Mitternachtshacking

Das Zero For Owned eZine Nr. 3 ist da. Interessant, wer da alles wie gehackt wurde. Die SQL-Injection Sachen sind durchaus amüsant zu lesen.

Die Konzentration im IT-Security-Markt geht also weiter, gleichzeitig die Konzentration im Open Source Markt. SourceFire ist der Anbieter von Snort, einem bekannten und gerade bei US-Behörden weit verbreitetem Intrusion Detection und Prevention System. So verbreitet, dass sogar der Kauf von SourceFire durch Check Point an der nationalen Sicherheit scheiterte. ClamAV ist ein Open Source Virenscanner und recht beliebt, weil schnell mit Updates der Pattern und starker Linux-Unterstützung.

Die Übernahme zeigt meines Erachtens zwei Trends:

1. Open Source Software wird in der IT-Security inzwischen von vielen Firmen kaum anders als behandelt als klassische kommerzielle Software. Das betrifft Snort, ClamAV, Nmap, Nessus (früher zumindest) und viele andere Produkte.

2. Nur wenige Anbieter mit komplettem Portfolio werden übrigbleiben. IBM hat ISS übernommen, Symantec kauft diverse Hersteller (und stellt die Firewall ein), EMC hat RSA gekauft und kauft weiter zu … am Ende wird ein kleiner Kreis von vielleicht 8-10 Komplettanbietern für IT-Sicherheitslösungen sowie diverse Nischenabieter übrigbleiben.

Ich lass mich überraschen.

Skype-User hatten und haben gestern und heute anscheinend eine größere Zahl von Benutzern ein Problem mit der Anmeldung am Netzwerk. Im Skype-Blog gibt es dazu folgende Verlautbarung:

The Skype system has not crashed or been victim of a cyber attack. We love our customers too much to let that happen. This problem occurred because of a deficiency in an algorithm within Skype networking software. This controls the interaction between the user’s own Skype client and the rest of the Skype network.

Das spiegelt die häufigsten Kritikpunkte von Skype wieder:

1. Keine geprüfte, bewährte Technologie, die seit Jahren im Einsatz ist und die Skalierbarkeit bereits unter Beweis gestellt hat
2. Proprietäre Closed-Source Technologie, keiner weiß was die verwendeten Algorithmen oder das Verschlüsselungsverfahren wirklich taugen
3. Die rechtlichen Risiken z.B. was das Eigentum der Skype-ID betrifft oder die geschäftliche Nutzung sind nicht geklärt

Anwender, die geschäftlich auf die Nutzung von Skype angewiesen sind, haben hier leider verloren. Es freut mich ja, dass Skype seine Kunden liebt. Aber leider besteht kein Anspruch auf Ersatz irgendwelcher Schäden und freiwillig wird Skype (wir erinnern uns, as Unternehmen gehört zu eBay) vermutlich nichts rausrücken.

Damit nicht genug. Spiegel Online berichtet über ein zweites Problem mit Skype, das insbesondere in Deutschland die Anwender zu quälen scheint:

Auch in Deutschland hat Skype ein peinliches, für die betroffenen Kunden höchst irritierendes Problem: Zahlreiche Kunden mit einem kostenpflichtigen SkypeIn/SkypeOut-Vertrag verloren in den letzten Wochen ihre Telefonnummer und waren nicht mehr zu erreichen – oftmals ohne es zu merken und ohne von Skype darüber informiert zu werden. Offenbar kommt es vor allem bei Vertragsverlängerungen zur Abschaltung der gemieteten Telefonnummern, die Gebühren werden aber kassiert.

Sehr amüsant, dass Anwender aufgefordert werden, ihre Beschwerde an die E-Mail Adresse support@skype.net zu richten. An dieser Adresse schlägt vermutlich alles auf, von Benutzern die ihre Software nicht mehr starten können, zu Problemen mit der Installation, Rechnungsfehlern, etc. Wie gut sich amerikanische Firmen um die E-Mail Anfragen deutscher Kunden kümmern … dazu möchte ich mich lieber nicht äußern. Bei der Deutschen Telekom bekomme ich wenigstens noch einen echten Menschen an das Telefon. Skype lässt sich nicht mal per Skype anrufen. Da ist man froh, wenn man auf so einen Dienst geschäftlich gerade nicht angewiesen ist.

Ich kann mich nur wiederholen: Skype ist im Unternehmen ein klares no-go!

Joanna Rutkowska, die Autorin von Blue Pill, einer Software die ein laufendes Betriebssystem unbemerkt in eine virtuelle Umgebung verschiebt, hat den Source Code von Blue Pill auf der Webseite BluePillProject veröffentlicht. Damit kann der Streit in die nächste Runde gehen.

Joanna behauptet, mit einer solchen Virtualisierung lässt sich komplett unentdeckbarer Schadcode entwickeln, der vom Betriebssystem innerhalb der virtuellen Umgebung nicht mehr erkennbar ist. Der Hypervisor kann das innen laufende System kontrollieren, alle Tastatureingaben überwachen, den Netzwerkverkehr filtern und das ohne Gefahr der Entdeckung. Virenscanner scannen ja nur das eigene System und prüfen bisher nicht, ob ein Hypervisor vorhanden ist.

Thomas Ptacek von Matasano ist gänzlich anderer Meinung und beschreibt welche Ansätze Virtualisierung zu erkennen möglich sind und was davon in seinem Black Hat Vortrag bereits erzählt wurde.

Ich persönlich neige dazu, Thomas rechtzugeben.

Die Präsentationen der Black Hat 2007 sind jetzt auch online.

http://www.blackhat.com/html/bh-media-archives/bh-archives-2007.html

Cool stuff, z.B.

• Steve Christey
  Unforgivable Vulnerabilities
• Barrie Dempster
  VoIP Security: Methodology and Results
• HD Moore & Valsmith
  Tactical Exploitation

um mal ein paar herauszuheben.

Die Anwender sind wenn ich mir das so recht überlege sogar noch aus einem weiteren Grund die angeschmierten.

Hardware-Hersteller haben in der Regel kein besonderes Interesse, für alte Hardware noch neue Treiber für neue Systeme zu entwickeln. Die Entwicklung ist aufwendig und teuer und mit einem Treiber allein kann man in der Regel kein oder nur wenig Geld verdienen. Lieber verkauft man neue Hardware, am besten gleich mit jedem Betriebssystem-Update dazu. Gefürchtet sind hier bei den Anwendern vor allem die Hersteller von Grafikkarten, allen voran Nvidia, die anscheinend gerne mal für eine wenige Jahre alte Grafikkarte keinen Treiber mehr bereitstellen wollen.

Bisher konnte man sich darauf verlassen, dass ein paar clevere Hacker sich da schon was einfallen lassen. Die Jungs von ngohq.com bieten eine Reihe für die Nvidia-Grafikkarten eine Reihe von modifizierten INF-Files an, so dass sich neue Treiber auch noch für ältere Grafikkarten nutzen lassen. Die Treiber selbst funktionieren wunderbar und werden natürlich nicht modifiziert (das wäre wohl auch ein Urheberrechts- und Lizenzverstoß), lediglich der Installer erhält ein anderes Konfigurationsfile, das ihm mitteilt, der Treiber würde auch für ältere Karten noch funktionieren. Nvidia scheint das nicht zu gefallen, vermutlich weil sie da glauben dadurch weniger Hardware zu verkaufen. (Bei mir ist das ja umgekehrt … ich schaue zuerst, welche Hardware zukunftsfähig ist und in fünf Jahren auch noch funktioniert, bevor ich irgendwo Geld ausgebe. Aber das scheinen manche Verkaufsfritzen nicht zu realisieren.) Jedenfalls hat Nvidia versucht, ngohq.com mit Hinweis auf US Copyright abzumahnen. Da ngohq.com jedoch in Israel sitzt sind sie damit voll ins Leere gelaufen.

In Zukunft wird Nvidia dafür nicht mehr US Recht bemühen müssen. Das Zurückziehen der Zertifikate für den Treiber dürfte genügen, Notfalls wird halt eine künstliche Sicherheitslücke eingebaut. Verlierer ist der Anwender, der dann ohne Treiber für seine 500 Euro Grafikkarte dasteht, die fast noch neu ist und der sich nun eine neue Grafikkarte kaufen darf. Oder doch lieber OpenSuSE Linux. Das gibt es in diversen Internet-Shops bereits für 12 Euro inkl. Versand.

Gestern schrieb ich über die Problematik (für den Anwender), wenn Microsoft Treiber von im Grunde vollkommen legalen und legitimen Treibern zurückzieht, weil diese dem Kontrolldenken von Microsoft widersprechen. Natürlich besteht die Gefahr, dass mit einem solchen Treiber auch das Digitale Restriktionsmanagement von Windows ausgehebelt wird. Aber das ist primär ein Problem der Content Industrie und weniger von Microsoft. Leider lässt sich der Eindruck nicht vermeiden, dass Microsoft die Wünsche Hollywoods wichtiger sind als die Wünsche und Bedürfnisse der eigenen zahlenden Kunden.

Das ganze scheint jedoch keine großen Verwerfungen zu verursachen. Dem 08/15-User von Windows ist das recht egal und viele andere sind inzwischen sowieso bereits zu Linux gewechselt. Interessant wird es jedoch , wenn ein wichtiger weit verbreiteter Treiber zurückgezogen werden muss, weil er z.B. eine dicke Sicherheitslücke enthält. Und genau das ist nun passiert: In einem Grafikkartentreiber von ATI, wurde von Alex Ionescu eine Sicherheitslücke gefunden, mit der sich beliebiger Programmcode in den Kernel von Vista schleusen lässt. Ionescu hat dafür einen Proof-of-Concept Exploit namens „Purple Pill“ entwickelt und veröffentlicht aber wieder zurückgezogen, als er erfuhr, dass es von ATI noch keinen Patch für die Lücke gibt.

Wenn Microsoft konsequent ist, müsste das gleiche Verfahren wie beim gestern beschriebenen Atsiv-Treiber angewandt werden. Sperren des Zertifikats durch Verisign, Aufnahme des ungültigen Zertifikats in die Kernel-Sperrliste von Vista. Nur, dann funktioniert der Grafikkarten-Treiber von ca. 50% aller Vista-Notebooks nicht mehr. Ich als Kunde wäre „not amused“. Übrigens auch interessant, eine Aufnahme eines ungültigen Zertifikats in die Kernel-Sperrliste erfordert einen Reboot und kann nicht dynamisch erfolgen. Wenn das in der Server-Version von Windows 2008 genauso bleibt, werden sich die Administratoren freuen, alle halblang ihre Server neu booten zu müssen. Irgendwer bei Microsoft hat da nicht richtig nachgedacht.

Microsoft hat für das aktuelle Problem jetzt erst einmal ATI gedrängt, dringend ein Update für den Treiber zu entwickeln, der dann neu digital signiert wird. Der neue Treiber wird dann via Windows Update verteilt und wenn Microsoft davon überzeugt ist, ausreichend viele Anwender mit dem neuen Treiber versorgt zu haben, wird anschließend, vielleicht in zwei oder drei Monaten das Zertifikat des alten Treibers gesperrt, der alte Treiber kann dann nicht mehr verwendet werden. Übrigens blöd, wenn man dann einen Rechner mit einem der älteren Treiber neu aufsetzen will.

Ich könnte mir vorstellen, dass wir in den nächsten Monaten ein interessantes Katz-und-Maus Spiel erleben werden. Joanna Rutkowska geht sogar soweit, Grafiktreiber als „Malware Compliant“ zu bezeichnen. Die Bad Guys werden versuchen, neue Lücken in diversen Kernel-Treibern zu finden und Microsoft wird jede Woche (oder zumindest jeden Monat zum Patchday) eine Reihe von Treibern wieder sperren müssen. Und jedes mal wird es ein paar Microsoft-Kunden geben, die noch kein Treiberupdate bekommen haben, deren alter Treiber jedoch gesperrt wird und deren System dann nicht mehr funktioniert. Wenn ich Microsoft wäre, würde ich spätestens jetzt kalte Füße bekommen.

Ollie Whitehouse von Symantec, früher @stake sieht das im Grunde ganz genauso, er kann bei seinem jetzigen Arbeitgeber halt nur nicht so über Microsoft lästern.

Microsoft hat mit Vista im 64-Bit Modus strenge Richtlinien eingeführt, welche Treiber von Vista in den Kernel geladen werden und welche nicht. Die wichtigste Anforderung von Kernel-Mode Treibern ist, dass alle Treiber von Microsoft digital signiert werden müssen (KMCS – Kernel Mode Code Signing). Die vollständigen Anforderungen beschreibt Microsoft in den Driver Signing Requirements for Windows.

Microsoft begründet diese Anforderung damit, ihre Kunden vor bösartigem Programmcode schützen zu wollen. Kernel-Mode Rootkits, die nicht über eine digitale Signatur verfügen, werden nicht mehr in den Vista Kernel geladen und können daher auch ihre Schadwirkung nicht mehr entfalten. Im Grunde eine sinnvolle Funktion. Aber mit einem Haken. Microsoft lässt den Kunden keine Wahl mehr, ob sie andere Treiber vielleicht doch laden wollen. Gut, es gibt eine spezielle Boot-Option mit der man diese Anforderung deaktivieren kann, aber diese Option muss bei jedem Neustart mit angegeben werden. Außerdem funktioniert eine Reihe anderer Software (hauptsächlich Mediensoftware) nicht, wenn Vista ohne KMCS gestartet wurde. Praktisch ist daher nicht wirklich nutzbar. Bei Windows XP möchte das Betriebssystem ebenfalls einen signierten Treiber und wenn die Signatur fehlt, bekommt der Anwender einen Hinweis, kann sich aber entscheiden den Treiber doch noch zu installieren. Bei Vista geht nichts mehr.

Die Firma Linchpin Labs hat nun am 20.07.2007 einen signierten Treiber namens Atsiv veröffentlicht, der mit einem eigenen PE-Loader ausgestattet ist und damit beliebige, auch unsignierte Treiber und Bibliotheken in den Vista-Kernel nachladen kann. Aus der Beschreibung von Linchpin Labs:

Atsiv is a command line tool that allows the user to load and unload signed or unsigned drivers on 32 bit (x86) and 64 bit (x64) versions of Windows XP, Windows 2K3 and Windows Vista. Atsiv is designed to provide compatibility for legacy drivers and to allow the hobbyist community to run unsigned drivers without rebooting with special boot options or denial of service under Vista.

Als Anwender oder Entwickler ist das eine praktische Sache. Man kann so Treiber für eigene Hardware entwickeln oder andere Erweiterungen programmieren, ohne auf die Signatur von Microsoft angewiesen zu sein. Das hilft, weil es eine Reihe von Treibern auch für aktuelle Hardware gibt, die nicht digital signiert ist. Diese Hardware kann vom Anwender mit Hilfe des Atsiv-Moduls genutzt werden. Das hilft auch, weil es die geschlossene Vista-Plattform für Funktionen öffnet, die Microsoft vielleicht nicht vorgesehen hat, die ich als Anwender vielleicht aber machen möchte.

Bereits am 03.08.2007 hat Microsoft reagiert. Scott Field, der Windows Security Architect schreibt in seinem Blog, welche Maßnahmen Microsoft dagegen ergriffen hat: Das an Linchpin Labs ausgestellte Zertifikat wurde am 02.08.2007 zurückgezogen. Auf Drängen von Microsoft hat Verisign das Zertifikat auf die Revocation List gepackt, das Zertifikat wird folglich nicht mehr anerkannt. Das Microsoft Sicherheitsteam hat das gesperrte Zertifikat zusätzlich in die Kernel-interne Sperrliste aufgenommen, die mit dem nächsten Update aktualisiert wird. Das Update der internen Sperrliste erfordert allerdings einen Systemreboot. Und damit nicht genug, der Atsiv-Treiber wird von Microsoft Defender als Schadprogramm eingestuft und vom System des Benutzers entfernt.

Spätestens jetzt bekomme ich Bauchschmerzen. Es ist eine Sache, wenn z.B. mein Virenscanner ein Programm wie Cain & Abel, das sich auf meinem Rechner befindet, als Schadprogramm charakterisiert und mir anbietet es zu entfernen. Die Wahl darüber bleibt schließlich weiterhin bei mir und ich kann meinem Virenscanner beibringen dieses (und andere Hackingtools) auf meinem Rechner zu ignorieren. Vista gibt mir diese Möglichkeit nicht mehr. Das Zertifikat wurde gesperrt und der Treiber ist damit nicht mehr funktionsfähig. Nur um das klarzustellen, eigene Treiber im Betriebssystem sind eine vollkommen legale und legitime Angelegenheit. Dabei handelt es sich weder um einen Urheberrechtsverstoß (solange die verwendete Vista-Version legal erworben wurde), noch um einen Lizenzverstoß (da 3rd-Party Treiber ja generell erlaubt sind). Trotzdem verbietet Microsoft es mit über technische Maßnahmen, das Betriebssystem so zu nutzen wie ich möchte. Ohne, dass ich gefragt wurde, werde ich als Anwender bevormundet.

Oder mit den Worten von Peter Gutmann: the longest suicide note in history.

In der Taugshow (österreichisch für Talkshow) von monochrom war ich nur so ca. 45 Minuten. Irgendwie fand ich das nicht so ganz lustig. Die Show war auch nicht wirklich gut besucht, da sind einige Plätze leer geblieben. Ich habe mir ja etwas mehr Show erhofft, so im Sinne des RFID-Songs auf dem CCC aber dann wurde es nach Überwindung der technischen Schwierigkeiten erstmal doch eine recht zähe Talkshow, die ich nicht komplett angekuckt habe.

Egal. Das RFID-Video von YouTube kommt hier jedenfalls rein:

Der notorische Dan Kaminsky mit seinen jährlichen Black Ops. Ich frage mich ja, was er dann auf dem Congress im Dezember bringt, weil da kann er seine Black Hat Slides nicht schon wieder recyceln. Das gab übrigens ganz schön Buh-Rufe von den Zuhörern, dass auf den Slides nicht mal „Black Hat Conference“ durch „Chaos Communication Camp“ ausgetauscht war. Ich frag mich ja, was eigentlich originäre Arbeit von Dan in den Präsentationen ist und was er so zugetragen bekommt. Beim Thema Flash-Vulnerabilites fand ich den Vortrag von Fukami inhaltlich um Klassen besser. Nur die Show und das gehampel auf der Bühne hat Dan besser drauf.

Angriffe mit Flash und DNS Rebinding

Jedenfalls hat Dan das Thema Flash und DNS Rebinding wieder aufgegriffen und ein wenig genauer erklärt. Das Problem wurde wohl erstmals 1996 als Princeton Attack veröffentlicht und für Flash von Dan Boneh von der Stanford University genauer untersucht. Zurückzuführen lässt sich das alles auf die „Same Origin Policy“, die davon ausgeht, dass eine Datenquelle mit einem Rechnernamen identisch ist. Nur stammen die Daten von einer IP-Adresse und der Rechnername aus DNS. Und die DNS-Einträge lassen sich schnell mal ändern. Zu einem Zeitpunkt zeigt www.example.com auf einen Webserver und lädt die Flash-Applikation, zu einem späteren Zeitpunkt (nur Sekunden später) auf eine private interne IP-Adresse und führt einen Angriff aus. Damit lässt sich natürlich sehr schön jede Firewall umgehen.

Dan unterscheidet zwischen Angriffen Level 1 (nur der Browser ist betroffen), Level 2 (Web-Plugins werden zum Angriff verwendet) und Level 3 (Plugins mit Socket-Funktion werden verwendet, Angriffe in das LAN sind möglich). Sockets finden sich beispielsweise in Flash und Java. Java war übrigens das Originalziel der Princeton Attacke von ’96.

Für das DNS-Rebinding sieht Dan als alter DNS-Hacker drei Möglichkeiten:

1. Temporal: Die TTL wird auf 0 gesetzt, dann darf der DNS-Server eigentlich nicht cachen. Einige DNS-Server implementieren jedoch eine Minimum-TTL (meist so etwa 5 Minuten) und ignorieren eine TTL=0.
2. Spatial: Man kann für einen DNS-Namen mehrere IP-Adressen angeben. Allerdings hat man dann keine Kontrolle, welche IP-Adresse der Browser wann verwendet. Aber man kann ja mehrfach versuchen.
3. Ridiculous: Mit Hilfe von CNiping, d.h. der Verwendung von CNAME anstatt direkten IP-Adressen lässt sich ein Eintrag im DNS-Cache auch überschreiben, wenn die TTL noch nicht abgelaufen ist. Da kann man was mit anfangen.

Und nun setzt Dan ein paar Bausteine zusammen. Dazu verwendet er den Browser mit einer speziellen Flash-Anwendung, den Angreifer, der über den Browser in das lokale Netz eindringen will und einen speziellen Proxy (Slirpie). Dabei handelt es sich um einen Multiprotokoll-Server, der TCP-Stream von/zum Flash, HTTP für den Browser, DNS für das Rebinding und XML-Socket zur Kontrolle der Policy unterstützt. Anscheinend hat Dan sowas programmiert, leider jedoch nicht veröffentlicht.

Mit einem Rückgriff auf Slirp (1995) und PPTP ist es damit möglich, VPN über den Browser einzurichten, wobei der Browser nicht als VPN-Client sondern als VPN-Gateway dient. Scary!

Provider Hostality

Der zweite Teil des Vortrags beschäftigt sich mit der Thematik eines neutralen Netzes. Welche Möglichkeiten gibt es, um eine Provider zu entdecken, der einzelne Webseiten in seinem Netz bevorzugt transportiert und andere Seiten ausbremst oder noch schlimmer Content manipuliert in dem z.B. Werbeeinblendungen verändert werden.

Hier gab es ein paar interessante Ideen, z.B. über einen transparenten Proxy, der alle Seiten cached zu ermitteln, ob der Provider irgendwas manipuliert. Als geeignetes Werkzeug bietet sich ein Sniffer im Browser an, hier hat Dan etwas mit dem Namen „Inspector Pakket“ gebastelt aber leider auch noch nicht veröffentlicht.

Mal sehen, was davon demnächst als reale Software auftaucht. So ein Metasploit als Flash im Browser um die Angriffe von innen auszuführen wäre schon cool 🙂