26. August 2007
Ein spannendes neues Social Engineering Tool hat Petko D. Petkov (auf Security-Mailinglisten als pdp (architect) bekannt) veröffentlicht, das PKI Book.
Nach Eingabe einer Domain kann man alle in der PGP Datenbank des MIT (pgp.mit.edu) registrierte Benutzer mit einer E-Mail Adresse aus dieser Domain finden. Diese Daten werden anschließend mittels Yahoo! Pipes gegen das MySpace Social Network abgeglichen. Interessant dabei ist, wenn ein PGP-Key mit einer Firmen E-Mail Adresse und einer privaten Mailadresse verbunden ist. PKI Book findet dann nämlich auch das MySpace-Profil das mit der privaten Adresse erstellt wurde.
Der nächste Schritt ist dann, den Nutzer zu unserer Freundesliste hinzuzufügen und schon kann das Social Engineering beginnen … 🙂
(via The Register)
Immer wieder gut: Bullshit Bingo.
Einfach die von Pressesprechern verbreiteten Ausreden ankreuzen und wenn fünf in einer Reihe erfüllt sind, eine Mail an christian@mitternachtshacking.de schicken.
| Das wird nur zur Abwärts- kompatibilität benötigt |
Nichts ist 100% sicher |
Sie werden sicher von einem Mitbewerber bezahlt |
Wir sind vollständig ISO 9001 zertifiziert |
Unsere proaktive Sicherheitslösung verhindert das |
| Wir wussen bereits davon |
Sie verletzen damit den DMCA |
Wir beschäftigen Top-Sicherheits- experten |
Wir erfüllen alle gesetzlichen Sicherheits- anforderungen |
Wer würde schon nach so einer Lücke suchen |
| Das ist ein rein akademischer Angriff |
Das Problem wird im nächsten Release behoben |
Wir sind ISO 27001 zertifiziert |
Sie verstehen den Zusammenhang nicht |
Wir erfüllen alle relevanten Standards |
| Das ist ein Feature für unsere Nutzer |
Wir nehmen IT-Sicherheit sehr ernst |
Niemand hat bisher irgendwelche Probleme gesehen |
Wir beantworten Fragen zur IT-Sicherheit nicht |
Hier liegt ein Interessenkonflikt vor |
| Unsere Mitarbeiter sind CISSP-zertifiziert |
Das ist sicher genug für unsere Kunden |
Kein Kommentar |
Unser proprietärer Verschlüsselungs- algorithmus verhindert das |
Das Produkt wurde von Sicherheits- experten getestet |
Zum Original von Jutta Degener und Matt Blaze.
25. August 2007
Der Verfassungsschutz hat laut Spiegel Online auf einer Reihe von Rechnern von Bundesministerien und im Bundeskanzleramt Trojaner gefunden, die auf chinesische Herkunft hinweisen. Eine gute Nachricht … einfach analysieren, nachprogrammieren und schon gibt es den Bundestrojaner.
Aber im Ernst, Industriespionage ist natürlich ein wichtiges Thema und chinesische Firmen sind gut dabei, wenn es um deutsche Industrieprodukte gibt. Online spionieren ist natürlich beliebt, weil man dann keine Mitarbeiter vor Ort anzapfen muss aber auch chinesische Studenten und Praktikanten kopieren immer wieder mal sensible Daten. Die dienen dann gerne als Karrierekick wieder zu Hause in China.
24. August 2007
via CCC:
Spread the word! Invite exciting people! Hand in amazing talks and workshops!The Chaos Commnunication Camp is over, so it’s time to announce the Call for Participation of the 24th Chaos Communication Congress 2007 (24C3). The Chaos Communication Congress is the annual four-day conference organized by the Chaos Computer Club (CCC) and taking place in Berlin, Germany. The 24C3s slogan is Volldampf voraus! — the German equivalent of “full steam ahead” – a particular request for talks and projects featuring forward looking hands-on topics. The Chaos Computer Club has always encouraged creative and unorthodox interaction with technology and society, in the good tradition of the real meaning of “hacking”.This year’s congress introduces a new category for talks called “Making”. This category is all about making and breaking things and the wonderful stuff you can build in your basement or garage. Most welcome are submissions dealing with the latest in electronics, 3D-fabbing, climate-change survival technology, robots and drones, steam machines, alternative transportation tools and guerilla-style knitting.
As always, the date of this event is December 27th to 30th.
23. August 2007
Eine interessante forensische Analyse zusammen mit den verwendeten Rootkits hat Lars Strand auf blog.gnist.org unter dem Titel Holliday Cracking zusammengestellt. Ist zwar schon von April aber trotzdem mit wertvollen Informationen.
22. August 2007
Wir kennen ja aus dem Fingerprinting der Webserver, dass Microsofts IIS gerne eine ASPSESSIONID mitschickt und Apache ein ETag. Das ist ganz praktisch, um den Webserver zu identifizieren, wenn kein brauchbarer Server-String mitgeschickt wird. (Alternativ kann man auch einfach Netcraft fragen.)
~> telnet www.mitternachtshacking.de 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Date: Sun, 26 Aug 2007 04:21:17 GMT
Server: Apache/2.2.0 (Linux/SUSE)
Last-Modified: Wed, 26 Apr 2006 15:56:38 GMT
ETag: "310f-2544-844df980"
Das ETag wird jedoch eigentlich verwendet, damit der Browser entscheiden kann, ob er ein Dokument bereits im Cache hat und nicht mehr neu laden muss oder ob er das Dokument neu anfordert.
Apache setzt das ETag normalerweise aus drei Informationen zusammen: aus der Inode-Nummer, dem Datum der letzten Dateiänderung und der Dateigröße. Das Datum und die Dateigröße sind bekannt. Kann man mit der Inode-Nummer nun etwas anfangen?
Einige Server setzen mit Hilfe der ETag-Direktive das ETag so, dass nur Änderungsdatum und Größe in das ETag einfließen. Das ist insbesondere dann relevant, wenn ein Reverse-Proxy Loadbalancing mehrerer Webserver anbietet. Wenn keine Inode-Nummer enthalten ist und Änderungsdatum und Größe bekannt sind, kann man dann mit dieser Information Cache-Informationen invalidieren?
Mal testen …
(via Joshua Schachter)
18. August 2007
Das Zero For Owned eZine Nr. 3 ist da. Interessant, wer da alles wie gehackt wurde. Die SQL-Injection Sachen sind durchaus amüsant zu lesen.
15. August 2007
Joanna Rutkowska, die Autorin von Blue Pill, einer Software die ein laufendes Betriebssystem unbemerkt in eine virtuelle Umgebung verschiebt, hat den Source Code von Blue Pill auf der Webseite BluePillProject veröffentlicht. Damit kann der Streit in die nächste Runde gehen.
Joanna behauptet, mit einer solchen Virtualisierung lässt sich komplett unentdeckbarer Schadcode entwickeln, der vom Betriebssystem innerhalb der virtuellen Umgebung nicht mehr erkennbar ist. Der Hypervisor kann das innen laufende System kontrollieren, alle Tastatureingaben überwachen, den Netzwerkverkehr filtern und das ohne Gefahr der Entdeckung. Virenscanner scannen ja nur das eigene System und prüfen bisher nicht, ob ein Hypervisor vorhanden ist.
Thomas Ptacek von Matasano ist gänzlich anderer Meinung und beschreibt welche Ansätze Virtualisierung zu erkennen möglich sind und was davon in seinem Black Hat Vortrag bereits erzählt wurde.
Ich persönlich neige dazu, Thomas rechtzugeben.
Die Präsentationen der Black Hat 2007 sind jetzt auch online.
http://www.blackhat.com/html/bh-media-archives/bh-archives-2007.html
Cool stuff, z.B.
- Steve Christey
Unforgivable Vulnerabilities
- Barrie Dempster
VoIP Security: Methodology and Results
- HD Moore & Valsmith
Tactical Exploitation
um mal ein paar herauszuheben.
14. August 2007
Gestern schrieb ich über die Problematik (für den Anwender), wenn Microsoft Treiber von im Grunde vollkommen legalen und legitimen Treibern zurückzieht, weil diese dem Kontrolldenken von Microsoft widersprechen. Natürlich besteht die Gefahr, dass mit einem solchen Treiber auch das Digitale Restriktionsmanagement von Windows ausgehebelt wird. Aber das ist primär ein Problem der Content Industrie und weniger von Microsoft. Leider lässt sich der Eindruck nicht vermeiden, dass Microsoft die Wünsche Hollywoods wichtiger sind als die Wünsche und Bedürfnisse der eigenen zahlenden Kunden.
Das ganze scheint jedoch keine großen Verwerfungen zu verursachen. Dem 08/15-User von Windows ist das recht egal und viele andere sind inzwischen sowieso bereits zu Linux gewechselt. Interessant wird es jedoch , wenn ein wichtiger weit verbreiteter Treiber zurückgezogen werden muss, weil er z.B. eine dicke Sicherheitslücke enthält. Und genau das ist nun passiert: In einem Grafikkartentreiber von ATI, wurde von Alex Ionescu eine Sicherheitslücke gefunden, mit der sich beliebiger Programmcode in den Kernel von Vista schleusen lässt. Ionescu hat dafür einen Proof-of-Concept Exploit namens „Purple Pill“ entwickelt und veröffentlicht aber wieder zurückgezogen, als er erfuhr, dass es von ATI noch keinen Patch für die Lücke gibt.
Wenn Microsoft konsequent ist, müsste das gleiche Verfahren wie beim gestern beschriebenen Atsiv-Treiber angewandt werden. Sperren des Zertifikats durch Verisign, Aufnahme des ungültigen Zertifikats in die Kernel-Sperrliste von Vista. Nur, dann funktioniert der Grafikkarten-Treiber von ca. 50% aller Vista-Notebooks nicht mehr. Ich als Kunde wäre „not amused“. Übrigens auch interessant, eine Aufnahme eines ungültigen Zertifikats in die Kernel-Sperrliste erfordert einen Reboot und kann nicht dynamisch erfolgen. Wenn das in der Server-Version von Windows 2008 genauso bleibt, werden sich die Administratoren freuen, alle halblang ihre Server neu booten zu müssen. Irgendwer bei Microsoft hat da nicht richtig nachgedacht.
Microsoft hat für das aktuelle Problem jetzt erst einmal ATI gedrängt, dringend ein Update für den Treiber zu entwickeln, der dann neu digital signiert wird. Der neue Treiber wird dann via Windows Update verteilt und wenn Microsoft davon überzeugt ist, ausreichend viele Anwender mit dem neuen Treiber versorgt zu haben, wird anschließend, vielleicht in zwei oder drei Monaten das Zertifikat des alten Treibers gesperrt, der alte Treiber kann dann nicht mehr verwendet werden. Übrigens blöd, wenn man dann einen Rechner mit einem der älteren Treiber neu aufsetzen will.
Ich könnte mir vorstellen, dass wir in den nächsten Monaten ein interessantes Katz-und-Maus Spiel erleben werden. Joanna Rutkowska geht sogar soweit, Grafiktreiber als „Malware Compliant“ zu bezeichnen. Die Bad Guys werden versuchen, neue Lücken in diversen Kernel-Treibern zu finden und Microsoft wird jede Woche (oder zumindest jeden Monat zum Patchday) eine Reihe von Treibern wieder sperren müssen. Und jedes mal wird es ein paar Microsoft-Kunden geben, die noch kein Treiberupdate bekommen haben, deren alter Treiber jedoch gesperrt wird und deren System dann nicht mehr funktioniert. Wenn ich Microsoft wäre, würde ich spätestens jetzt kalte Füße bekommen.
Ollie Whitehouse von Symantec, früher @stake sieht das im Grunde ganz genauso, er kann bei seinem jetzigen Arbeitgeber halt nur nicht so über Microsoft lästern.
