30. Dezember 2007
Nun gab es doch noch den bereits vermissten Vortrag zur Schweizer Postcard. Die beiden Referenten hatten schon auf dem letzten CCC gezeigt, dass die Schweizer Karte nur einen 320-Bit RSA-Key verwendet, der innerhalb von 24 Stunden gecrackt werden konnte. Damit ist nicht nur diese eine Karte kompromittiert, da es sich um den Privaten Schlüssel der Issuing Party handelt, d.h. mit diesem Schlüssel können neue Karten digital signiert werden. Interessanterweise hat das die Schweizer Presse nicht wirklich interessiert.
In diesem Jahr ging der kompakte Vortrag über die Möglichkeiten, SmartCards zu clonen, d.h. komplette identisch funktionierende Kopien herzustellen. Dazu musste jedoch zuerst das verwendete Kommunikationsprotokoll analysiert werden, was sich recht mühsam herausstellte. Zum Einsatz kamen eine Javacard, eine Prozessorcard und die Überlegung, das ganze mit spezieller Hardware zu machen wie es die Briten kurz vorher vorgeführt hatten.
Funktion |
Hardware |
Javacard |
Prozessorcard |
Timing |
X |
– |
– |
T1 Sniffing |
X |
– |
X |
Direct Convention |
X |
– |
X |
Indirect Convcention |
X |
X |
X |
Ease of Use |
low |
high |
med |
Secrecy |
low |
high |
high |
Special Hardware |
X |
– |
X |
Die komplette verwendete Hardware und Software und weitere relevante Informationen sind auf der Webseite Postcard-Sicherheit.ch veröffentlicht.
Meiner Meinung nach ist hier neben der technischen Sicherheit vor allem die politische Implikation interessant. Die Schweizer Öffentlichkeit hat von den Sicherheitsproblemen gar keine Kenntnis genommen (im Gegensatz zum Bericht aus Großbritannien, dort hat die BBC eine Fernsehsendung zu den Lücken der Chip&PIN-Karte gesendet). Ebenso werden vom Anbieter, der Schweizerischen PTT die Probleme kleingeredet oder komplett abgestritten. Das Risiko liegt also wie in Deutschland alleine beim Kunden. Ein Umkehrung der Beweislast bei sämtlichen unklaren Zahlungen solcher Karten, d.h. die Bank muss dem Kunden grob fahrlässigen Umgang nachweisen, ist daher dringend geboten.
URLs zum Thema:
Fefe schreibt in seinem Blog: „Im Moment läuft hier in Saal 1 das großartige Monochrom-Puppentheater. Eine Beobachtung, die man so auch wohl nirgendwo anders machen kann: im Publikum sitzen tatsächlich Leute, Notebook mit WLAN auf den Knien, und gucken sich den Stream aus Saal 2 an.“
Stimmt 🙂 Ich habe das auch gemacht … in Saal eins das Monochrom-Puppentheater gekuckt und ab und in den Live-Stream von Saal 3 (Embedded Device Hacking) gekuckt. Da habe ich nicht so viel neues erwartet.
Ebenfalls sehr praktisch ist das Live-Reinhören mit dem DECT-Telefon. Das ist eigentlich der Hauptgrund, warum ich das Telefon dabei habe:
- Raum 1: 8001
- Raum 2: 8002
- Raum 3: 8003
Und meine eigene Nummer dieses Jahr ist die -2167, falls mich jemand anrufen möchte. Aber bitte nicht gerade während eines Vortrags, da ist das Telefon meistens ausgeschaltet.
Generell bestätigt sich jedoch mein Eindruck, dass der CCC deutlich weniger technisch ist als die letzten Jahre. Dafür hat der Politik- und Kunstanteil gewonnen, mit Big Brother, Bundestrojaner, Vorratsdatenspeicherung aber auch mit Monochrom und dem Filmwettbewerb „Das Panoptische Prinzip“. Das ist zwar lustig aber ich bin mir nicht so ganz sicher ob es sich lohnt, nächstes Jahr wieder nach Berlin zu fahren.
Ach ja, das Programm von Sec hat 1069 Zeilen … falls das nächstes Jahr wieder gefragt wird 🙂
29. Dezember 2007
Monochroms zweiter Auftritt, diesmal die ganze Künstlergruppe und nicht nur Johannes Grenzfurthner …
Man erkennt das auf den Fotos recht schlecht, da es im Raum sehr dunkel war … das sind Figuren auf Stöcken die von oben in einem kleinen Miniaturtheater gespielt haben. Leider etwas verwackelt, weil die Belichtungszeit meiner Kamera zu lange war. Trotzdem fand ich das Spiel sehr amüsant, eine richtig gute Idee und ein klasse Kontrast zur sonstigen Hightech-Veranstaltung
Aber dass Johannes beim Applaus beinahe Roland Gratzer vergessen hat, seinen tapferen Gitarristen und Mitsänger … 😉
Das Reverse Engineering von Embedded Devices ist ein immer wiederkehrendes Thema auf dem Congress, in diesem Jahr mindestens zum dritten Mal vertreten. Trotzdem ist es immer wieder interessant mit welchen verbesserten Methoden die Firmware von Embedded Systeme analysiert wird.
Die wichtigsten Eigenschaften zur Analyse von Embedded Devices sind:
- oft alte Kernels
- wenig Speicher
- viele Bugs
- Hintertüren z.B. durch fest kodierte Passwörter
Zugriffsmöglichkeiten auf die Firmware bestehen an mehreren Stellen:
- an der Firmware rumspielen
- versteckte Kommandos
- Software-Updates
- via JTAG
- via Seriell
Das Filesystem das in so einer Firmware verwendet wird ist in der Regel romfs, squashfs oder cramfs. Außerdem gibt es so lustige Sachen wie bFLT (Binary Flat Format) oder das BCC Protokoll.
Geräte mit einem solchen System sind beispielsweise
- Linksys rv42
- Icybox NAS 1000
- Elmeg t484 pabx
In der zweiten Hälfte stellte Dash seine Analyse der Elmeg-Anlage vor. Die Analyse der Firmware greift auf das Tool UWfirmforce von Überwall zurück, das Khorben 2006 auf dem Congress vorgestellt hat.
Diesmal ging es nicht um das Schweizer Postcard Debitsystem sondern um das britische Chip & PIN System. Steven Murdoch hat einen Kartenleser so modifiziert, dass man damit u.a. Tetris spielen kann, viel wichtiger jedoch, dass die eingegebenen Kartendaten inklusive der eingetippten PIN direkt an einen dritten Rechner geschickt werden, mit dem in Echtzeit eine Authentisierung an einem anderen Terminal möglich ist.
Der Ablauf sieht dann so aus:
Kunde –> Böses Terminal —> Hacker –> Normales Terminal –> Bank
- Der Kunde schiebt seine Karte in das Terminal und gibt die PIN ein um einen kleinen Betrag zu bezahlen
- Das Terminal leitet die Daten an den Hacker weiter
- Der Hacker verwendet eine programmierbare Karte und schreibt die Daten darauf
- Der Hacker authentisiert sich mit den Daten und der PIN an einem echten Terminal und bezahlt einen sehr hohen Betrag
- Der nichts ahnende Kunde wird um den hohen Betrag belastet
Im Grunde ist da nichts neues dabei, die Technik ist vergleichbar mit den Methoden die verwendet werden um Mittels Aufsatzgeräten die Magnetstreifen und PINs an deutschen Geldautomaten abzugreifen. Durch die Chipkarte wird es lediglich ein wenig schwieriger.
Das Problem ist m.E. auch weniger die technische sondern die politische Implikation. Theoretisch gilt in Großbritannien ein „Banking Code“ (d.h. die Banken haben durch geschickte Lobbyarbeit ein entsprechendes Gesetz vermieden) nachdem die Banken dem Kunden nachweisen müssen, unvorsichtig gehandelt zu haben. Praktisch ist das gleiche passiert, das auch schon in Deutschland zu sehen ist: Die Banken verweisen auf ihr angeblich 100% sicheres System mit Chipkarte und PIN und lehnen jede Verantwortung für Schäden ab. Und die deutschen Banken bekommen von offensichtlich wenig kompetenten Richtern am BGH auch noch Recht.
Für Kunden bleibt eigentlich nur das Fazit, die Nutzung dieser Systeme soweit wie möglich einzuschränken. Ich verwende meine EC-Karte ausschließlich zum Geldabheben am Automaten und ich rüttle jedes mal am Einschub und dem Tastenfeld in der Hoffnung, ein schlampig befestigtes Vorschaltgerät löst sich dann ab. Ich zahle praktisch niemals im Supermarkt mit EC-Karte sondern immer bar, da für mich nicht kontrollierbar ist was wie wo in diesem EC-Kartenterminal passiert. Und wo Kartenzahlungen notwendig sind nehme ich Kreditkarten, da ist die Haftungsregelung nämlich viel Kundenfreundlicher.
Ach ja, und die Karte sollte sich nicht nur am Terminal authentisieren sondern das Terminal auch an der Karte …
Ich habe mir unter diesem Titel zwar etwas anderes vorgestellt aber insgesamt war ich von den beiden Italienern positiv überrascht.
Insbesondere der erste Teil von Twix war richtig gut. Er hat eine Möglichkeit gefunden in Solaris 8, 9 und 10 verlässlich Kernel-Sicherheitslücken mit Hilfe von Exploits auszunutzen. Die Idee von ihm basiert darauf, 80 Byte mit psargs in die vom Kernel verwaltete Prozesstabelle zu schleusen, die im Gegensatz zum Stack ausführbar ist. Damit lassen sich etwa 19 Befehle, durch Chaining mit mehreren Prozessen sogar komplexere Exploits ausführen. Seine Methode funktioniert grundsätzlich zuverlässig mit allen Kernelexploits die den Stack nicht verändern, andernfalls muss man den Stackzustand manuell wieder herstellen, damit der Kernel nicht abstürzt.
Im zweiten Teil hat sgrakkyu sich mit Windows Race Conditions beschäftigt, insbesondere Kernel Races. Ein Thema sind Programme wie Windows Firewalls oder Virenscanner die sich mittels Kernel Space Hooking in das System einklinken. Das ist jedoch ein fehlerhaftes Design, da eine TOCTOU-Race Condition vorliegt.
Zu einem Zeitpunkt A findet der Hook statt und der Virenscanner prüft die übergebenen Daten. Zu einem späteren Zeitpunkt B findet der Rücksprung auf die echte API statt und die Windows-Funktion wird ausgeführt. Allerdings ist es unter bestimmten Umständen möglich, zwischen A und B die untersuchten Daten zu verändern.
Der Vortrag war sehr sehr technisch, ich habe vermutlich höchstens die Hälfte verstanden. Es lohnt sich jedoch, in den Phrack-Artikel der beiden reinzukucken. Einer der längsten die ich je gesehen habe. In dieser Qualität und auf diesem Niveau waren bisher nur die beiden Vorträge zum Barcode-Hacking und zu Mifare.
Tonnere Lombard ist einer der NetBSD-Entwickler und u.a. Maintainer des FVWM, eines X11 Windowmanagers, der zu meiner Unix-Anfangszeit State-of-the-Art war.
Die Präsentation von ihm behandelte typische Programmierfehler die zu Sicherheitslücken und diversen Problemen führen können. Insgesamt eher ein Vortrag für Leute die sich neu mit sicherer Programmierung beschäftigen, unabhängig davon aber zwar etwas chaotisch aber sehr kompetent präsentiert.
Wichtige Fehler:
- Buffer Overflows (Stack, Heap)
- Integer Overflows (z.B. 32-bit Code auf 64-bit Systemen)
- Synchronisierungsprobleme (Race Conditions, Signalbehandlungsfehler)
- Format String Bugs
- Injectionsangriffe (XSS, XSFR, SQL-Injection)
- Authentisierungsfehler
Das spannende war, die meisten Fehler wurden anschaulich direkt live vorgeführt.
Ein Beispiel: Integer Overflow (Fehler auf 64-bit Systemen)
- Falsch: unsigned long fl = (_flags & 0xffff0000) > 16;
- Richtig: unsigned long fl = (_flags & 0xffff0000L) > 16;
Der Source Code seiner fehlerhaften Programme ist bereits auf vulns.bsdprojects.net veröffentlicht.
Sehr amüsant fand ich seinen Kommentar beim Öffnen des Webbrowsers: „Hoffentlich kommt nicht der Schäuble angerollt, beim Öffnen dieses Terrortools“ und sein Fazit: „Es gibt keine Programmiersprache welche es erlaubt, das Gehirn abzuschalten„.
Nachtrag:
Ebenfalls eine lustige Idee ist die Gründung eines „Vereins“ mit dem Namen „‚ or 1=1 —“ um den Vereinsnamen als Login in Webformularen verwenden zu können. Das muss doch sogar für den GröIaZ legal sein.
Zwei Bilder vom 24C3, das BCC mit der „Heart of Gold“ …
und der Bundestrojaner des CCC
28. Dezember 2007
Der Mifare-Chip von Philips ist ja schon seit geraumer Zeit ein Thema, insbesondere der Mifare Classic, weil Philips bei diesem Chip nicht herausrücken will, wie die Verschlüsselung funktioniert. Das Thema ist jetzt durch Henryk Plötz und Karsten Nohl haben sich die Arbeit gemacht, den Chip aufzusägen, zu analysieren und ein komplettes Reverse Engineering der Transistoren durchzuführen. Das Ergebnis ist erschreckend.
Ein großer Teil der Arbeit, insbesondere die Kommunikation zwischen Kartenleser und Chipkarte wurde mit Hilfe der hervorragenden Arbeit von Milosch Meriac durchgeführt, der OpenPCD und OpenPICC entwickelt hat.
Bekannt ist schon länger, dass Mifare Classic einen proprietären Algorithmus verwendet, der einen 48-Bit Schlüssel verwendet (und damit eigentlich schon zu kurz für kommerzielle Anwendungen ist). Der Algorithmus war jedoch geheim. Henryk und Karsten haben den Algorithmus analysiert (allerdings noch nicht veröffentlicht), der auf einem einfachen LSFR basiert. Es gibt keine nicht-linearen Komponenten im Feedback, der Algorithmus bietet daher keine Forward Security. Hintergrund ist vermutlich, dass ein explizites Designziel eine geringe Komplexität war, um den Algorithmus mit wenig Transistoren und wenig Energie durchführen zu können.
Eine weitere Schwachstelle ist der Zufallszahlengenerator, der sich ausschließlich über die Zeit seit Aktivierung initialisiert. In Tests konnten die Referenten zeigen, dass durch geschicktes Timing immer die gleichen „Zufallszahlen“ produziert werden.
Eine dritte Schwachstelle ist die Verknüpfung von UID und Key in der Verschlüsselung. Die UID lässt sich beim Senden mit OpenPICC fälschen (sie steht jedoch auch in Block 0 und kann dort nicht verändert werden aber das prüfen die meisten Leser nicht ab) und der Key passend wählen, so dass der Reader meint, er hat einen anderen User authentisiert. Das ist möglich, ohne dass man den Key des eigentlichen Users kennen muss.
Das Fazit:
1. Security by Obscurity funktioniert nicht. Allerdings kriegt Philips ja bei MP3-Playern schlechte Kritiken, warum soll das bei Chipkarten so viel besser sein?
2. Mifare Classic ist quasi tot. Es ist nur noch eine Frage der Zeit bis der Algorithmus veröffentlicht ist und dann werden sich die Kryptoanalytiker drauf werfen und alle Schwächen finden.
3. Es wird Zeit zu migrieren.
Eine Antwort von Philips steht übrigens noch aus.
Für mein Verständnis war das der wichtigste Vortrag bisher auf dem ganzen Congress. Was mich ein wenig wundert ist, dass Heise zu diesem Thema gar nichts schreibt. Immerhin ist der am weitesten verbreitete RFID-Chip betroffen. Aber vielleicht war das Marketing des Vortrags nicht gut genug? 😉
Fabs, einer der Mitarbeiter von FXs Firma hat einen neuen Portscanner namens „PortBunny“ entwickelt und vorgestellt. Dabei ist er clever und aggressiv das Problem von Nmap angegangen, bei Rechnern mit nur wenig offenen Ports sehr lange für den Portscan zu brauchen. Einfach nur mehr und schneller Anfragen zu senden ist dabei keine Lösung weil das Netz Pakete verwirft, wenn es überlastet ist.
Die Idee von Fabs ist dabei recht clever. Er streut in den Scanprozess alle paar gesendete Anfragen ein Paket ein von dem er weiß, dass es eine Antwort erzeugt. Das kann z.B. ICMP Echo Request, ein ICMP-Fehler als Antwort auf ein UDP-Paket oder ein TCP-RST sein. Wenn diese Antworten nicht mehr zurückkommen, dann sieht der Portscanner das Netz ist überlastet und sendet seine Anfragen langsamer. Außerdem können die letzten Anfragen neu gesendet werden. Das Verfahren ähnelt in gewisser Weise der TCP Congestion Control.
Mit dieser Technik ist PortBunny in der Lage, das Netz recht effizient auszulasten, insgesamt deutlich besser als Nmap. Allerdings erzeugen die Trigger ca. 10% zusätzlichen Netzwerkverkehr. Source Code wurde keiner veröffentlicht, eventuell passiert das im Januar. Da sich PortBunny direkt im Linux-Kernel befindet (/dev/portbunny), muss, falls es veröffentlicht wird, zumindest das Modul unter der GPL veröffentlicht werden … naja, mal sehen.
Insgesamt hat mich der Vortrag nicht sonderlich beeindruckt. Die Idee mit den Triggern ist zwar ganz clever, aber das hätte man gut auch in Nmap integrieren können (und kommt vermutlich auch irgendwann da rein). Ansonsten ist der Scan lediglich schneller als bei Nmap (im günstigsten Fall so Faktor 2-10). Gegen die großen IPv6-Netze hilft das nur leider auch nicht. Wenn nicht gerade FX für den Vortrag gestanden hätte (um seine Firma zu promoten?) hätte es der Inhalt meiner Meinung nach wohl kaum ins Programm geschafft. Tja, so ist der Stand halt: keine Präsentationsslides, kein Source Code. Enttäuschend.