31. Juli 2007
Vor den bösen Hackern ist aber auch gar nix sicher. Die Probleme mit Virenscannern und Backup-Software sind ja schon lange bekannt, aber natürlich wird auch alles andere angegriffen.
Der neueste Gag ist, Software anzugreifen, die eigentlich für die forensische Analyse gedacht ist. Auf der aktuell laufenden Black Hat Conference in Las Vegas hat es Guidance Software erwischt, den Hersteller von EnCase der von Behörden am häufigsten eingesetzten Software zur forensischen Analyse.
Passiert ist eigentlich noch nichts. ISec hat ein wenig mit Fuzzern rumgespielt und die EnCase-Software zum Absturz gebracht. Ich glaube nicht, dass das besonders schwierig war. Interessant ist eher die Haltung von Guidance Software dazu. Das sei keine Sicherheitslücke, die Angriffe seien konstruiert und übrigens gäbe es keine Crash-sichere Software. Das kommt mir irgendwie bekannt vor. Da können wir in den nächsten Monaten sicher ein paar spannende Exploits erwarten, denn wer sich so ignorant verhält, hat es nicht anders erwartet.
Zur Erinnerung, Guidance Software ist übrigens der Laden, der 2005 böse gehackt worden ist. Da sind von allen Kunden die Kreditkartendaten geklaut worden. Der Schaden war vor allem deshalb so hoch, weil Guidance widerrechtlich die drei Ziffern der CVV gespeichert hat, was gemäß den Richtlinien von Visa und Mastercard streng verboten ist. Es trifft also keinen falschen.
30. Juli 2007
Hihi, dumm gelaufen. Die USA haben Halvar Flake, den Chef von Sabre Security nicht einreisen lassen, weil sein Vertrag mit der Black Hat Konferenz auf ihn persönlich und nicht auf seine Firma ausgestellt war. Da er mit einem Touristenvisum eingereist ist, darf er aber keinen persönlichen Arbeitsvertrag haben. Herausgekommen ist es, weil er die ausgedruckten Schulungsunterlagen dabei hatte. Dumm gelaufen. Hauptsächlich wohl für die USA, so bleibt das Wissen in Europa. Mehr in Halvars Blog.
29. Juli 2007
Die BIND-Software, der im Internet am weitesten verbreitete Nameserver mit vermutlich rund 50% Marktanteil hat einen fehlerhaften Zufallszahlengenerator. Ausgenommen ist nur die mit OpenBSD ausgelieferte BIND-Version, weil dem Entwickler die Implementierung des Zufallszahlengenerators schon damals komisch vor kam und er den vorsorglich ausgewechselt hat.
Kritisch ist das hauptsächlich, weil jede DNS-Anfrage mit einer 16-Bit Transaction ID gesichert ist und wenn die erraten werden kann, kann einem DNS-Server eine falsche Antwort mit hoher Cache-Lebenszeit untergeschoben werden. Dem DNS-Server passiert dabei nichts, aber Clients, die an diesen DNS-Server anfragen stellen, werden möglicherweise auf einen falschen Webserver umgeleitet, die Gefahr von Phishing-Angriffen steigt. Der Wikipedia Eintrag zu DNS Cache Poisoning erklärt das Problem recht anschaulich.
Mal sehen, ob uns da demnächst was um die Ohren fliegt.
28. Juli 2007
Jetzt werden nicht nur menschliche Identitäten geklaut, nein, inzwischen sind sogar Pudel dran. Die Identität (Name, Fotos, etc.) eines preisgekrönten Pudels wurde auf fremden Webseiten verwendet, um potentiellen Kunden teure Rassepudelwelpen anzudrehen, die gar nicht so toll sind.
Irgendwie erinnert mich das an den Fall, wo Japanern junge Schafe als Pudel verkauft wurden!!1!
Erstaunlich, dass solche URLs noch funktionieren:
http://www.webshots.com/server-status
http://www.download.com/server-status
obwohl … eigentlich auch wieder nicht.
27. Juli 2007
Ich bin ja schon lange der festen Überzeugung, wenn man ein Server-Netzwerk komplett übernehmen will, dann braucht man entweder eine Lücke in der Backup-Software oder eine Lücke im Virenscanner. Das sind die beiden Programme, die in der Regel auf allen Servern identisch installiert sind.
Aktuell ist gerade wieder Stimmung in der Kiste, wie ein paar Links von Heise zeigen:
Gut, man muss natürlich zugeben, dass Virenscanner gar nicht so trivial sind. Alleine die Funktionen um mit diversen Packern wie ZIP, RAR, GZIP, TAR, BZIP, … und diversen Embedded-Formaten wie OLE zurechtzukommen ist nicht einfach zu programmieren. Trotzdem ist es natürlich ärgerlich, wenn ein Rechner durch eine Lücke in einer Schutzsoftware übernommen wird.
Andreas Marx von der AV-Test GmbH testet regelmäßig im Auftrag diverser Publikationen Virenscanner auf ihre Erkennungsrate und Funktionalität. Das ist ganz hilfreich um zu erkennen, wie Zuverlässig ein bestimmter Virenscanner nicht nur bezüglich der Wildlist sondern auch seltenerer Schadprogramme ist. Ein akzeptabler Virenscanner liegt heute im Bereich von etwa 95-98% Erkennungsrate. In diesem Bereich bleibt bei der Analyse nichts mehr übrig.
Ich bin das Thema deshalb von einer anderen Seite angegangen. Meine Fragestellung war:
Welcher Virenscanner hat die meisten Sicherheitsprobleme?
Zur Auswertung habe ich die von Secunia veröffentlichten Statistiken zu Sicherheitslücken verwendet und auf einige Virenscanner und Hersteller runtergebrochen. Dabei werden verschiedene Farben verwendet:
- rot: extemely critical
- orange: highly critical
- gelb: moderately critical
- hellgrün: less critical
- dunkelgrün: not critical
Die Farbe in einem Kästchen gibt immer die Sicherheitslücke mit der höchsten Gefährdungsstufe aus diesem Jahr an, die Zahl die Anzahl der Sicherheitslücken insgesamt in diesem Jahr. Wenn über den betrachteten Gesamtzeitraum mehr als 7 Sicherheitslücken eines Produkts bekannt wurden, ist das Produkt rot markiert. Und hier die Auswertung:
Am schlechtesten schneiden nach dieser Metrik die Produkte von Symantec, Kaspersky, Trend Micro und F-Secure ab. Ob das irgendeinen Nutzen hat wage ich zu bezweifeln. Lustig finde ich es aber trotzdem.
26. Juli 2007
Die Zero-Day Initiative von TippingPoint hat ganz aktuell ein paar Zahlen veröffentlicht:
In den letzten zwei Jahren haben etwa 600 verschiedene Sicherheitsforscher 1000 Lücken an ZDI gemeldet. Aktuell bekommt ZDI rund 40 Lücken pro Monat und nimmt 10%, also 4 davon tatsächlich an (d.h. bezahlt Geld dafür).
Ich fürchte, unter diesen Bedingungen kann man noch nicht davon leben. Interessanterweise bezahlen Black Hats deutlich mehr für einen brauchbaren 0-Day als White Hats.
25. Juli 2007
Der BSI Lagebericht 2007 zur IT-Sicherheit in Deutschland ist da.
24. Juli 2007
Bei Matasano gibt es eine kleine Liste von Fehlerklassen in C++:
Exceptions: When you throw an exception, you effectively “abort” your current function, and all the functions in the call chain up to the point where the exception was caught. If any of these functions aren’t written to anticipate getting preemptively aborted, and hold on to a pointer or a chunk of memory, you’ve got a memory lifecycle bug.
Destructors: If you call “delete[]” instead of “delete” you’ve introduced a potential vulnerability.
STL: The Standard C++ Library. If you modify an STL vector or dequeue, you invalidate all your outstanding iterators. If you hold references to those invalid iterators, they now point to invalid addresses.
Mehr auch hier.
Fefe schreibt gerade, seine Folien für das Camp sind fertig.
Untertitel: „Why C++ is bad for the environment, causes global warming and kills puppies“
Ich weiß noch nicht, ob sich das für mich lohnt. Wenn da Sachen drinstehen, die man beim Code Review vielleicht brauchen kann schon, aber wenn es hauptsächlich um Coding Style und ein bisschen Rants gegen gcc, Ulrich Drepper und Dave Aitel geht, dann kann ich mir das wohl sparen. Und eigentlich gleich den ganzen ersten Tag.
Hmm