29. Juli 2007
Die BIND-Software, der im Internet am weitesten verbreitete Nameserver mit vermutlich rund 50% Marktanteil hat einen fehlerhaften Zufallszahlengenerator. Ausgenommen ist nur die mit OpenBSD ausgelieferte BIND-Version, weil dem Entwickler die Implementierung des Zufallszahlengenerators schon damals komisch vor kam und er den vorsorglich ausgewechselt hat.
Kritisch ist das hauptsächlich, weil jede DNS-Anfrage mit einer 16-Bit Transaction ID gesichert ist und wenn die erraten werden kann, kann einem DNS-Server eine falsche Antwort mit hoher Cache-Lebenszeit untergeschoben werden. Dem DNS-Server passiert dabei nichts, aber Clients, die an diesen DNS-Server anfragen stellen, werden möglicherweise auf einen falschen Webserver umgeleitet, die Gefahr von Phishing-Angriffen steigt. Der Wikipedia Eintrag zu DNS Cache Poisoning erklärt das Problem recht anschaulich.
Mal sehen, ob uns da demnächst was um die Ohren fliegt.
28. Juli 2007
Erstaunlich, dass solche URLs noch funktionieren:
http://www.webshots.com/server-status
http://www.download.com/server-status
obwohl … eigentlich auch wieder nicht.
27. Juli 2007
Ich bin ja schon lange der festen Überzeugung, wenn man ein Server-Netzwerk komplett übernehmen will, dann braucht man entweder eine Lücke in der Backup-Software oder eine Lücke im Virenscanner. Das sind die beiden Programme, die in der Regel auf allen Servern identisch installiert sind.
Aktuell ist gerade wieder Stimmung in der Kiste, wie ein paar Links von Heise zeigen:
Gut, man muss natürlich zugeben, dass Virenscanner gar nicht so trivial sind. Alleine die Funktionen um mit diversen Packern wie ZIP, RAR, GZIP, TAR, BZIP, … und diversen Embedded-Formaten wie OLE zurechtzukommen ist nicht einfach zu programmieren. Trotzdem ist es natürlich ärgerlich, wenn ein Rechner durch eine Lücke in einer Schutzsoftware übernommen wird.
Andreas Marx von der AV-Test GmbH testet regelmäßig im Auftrag diverser Publikationen Virenscanner auf ihre Erkennungsrate und Funktionalität. Das ist ganz hilfreich um zu erkennen, wie Zuverlässig ein bestimmter Virenscanner nicht nur bezüglich der Wildlist sondern auch seltenerer Schadprogramme ist. Ein akzeptabler Virenscanner liegt heute im Bereich von etwa 95-98% Erkennungsrate. In diesem Bereich bleibt bei der Analyse nichts mehr übrig.
Ich bin das Thema deshalb von einer anderen Seite angegangen. Meine Fragestellung war:
Welcher Virenscanner hat die meisten Sicherheitsprobleme?
Zur Auswertung habe ich die von Secunia veröffentlichten Statistiken zu Sicherheitslücken verwendet und auf einige Virenscanner und Hersteller runtergebrochen. Dabei werden verschiedene Farben verwendet:
- rot: extemely critical
- orange: highly critical
- gelb: moderately critical
- hellgrün: less critical
- dunkelgrün: not critical
Die Farbe in einem Kästchen gibt immer die Sicherheitslücke mit der höchsten Gefährdungsstufe aus diesem Jahr an, die Zahl die Anzahl der Sicherheitslücken insgesamt in diesem Jahr. Wenn über den betrachteten Gesamtzeitraum mehr als 7 Sicherheitslücken eines Produkts bekannt wurden, ist das Produkt rot markiert. Und hier die Auswertung:
Am schlechtesten schneiden nach dieser Metrik die Produkte von Symantec, Kaspersky, Trend Micro und F-Secure ab. Ob das irgendeinen Nutzen hat wage ich zu bezweifeln. Lustig finde ich es aber trotzdem.
26. Juli 2007
Die Zero-Day Initiative von TippingPoint hat ganz aktuell ein paar Zahlen veröffentlicht:
In den letzten zwei Jahren haben etwa 600 verschiedene Sicherheitsforscher 1000 Lücken an ZDI gemeldet. Aktuell bekommt ZDI rund 40 Lücken pro Monat und nimmt 10%, also 4 davon tatsächlich an (d.h. bezahlt Geld dafür).
Ich fürchte, unter diesen Bedingungen kann man noch nicht davon leben. Interessanterweise bezahlen Black Hats deutlich mehr für einen brauchbaren 0-Day als White Hats.
24. Juli 2007
Fefe schreibt gerade, seine Folien für das Camp sind fertig.
Untertitel: „Why C++ is bad for the environment, causes global warming and kills puppies“
Ich weiß noch nicht, ob sich das für mich lohnt. Wenn da Sachen drinstehen, die man beim Code Review vielleicht brauchen kann schon, aber wenn es hauptsächlich um Coding Style und ein bisschen Rants gegen gcc, Ulrich Drepper und Dave Aitel geht, dann kann ich mir das wohl sparen. Und eigentlich gleich den ganzen ersten Tag.
Hmm
22. Juli 2007
Das BSI tut uns auch mal etwas Gutes, hier mit der BSI OSS Security Suite, aktuell in der Version 2.0.
Live Linux Hacking CD-ROMs wie die Back Track CD haben ein paar Nachteile. Der wichtigste ist vielleicht, dass in den meisten Unternehmen Hacking-CDs nicht sonderlich gerne gesehen werden. Auf diesen CDs sind oft eine Reihe von Exploits enthalten, der Inhalt generell ist nicht kontrollierbar und die Firmen haben (oft verständlicherweise) ein wenig Angst vor zu erwartenden Problemen. Ein weiterer Nachteil insbesondere der Back Track CD ist, dass die neuen sehr restriktiven Lizenzbedingungen von Nessus v3 es nicht mehr erlauben, Nessus auf der Back Track mit zu integrieren. Back Track hat konsequenterweise Nessus komplett entfernt. In der praktischen Arbeit hinterlässt das jedoch eine Lücke.
Die BSI Open Source Software Security Suite, kurz BOSS ist eine im Auftrag des BSI entwickelte Software, die Nessus (allerdings v2), Nmap und ein paar weitere nützliche Tools zur schnellen Prüfung der Sicherheit eines Unternehmens enthält. Und da die CD-ROM von der Webseite des BSI heruntergeladen werden kann und sogar mit einem BSI-Logo kommt, ist es interessanterweise für viele Unternehmen akzeptabel diese CD einzusetzen.
Aus diesem Grund haben wir vor einiger Zeit die Präsentation Mitternachtshacking BSI BOSS (PDF, 720 KB) zusammengestellt, die neben der Bedienung von Nessus und NmapFE auch ein paar Infos zum Portscannen an sich enthält. Sicher nicht die besten und detailliertesten Inhalte, aber besser als nichts.
21. Juli 2007
Hier in den Milw0rm Papers muss ich demnächst auch noch ein wenig Zeit verbringen … nur zur Erinnerung an mich selbst 🙂
20. Juli 2007
Langsam bin ich ja schon enttäuscht. Da gibt es einen neuen Virus, der versucht die Leute zu erpressen (neudeutsch Ransomware) :
Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.
Und wenn wir berücksichtigen, dass die meisten Privatleute (und erschreckend viele Firmen) keine Backups haben, ist das eine realistische Drohung. Nur: das ist schlicht gelogen. Der Trojaner scheint eine leicht modifizierte RC4-Routine zu verwenden. Das ist jedoch im Gegensatz zu RSA ein symmetrisches Verfahren und der Schlüssel zum Verschlüsseln ist der gleiche wie zum Entschlüsseln. Wenn der Virus die Daten verschlüsselt kann folglich aus dem Virus auch der Schlüssel zur Dechiffrierung extrahiert werden. Die cleveren Jungs von Kaspersky haben das herausgefunden und ein kostenfreies Tool zum Entschlüsseln veröffentlicht. Das wären dann 300 USD gespart. Nett von Kaspersky.
Bootnote (Begriff von The Register geklaut):
Wenn ich der Virenautor wäre, würde ich jetzt Kaspersky wegen wettbewerbsfeindlichem Verhalten verklagen. Die machen einfach das Geschäftsmodell kaputt. Und außerdem ist das garantiert ein Verstoß gegen den DMCA, der so Reverse-Engineering zur Umgehung von Sicherungsmaßnahmen (und das ist die Verschlüsselung ja wohl) eindeutig verbietet.
Wollte nicht auch mal Cult of the Dead Cow Symantec verklagen, weil die Back Orifice 2000 in Norton Antivirus als Schadprogramm erkannt haben? Dabei ist das doch ein normales Remote-Admin Tool, vergleichbar mit PCAnywhere und Symantec will nur die Wettbewerber ausschalten … ich finde aber keine Quelle mehr dazu.
19. Juli 2007
Das FBI hat zur Aufdeckung eines Straftäters zum ersten Mal einen Trojaner zur heimlichen Durchsuchung eines PCs eingesetzt. Das Programm CIPAV (PDF) ist ein Windowsprogramm, das an das FBI eine Liste der Programme auf einem Rechner, Registry-Informationen und Browser-Daten wie zuletzt besuchte URLs übermittelt. Im Gegensatz zum von Schäuble geforderten Bundestrojaner ist keine heimliche Durchsuchung von Dateien geplant, der FBI-Trojaner würde sogar den deutschen Anforderungen des Datenschutzes genügen.
Die Gegenmaßnahmen sind dagegen einfach: da bisher immer nur von Windows-Trojanern die Rede ist, wird es genügen einfach das Betriebssystem zu wechseln, zu Linux oder FreeBSD zum Beispiel und schon hat man vor der Schnüffellust des Innenministers erstmal Ruhe.
18. Juli 2007
Phenoelit hat die deutsche Webseite wegen des neuen StGB §202c zugemacht. Das Lands of Packets findet sich jetzt auf einer US-Seite.
