16. Juli 2007
Das ist ein großes Thema, da werde ich zu einem späteren Zeitpunkt noch viel mehr zu schreiben, heute nur ein kurzer Link, der auch schon älter ist:
Freedom to Tinker: Woman Registers Dog to Vote
Mit dieser Methode wollte die gute Dame zeigen, wie unsicher das US-Wahlsystem ist. Sie hat einfach auf den Namen ihres Hundes eine Telefonrechnung laufen lassen und die Rechnung dann als Wohnort-Nachweis für die Registrierung als Wähler verwendet. Gewählt hat sie dann per Briefwahl und niemandem ist das aufgefallen.
Das dumme: das ist leider strafbar. Und deshalb ging das vor Gericht. Sie hat (wohl eine Ausnahme im US-Rechtssystem) einen vernünftigen Richter gefunden und muss nur 250 USD Strafe zahlen und 10 Stunden soziale Arbeit.
Trotzdem, das gleiche droht auch in Deutschland, wenn nicht alle beteiligten Parteien vorher einer Sicherheitsprüfung zugestimmt haben. Und hier wird erschreckend oft geschlampt. Aber dazu später mehr.
15. Juli 2007
Der erste echte Virus außerhalb eines Testlabs, Elk Cloner, wurde im Juli 1982 veröffentlicht. Ironischerweise nicht für ein Microsoft-Betriebssystem, die spielten damals noch keine Rolle sondern für den Apple II. Für die Historiker deshalb hier ein kurzer Abriß der Geschichte:
1980: Jürgen Kraus verfasst an der Universität Dortmund eine Diplomarbeit mit dem Titel „Selbstreproduktion bei Programmen“
1981: „Computervirus“ taucht zum ersten Mal im Gespräch zwischen Prof. Adlemann und Doktorand Fred Cohen
1984: Fred Cohen veröffentlicht seine Dissertation über Computerviren: „Computer Viruses – Theory and Experiments“
1985: Zeitschrift „Apples“ veröffentlicht einen Virus für Apple II
1986: Erster Virus für MS-DOS: „Brain“ wird von zwei Software-Händlern in Pakistan programmiert um gegen Raubkopien ihrer Software zu protestieren.
1987: Leigh-Virus; Cascade-Virus (speicherresident!), Jerusalem-Virus
1989: erste polymoprhe Viren: Washburn-Virus
1990: Whale-Virus (Tarnkappen-Eigenschaften!), Virus Construction Set für MS-DOS wird verbreitet
1992: Michelangelo-Hysterie, Dark Avenger Mutation Engine veröffentlicht
1994: One_Half-Virus (Multipart, variable Entschlüsselungs-Engine)
1995: Win95.Boza – erste Virus für Win95, erste Makro-Viren (Concept, DMV)
1997: Stoag – der erste Linux-Virus; auf CeBIT wird Wazzu.C Makro-Virus verteilt
1998 Trojanische Pferde NetBus und BackOrifice
1999: Melissa-Wurm, Happy 99 (Wurm für Windows 95/98)
1999: Excel ODBC-Wurm
2000: I Love You Wurm (Basic-Programm)
2001: Wurm Anna Kournikova (*.vbs.jpg)
2001: Linux-Wurm Lion
2001: Linux/Windows-Virus W32.Winux
2003/2004: Netsky und andere Verbreiten sich mit bisher unbekannter Geschwindigkeit
2004: Source Code von vielen Würmern wird veröffentlicht, neue Virenwellen
2004: Erster Bluetooth Handy-Wurm „Cabir“
Man sieht, es kann nur noch schlimmer werden …
14. Juli 2007
Die Virenhersteller sind ja meistens recht zurückhaltend, wenn es um Informationen geht, wie Programme auf Schadcode untersucht werden. Insbesondere die Analyse neuer Schadprogramme in virtuellen Umgebungen gehört zu den größeren Geheimnissen. Zum einen sollen wohl die Mitbewerber nicht allzu viel wissen, zum anderen ist es für die Autoren von Viren und anderen Schadprogrammen durchaus sinnvoll, die virtuelle Umgebung zu kennen, um das Verhalten des Programms in solchen Umgebungen zu verändern.
Umso interessanter ist es, wenn ein Virenscanner-Hersteller ein wenig aus dem Nähkästchen plaudert, wie hier Kaspersky.
Hier erfährt man beispielsweise, dass Mac OS X drei verschiedene Laufzeitumgebungen hat und die meisten Programme liegen im Mach-o Format vor. Der erlernte Wissen wird in der Analyse des IM-Worm.OSX.Leap angewendet.
Ein lesenswerter Artikel.
13. Juli 2007
Ich schrieb ja bereits, dass Mobiltelefone gerne abgehört werden. Das ist technisch sogar möglich, wenn das Telefon ausgeschaltet ist. Die Firma FlexiSpy bietet die kommerzielle Variante des Abhörens an. Zum Funktionsumfang gehört:
- Entfernt mithören
- SMS wenn SIM ersetzt wird
- SMS-überwachung (ein/aus)
- Anrufsgeschichte (ein/aus)
- Gesprächsdauer (ein/aus)
- Namen aus Kontaktliste
- Download nach Excel
Das alles natürlich ohne, dass es der Besitzer des Telefons bemerkt. Unterstützt werden von FlexiSpy praktisch alle aktuellen Nokia-Telephone sowie alle, die mit Symbian 9 betrieben werden. Der Preis ist mit 150,- Euro pro Jahr vertretbar.
Ach ja, ich telefoniere ja mit einem Kamera- und Java-freien uralten Nokia 6310i, dafür gibt es die Abhörsoftware nicht. 🙂
12. Juli 2007
Eine gute Nachricht für die Demokratie, eine schlechte Nachricht für den Bundesinnenterroristen:
Die automatische Gesichtserkennung einzelner Personen anhand von Bildaufnahmen in einer großen Menge von Leuten funktioniert nicht zuverlässig. Oder mit den Worten des BKA-Präsidenten Jörg Ziercke:
„Biometrische Gesichtserkennungssysteme im öffentlichen Raum sind derzeit nicht einsatzfähig, ihre Erkennungsleistung ist nicht ausreichend genug. Außerdem ist das Potenzial einer Falscherkennung zu hoch.“
Ich fürchte nur, das wird nicht dazu führen, dass weniger Kameras aufgestellt werden. Statt dessen gibt es jetzt neue Forschungsgelder.
11. Juli 2007
Ich war früher mal der Ansicht, die Symantec Firewall ist gar nicht so schlecht, immerhin war sie die letzte Proxy-basierte Firewall. Die Symantec SGS fand ich jedoch schon nicht mehr so ideal weil Hardware von einem Software-Hersteller ist immer ein wenig kritisch zu sehen. Für Standard-Server wie HP oder Dell krieg ich leicht flächendeckend Hardware-Austausch vor Ort in 4 Stunden. Mit den Appliances geht das meistens nur in Großstädten oder gar nicht.
Die SGS besteht im Grunde nur aus einem gehärteten Red Hat Linux sowie der Symantec Raptor Firewall darauf. Ich habe deshalb ja immer gehofft, Symantec wird vernünftig und bietet die Software wie Check Point zur Installation auf beliebigen Servern an. Statt dessen hat Symantec die Firewall offiziell eingestellt. Und jetzt wird es wüst. Richtig entwickelt wird da meiner Meinung nach nichts mehr und die meisten Updates und Fixes machen die Sache eher schlimmer.
Ein Kunde kämpft folglich gerade mit seinem Cluster:
Description: VPN Tunnel Fails after „reboot all cluster nodes now“
1. Configure site to site vpn tunnel between two 2-node clusters using load balancing
2. On one cluster, execute „reboot all cluster nodes now“
3. After nodes reboot, the pings and or wgets fail
4. use bftstat dump -> tunneldb (or look at SGMI active connections) and note that each node negotiated its own tunnel
Oder auf deutsch: wenn man beide Cluster-Node gleichzeitig neu bootet, baut jeder Node für sich die VPN-Tunnel neu auf und weil dann zwei Tunnel da sind funktioniert gar nichts mehr. Leider merken das die Nodes nicht alleine sondern man muss danach einen manuell aus- und wieder einschalten, damit der andere dann die VPN-Tunnel alleine hat.
Ich bin mal gespannt, wann Symantec da einen Fix bringt oder ob der (nicht ganz billige) Wartungsvertrag unseres Kunden vorher abläuft.
Über die Symantec dann ersetzende Firewall bin ich mir auch noch nicht ganz schlüssig:
- Cisco ASA ?
- Check Point FireWall-1 ?
- Juniper NetScreen ?
- oder was exotisches wie Phion ?
Hat zufällig jemand eine Übersicht der Funktionen sowie Vor- und Nachteile? Das würde mir gerade viel Arbeit sparen-
Der Chaos Computer Club hat den vorläufigen Fahrplan für das Chaos Communication Camp vom 8.-12. August in Finowfurt bei Berlin veröffentlicht.
So kurz überflogen scheint für mich interessant zu sein:
Vorträge die sich meiner Meinung nach nicht mehr lohnen sind insbesondere „Black Ops 2007“ von Dan Kaminsky, der leider kaum noch in die Detailtiefe und die Tricks geht, die seine Vorträge früher ausgezeichnet haben sowie „Estonia and Information Warfare“ von Gadi Evron, der sicher viel weiß, aber eben auch nicht mit den wirklich relevanten Informationen rausrückt.
Dafür sind die hier außerdem noch auf meinem Radar, überschneiden sich aber mit was anderem. Mal kucken:
Wenn ich mir den Vortrag am 8. von Fefe schenke komme ich gut mit drei Tagen hin, davon ein Samstag der bei mir kein Arbeitstag ist. Ich denke, das lässt sich einrichten. Und der Sonntag ist dann sogar noch frei 🙂
10. Juli 2007
Ein eigenes Blog auf einem eigenen Server hat eigentlich nur Nachteile:
- Das Betriebssystem muss verwaltet werden
- Die Blog-Software (hier WordPress) muss installiert und konfiguriert werden
- Die Arbeit um Patches und Updates einzuspielen
- Ergänzende Software um z.B. Zugriffsstatistiken zu erzeugen
- usw. usf.
In diesem Zusammenhang spricht nichts für einen eigenen Server. Solange, bis man anfängt AGB mal wirklich zu lesen. Und da findet man so komische Sätze wie:
Rechte an den Inhalten der Weblogs
Zur Veröffentlichung der Inhalte im Rahmen von Portalen räumt der Benutzer dem Betreiber sämtliche erforderliche Bearbeitungs- und Veröffentlichungsrechte ein. Der Betreiber ist somit berechtigt Inhalte (Texte, Fotos, Illustrationen) zu bearbeiten und in bearbeiteter und unbearbeiteter Form zu veröffentlichen.
Ah, nein. Das will ich nicht.
(via Blogbar)
Immunitysec, das ist die amerikanische Securityfirma von Dave Aitel die 1994 einen netten Report zu TC0 (Total Cost of 0wnership, PDF) geschrieben haben. 0wnership mit 0 wie Null, nicht O wie Otto. Da geht es nämlich darum, dass Angriffe auf Windows zur Übernahme des Systems (owned) weniger Kosten verursachen als unter Unix.
Immunitysec, das ist auch die Firma, die über ein halbes Jahr auf einem Microsoft WINS LocalSystem Zero Day Exploit (PDF) gesessen sind und nichts gesagt haben. Außer natürlich den viel Geld (~50.000 USD) zahlenden Kunden im Vulnerability Sharing Club.
Immunitysec, das ist auch die Firma, die den Spike-Fuzzer sowie den Spike-Proxy OpenSource unter der GPL veröffentlich hat, einen Protokollfuzzer sowie einen Web-Hacking-Proxy mit denen schon eine Reihe von lustigen Sicherheitslücken aufgetaucht sind.
Also, diese Immunitysec behauptet nun, ein von ihnen entdeckter Zero Day hat eine durchnittliche Lebenszeit von 348 Tagen bevor der Lücke entweder von anderen entdeckt oder vom Hersteller geschlossen wird. Unter der Voraussetzung natürlich, dass sie geheim gehalten wird. Mit persönlich kommt das eher etwas wenig vor, insbesondere wenn ich betrachte mit welcher Geschwindigkeit Microsoft die Lücken behebt. Ach ja, und wer öffentlich drüber quatscht, z.B. auf einer Versteigerungsplattform ist die Lücke oft ganz schnell wieder los. Also eigentlich nichts neues. Aber es stand halt auf Heise.
Please move on, there is nothing special to see here.
Persönliche Anmerkung: Dave Aitels Frau, Justine Aitel, geborene Bone kenne ich noch von einem Penetrationstest in Hamburg. Sie hat damals für ISS X-Force gearbeitet und während die X-Force Jungs Abends auf die Reeperbahn sind saß sie im Hotel und hat Zero Day Buffer Overflows gecoded, mit der die Jungs dann am anderen Tag die Systeme übernommen haben.
9. Juli 2007
Zero Days sind ein knallhartes Geschäft. Erst knobelt man tage- oder wochenlang an einer Sicherheitslücke rum, dann wird man beim Verkauf übers Ohr gehauen und wenn man Pech hat, gibt es vom Hersteller ruck zuck einen Patch.
Deshalb gibt es jetzt eine Auktionsplattform zur Versteigerung der Lücken.
Ob das sinnvoll ist, wird sich zeigen. Das Problem einer solchen Plattform ist natürlich, der Käufer will die Katze ja nicht im Sack kaufen. Auf der anderen Seite besteht die Gefahr, wenn zu viele Informationen bekanntgegeben werden, findet schnell jemand anderes (oder der Hersteller) die Lücke und dann ist sie nicht mehr viel wert.
Kucken wir uns eine solche Beschreibung an:
„There is a command execution vulnerability in Squirrelmail GPG Plugin. The vulnerability has been tested on the latest versions of Squirrelmail, 1.4.10a, and GPG Plugin, 2.0.“
Das klingt anscheinend relativ vage und unspezifisch, ist es aber nicht. Squirrelmail ist eine Open Source PHP-Anwendung und wer sich mit PHP ein wenig auskennt, findet oft schon mit „grep“ die ersten Sicherheitslücken. Durch die Eingrenzung auf das GPG-Plugin und die Beschreibung als „command execution“ muss im Grunde nur noch das Plugin nach einer Argumentvariablen durchsucht werden, die nicht sauber initialisiert oder gefiltert wird, bevor sie zur Ausführung an die Shell übergeben wird:
592 function gpg_check_sign_pgp_mime($message,$fullbodytext) {
[...]
639 //$messageSignedText = escapeshellarg($messageSignedText);
640 $messageSignedText = ereg_replace("\"", "\\\"",$messageSignedText );
[...]
661 $command = "echo -n \"$messageSignedText\" | [blablabla]
Wir sehen, das Problem liegt in der Variable $messageSignedText, die nicht sauber gefiltert wird. Der Fix wiederum ist ganz einfach, statt „escapesshellarg“ wird zur Bereinigung „ereg_replace“ verwendet, dann ist die Lücke behoben.
Ob diese Lücke (bzw. der PoC-Exploit) noch 600 USD wert ist, muss jeder für sich entscheiden.
