Mitternachtshacking

Trusted Computing wurde so 2002/2003 groß gehyped. Diverse Hersteller, allen voran IBM bauten TPMs (Trusted Platform Module) in ihre Systeme ein und Microsoft entwickelte unter dem Namen Palladium, später umbenannt in Next Generation Secure Computing Base (NGSCB) die Software dazu. Und niemand wollte es. Der US-Amerikanische Cryptoexperte Lucky Green ließ sich damals sogar extra die Möglichkeit patentieren, DRM mit Hilfe von TPMs zu erzwingen, nachdem Microsoft, IBM & Co behauptet hatten, niemals auf diese Idee zu kommen.

Inzwischen finden sich mehr und mehr Anwendungen für die ein TPM sinnvoll wäre. Angefangen von sicherer Verschlüsselung (damit Schäuble nicht alles ausschnüffeln kann) über digital signierte Programme (z.B. im Vista-Kernel aber für Linux wäre das auch praktisch). Der allgemeine Tenor wenn man heute mit IT-Sicherheitsexperte spricht ist, dass man im Grunde nichts gegen TPM an sich habe. Man möchte diese Technik und die damit verbundenen Möglichkeiten nur nicht in den Fingern von Microsoft sehen.

Vielleicht bietet ein Open Source Projekt einen Ansatz zur sicheren und akzeptablen Umsetzung von Trusted Computing. Leise und still hat sich OpenTC entwickelt und inzwischen (im Juli) auch spannende Software für SuSE Linux veröffentlicht.

Meiner Ansicht nach lohnt es sich, sich die Konzepte und Technologien genauer anzuschauen. Da stecken sehr interessante Ideen drin. Die endgültige Implementierung wird leider noch einige Zeit auf sich warten lassen. Das könnte TeleTrust doch mal fördern, oder?

Nein, es geht diesmal nicht um Kollisionen, da schreibe ich ein andermal was dazu.

Steven Murdochs (muss man nicht kennen) Webseite ist gehackt worden und der Angreifer hat einen Account mit einem Passwort hinterlassen. Das Passwort war leider nur als MD5-Hash gespeichert und Steven kam nicht hinter das richtige Passwort. Also hat er den Hash bei Google eingegeben und mit ein wenig kucken, was da angezeigt wird kam er tatsächlich auf das richtige Passwort. So weit so langweilig.

Ich nutze die Gelegenheit nur, auf zwei Sachen hinzuweisen:

1. Salted Passwords!

2. MD5 Online Cracker (Rainbow Tables)

• http://md5.rednoize.com/
• http://passcracking.com/index.php
• http://md5.cryptobitch.de/
• http://www.hashserver.com/
• http://www.md5oogle.com/
• http://md5.noisette.ch/
• http://us.md5.crysm.net/

Ach ja, der Hash war „20f1aeb7819d7858684c898d1e98c1bb“ und das Passwort „Anthony“.

Hacking ist ja nicht nur Computer sondern alles was Technik aus macht … hier: ein Getränkeautomat.

Quelle: 5min

Manche Webserver sind einfach übelst konfiguriert. Da wird man von Haus aus auf Fehlermeldungen gestoßen, die man sich kaum ausdenken kann. Eben hab ich mich ein wenig vertippt und statt www.spiegel.de www-spiegel.de eingegeben. Und bin prompt auf die Seite www.cityname24.de weitergeleitet worden. Mit folgender Fehlermeldung:

Nicht uninteressant:

• Versionsinformationen: Microsoft .NET Framework Version:1.1.4322.2407; ASP.NET-Version:1.1.4322.2407
• System.Data.OleDb.OleDbException
• D:\www-kunden\Kunde11492\329\mtrport.aspx
• Zeile 45: row[„zaehler“] = int_zaehler;
  Zeile 47: adapter.Update(dataset,“zaehler“);
  Zeile 49: myDataGrid.EditItemIndex = -1;

Da kann man schon was mit anfangen 🙂

Die Startseite sieht auch nicht besser aus:

Die Fehlermeldung sagt u.a.:

• Versionsinformationen: Microsoft .NET Framework Version:1.1.4322.2407; ASP.NET-Version:1.1.4322.2407
• System.NullReferenceException: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.
• [NullReferenceException: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.]
  _ASP.index_aspx.__Render__control1(HtmlTextWriter __output, Control parameterContainer) +9305
  System.Web.UI.Control.RenderChildren(HtmlTextWriter writer) +27
  System.Web.UI.Control.Render(HtmlTextWriter writer) +7
  System.Web.UI.Control.RenderControl(HtmlTextWriter writer) +243
  System.Web.UI.Page.ProcessRequestMain() +1926

Und dabei schreibt die Seite dem Entwickler doch sogar extra noch:

„This error page might contain sensitive information because ASP.NET is configured to show verbose error messages using <customErrors mode=“Off“>. Consider using <customErrors mode=“On“/> or <customErrors mode=“RemoteOnly“/> in production environments.“

Da ist nichts mehr zu retten. Jetzt brauch ich nur noch einen kleinen Exploit.

Unglaublich, sogar in UK ist bereits bekanntgeworden, dass es möglich ist VoIP-Gespräche abzuhören. Und noch unglaublicher, ein VoIP-Security „Experte“ namens Peter Cox (Mitgründer von Borderware) hat eine „Proof-of-Concept“ Software veröffentlicht mit der sich VoIP-basierte Telefongespräche abhören lassen. Und das allerkrasseste: das ist sowohl dem Inquirer als auch PC World eine Schlagzeile wert.

Wenn ich richtig informiert bin, hat Kollege Matthias das Abhören von VoIP-Gesprächen bereits am 24. April vorgeführt. Dazu genügt ein handelsübliches, d.h. frei erhältliches Cain & Abel. Mit diversen SIP-Tools kann man sogar noch viel mehr anstellen.

Ach ja … veröffentlicht ist übertrieben. Cox hat nur eine Webseite aufgesetzt, wo man ein paar aufgezeichnete VoIP-Gespräche mithören kann.

Es gibt also nichts zu sehen. Bitte gehen Sie weiter.

Phishing via Tor-Exit-Nodes ist eigentlich nichts ganz neues und die Erfinder von Tor weisen auch immer wieder darauf hin, dass Tor keinen Schutz vor dem Ausspähen von Daten bietet. Inzwischen findet man sogar Tor-Exit-Nodes, die gezielt nur unverschlüsselte Protokolle erlauben. Das erleichtert natürlich massiv das Phishing. Es sind sogar schon Exit-Nodes aufgetaucht, die falsche Zertifikate für Man-in-the-Middle-Angriffe herausgeben. Interessanterweise sitzt der Node in Deutschland (217.233.212.114, Dt. Telekom).

Hmm … vielleicht könnte das ein neues Geschäftsmodell ergeben …. ?

Am Freitag hat Kollege Matthias wieder eine Hacking-Show … Hacking VoIP auf der CBT Security Tagung in Garmisch-Partenkirchen.

Beim Update der Tools und allgemein so beim Herumschauen was es noch so alles gibt, ist mir SIPvicious aufgefallen, das mir bisher nicht auf dem Radar aufgetaucht ist.

SIPvicious besteht aus vier Hauptprogrammen:

• svmap, der SIP-Scanner. Er findet und identifiziert SIP-Geräte und SIP-Server und kann SIP-Methoden wie REGISTER oder INVITE verwenden, um die Geräte zu aktivieren.
• svwar, ein SIP-Wardialer. Damit lassen sich interessante und aktive Rufnummern auffinden.
• svcrack, ein SIP-Cracker. Damit lässt sich die SIP Digest Authentication brechen. svcrack verwendet dazu eine Reihe von Wörterbüchern mit gängigen Passwörtern.
• svreport, das Reporting-Tool. Mit diesem Programm lassen sich die Aufrufe der anderen Tools verwalten und fast automatisch Berichte als PDF, XML, CVS und TXT erzeugen.

Alle Programme sind in Python geschrieben, d.h. sie kommen auch komplett im Source Code.

Zu den Tools gibt es ein Blog, das über aktuelle Entwicklungen informiert und Aufrufe dokumentiert, mit denen relevante Informationen gefunden werden können. Sehr lesenswert ist das PDF „How to get the job done„, das beschreibt wie mit Hilfe von SIPvicious und der SIP-Telefonanlage erfolgreich in ein Netzwerk eindringt.

Ein echtes „must see“!

von Bruce Schneier auf Wired.com

NIST-Standards haben die Tendenz, für Firmen die Software an US-Behörden verkaufen zu wollen, leider verpflichtend zu sein … unabhängig davon wie gut der Standard ist oder nicht. Insbesondere um FIPS (Federal Information Processing Standard)  Standards der NIST kommt man in der Praxis nicht herum.

Die NSA steht jetzt unter Verdacht, in den NIST Standard SP800-90 (PDF), genauer in einen der dort beschriebenen Zufallszahlengeneratoren eine Hintertür eingebaut zu haben. Ein Vortrag auf der Crypto 2007 deutet darauf hin:

„What Shumow and Ferguson showed is that these numbers have a relationship with a second, secret set of numbers that can act as a kind of skeleton key. If you know the secret numbers, you can predict the output of the random-number generator after collecting just 32 bytes of its output. To put that in real terms, you only need to monitor one TLS internet encryption connection in order to crack the security of that protocol. If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG.“

Ich muss zugeben … wenn das stimmt ist es sehr sehr clever gemacht. Das erinnert mich ein wenig an die Geschichte der Schweizer Crypto AG oder den Clipper Chip.

Heise berichtet auch.

Neulich mal wieder in meiner Inbox:

Interessantes Social Engineering, insbesondere die deutsche Adressen. Wie üblich, das Exe einmal kurz Virustotal übergeben:

Interessanterweise wurde der Downloadlink nicht irgendwie maskiert, die Datei liegt wirklich auf diesem Server. Ist das ein Trend?

Ach ja:

DNS: www.cristhmasx.com –> 58.65.239.99

APNIC: 58.65.239.99 –> HostFresh Internet Service Provider, Hong Kong

und besonders witzig: Auf der Webseite steht „this account temporally suspensed for security reason“ aber der Trojaner-Download funktioniert trotzdem

Nachdem die Zonendaten von Arcor offensichtlich frei zum Download angeboten werden (ein irgendwie gearteter Schutz wie ihn z.B. § 202a StGB fordert ist nicht zu erkennen) habe ich mir mal ein paar Gedanken gemacht.

Welche Zonen verwaltet Arcor?

Problem: Wie kommt man an Domains, die von Arcor entweder komplett gehostet werden oder zu denen von Arcor zumindest der Secondary bereitgestellt wird?

DeNIC kann man leider (zum Glück?) fast vergessen. Ein Zonentransfer der gesamten de-Zone ist nicht möglich, es bliebe lediglich, über ein Script die technischen Daten der diversen Domains unterhalb .de abzufragen. Dort steht nämlich der für die jeweilige Zone autoritative Nameserver und wenn dort die Arcor-Server auftauchen, ist ein Zonentransfer möglich. Nur verwaltet DeNIC inzwischen 11.482.128 Domains (Stand 13.11.07, 23:05), da dauern die Abfragen dann leider etwas länger. Sehr unbefriedigend.

Bei RIPE gibt es ein paar mehr Möglichkeiten. Immerhin gibt es dort eine Menge Suchmöglichkeiten, nur halt leider nicht so recht für DNS. Es gibt zwar einen RIPE-Eintrag „mnt-domains“, da steht dann auch gerne mal „ARCOR-MNT“ drin aber leider lässt sich nach diesem Feld auch in der Advanced Suche nicht suchen. Ich vermute ja mal, ARCOR-MNT bedeutet, diese Daten werden von Arcor als Maintainer verwaltet. Nach den Netzwerk-Verwaltern („mnt-by“) lässt sich jedoch suchen, also muss diese Alternative herhalten. RIPE zeigt zwar nur 100 Einträge an, das reicht aber erst einmal für eine erste Auswertung.

Ergebnis der Auswertung

Die meisten Unternehmen deren Netze bei Arcor liegen lassen auch die Domains von Arcor mitverwalten. Von ca. 50 untersuchten Unternehmen konnte ich immerhin 41 Zonenfiles ergattern. Von diesen enthalten wiederum 5 Zonenfiles interne private IP-Adressen oder sonstige interne Daten.

Zone „sdata.de“:

Hier wimmelt es nur so von internen IP-Adressen, eine kleine Auswahl:

luna A 192.168.33.67
obsidian A 192.168.33.68
rbsoft A 192.168.32.10
sisko A 192.168.33.65
wl100 A 192.168.133.100
wl101 A 192.168.133.101
wl102 A 192.168.133.102
wl103 A 192.168.133.103
wl104 A 192.168.133.104

Zone „spd.de“:

Auch hier gehen die privaten IP-Adressen nicht so schnell aus:

it-forum A 10.0.0.75
kis A 10.0.0.31
kis2 A 10.0.0.32
zeiterfassung A 10.0.0.56

Oha, die SPD lässt stempeln? Kein Vertrauen zu den ausgebeuteten Mitarbeitern der Arbeiterklasse?

vpngate A 195.50.146.134
webmail A 195.50.146.135
koalitionsvertrag A 195.227.129.132

Aha, hier kann man vielleicht den Koalitionsvertrag herunterladen? Heute ist übrigens Franz Müntefering (lesenswerter Link!) zurückgetreten. Fehlen noch Schäuble, Jung, Zypries und Merkel.

Zone „insiders.de“:

Das ist eine besonders schöne Zone, hier hat ein Angreifer bestimmt viel Freude:

_msdcs NS nebukadnezar.insiders.de
_gc._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=3268, jukebox.insiders.de
_gc._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=3268, nebukadnezar.insiders.de
_kerberos._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=88, jukebox.insiders.de
_kerberos._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=88, nebukadnezar.insiders.de
_ldap._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=389, jukebox.insiders.de
_ldap._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=389, nebukadnezar.insiders.de
_ldap._tcp SRV priority=0, weight=100, port=389, jukebox.insiders.de
_ldap._tcp SRV priority=0, weight=100, port=389, nebukadnezar.insiders.de
_kerberos._udp SRV priority=0, weight=100, port=88, jukebox.insiders.de
_kerberos._udp SRV priority=0, weight=100, port=88, nebukadnezar.insiders.de
_kpasswd._udp SRV priority=0, weight=100, port=464, jukebox.insiders.de
_kpasswd._udp SRV priority=0, weight=100, port=464, nebukadnezar.insiders.de
jukebox A 193.22.3.16
nebukadnezar A 193.22.3.42

Für mich sieht das verdächtig nach zwei Domaincontrollern aus. Den Merowinger, Trinity und Neo gibt es in diesem Netz übrigens auch. Ein paar private Adressen fanden sich zum Schluss sowieso noch:

siemens A 192.168.22.23

Zone „tzdresden.de“:

Ein Eintrag ist mir in dieser Zone noch nicht ganz klar geworden:

b161f236-d9a2-43f4-bc8f-e9ba60373639._msdcs CNAME innovativ.tzdresden.de

Kann mir jemand mal bitte die Nummer erklären?

Und noch etwas sinnlose Statistik

Da die Gesamtdatenmenge etwas zu klein ist, sind die folgenden Aussagen natürlich Unsinn … aber amüsant.

• 10% der untersuchten Unternehmen halten Daten auf öffentlichen DNS-Servern, die da nichts zu suchen haben
• mindestens 5% der untersuchten Unternehmen hatten in den letzten Jahren Sicherheitsanalysen, ohne auf dieses potentielle Problem aufmerksam gemacht worden zu sein
• Alle Zonenfiles größer als 8 KB (außer die von Arcor selbst) enthielten private Daten
• www und mail, gegebenenfalls noch mit Ziffer danach sind die beliebtesten Rechnernamen

Wer weitere Daten aus den Arcor-Zonenfiles zusammenträgt darf mir gerne eine Mail schicken …