Mitternachtshacking

Ja geht’s denn schon wieder los?

Die Month of the irgendwas Bugs scheinen langsam eine Institution zu werden. Alleine wenn wir schauen, was schon alles war:

• Month of Browser Bugs im Juli 2006
• Month of Kernel Bugs im November 2006
• Month of Apple Bugs im Januar 2007
• Month of PHP Bugs im März 2007

Und dann gibt es natürlich noch die Spaßvögel die auf den Zug aufspringen wollen: McAfee mit dem Month of Bug Bugs (Aprilscherz) und ein paar Spaßvögel mit dem Month of MySpace Bugs.

Und jetzt im Mai gibt es also den Month of ActiveX Bugs.

Bei ActiveX bin ich mir gar nicht sicher, ob da ein einzelner Monat reicht oder ob es ein Jahr der ActiveX Bugs braucht. HD Moore hatte letztes Jahr mit einem (inzwischen veröffentlichten) Fuzzer nach eigener Auskunft über 100 Fehler in ActiveX gefunden. ActiveX selbst gehört vermutlich zu den schlechtesten und unsichersten Techniken, die überhaupt für das Internet veröffentlicht wurden (ok, flashbasierte Homepages sind auch eine Seuche).

Alleine die Idee, dass lokal auf einem Rechner installierte Programme von einer Webseite aus ausgeführt werden dürfen und mit den Rechten des Benutzers ablaufen … da reicht ein billiger Buffer Overflow oder Format String Fehler und schon ist der Rechner unter der Kontrolle einer fremden Webseite. Natürlich kann man einzelne ActiveX Controls „Safe for Scripting“ erklären, oder eben nicht. Aber selbst die angeblich sicheren ActiveX Controls verursachen schon viele Probleme. Selbst wenn man sie nachträglich mit einem Kill Bit in der Windows Registry wieder deaktivieren kann.

Die Sicherheit einer Ausführung in einer Sandbox wie bei Java fehlt ActiveX. Ein böser Designfehler, der eigentlich nur durch die Hektik erklärt werden kann, mit der Microsoft diese Technologie gegen Java platzieren musste.

Am besten in meiner Ansicht nach daher, einen Browser zu verwenden der einfach gar kein ActiveX unterstützt.

Cain & Abel gilt inzwischen als eines der mächtigsten Universaltools für Windows. Dies zeigt auch die Übersicht der Top 100 Network Security Tools, auf der Cain & Abel zur Zeit auf Platz 9 geführt wird und zur vorherigen Liste 23 Plätze aufgestiegen ist.

Cain & Abel selbst ist die Vereinigung einer Vielzahl unterschiedlicher Programme unter einer gemeinsamen grafischen Oberfläche, die auch unbedarften Benutzern einige sehr komplexe Hacking-Angriffe eröffnet. So sind Funktionen wie DNS-Spoofing und ARP-Spoofing für Man-in-the-Middle Angriffe sehr einfach bedienbar, der eingebaute on-the-fly Zertifikatsgenerator erlaubt auf einfachste Weise sogar Angriffe gegen verschlüsselte HTTPS-Verbindungen.

Mein Kollege Matthias hat im Rahmen der Mitternachtshacking-Vorträge eine Präsentation zu Cain & Abel (PDF; 1,1 MB) zusammengestellt, die kurz die diversen Möglichkeiten des Programms beschreibt. Die Präsentation gibt leider nur einen Bruchteil des Abends wieder, da fast alle Funktionen praktisch ausprobiert wurden und einigen Teilnehmern dabei die Augen geöffnet wurden, wie einfach viele Angriffe doch sind.

Kollege Matthias hat sich für die Hacking Show in Neuss etwas detaillierter mit dem VoIP-Hacking beschäftigt und eine Erweiterung für die BackTrack 2.0 gebaut:

So mal eine kleine Ergänzung zu der ganzen Sache VoIP Hacking Reloaded von meiner Seite.Es ging ja mehr um Angriffe auf die Infrastruktur, als auf die Hardware. Ich habe mir mal die Mühe gemacht und eine Erweiterung für die BackTrack geschrieben. Dort habe ich noch ein paar Tools reingepackt, die mir auf der BT noch fehlen. Obwohl diese Tools dann gar nicht während der Show benötigt wurden, also auch nicht in der Präsentation vorkommen. Die meisten Tools sind von

Hacking VoIP

aus der beliebten Hacking Exposed Reihe. Weiterhin habe ich noch

sipbomber

und

sipproxy

reingepackt. Diese Programme halte ich für gute Tools um die eigentlichen Telefone mal Herz und Nieren zu testen. Ich hatte leider keinen Platz mehr sonst hätte ich noch

c07-h2250v4-r2.jar

reingezwängt. Aber das ganze LZM Paket ist schon 10 MB groß und dann wird es knapp mit dem Brennen der BT. Das jar kann man einfach bei den Finnen runterladen und mit java –jar starten.

Das Packet nennt sich voip.lzm. Einfach in das ISO Image der BT mit rein nehmen und dann happy hacking 😉

Matthias

Soso, The Inquirer schreibt über Hacker. Wörtlich:

„Um den Anschein des Illegalen zu verwischen, geht es offiziell nach Außen hin um Sicherheits-Kurse (The Inquirer).“

Ist The Inquirer eigentlich eine seriöse Zeitung oder mehr so wie Bild? Braucht es neben BildBlog auch einen InquirerBlog?

Ich fühle mich jedenfalls gerade köstlich unterhalten, weil ich selbst verschiedene Hacking Kurse, u.a. den angegriffenen „Certified Ethical Hacker“ halte. Beispielsweise bei CBT Training & Consulting, falls mal ein Leser teilnehmen möchte. Und für die Journalisten beim Inquirer: Ja, die Hacking-Kurse braucht es. Nur wenn man versteht, wie Hacker denken und vorgehen, kann man sich effizient dagegen schützen. Bei der Polizei nennt sich das wohl „Profiler“.

Oder wie es Sun Tzu in „Die Kunst des Krieges“ formuliert hatte:

„Wer seinen Feind kennt, und auch sich selbst, wird in hundert Kämpfen niemals in Gefahr sein.“

Wie versprochen die Präsentation zur Ingram Micro Voice-over-IP Hacking Show (PDF; 3,2 MB). Die Slides geben natürlich nur einen unvollständigen Eindruck wieder, weil die ganzen Angriffe wie Abhören der Sprachkommunikation, Mitsniffen der SIP-Anmeldung etc. live vorgeführt wurden und bei einigen Zuschauern zu erheblichen Aha-Effekten geführt haben.

Interessant war dabei, das Interesse richtete sich weniger auf die Thematik Voice-over-IP, die meisten Teilnehmer haben VLANs bereits implementiert oder irgnorieren das Thema weitgehend sondern die Folgediskussionen drehten sich hauptsächlich um die Problematik von Skype im Unternehmensnetz.

Meine persönliche Meinung ist dazu recht eindeutig: Skype ist im Unternehmen ein klares no-go und das hauptsächlich aus folgenden Gründen:

1. Der Administrator verliert durch die vielen verschiedenen Techniken die Skype verwendet, um Firewalls zu umgehen bzw. zu durchlöchern die Kontrolle, wer welche Art der Kommunikation durchführt.
2. Die Skype-Kommunikation ist proprietär verschlüsselt, der Administrator hat keine Kontrolle, welche Daten rein oder raus gehen, insbesondere da mit Skype auch Programme und andere Dateien übertragen werden können.
3. Die Skype-Kommunikation kann über sogenannte Supernodes laufen, über die der Administrator keine Kontrolle hat. Möglicherweise routet ein Skype-Client seinen Traffic über das VPN von einer Partnerfirma zu einem internen Rechner, der dann die Daten ins Internet weiterleitet. Diese Kommunikationspfade sind kaum beherrschbar und können erheblichen Datenverkehr verursachen.
4. Skype gehört eBay, einem amerikanischen Unternehmen das für seine „benutzerfreundliche“ Datenschutzpolitik bekannt ist. Amerikanischen Behörden bekommen praktisch problemlos Zugriff auf alle Daten. Nicht umsonst sitzt eBay.de in Wirklichkeit in der Schweiz, also außerhalb der Europäischen Union.
5. Die rechtlichen Risiken z.B. was das Eigentum der Skype-ID betrifft oder die geschäftliche Nutzung sind nicht geklärt. Skype kann laut AGB einen Account ohne Angabe von Gründen löschen und die Skype-ID ggf. einem anderen User übertragen. Der kriegt dann für mich bestimmte Anrufe.

Alles Gründe, die für mich keine Rolle spielen, wenn ich privat mit Freunden per Skype telefoniere aber die den Einsatz im Unternehmen klar verbieten. Wer hier „Futter“ für die Geschäftsleitung braucht, darf mir gerne eine Mail schicken.

Auf The Register: Ein New-Yorker Sicherheitsforscher hat weniger als 12 Stunden gebraucht um eine neue Sicherheitslücke in Apples Safari zu finden und damit einen Preis von 10.000 USD zu gewinnen. Den Preis hat übrigens Tipping Point gesponsort.

Wieso wundert mich das jetzt alles nicht?

Aber werden die Systeme dadurch sicherer?

Kurz nach Mitternacht nur eine kurze URL:

Ha.ckers.org XSS Cheat Sheet

Sehr praktisch, wenn mal wieder ein Webserver in einem Penetrationstest überprüft werden soll.

„Google ist das wichtigste Hacker-Tool!“ Diese Aussage hört man immer wieder, besonders wenn es um die Suche von Lücken in Webservern geht. Johnny Long hat auf seiner Webseite in der Google Hacking Database eine Vielzahl von sogenannten „Googledorks“ zusammengestellt. Damit sind Suchanfragen gemeint, mit denen man sensible Daten wie Passwörter, Vulnerabilities und anderes finden kann.

Wir haben dieses Thema im April 2006 aufgegriffen und einen Abend Mitternachtshacking zu typischen Sicherheitslücken auf Webanwendungen veranstaltet. Die Inhalte decken z.B. kostengünstig Shoppen in schlecht gemachten Webshops ab, Spamversand über E-Mail-Kontaktseiten von Firmen und natürlich, wie man all das möglichst einfach und bequem per Google finden kann.

Unsere eigene Präsentation (PDF, 1200 KB) und natürlich die Originalpräsentation von Johnny Long auf der Black Hat Europe Konferenz 2005 in Amsterdam sind sehr spannend anzusehen.

Beim Aufsetzen eines neuen DNS-Servers die Tage habe ich nebenbei bei Securityfocus nach bekannten Sicherheitslücken und Konfigurationsempfehlungen geschaut. Dabei bin ich über einen ganz anschaulichen Kommentar von Thomas Ptacek gestoßen, warum DNSSEC nicht zu gebrauchen ist.

Ich habe die DNSSEC-Diskussion dann ein wenig zurückverfolgt und bin auf folgende interessante Phising-Anleitung von D. J. Bernstein gestoßen:

1. Der Angreifer beschafft sich zwei IP-Adressen, z.B. 1.2.3.4 und 9.8.7.6. Er besorgt sich außerdem einen sprechenden Domainnamen, z.B. secure-banking.com.
2. Der Angreifer richtet einen DNS-Record für hugebank.secure-banking.com ein, der auf 1.2.3.4 verweist. Er beantragt bei Verisign ein Zertifikat im Namen von „HugeBank Secure Banking“. Er setzt einen SSL HTTP Server auf 1.2.3.4 auf, der genauso aussieht wie der von hugebank.com.
3. Der Angreifer richtet einen HTTP-Server auf 9.8.7.6 ein, der auf Anfragen nach hugebank.com antwortet und auf hugebank.secure-banking.com weiterleitet.
4. Hier kommt die Modifikation: Statt DNS-Anfragen zu fälschen wie im Original, schicken wir Phishing-Mails aus, mit dem Hinweis, sich mit hugebank.secure-banking.com zu verbinden. Alternativ können wir auch DNS-Anfragen an hugebank.com verfälschen, so dass auf die Adresse 9.8.7.6 verwiesen wird.
5. Das Opfer verbindet sich mit hugebank.secure-banking.com. Die Seite sieht aus, wie von Hugebank gewohnt. Der Browser zeigt eine sichere, verschlüsselte Verbindung zu hugebank.secure-banking.com an.
6. Ok, nun bin ich paranoid und prüfe das Zertifikat. Aber das Zertifikat ist gültig, von Verisign ausgestellt und sagt mir, dass hugebank.secure-banking.com tatsächlich „Hugebank Secure Banking“ gehört.

Sieht alles korrekt aus und ist gar nicht mal so abwegig. Die Raiffeisenbank verweist zum Beispiel für ihr Internetbanking auf die Seite finanzportal.fiducia.de …

Eigentlich also nichts neues. Nur, die Anleitung ist von 1999!

In Hamburg fand bekanntlich vom 6. bis 9. April das vom Chaos Computer Club Hamburg organisierte Easterhegg 2007 statt. Leider sind es ja nun von München nach Hamburg ein paar Kilometer und die Referenten sind nicht ganz so hochkarätig wie auf dem Chaos Communication Congress in Berlin. Daher war an eine persönliche Anwesenheit nicht zu denken.

Andererseits lohnt es sich immer, einen Blick in den Fahrplan und sofern bereits Online auch in die Vorträge zu werfen. Besonders interessant finde ich den Vortrag zum Bluetooth-Hacking von Martin Kager. Die Präsentation zeigt zwar keine wirklich neuen Angriffe, bietet aber einen schönen Überblick des aktuellen Stands der Technik. Alle Tools und Angriffsszenarien sind übersichtlich zusammengefasst und bieten einen guten Einstieg in die Thematik.

Bei dieser Gelegenheit kann ich auch noch auf die Arbeit (PDF) von Max Moser hinweisen, der einen Weg gefunden hat, einen gewöhnlichen Bluetooth-Dongle mit CSR Chipsatz durch ein Firmware-Update in einen Bluetooth-Sniffer zu verwandeln. Interessant ist das insbesondere, weil günstige Bluetooth-Dongles schon für unter 20 € im Laden zu haben sind während für einen Bluetooth-Sniffer bisher rund 10.000 € fällig werden. Mal sehen, vielleicht gibt es demnächst auf der BackTrack 3.0 auch einen Linux-Bluetooth-Sniffer 🙂 .