6. Juni 2007
Sehr schön … endlich mal wieder eine interessante IIS-Lücke 🙂
Auf einem Microsoft IIS 5.x auf Windows 2000 kann die Authentisierung mittels hit-highlight (webhits.dll ist der Übeltäter) umgangen werden:
Cause:
Hit-highlighting with Webhits.dll only relies on the Microsoft Windows NT Access Control List (ACL) configuration. It does not rely on non-ACL based security mechanisms such as the following:
- The Microsoft Internet Information Services (IIS) authentication configuration
- NTLM authentication
- Basic authentication
- IP address restrictions on files within the Webroot
Jede andere Firma, die sowas verbockt würde vermutlich ein „mea culpa“ schreiben und schleunigst einen Patch, Hotfix, Update oder was auch immer veröffentlichen. Nicht so Microsoft.
Status:
This behavior is by design.
Cool.
Ach ja, ein Upgrade auf IIS 6 und Windows 2003 behebt das Problem wohl.
Nachtrag: Milw0rm hat auch schon einen netten Exploit.
4. Juni 2007
Wikipedia definiert Van-Eck-Phreaking als „eine Technik zur elektronischen Spionage, bei der unbeabsichtigte elektromagnetische Abstrahlungen empfangen werden“.
Die Neufassung des StGB § 202b Abfangen von Daten verbietet ausdrücklich auch das Abfangen von Daten „aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage“.
Ich frage mich ja, wie relevant ist das eigentlich in der Praxis? Also nicht der tolle Laboraufbau, wo man auf Monitor 2 ganz flimmrig sieht, was auf Monitor 1 passiert sondern so richtig real. Kann man aus einem Lieferwagen vor der Bank tatsächlich erkennen, was in der Bank auf dem Monitor steht? Aufklärung wäre erwünscht.
3. Juni 2007
Der alte AACS Key ist ja nun kein Geheimnis mehr und hat eine eigene Homepage:
soweit nichts neues. Bei Freedom to Tinker ist nun aber offensichtlich folgender Beitrag aufgetaucht:
BtCB Says:
Here’s mine:
45 5F E1 04 22 CA 29 C4 93 3F 95 05 2B 79 2A B2
What are the odds that this is the new processing key?
(Hint for arnezami: uv=00000047)
die ganze Story: Amazing mystery of the new AACS key leak bei Boingboing
2. Juni 2007
Soso, da beschwert sich auf SecurityFocus der Herr Miller, dass er beim Verkauf seiner Zero-Day Vulnerabilites über den Tisch gezogen wurde. Da hat ihm eine Regierungsbehörde 10.000 USD angeboten, an eine andere Behörde wäre er die Lücke für 80.000 USD losgeworden, wenn sie für eine bestimmte Linux-Variante funktioniert hätte und bekommen hat er am Ende 50.000 USD. Und glaubt jetzt, er hätte doch mehr verlangen können und ist beschissen worden. Eigentlich will ich das gar nicht kommentieren.
Interessant scheint mir eher, wie sich der Markt entwickelt. Die öffentlichen Angebote von Firmen wie das iDefense Vulnerability Contributor Program, das jetzt zu Verisign gehört oder die 3Com Zero-Day Initiative, ursprünglich von TippingPoint ins Leben gerufen, sind ja allgemein bekannt. Allerdings ist die Bezahlung nicht so üppig. Mehr Geld haben ganz offensichtlich die Behörden und dort wohl die Geheimdienste zur Verfügung.
Und da stellt sich vor allem die Frage, wie findet man den passenden Käufer? eBay fällt ja leider aus, die Versteigern keine Sicherheitslücken. Ich muss da wohl mal drüber nachdenken.
31. Mai 2007
SecuriTeam ist der Meinung, die Screenshots braucht es nicht, das kann einfacher aus dem Datenstrom an die Bank gefischt werden:
„PINs can be easily retrieved by sniffing the data sent by the user to the banking site, even though they are encrypted“
Nun, ganz falsch ist das nicht und im Fall dieses Beispiels auch richtig. Aber es gibt genug andere Beispiele, wo ein Screenshot-Trojaner praktisch sein kann. Also keine Entwarnung.
30. Mai 2007
Einige Banken im Ausland gehen ja dazu über, die PIN-Eingabe nicht mehr per Tastatur sondern mittels eines Java-Applets zu machen, in dem der Anwender ein paar virtuelle Tasten drückt. Das schützt vor Keyloggern, die inzwischen in die meisten Viren und Würmer integriert sind.
Im Gegenzug rüsten die Hacker auf. Hispasec demonstriert in diesem Video einen Trojaner, der die Mausbewegung sowie einen Teil des Bildschirms in der Nähe der Maus aufzeichnet. Getriggert wird das durch die URLs von Banken, sobald eine angesuft wird, schaltet sich für einige Zeit die Aufzeichnung ein. Die Aufzeichnung kann dann als Video wieder angeschaut werden, der Hacker erkennt genau, wohin mit der Maus geklickt wurde.
Ok, die Files werden arg groß, das könnte einem auffallen. Aber insgesamt eine lässige Idee.
29. Mai 2007
Manchmal liest oder hört man von jemandem in der IT-Security und fragt sich, wie wohl das Gesicht dahinter aussieht. Bei einigen ist das ja sehr bekannt. Die Glatze von Bruce Schneier ist relativ bekannt, der Vollbart von Phil Zimmermann auch und über die Frisur von Richard Stallman mag ich keinen Kommentar verlieren.
Aber Dan Bernstein (djbdns) ist viel jünger, als ich gedacht habe, Wietse Venema (tcpd) will ich nicht im Dunkeln begegnen und Lance Spitzer sieht man direkt an, dass sein Hauptauftraggeber das amerikanische Verteidigungsministerium ist.
Bei Bugtraq.ru gibt es die gesamte Fotogalerie.
28. Mai 2007
Ich war letzte Woche mal wieder auf Reisen, diesmal in Gorinchem in den Niederlanden. Das Problem mit dem Reisen auf dem Kontinent ist, dass viele Hotels der Meinung sind, mit dem Internet-Zugang kann man mal richtig fett die Kunden abkassieren. Das Hotel in dem ich übernachtete war natürlich keine Ausnahme.
Aber man hat ja sein Spielzeug, in meinem Fall der Allnet Hotspot Finder. Ein saucooles Teil. Der Finder unterstützt die Standards 802.11b, 802.11g und sogar 802.11a! Erkennt, ob WEP- oder WPA-Verschlüsselung eingesetzt wird, hat ein brauchbares, beleuchtetes Display und kann gleichzeitig als USB-WLAN-Adapter fungieren. Und das Akku wird über USB auch wieder geladen. Der Preis liegt so bei 50.- € und ist sein Geld echt wert.
Ich bin dann Abends ein wenig durch die Stadt gebummelt und hatte folglich auch innerhalb von 30 Minuten ca. 6-5 offene Access Points. Der erste war gerade mal 400 m vom Hotel weg. Ich hab dann auch einen mit einem schönen kostenfreien Parkplatz daneben gefunden, so konnte man bequem aus dem Auto heraus ins Internet kommen.
Aber am meisten amüsiert hat mich direkt neben dem Rathaus ein Access Point: „Stadthus“, mit WEP 🙂
27. Mai 2007
Ein weiterer Nachtrag aus der Reihe Mitternachtshacking. Hier ist die Präsentation zum Mitternachtshacking Web-Applications (PDF, 400 KB). Die Präsentation geht nur ganz kurz auf Cross Site Scripting und SQL-Injection ein, die spannenden Sachen wurden dann im Praxisteil gemacht.
Als Webanwendungen zum Hacken haben wir die frei verfügbaren Foundstone Demoanwendungen HacmeBank und HacmeBookstore verwendet. Beide Anwendungen enthalten bewußt einprogrammierte Sicherheitslücken die typisch für reale Webanwendungen sind. Außerdem gibt es eine nette Anleitung, wie man mit den Lücken tatsächlich was anstellen kann und die Erklärung ist durchaus ganz brauchbar.
26. Mai 2007