30. Juni 2007

InterProtocol Exploitation oder Hacking 2.0

Category: Hacking — Christian @ 18:43

TheRegister bezeichnet es als Worms 2.0, aber eigentlich steckt viel mehr dahinter:

Wade Alcorn von NGSSoftware hat einen Bericht (PDF) veröffentlicht, wie JavaScript innerhalb des Browsers verwendet werden kann, um Metasploit-ähnliche Angriffe durchzuführen.

In der Praxis bedeutet das, ein harmloser User mit aktiviertem JavaScript braucht nur auf eine Schadwebseite surfen und schon wird im Browser ein Angriff gegen einen anderen Dienst (mit einem anderen Protokoll, daher Interprotocol Exploitation) ausgeführt. Das spannende dabei, der Angriff erfolgt vom PC des Users aus, d.h. bereits hinter der Firewall. Man kann sich leicht ausmalen, was das bedeutet.

Viele Firmen verzichten darauf, Patches schnell in internen Netzen auszurollen, da immer wieder Funktionsprobleme auftauchen. Da viele Angriffe von außen passieren und sich Mitarbeiter meistens (aber nicht immer) zurückhalten, ist das eine angemessene Strategie für das Risikomanagement. Bisher. Komplexe Sachen wie SSH-Handshake dürften lt. Alcorn schwierig werden, IMAP Brute Force beispielsweise oder einfache Exploits die nur ein paar Pakete benötigen dürften einfach zu programmieren sein.

Mal sehen, wann das erste echte Framework veröffentlicht wird.

29. Juni 2007

T-Online und die Sicherheit

Category: Hacking,Produkte — Christian @ 22:07

Die Telekom (bzw. T-Online) hat ihren Kunden da einen ADSL-WLAN-Router Speedport W 700V angedreht, der per Browser aus dem Internet konfigurierbar ist. So etwas ist bekanntlich keine besonders gute Idee. Dieses Konfigurationsinterface lässt sich leider auch nicht abschalten und wenn die Anwender schlechte Passwörter verwenden oder sogar das Standardpasswort („0000“) lassen, kann man z.B. die Zugangsdaten klauen oder anderen Unsinn anstellen. Das Gerät wird von Arcadyan, einem Joint Venture von Accton und Philips hergestellt. Verbockt haben das beide:

  1. Arcadyan hat, es musste wohl billig sein, schlicht ein paar Konfigurationsoptionen oder eine brauchbare ACL-Implementierung weggelassen. (Vielleicht wollten sie auch nur nicht von Harald Welte verklagt werden.)
  2. T-Online hat das eigentlich übliche Due Dilligence beim Abschluss eines solchen Liefervertrags grob vernachlässigt, bereits bei einfachen Tests der Geräte hätte so etwas auffallen müssen.

Nun gut, jetzt gibt es ein Firmware-Update auf 1.16, das dieses Problem löst. Das laden die Router sogar automatisch (ich hoffe das hat T-Online vorher auch getestet), es dauert nur eine ganze Weile bis das auf allen Geräten drauf ist. Nicht jeder ist schließlich rund um die Uhr online.

Und da ist T-Online auf die geniale Idee gekommen, einfach komplett für alle User, vermutlich auf allen Routern, den TCP-Port 8085 zu sperren. Den Port verwendet normalerweise eh keiner. Herausgekommen ist das, weil eine Bank für ihr Online-Banking zufällig genau diesen Port nutzt, lt. IANA ist der Port „unassigned“. Im Prinzip ist das nichts neues. Das Leibniz Rechenzentrum der Münchner Hochschulen macht so ettwas auch, da nennt sich das Sicherheitspaket D und sperrt von außen den Zugriff auf bestimmte Microsoft-Ports.

Nur, das LRZ kommuniziert mit den angeschlossenen Instituten. Da weiß jeder Bescheid. T-Online sperrt einfach und gibt niemandem Bescheid. Auch wenn eine solche Maßnahme im Sinne der meisten Kunden ist, halte ich es für absolut inakzeptabel, dass solche Sperren nicht öffentlich bekanntgegeben werden. Für jeden sonstigen Werbekäse verschickt T-Online ja auch eine E-Mail.

Ach ja, die Kollateralschäden: World of Warcraft braucht in vielen privaten Server-Installationen die Ports 3724, 8080 und 8085. Sipgate bietet über Port 8085 anscheinend eine Abfrage des Onlinestatus und Sun Java will den Port auch für irgendwas verwenden. Dumm gelaufen.

Andererseits könnte das auch eine clevere Geschäftsidee sein:

  • Internet-Zugang Basisanschluss (nur Port 80 HTTP): 19,90 Euro
  • Aufpreis Mailabruf per POP3: 4,95 Euro
  • Aufpreis WoW Ports: 4,95 Euro

Da kann man richtig was verdienen. Beim Mailversand mit eigenen Mailadressen kassiert T-Online ja schon länger. Das war übrigens einer der Hauptgründe, warum ich nicht mehr bei T-Online bin. Da bleibt es dem Verbraucher unbelassen, mit den Füßen abzustimmen. Aber das passiert eh schon.

Ist das eigentlich noch mit Netzneutralität vereinbar?

Anmerkung: Der SpeedPort W701V von AVM ist davon übrigens nicht betroffen.

Intel und die CPU

Category: Produkte — Christian @ 19:08

Soso, nun ist Intel also aufgescheucht worden und hat deutlich reagiert:

    „We’ve addressed a processor issue by providing a BIOS update for our customers that in no way affects system performance. We have documented this as an errata.“

Das glaube ich gerne, aber ob die BIOS-Updates dann auch überall eingespielt werden ist eine ganz andere Frage. Klar, neue Motherboards, die in vielleicht einem halbe Jahr produziert werden, haben das Update dann drin. Ältere Motherboards aber nicht. Da werden noch genug angreifbare Systeme übrig bleiben.

Ob das dann tatsächlich zu Root-Exploits führt, wage ich in diesem Fall ja zu bezweifeln. Dafür ist die Materie zu komplex und von zu vielen Rahmenbedingungen abhängig. Außerdem gibt es mit Vista eine große Spielwiese.

Andererseits hat Theo de Raadt auch nicht unrecht:

    „Part of exploitability is being able to crash a machine reliably, We’re trying to build reliable systems on an unreliable framework.“

Bei The Register und dem Inquirer gibt es mehr zum Thema

Exploitable Intel CPU Errata

Category: Hacking,Produkte — Christian @ 16:15

Theo de Raadt, genialer aber selten diplomatischer Chefentwickler von OpenBSD hat offensichtlich einen neuen Lieblingsgegner ausgemacht: die Intel Core 2 CPUs. In einer Mail an die OpenBSD-Liste beschreibt er die Entwicklerprobleme mit der Intel-CPU.

    These processors are buggy as hell, and some of these bugs don’t just cause development/debugging problems, but will *ASSUREDLY* be exploitable from userland code.

Eine coole Vorstellung … Sicherheitslücken, die zu Root-Exploits führen können treten nicht mehr nur im Betriebssystemcode auf sondern inzwischen vermehrt auch in Prozessoren. Und wenn es sich um richtig fiese Fehler handelt, ist unter Umständen gar kein funktionierender Workaround möglich. Der berüchtigte Pentium-FDIV-Bug ist harmlos dagegen.

Im einzelnen führt Theo de Raadt folgende Fehler auf:

  • AI56: Update of Read/Write (R/W) or User/Supervisor (U/S) or Present (P) Bits without TLB Shootdown May Cause Unexpected Processor Behavior
  • AI79: REP Store Instructions in a Specific Situation may cause the Processor to Hang
  • AI43: Concurrent Multi-processor Writes to Non-dirty Page May Result in Unpredictable Behavior
  • AI39: Cache Data Access Request from One Core Hitting a Modified Line in the L1 Data Cache of the Other Core May Cause Unpredictable System Behavior
  • AI90: Page Access Bit May be Set Prior to Signaling a Code Segment Limit Fault
  • AI99: Updating Code Page Directory Attributes without TLB Invalidation May Result in Improper Handling of Code #PF

Theo de Raadt schreibt dazu:

    „We bet there are many more errata not yet announced — every month this file gets larger. Intel understates the impact of these erraata very significantly. Almost all operating systems will run into these bugs.Basically the MMU simply does not operate as specified/implimented in previous generations of x86 hardware. It is not just buggy, but Intel has gone further and defined „new ways to handle page tables“ (see page 58).Some of these bugs are along the lines of „buffer overflow“; where a write-protect or non-execute bit for a page table entry is ignored. Others are floating point instruction non-coherencies, or memory corruptions — outside of the range of permitted writing for the process — running common instruction sequences.All of this is just unbelievable to many of us.“

Oder anders ausgedrückt: Wir werden in Zukunft vermutlich eine komplett neue Klasse von Exploits sehen, die sich gar nicht auf ein Betriebssystem ausrichten sondern auf die darunterliegende CPU. Sehr spannend, das werde ich mal im Auge behalten.

Zum Nachschlagen: die komplette Liste der Intel Core 2 Fehler

28. Juni 2007

Werbung und Privacy

Category: Datenschutz,Offtopic — Christian @ 19:53

Firefox ist schon ein cooler Browser. Lästig ist nur ab und zu, wichtige Add-ons nachinstallieren zu müssen. Zwei Stück sind bei mir immer gleich dabei: NoScript und Adblock. (Ja ich weiß, es gibt Adblock Plus und fertige Filtersets, aber Adblock tut für mich und ich habe gern selbst die Kontrolle, was ich blockiere und was nicht).

Im Ergebnis ist das Internet für mich praktisch werbefrei. Ab und zu sind sogar richtige Klimmzüge notwendig, wenn ich mir doch mal Werbung ankucken möchte.

Was aber tut man gegen Werbung wenn man den Internet Explorer verwenden will?

Ich habe da eine historisch gewachsene Hosts-Datei, die viele typische Werbehosts einfach auf 127.0.0.1 umleitet. Sieht zwar manchmal nicht so schön aus, aber die Werbung ist trotzdem weg. Meine Originaldatei hat zu jeder Zeile noch ein Stichwort, warum der Eintrag drin ist (sowas wie Ads, Spyware, Dialer, …). In dieser hier ist das nicht, weil es sich da um meine persönliche Einschätzung handelt und nicht um eine Tatsachenbehauptung (Wen ich persönlich kenne und die Originaldatei will, soll mir eine Mail schreiben).

Das schöne dabei ist, die Seiten laden viel schneller, das Layout ist ansprechender, ohne die nervtötenden Blink-,Flash- und Layer-Ads und die meisten lustigen Cookies tauchen auch nicht mehr auf. Gut, man kann trefflich drüber streiten, ob man z.B. die IVW nun blockieren muss oder nicht aber ich finde, mein Surfverhalten geht die gar nichts an. Die TV- und Fernsehbranche kann ihre Quote ja auch ermitteln, ohne mich mit Cookies zu belästigen.

Ach ja, der Disclaimer: Die Veröffentlichung der Hosts-Datei erfolgt ohne Gewähr und ohne Übernahme eventueller Schäden. Sie sind selbst verantwortlich, welche Konfigurationsänderungen Sie auf Ihrem System durchführen. Die Nutzung der Datei kann Ihre Daten vernichten, Ihr Sexleben gefährden und zu Pickel führen.

Datenschutz im Internet

Category: Datenschutz,Internet — Christian @ 18:13

Der Datenschutz im Internet wird uns in den nächsten Jahren noch sehr viel Kopfzerbrechen bereiten. Traurigerweise scheint das in der Masse der Nutzer noch niemand so richtig verstanden zu haben. Das mag damit zusammenhängen, dass die Warnzeichen schleichend kommen und viel erst aufwachen, wenn der persönliche große Knall kommt. Dieser Beitrag hier wird daher ebenfalls keine Wirkung haben, aber wenigstens erlaubt er es mir, in 5 Jahren oder vielleicht in 10 Jahren oder auch schon in 2 Jahren dann behaupten zu können: „Ich hab’s Euch ja gesagt!“. Ein paar willkürliche aber relativ bekannte Beispiele aus den großen Web 2.0 Social Communities:

StudiVZ

Eigentlich braucht man über StudiVZ nicht mehr viel schreiben. Don Alphonso hat schon alles berichtet, über die Sicherheitsprobleme, über das beliebte Stalking (bei StudiVZ verharmlosend „gruscheln“ genannt), über die lustigen (für Außenstehende) Hacks, für die interessanten abgezogenen Daten, über den Völkischen Beobachter, eigentlich über alles. Primär scheint es sich hier um ein Problem für StudiVZ bzw. den Eigentümer Holtzbrinck zu handeln. Tatsächlich ist es ein Problem der Nutzer.

Als Student sieht man vieles im Leben vielleicht etwas lockerer. Da schreibt man dann gerne mal auf seiner Profilseite (ein wenig übertrieben kommt cool) was man so alles tut oder nicht und nicht alles davon dürfte so 100% legal sein. Folglich gibt es bei StudiVZ die Marihuanaraucher, die Schwulen und Lesben, die Gang Bang Ficker und was sich sonst noch alles herumtreibt. Das ist eine willkürliche Aufzählung ohne jegliche Wertung und ich maße mir nicht an, das zu werten. Aber vielleicht der zukünftige Arbeitnehmer! Bei vielen Unternehmen ist es inzwischen üblich, die Bewerber kurz im Internet zu checken. Die FTD bezeichnet das zutreffend als Web 2.0 Karrierekiller.

Das Problem ist: Diese Daten verschwinden nicht mehr aus dem Netz.

Facebook

Facebook ist das Original, die amerikanische Studentencommunity und Facebook kämpft mit ähnlichen Problemen. Das fing schon mit der Stalkingfunktion an und betrifft das Abziehen von Daten (PDF) natürlich ganz genauso. Lustig ist offensichtlich die Suchfunktion, die Einstellungen wer welche Daten sehen darf einfach ignoriert. Man kann wohl irgendwo anders Einstellungen für die Suchfunktion konfigurieren aber das wissen die meisten Benutzer nicht. The Register warnt eindringlich: Digital data can bite you in the ass.

Das Problem bleibt: Diese Daten verschwinden nicht mehr aus dem Netz!

Google

Auch zu Google muss man nicht mehr viel schreiben. Google ist bekanntlich die große Datenkrake, wurde 2003 auch schon mal für den Big Brother Award nominiert und die letzte Studie von Privacy International hat das drastisch aufgezeigt. Google Watch führt noch ein paar weitere Punkte zusammen. Und mit Google Street Watch hat sich das Thema gerade erst potenziert. Inzwischen werden sogar die drögen Amis wach.

Europäischer und amerikanischer Datenschutz

Europäischer und amerikanischer Datenschutz unterscheiden sich hier grundlegend. Daten, die einer europäischen Firma zur Verarbeitung gegeben werden, gehören weiterhin mir. Ich habe das Recht, zu Fragen was über mich gespeichert ist und kann fehlerhafte Daten korrigieren lassen. Daten die eine amerikanische Firma über mich gespeichert hat, gehören der amerikanischen Firma. Wer sich mal die Pricacy Policy einer amerikanischen Firma durchgelesen hat (z.B. Paypal) versteht, was ich meine. DoubleClick hat bereits einmal versucht, Daten aus dem Surfverhalten der Nutzer zu personalisieren. (DoubleClick wurde jetzt übrigens für 3,1 Milliarden USD von Google gekauft. Da soll noch jemand behaupten, Google sein nicht evil.

Vorratsdatenspeicherung

Komplett den Bach runter geht der Datenschutz spätestens, wenn die von den Herren Schäuble („ich habe von einem Bundestrojaner nichts zu befürchten, ich habe ja keine schwarzen CDU-Geldkoffer von Herrn Schreiber angenommen“) und Beckstein („ich dachte der Virus mit dem BKA-Titel sei eine dienstliche Mail an mich“) geforderte Vorratsdatenspeicherung kommt. Das ist jedem vernünftig denkenden Menschen aber eigentlich auch klar.

Dafür gibt es jetzt aber eine tolle Initiative der EU: Privacy and Identity Management in Europe, kurz PRIME. Leitmotiv von PRIME ist es laut Heise angeblich:

    „die personenbezogenen Informationen beim Identitätsmanagement unter der Kontrolle des Nutzers zu belassen. Ziel ist es, auch bei der Herausgabe persönlicher Daten für die Inanspruchnahme von Online-Services den jeweils maximal möglichen Datenschutz zu gewährleisten.“

Der zweite Absatz erklärt jedoch, wo es wirklich hingeht:

    „Mit Systemen zum ID-Management soll das Problem der sicheren Identifikation von Surfern im Internet gelöst werden. Der Druck auf die Entwicklung eines entsprechenden „sicheren Kommunikationsraums“ im Netz geht […] von der Politik aus.“

Oder, wenn wir Neusprech mal weglassen: Anonym im Internet ist nicht mehr.

Da fühlt man sich in der Europäischen Union mal wieder richtig gut aufgehoben. Oder?

Fingerprintdatabase

Category: Offtopic — Christian @ 01:17

http://myfingr.com/

(via Fefe)

🙂

27. Juni 2007

You got owned by IMC

Category: Hacking,Offtopic — Christian @ 20:25

Gerade bei der Recherche für den nächsten Beitrag gefunden:

You got owned by IMC

Sehr nett 🙂

WordPress Security III

Category: Allgemein,Hacking — Christian @ 19:55

Heise hat es gestern Abend nochmal zusammengefasst, ich mache das daher auch mal:

1. Lücke: Fehler in PHPMailer mit Remote Code Execution in Verbindung mit Sendmail

2. Lücke: SQL-Injection in xmlrpc.php, benötigte jedoch einen gültigen Account

3. Lücke: File Upload Problem, anscheinend nur teilweise behoben, benötigt jedoch ebenfalls einen gültigen Account

4. Lücke: Cross Site Scripting im Default Theme von WordPress

Also für meine Installation keine Schwachstellen mit hohem Risiko. Es gibt nur ein paar Benutzer mit Accounts, die sind alle persönlich bekannt und Sendmail kommt auch nicht zum Einsatz.

Bisher kann ich mit WordPress gut leben. Bisher. Ich hoffe, das bleibt so.

Ach ja, die Exploits bitte nicht gegen dieses Blog ausprobieren, ich bin längst auf 2.2.1 🙂

WordPress Security II

Category: Allgemein — Christian @ 19:36

Hach ja, für die Faulen wird auch gesorgt:

Jetzt gibt es also auch einen Online WordPress Security Scanner. Dank freundlicher Unterstützung von Blogsecurity.net.

Zum Download gibt es das Tool als Perl-Programm übrigens auch.

Sehr nett 🙂