Mitternachtshacking

Kollege Matthias hat sich zur CISSP-Prüfung angemeldet. Das kann ich natürlich nicht auf mir sitzen lassen und habe mich auch gleich mal dort gemeldet. Am 1. Juli ist Prüfung.

Die Anmeldeseite ist lustig. Eine der Fragen: Sind Sie jemals im Zusammenhang mit Hacking aufgefallen?“ Na klar, davon lebe ich. Wir machen Penetrationstests und öffentliche Hackingshows und wenn wir da nicht auffallen, dann machen wir was falsch.

Ich hoffe, die nehmen mich trotzdem … ich hab vorsichtshalber dazugeschrieben, dass ich Certified Ethical Hacker bin. Man weiß ja nie, was die Amis so denken. Obwohl, die CISA-Prüfung würde mich auch noch interessieren.

PRISMA = Program Review for Information Security Management Assistance

Das US NIST Computer Security Resource Center hat für US-Behörden ein neues Programm namens PRISMA ins Leben gerufen. Dabei soll die Sicherheit von IT-Systemen bewertet werden. Die Kernidee ist ein sogenannter Maturity Level, der aussagt wie weit Security bereits in einzelne Bereiche vorgedrungen ist:

• Maturity Level 1: Policies
• Maturity Level 2: Procedures
• Maturity Level 3: Implementation
• Maturity Level 4: Testing
• Maturity Level 5: Integration

Das ganze wird mit einer netten Datenbank begleitet und bietet ein paar hübsche Informationen. In Summe gibt es einen Haufen von Fragen die zu beantworten sind, und wenn alles ok ist, dann ist dieser Bereich im Unternehmen „compliant“ und grün, wenn ein paar Sachen gemacht wurden, aber nicht alle, dann ist dieser Bereich „partially compliant“ und gelb, und wenn nichts gemacht wurde, dann ist das natürlich „non compliant“ und rot. Durch die einfachen Fragen dürfte es in der Praxis schnell zu Ergebnissen kommen.

Ich werde mir das mal genauer anschauen und dann darüber berichten .

Cain & Abel gilt inzwischen als eines der mächtigsten Universaltools für Windows. Dies zeigt auch die Übersicht der Top 100 Network Security Tools, auf der Cain & Abel zur Zeit auf Platz 9 geführt wird und zur vorherigen Liste 23 Plätze aufgestiegen ist.

Cain & Abel selbst ist die Vereinigung einer Vielzahl unterschiedlicher Programme unter einer gemeinsamen grafischen Oberfläche, die auch unbedarften Benutzern einige sehr komplexe Hacking-Angriffe eröffnet. So sind Funktionen wie DNS-Spoofing und ARP-Spoofing für Man-in-the-Middle Angriffe sehr einfach bedienbar, der eingebaute on-the-fly Zertifikatsgenerator erlaubt auf einfachste Weise sogar Angriffe gegen verschlüsselte HTTPS-Verbindungen.

Mein Kollege Matthias hat im Rahmen der Mitternachtshacking-Vorträge eine Präsentation zu Cain & Abel (PDF; 1,1 MB) zusammengestellt, die kurz die diversen Möglichkeiten des Programms beschreibt. Die Präsentation gibt leider nur einen Bruchteil des Abends wieder, da fast alle Funktionen praktisch ausprobiert wurden und einigen Teilnehmern dabei die Augen geöffnet wurden, wie einfach viele Angriffe doch sind.

Gartner hat laut CIO.com festgestellt, dass regelmäßige Sicherheitsprüfungen die IT-Sicherheit im Unternehmen erhöhen:

Richard Hunter, a vice president and analyst on security and privacy with Gartner, says that CIOs should regularly run IT security audits on the „practices and procedures related to IT operations“. The audit needs to be an objective „examination of records by an impartial third party“.

Zusätzlich zu internen Audits kann offensichtlich auf externe Audits nicht verzichtet werden. Dabei kann es sich um reguläre Security Audits, Vunerability Assessments oder Penetration Tests handeln, wichtig ist vor allem, sie werden von einem seriösen Partner durchgeführt und finden regelmäßig statt.

Wichtig für das beauftragende Unternehmen ist dabei vor allem, dass einen brauchbare Dokumentation erstellt wird. In unserer Dokumentation ist nicht nur die Auflistung und Bewertung aller entdeckten und potentiellen Schwachstellen enthalten, zusätzlich erhält der Auftraggeber auch Empfehlungen zur Verbesserung der IT-Sicherheit. Und natürlich eine Übersicht aller verwendeten Tools, die Rohdaten aller Scanner (Nmap, Nessus, etc.) und den Source Code von eventuell von uns erstellter Exploits. Erst mit den Rohdaten kann der Auftraggeber auch prüfen, mit welchen Optionen ein Scanner gestartet wurde und ob eventuell Dienste übersehen wurden.

Unternehmen, die nach einem Penetrationstest diese Daten nicht herausrücken, vielleicht noch unter Verweis auf „Geschäftsgeheimnisse“ haben meiner Meinung nach das Attribut „seriös“ nicht verdient.

Kollege Matthias hat sich für die Hacking Show in Neuss etwas detaillierter mit dem VoIP-Hacking beschäftigt und eine Erweiterung für die BackTrack 2.0 gebaut:

So mal eine kleine Ergänzung zu der ganzen Sache VoIP Hacking Reloaded von meiner Seite.Es ging ja mehr um Angriffe auf die Infrastruktur, als auf die Hardware. Ich habe mir mal die Mühe gemacht und eine Erweiterung für die BackTrack geschrieben. Dort habe ich noch ein paar Tools reingepackt, die mir auf der BT noch fehlen. Obwohl diese Tools dann gar nicht während der Show benötigt wurden, also auch nicht in der Präsentation vorkommen. Die meisten Tools sind von

Hacking VoIP

aus der beliebten Hacking Exposed Reihe. Weiterhin habe ich noch

sipbomber

und

sipproxy

reingepackt. Diese Programme halte ich für gute Tools um die eigentlichen Telefone mal Herz und Nieren zu testen. Ich hatte leider keinen Platz mehr sonst hätte ich noch

c07-h2250v4-r2.jar

reingezwängt. Aber das ganze LZM Paket ist schon 10 MB groß und dann wird es knapp mit dem Brennen der BT. Das jar kann man einfach bei den Finnen runterladen und mit java –jar starten.

Das Packet nennt sich voip.lzm. Einfach in das ISO Image der BT mit rein nehmen und dann happy hacking 😉

Matthias

Wie versprochen die Präsentation zur Ingram Micro Voice-over-IP Hacking Show (PDF; 3,2 MB). Die Slides geben natürlich nur einen unvollständigen Eindruck wieder, weil die ganzen Angriffe wie Abhören der Sprachkommunikation, Mitsniffen der SIP-Anmeldung etc. live vorgeführt wurden und bei einigen Zuschauern zu erheblichen Aha-Effekten geführt haben.

Interessant war dabei, das Interesse richtete sich weniger auf die Thematik Voice-over-IP, die meisten Teilnehmer haben VLANs bereits implementiert oder irgnorieren das Thema weitgehend sondern die Folgediskussionen drehten sich hauptsächlich um die Problematik von Skype im Unternehmensnetz.

Meine persönliche Meinung ist dazu recht eindeutig: Skype ist im Unternehmen ein klares no-go und das hauptsächlich aus folgenden Gründen:

1. Der Administrator verliert durch die vielen verschiedenen Techniken die Skype verwendet, um Firewalls zu umgehen bzw. zu durchlöchern die Kontrolle, wer welche Art der Kommunikation durchführt.
2. Die Skype-Kommunikation ist proprietär verschlüsselt, der Administrator hat keine Kontrolle, welche Daten rein oder raus gehen, insbesondere da mit Skype auch Programme und andere Dateien übertragen werden können.
3. Die Skype-Kommunikation kann über sogenannte Supernodes laufen, über die der Administrator keine Kontrolle hat. Möglicherweise routet ein Skype-Client seinen Traffic über das VPN von einer Partnerfirma zu einem internen Rechner, der dann die Daten ins Internet weiterleitet. Diese Kommunikationspfade sind kaum beherrschbar und können erheblichen Datenverkehr verursachen.
4. Skype gehört eBay, einem amerikanischen Unternehmen das für seine „benutzerfreundliche“ Datenschutzpolitik bekannt ist. Amerikanischen Behörden bekommen praktisch problemlos Zugriff auf alle Daten. Nicht umsonst sitzt eBay.de in Wirklichkeit in der Schweiz, also außerhalb der Europäischen Union.
5. Die rechtlichen Risiken z.B. was das Eigentum der Skype-ID betrifft oder die geschäftliche Nutzung sind nicht geklärt. Skype kann laut AGB einen Account ohne Angabe von Gründen löschen und die Skype-ID ggf. einem anderen User übertragen. Der kriegt dann für mich bestimmte Anrufe.

Alles Gründe, die für mich keine Rolle spielen, wenn ich privat mit Freunden per Skype telefoniere aber die den Einsatz im Unternehmen klar verbieten. Wer hier „Futter“ für die Geschäftsleitung braucht, darf mir gerne eine Mail schicken.

Am 24. Januar war ich vom Egemin-Konzern in den Niederlanden zu einem netten Event auf Schloß Loevestein eingeladen. Ich habe dort einen kleinen Vortrag zum Thema Hackerangriffe auf Supply Chains gehalten. Wer erzeugt die Bestellungen in vollautomatischen Systemen und wo können Hacker angreifen. Die Veranstaltung fand im Rittersaal von Schloß Loevestein statt, der Raum war nur durch Kerzen erleuchtet und das Essen dort war hervorragend.

Der Anlaß, das heute zu schreiben? Die niederländische Fachzeitschrift Automatie hat in ihrem Heft Nummer 3 / 2007 einen Artikel zum Egemin-Event (PDF, 280 KB) veröffentlicht und mir freundlicherweise als PDF zur Verfügung gestellt. Ok, ich sehe auf dem Foto nicht sehr vorteilhaft aus aber durch die Kerzen war es im Saal wirklich sehr sehr warm 🙂

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat manchmal auch den Bezug zur Realität komplett verloren. Besonders eindrucksvoll demonstriert das meines Erachtens dieses PDF: Ein IT-Grundschutzprofil für eine kleine Organisation (2 MB!).

„Herr Anders führt einen kleinen Familienbetrieb mit 3 Angestellten. Zu den Angestellten zählt Frau Bauer (eine Sekretariatskraft), die halbtags arbeitet und zwei Außendienstmitarbeiter, die den ganzen Tag vor Ort bei den Kunden des Familienbetriebs beschäftigt sind.“

Eine Vertriebsfirma mit 2,5 Mitarbeitern neben dem Chef hat andere Sorgen als sich um Grundschutz zu kümmern. Außerdem reden wir in diesem „IT-Verbund“ von gerade mal zwei PCs, zwei Druckern und einem Notebook. Ach ja, die TK-Anlage nicht vergessen (auch wenn die gar nicht vernetzt ist). Am besten sollte man dem gleich das GSTool andrehen. Bei so wenig Rechnern kann man tatsächlich noch bei allen Bausteinen die erledigten Maßnahmen abhaken. Spätestens bei 40 oder 50 Objekten ist das viel zu umständlich. Da skaliert die Software gar nicht mehr. Aber vermutlich ist das im BSI mit ihren 30 oder 40 Rechnern in einer „mittleren“ Institution noch gar nicht aufgefallen.

Wenn zufällig jemand eine brauchbare Software zur Grundschutzmodellierung kennt, ich wäre ein dankbarer Abnehmer. Was ich gerne hätte wäre die im GSTool angedeutete Möglichkeit, Maßnahmen effizient mit Aufwand (MT) und Kostenangaben (einmalig, jährlich) zu versehen um eine schnelle Abschätzung der Kosten der Aufrechterhaltung der IT-Sicherheit zu erhalten.

Gut, der Artikel in The Register ist von August 2001, aber er zeigt wunderschön die Notwendigkeit der Datenverschlüsselung auf mobilen Geräten: Festplattenverschlüsselung auf Notebooks, Flash-Verschlüsselung auf PDAs und natürlich auch auf Blackberry und Co.

Und der Artikel liest sich wirklich schön:

„The survey, which quizzed 131 of the capital’s 24,000 licensed cab drivers, also claimed the more bizarre items left in cabs included a small girl, a cat, a goldfish in a water-filled bag, and a suitcase packed with diamonds and £2,000 in cash. „

Ein kleines Mädchen, soso … 🙂

Ach ja, als Argument für Kunden, für die Verschlüsselung Geld auszugeben, eignet sich der Artikel natürlich auch.

„Google ist das wichtigste Hacker-Tool!“ Diese Aussage hört man immer wieder, besonders wenn es um die Suche von Lücken in Webservern geht. Johnny Long hat auf seiner Webseite in der Google Hacking Database eine Vielzahl von sogenannten „Googledorks“ zusammengestellt. Damit sind Suchanfragen gemeint, mit denen man sensible Daten wie Passwörter, Vulnerabilities und anderes finden kann.

Wir haben dieses Thema im April 2006 aufgegriffen und einen Abend Mitternachtshacking zu typischen Sicherheitslücken auf Webanwendungen veranstaltet. Die Inhalte decken z.B. kostengünstig Shoppen in schlecht gemachten Webshops ab, Spamversand über E-Mail-Kontaktseiten von Firmen und natürlich, wie man all das möglichst einfach und bequem per Google finden kann.

Unsere eigene Präsentation (PDF, 1200 KB) und natürlich die Originalpräsentation von Johnny Long auf der Black Hat Europe Konferenz 2005 in Amsterdam sind sehr spannend anzusehen.