{"id":221,"date":"2007-08-12T00:45:10","date_gmt":"2007-08-11T22:45:10","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/221-ccc-camp-black-ops-2007"},"modified":"2018-05-22T23:36:49","modified_gmt":"2018-05-22T22:36:49","slug":"ccc-camp-black-ops-2007","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/221-ccc-camp-black-ops-2007","title":{"rendered":"CCC Camp: Black Ops 2007"},"content":{"rendered":"<p>Der notorische <a href=\"http:\/\/www.doxpara.com\/\">Dan Kaminsky<\/a> mit seinen <a href=\"https:\/\/events.ccc.de\/camp\/2007\/Fahrplan\/events\/1975.en.html\">j\u00e4hrlichen Black Ops<\/a>. Ich frage mich ja, was er dann auf dem Congress im Dezember bringt, weil da kann er seine Black Hat Slides nicht schon wieder recyceln. Das gab \u00fcbrigens ganz sch\u00f6n Buh-Rufe von den Zuh\u00f6rern, dass auf den Slides nicht mal &#8222;Black Hat Conference&#8220; durch &#8222;Chaos Communication Camp&#8220; ausgetauscht war. Ich frag mich ja, was eigentlich origin\u00e4re Arbeit von Dan in den Pr\u00e4sentationen ist und was er so zugetragen bekommt. Beim Thema Flash-Vulnerabilites fand ich den <a href=\"\/blog\/212-ccc-camp-testing-and-exploiting-flash-applications\">Vortrag von Fukami<\/a> inhaltlich um Klassen besser. Nur die Show und das gehampel auf der B\u00fchne hat Dan besser drauf.<\/p>\n<p><strong>Angriffe mit Flash und DNS Rebinding<\/strong><\/p>\n<p>Jedenfalls hat Dan das Thema Flash und DNS Rebinding wieder aufgegriffen und ein wenig genauer erkl\u00e4rt. Das Problem wurde wohl erstmals 1996 als Princeton Attack ver\u00f6ffentlicht und f\u00fcr Flash von Dan Boneh von der Stanford University genauer untersucht. Zur\u00fcckzuf\u00fchren l\u00e4sst sich das alles auf die &#8222;Same Origin Policy&#8220;, die davon ausgeht, dass eine Datenquelle mit einem Rechnernamen identisch ist. Nur stammen die Daten von einer IP-Adresse und der Rechnername aus DNS. Und die DNS-Eintr\u00e4ge lassen sich schnell mal \u00e4ndern. Zu einem Zeitpunkt zeigt www.example.com auf einen Webserver und l\u00e4dt die Flash-Applikation, zu einem sp\u00e4teren Zeitpunkt (nur Sekunden sp\u00e4ter) auf eine private interne IP-Adresse und f\u00fchrt einen Angriff aus. Damit l\u00e4sst sich nat\u00fcrlich sehr sch\u00f6n jede Firewall umgehen.<\/p>\n<p>Dan unterscheidet zwischen Angriffen Level 1 (nur der Browser ist betroffen), Level 2 (Web-Plugins werden zum Angriff verwendet) und Level 3 (Plugins mit Socket-Funktion werden verwendet, Angriffe in das LAN sind m\u00f6glich). Sockets finden sich beispielsweise in Flash und Java. Java war \u00fcbrigens das Originalziel der Princeton Attacke von &#8217;96.<\/p>\n<p>F\u00fcr das DNS-Rebinding sieht Dan als alter DNS-Hacker drei M\u00f6glichkeiten:<\/p>\n<ol>\n<li>Temporal: Die TTL wird auf 0 gesetzt, dann darf der DNS-Server eigentlich nicht cachen. Einige DNS-Server implementieren jedoch eine Minimum-TTL (meist so etwa 5 Minuten) und ignorieren eine TTL=0.<\/li>\n<li>Spatial: Man kann f\u00fcr einen DNS-Namen mehrere IP-Adressen angeben. Allerdings hat man dann keine Kontrolle, welche IP-Adresse der Browser wann verwendet. Aber man kann ja mehrfach versuchen.<\/li>\n<li>Ridiculous: Mit Hilfe von CNiping, d.h. der Verwendung von CNAME anstatt direkten IP-Adressen l\u00e4sst sich ein Eintrag im DNS-Cache auch \u00fcberschreiben, wenn die TTL noch nicht abgelaufen ist. Da kann man was mit anfangen.<\/li>\n<\/ol>\n<p>Und nun setzt Dan ein paar Bausteine zusammen. Dazu verwendet er den Browser mit einer speziellen Flash-Anwendung, den Angreifer, der \u00fcber den Browser in das lokale Netz eindringen will und einen speziellen Proxy (Slirpie). Dabei handelt es sich um einen Multiprotokoll-Server, der TCP-Stream von\/zum Flash, HTTP f\u00fcr den Browser, DNS f\u00fcr das Rebinding und XML-Socket zur Kontrolle der Policy unterst\u00fctzt. Anscheinend hat Dan sowas programmiert, leider jedoch nicht ver\u00f6ffentlicht.<\/p>\n<p>Mit einem R\u00fcckgriff auf Slirp (1995) und PPTP ist es damit m\u00f6glich, VPN \u00fcber den Browser einzurichten, wobei der Browser nicht als VPN-Client sondern als VPN-Gateway dient. Scary!<\/p>\n<p><strong>Provider Hostality<\/strong><\/p>\n<p>Der zweite Teil des Vortrags besch\u00e4ftigt sich mit der Thematik eines neutralen Netzes. Welche M\u00f6glichkeiten gibt es, um eine Provider zu entdecken, der einzelne Webseiten in seinem Netz bevorzugt transportiert und andere Seiten ausbremst oder noch schlimmer Content manipuliert in dem z.B. Werbeeinblendungen ver\u00e4ndert werden.<\/p>\n<p>Hier gab es ein paar interessante Ideen, z.B. \u00fcber einen transparenten Proxy, der alle Seiten cached zu ermitteln, ob der Provider irgendwas manipuliert. Als geeignetes Werkzeug bietet sich ein Sniffer im Browser an, hier hat Dan etwas mit dem Namen &#8222;Inspector Pakket&#8220; gebastelt aber leider auch noch nicht ver\u00f6ffentlicht.<\/p>\n<p>Mal sehen, was davon demn\u00e4chst als reale Software auftaucht. So ein Metasploit als Flash im Browser um die Angriffe von innen auszuf\u00fchren w\u00e4re schon cool \ud83d\ude42<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der notorische Dan Kaminsky mit seinen j\u00e4hrlichen Black Ops. Ich frage mich ja, was er dann auf dem Congress im Dezember bringt, weil da kann er seine Black Hat Slides nicht schon wieder recyceln. Das gab \u00fcbrigens ganz sch\u00f6n Buh-Rufe von den Zuh\u00f6rern, dass auf den Slides nicht mal &#8222;Black Hat Conference&#8220; durch &#8222;Chaos Communication [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[13,8],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/221"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=221"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/221\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=221"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=221"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=221"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}