out of Band Daten bei TCP. Dafür wird das Urgent-Flag und der Urgent-Pointer im TCP-Header genutzt. Allerdings gibt es kaum noch Anwendungen die Out of Band Daten nutzen.
Das Senden von OOB-Daten ist recht einfach: send(fd, data, len, MSG_OOB);
Das Lesen ist etwas kniffliger, da beim Empfänger Out of Band Daten normalerweise einfach ignoriert werden. Mittels der Funktion: fcntl(fd, F_SETOWN, getpid()); kann der Filehandle so gesetzt werden, dass OOB-Daten empfangen werden. Der Aufruf recv(fd, buf, len, MSG_OOB); kann dann zum Lesen genutzt werden. (Alternative Unix-Versionen haben andere Konstantennamen, MSG_OOB ist dann entsprechend anzupassen).
Eine Alternative ist OOB_INLINE, mit der Daten beim Empfänger auch in den normalen Empfangsdatenstrom eingebunden werden können. Und hier bekommen spätestens Intrusion Detection Systeme Probleme denn wie soll das IDS erkennen, dass die Daten zwar OOB gesendet aber Inline empfangen werden. Und pauschal Inline-Empfang anzunehmen ist auch nicht möglich eben weil das Standardverhalten des Empfängers einfach das Ignorieren der Daten ist.
Ich sag ja … ist immer krasses Zeug mit dem sich Ilja da beschäftigt.
