Mitternachtshacking

Hint zum Quiz: IPoAC

Manchmal ist Wikipedia auch ein wenig daneben. 🙂

Daniel Miessler hat 10 Fragen für ein Security Interview und passende Antworten zusammengestellt:

1. Where do you get your security news from?
2. If you had to both encrypt and compress data during transmission, which would you do first, and why?
3. What kind of computers do you run at home?
4. What port does ping work over?
5. How exactly does traceroute/tracert work?
6. Describe the last program or script that you wrote. What problem did it solve?
7. What are Linux’s strengths and weaknesses vs. Windows?
8. What’s the difference between a risk and a vulnerability?
9. What’s the goal of information security within an organization?
10. Are open-source projects more or less secure than proprietary ones?

Während ein paar Fragen technisch sind und einige recht philosophisch, geben sie doch einen knappen Überblick der Fähigkeiten des Kandidaten. (via Security4all)

Das erinnert mich an einen Fragebogen, den wir bei einem ehemaligen Arbeitgeber allen zukünftigen Netzwerktechnikern unter die Nase gehalten haben. Inzwischen sind die Fragen natürlich etwas veraltet, ISDN und X.21 spielen z.B. keine große Rolle mehr (ooooh it’s so 1999), aber ich denke man erkennt die Idee. Meine Lieblingsfrage ist immer noch Nr. 15, heute würde ich aber nach RFC 3093 fragen 🙂

1. Wofür steht die Abkürzung „ICMP“?
2. Auf welchem Protokoll setzt „ICMP“ auf?
   (Auswahl: Ethernet, TCP, UDP, IP)
3. Welche der aufgelisteten Protokolle dienen _nicht_ zum Austausch von IP Routinginformationen?
   (Auswahl: SNMP, HSRP, ICMP, BGP, RIP, OSPF, EGP, ARP)
4. Bitte beschreiben Sie die Funktionsweise des „ARP“ Protokolls.
5. Auf welchem der genannten Protokolle setzt „ARP“ auf?
   (Auswahl: UDP, ICMP, IP, Ethernet, TCP)
6. Was ist ein „RFC“?
7. Beschreiben Sie die konzeptionellen Unterschiede von „PAP“ und „CHAP“.
8. Wofür steht „CIDR“ und was versteht man darunter?
9. Bitte beschreiben Sie kurz die grundsätzliche Funktionsweise des „RADIUS“ Protokolls.
10. Welche Vorteile bietet „OSPF“ im Vergleich zu „RIP“?
11. Bitte beschreiben Sie die wichtigsten Unterschiede zwischen „RIP-v1“ und „RIP-v2“.
12. Wofür steht die Abkürzung „OSPF“?
13. Wofür steht die Abkürzung „SNMP“?
14. Bitte beschreiben Sie die Unterschiede zwischen „FTP“ und „TFTP“.
15. Bitte beschreiben Sie RFC 1149 „A Standard for the Transmission of IP Datagrams on Avian Carriers“.
16. Bitte beschreiben Sie die Funktionsweise von „ping“ bei IP.
17. Wofür steht „BGP4“ und wo wird dieses Protokoll eingesetzt?
18. Bitte beschreiben Sie die Funktionsweise des „DHCP“ Protokolls.
19. Welches der aufgelisteten Protokolle wird bei PPP für die Zuweisung dynamischer IP Adressen an Dialin-Clients verwendet?
    (Auswahl: BOOTP, DHCP, ICMP, IPCP, ARP)
20. Bitte beschreiben Sie kurz den TCP Verbindungsaufbau.
21. Welche dieser Organisationen ist für die Zuweisung offizieller IP Protokoll- und Portnummern zuständig?
    (Auswahl: ITU, IANA, ISOC, IEEE, RIPE, IETF, InterNIC)
22. Was hat man unter „Multi Homed“ in Zusammenhang mit einem Internet-Zugang zu verstehen und was ist hierfür nötig?
23. Was bedeutet „FTP Passive Mode“?
24. Bitte erklären Sie kurz die Begriffe „Unicast“, „Multicast“ und „Broadcast“.
25. Beschreiben Sie die Funktionsweise von „traceroute“.
26. Welche Auswirkungen hat eine niedrige TCP Windowsize auf die Übertragungsgeschwindigkeit von grossen Datenmengen (bulk transfer) und warum ist das so?
27. Welche Adressen stehen Ihnen bei dem Subnetz 192.168.1.192 mit der Netzmaske 255.255.255.192 zur Verfügung?
28. Welche Adressen stehen Ihnen im Netz 192.168.4.0 mit der Netzmaske 255.255.254.0 zur Verfügung?
29. Was ist ein Transfernetz und wofür wird es benötigt?
30. Was versteht man unter „Tunneling“?
31. Nennen Sie mindestens drei IP Tunneling Protokolle.
32. Bitte beschreiben Sie die grundsätzliche Funktionsweise eines Ethernet Switches.
33. Beschreiben Sie die Schnittstelle „X.21“.
34. Was ist die Aufgabe der „ITU“ und wofür steht diese Abkürzung?
35. Beschreiben Sie die Unterschiede zwischen einem ISDN Point-to-Point und einem Point-to-Multipoint Anschluss.
36. Welche Bandbreite ist bei einer Standardfestverbindung des Typs „2MS“ der Deutschen Telekom AG nutzbar?
37. Wie viele Byte pro Sekunde können theoretisch über eine 2MBit/s Standleitung maximal übertragen werden?
38. Wie viele KBytes sind ein MByte?
39. Wie gross kann ein IP (Version 4) Paket maximal sein?
40. An welcher Stelle werden fragmentierte IP Pakete wieder zusammengefügt?
    (Auswahl: beim ersten Router, der IP Fragmente auf dem Weg zum Empfänger bekommt; beim letzten Router auf dem Weg zum Empfänger; durch den TCP/IP Stack des Zielrechners; durch das Anwendungsprogramm auf dem Zielrechner, für das die Daten bestimmt sind)
41. Welche Unterschiede bestehen zwischen UDP und TCP?
42. Beschreiben Sie IP Source Routing.

Die Anzahl der Fragen ist übrigens nicht zufällig und natürlich haben wir beachtet, ob einem Kandidaten das auffällt.

Ach ja, Lösungsvorschläge für die unteren 42 Fragen bitte an cgr@mitternachtshacking.de. Der Gewinner erhält einen USB-Stick, bei mehreren gleichen Einsendungen entscheidet das Los. Einsendeschluß ist der 16. Dezember, Mitternacht (Datum des Eingangs meines Mailservers), der Rechtsweg ist ausgeschlossen.

ohne Wort:

(via Wortfeld)

Multics … schon mal gehört? Nein? Vielleicht im Zusammenhang mit den Anfängen von Unix? Ab 1963 von AT&T und anderen in der Programmiersprache PL/I entwickelt bis 2000 auf Installationen verschiedener Hersteller in Betrieb.

Multics hatte 1963 bereits ein besseres Sicherheitskonzept als die meisten modernen Betriebssysteme. Hier eine Beschreibung der Funktionen (PDF). Sehr lesenswert, auch die Literaturliste.

Ok, es ist vorbei. Das ganze Thema „Hacking“ ist offensichtlich gelaufen. Wir sind jetzt endgültig absolut sicher. Aber nicht wegen dem § 202c, nein, nein. Statt dessen haben wir das der EADS und ihrem Ectocrypt-System zu verdanken.

„A team of researchers and engineers at a UK division of Franco-German aerospace giant EADS has developed what it believes is the world’s first hacker-proof encryption technology for the internet.“

Quelle: Telegraph.co.uk. Hier gibt es sogar ein lustiges Video und ein Datenblatt (PDF) dazu.

Hmm, mal testen …

• Secret System … ja, geheime EADS Technologie ohne veröffentlichten Details
• Technobabble … ja, z.B. „High Assurance Internet Protocol Encryptor (HAIPE)“, „lightning speed key scambling and re-formatting“
• Unbreakable … ja, offensichtlich
• One-time Pads … nein, leider nicht

75% Übereinstimmung mit der Definition für Snake Oil Cryptography.

Ich persönlich gebe der Technologie ja so ca. 12 Monate, bevor die NSA eine fette Lücke gefunden hat und das System wertlos ist. Ich fürchte, die Jungs bei der EADS sollte nicht so viel Ghostbusters kucken. Viel witziger hätte ich ja gefunden, wenn die Jungs ihre Verschlüsselung „Clearstream“ genannt hätten. 🙂

Matasano hat einen sehr lesenswerten Artikel über sichere Passwort-Hashes, Rainbow-Tables und unfähige Software-Entwickler geschrieben:

Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes

Das Fazit daraus ist, Passwörter dürfen niemals im Klartext sondern müssen immer als Salted Hash gespeichert werden. Der Salt kann im Klartext zum Passwort-Hash dazugespeichert werden, sollte jedoch mindestens 16 Bit lang sein. Als Hash sollte nicht MD5 oder SHA1 zum Einsatz kommen, die viel zu schnell sind und einem Angreifer die Möglichkeit geben, viele Hashes in sehr kurzer Zeit zu testen. Statt dessen sollte etwas wie bcrypt() von OpenBSD verwendet werden, das auf Blowfish aufsetzt und sehr langsam und umständlich ist.

Nachtrag:

Matasano hat eine neue Blog-Adresse und einen neuen Link.

Manchmal sollte man besser nicht weiter nachbohren, sonst findet man lauter Kuriositäten.

Die Chicago Sun-Times verbietet ihren Lesern in den „Terms of Use“ die Nutzung von Ad-Blockern:

5. Your Use Of The Web Site
As a user of the Web Site, you agree that you will not:

• cover or obscure any banner or other advertisement on the Web Site;

Der Blogger Danny Carlton hat sogar ein Skript implementiert, das gezielt Firefox-Nutzer mit AdBlock bzw. AdBlockPlus aussperrt. CNet hat einen netten Artikel zu dieser Problematik.

Umgekehrt rüsten auch die Werbefuzzis auf. Buenos Dias Elias beschreibt, wie man Werbung trotz Adblocker anzeigen lassen kann.

Ich warte ja auf die ersten Prozesse in den USA. Da wurde 1979 schon Betamax verklagt, da die Nutzer Werbung durch Vorspulen überspringen können (übrigens erfolglos).

Ich schrieb bereits darüber, warum ich mein Blog lieber selbst hoste und es niemand anderem anvertraue. Das was ich schreibe gehört so erstmal mir, zumindest was das deutsche Urheberrecht dazu sagt und jede anderweitige Nutzung (ausgenommen Zitate) ist daher erstmal unzulässig. Klar, in der Praxis interessiert nicht groß, was ich hier schreibe aber ein gewisser abstrakter Schutz vor Missbrauch ist zumindest gegeben.

Besonders krass ist der Fall jetzt bei unseren „Don’t be evil“ Freunden von Google.

Google bietet Nutzern die kostenfreie Möglichkeit, mittels Google Text & Tabellen Dokumente und Kalkulationen auf den Servern von Google zu erstellen. Die dort von vielen Nutzern erstellten Informationen sind vielleicht sogar teilweise vertraulich, auf jeden Fall aber nicht für jeden gedacht. Selbst wenn es im Prinzip unwichtig ist, geht das andere Leute gleich gar nichts an.

Auch hier hilft wieder ein Blick in die von Google verfassten AGB, die jeder Nutzer akzeptieren muss. In der Fassung vom 18.12.2006, noch gültig am 16.09.2007 steht darin unter Punkt 11.1 folgender Abschnitt:

„Durch Übermittlung, Einstellung oder Darstellung der Inhalte gewähren Sie Google eine dauerhafte, unwiderrufliche, weltweite, kostenlose und nicht exklusive Lizenz zur Reproduktion, Anpassung, Modifikation, Übersetzung, Veröffentlichung, öffentlichen Wiedergabe oder öffentlichen Zugänglichmachung und Verbreitung der von Ihnen in oder durch die Services übermittelten, eingestellten oder dargestellten Inhalte.“

Faktisch bedeutet das, alle bei Google Text & Tabellen eingestellten Daten und Informationen kann Google beliebig weiterverwenden, veröffentlichen, damit werben und da die Lizenz unwiderruflich ist, kann Google die Daten sogar noch nutzen, wenn sie aus Google Text & Tabellen vom Nutzer längst wieder gelöscht wurden.

Laut Golem behauptet Google zwar, das sei so nicht gemeint aber wenn es halt doch zum Streit kommt, gelten die schriftlich fixierten AGB und der Nutzer ist der Dumme.

Wenn das nicht „evil“ ist, was dann?

Schon länger im Backlog aber jetzt passend zum Thema:

Disclaimer: Achtung, enthält möglicherweise jugendgefährdende Fotos und Dateien 🙂

Ich finde das ja durchaus interessant. Da bekomme ich also (mühsam aus dem Spamordner gefischt) folgende E-Mail:

Die liebe (mir unbekannte) Maria Webber hat also eine Webseite aufgesetzt, und lädt mich ein ihre Bilder zu betrachten. Die Webseite selbst sieht so aus (Unkenntlichmachung von mir, ich weiß nämlich nicht, ob die Dame mit der Veröffentlichung des Bildes einverstanden ist oder ob das Bild irgendwo einfach geklaut wurde):

Beim Anklicken von „Andere Fotos finden Sie im Archiv“ bekommt man eine Datei „photos.exe“ (ZIP-File, Achtung Download auf eigene Gefahr) angeboten. Ich habe die Datei an Virus Total geschickt, um sie testen zu lassen, nachdem mein lokaler Virenscanner nichts gefunden hat. Das Ergebnis ist relativ eindeutig:

Zumindest 10 der vorgeschalteten Virenscanner kommt die Datei suspekt vor, im Allgemeinen wird ein Trojan Dropper (d.h. ein Programm, das weiteren Schadcode nachlädt) mit dem Namen PolyCrypt erkannt.

Mich beeindruckt ja der Aufwand, mit dem das Verbreiten von Schadcode inzwischen erfolgt. Früher wäre die Datei einfach als Attachment in der Mail enthalten gewesen. Heute setzen die Angreifer eigene Webseiten auf (ok, enthält nur ein Photo, aber die URL muss zumindest registriert werden), verbreiten passenden Spam und warten darauf, dass die nichtsahnenden Nutzer sich den Schadcode selbst auf den Rechner laden.

Ich bin mir sicher, das Verfahren lässt sich auch hervorragend für gezielte Social Engineering Angriffe gegen Unternehmen missbrauchen. Einfach eine ähnlich klingende Domain registrieren, eine passende Mail gezielt an einzelne Mitarbeiter verschicken und abwarten, was passiert …

Anmerkung: AntiVir  7.06.00.05 vom 06.09.2007 erkennt den Schadcode noch nicht,  AntiVir 7.06.00.10 vom 15.09.2007 erkennt den Schadcode. Da sieht man mal wieder, wie wichtig aktuelle Virenscanner-Updates sind. Auch interessant, AntiVir sucht inzwischen nach 1071077 Virenstämmen, über 1 Million, schon krass. Vielleicht doch langsam Whitelists einführen?