27. Dezember 2008
Ich habe oben den Titel von den Präsentationsfolien von Jacob Appelbaum genommen, in der Agenda steht Advanced memory forensics: The cold boot attacks.
Eine typische Annahme über Computer ist, wenn man das Gerät abschaltet, ist der RAM gelöscht. Diese Annahme ist falsch. DRAM mit refresh hält Bits normalerweise sehr zuverlässig, ein zufälliger Bit-Flip tritt kaum auf. Ohne refresh treten diese Bit-Flips auf, aber selbst nach mehreren Sekunden ist der RAM-Zustand bei weitem nicht zufällig. Man kann immer noch Daten extrahieren. Inzwischen gibt es umfangreiche Arbeiten zu diesem Thema.
Bei einem Cold Boot Angriff bringt man das System zum Absturz, versorgt den RAM erneut mit Strom und liest ihn aus. Dazu kann man den Rechner beispielsweise mit einem speziell zusammengestellten System von USB booten, das den RAM so wenig wie möglich überschreibt (<10 KB). Interessant ist das bei einem Rechner mit Screenlock und Festplattenverschlüsselung. Der Festplattenverschlüsselungskey muss schließlich im RAM vorliegen, wenn das System läuft.
Der Code der Tools, eine FAQ und Videos sind komplett veröffentlicht. Happy Hacking.
Das Apple-iPhone-Hacking ist so ein Vortrag, dessen Inhalte mich eigentlich gar nicht interessieren. Ich habe kein iPhone und ich will mir auch keines zulegen (das Android/Linux Google-Phone würde mich eher interessieren). Aber egal, ein paar interessante Themen werden bestimmt angesprochen.
Die Apple-Hacker schaffen es im Schnitt 24-48 Stunden nach einem Patch von Apple ihr Programm wieder zu aktualisieren. Das ist schon sehr cool. Dafür dürfen sie auch Werbung für ihre Apple-powned T-Shirts machen 🙂
Das iPhone ist im Grunde wie zwei Computer gebaut. Es gibt einen Application-Prozessor, der die Anwendungen laufen lässt (das iPhone-OS und von iTunes geladene Anwendungen) und einen Baseband-Prozessor, der die Funkverbindung hält. Das iPhone-OS basiert auf MacOS X. Allerdings gibt es einen zusätzliche Dienst, den Lockdownd, der die Aktivierung und die laufenden Programme kontrolliert. Das OS läuft von Flash, eine Read-only Systempartition und eine schreibbare Userpartition. Damit wird ein Filesystem-Check bei einem Absturz vermieden. Die Programme müssen alle digital signiert werden, das Code-Signing wird im Kernel verifiziert. Der Kernel befindet sich auf der RO-Systempartition und ist ebenfalls signiert. Nebenbei ist auch noch das Filesystem AES-verschlüsselt und der Schlüssel kann nicht ausgelesen werden. Die Signaturprüfung lässt sich beim Booten jedoch umgehen. Die komplette Beschreibung des Bootprozesses schenke ich mir hier, die ist recht kompliziert. Am Anfang steht jedoch der nicht signierte LLB, der modifiziert werden kann.
Es gibt noch ein paar weitere Schwächen, z.B. Buffer Overflows im Zusammenhang mit Zertifikaten. Den kann man nutzen, um die Funktion zur Prüfung digitaler Signaturen dazu zu bringen, immer mit „true“, d.h. einer gültig erkannten Signatur zurückzuspringen. Dieser Buffer Overflow wird verwendet, um ein nicht-signiertes iPhone-OS zu starten. Einer der Kernfehler Apples war, die Sicherheitsmechanismen einzeln zu aktivieren. So konnte anfangs die Firmware analysiert werden, bevor sie verschlüsselt wurde.
Der Baseband-Prozessor läuft nahezu unabhängig vom Applikation-Prozessor. Das Booten des Baseband-Systems sieht ähnlich aus. Der Bootrom lädt den Bootloader, der die Firmware lädt. Die Firmware kann übrigens richtig geschrottet („bricked“) werden und sie ist mit einer RSA-Signatur gesichert. Die Firmware ist auch für den SIM-Lock des Providers verantwortlich. Der Bootloader ist im neuen iPhone ebenfalls signiert und schützt nach dem Start den Bootrom.
Im Bootloader v3.9 gibt es ein paar Fehler, u.a. den Bleichenbacher Angriff (Code) gegen die RSA Signatur. Einzelne Exploits wie der JerrySIM Buffer Overflow sind inzwischen jedoch „verbrannt“. Aktuelle Exploits überschreiben nicht die Firmware sondern patchen sie während der Laufzeit im RAM.
Insgesamt ist das Reverse Engineering des iPhone schon sehr cool. Apple hat einige Arbeit reingesteckt, das zu erschweren und die Jungs hier waren extrem clever. Ich sehe halt nur für mich keine praktische Anwendung.
Der Saal 2 ist hoffnungslos überfüllt. Erstaunlich für einen Vortrag der sehr technisch ist und für den die meisten Anwesenden vermutlich keinen direkten Anwendungsfall finden. Aber sowohl Karsten Nohl als auch Starbug sind durch den Mifare-Hack natürlich bekannt geworden. Und Karsten verspricht sogar, nach dem Vortrag kann jeder mit Reverse Engineering beginnen … 🙂
Ok, man muss ein paar Voraussetzungen mitbringen … beispielsweise das Chip-Layout verstehen. Oder wenige µm dünne Leiter mit winzigen Nadeln anpieksen und neu verdrahten, um die entschlüsselten Daten abzugreifen. Adlerauge sei wachsam. Aber ansonsten ist das ganz einfach.
Zuerst nimmt man Aceton oder rauchende Salpetersäure (also was Karsten für gewöhnlich so im Haushalt hat) um den Kunststoff um den Chip wegzuschmelzen. Dann rubbelt man vorsichtig mit Sandpapier oder Polierpaste Mikrometer für Mikrometer von der Oberfläche weg. Am besten mit der ruhigen Hand von Starbug. Mit einem guten optischen Mikroskop (am besten ein Konfokalmikroskop, hat vermutlich auch jeder zuhause) kann man dann die Schaltkreise fotografieren. Die Fotos setzt man zu einem Gesamtbild des Chips zusammen (so wie Google das mit den Satellitenbildern macht) und wiederholt das rubbeln, fotografieren und zusammensetzen für jede Schicht des Chips. Zur Interpretation der Fotos findet man Hilfe bei Siliconzoo.
Zuerst muss man einzelne Schaltungen wie ANDs, NORs etc. finden. Dann folgt man den Leitern der einzelnen Elemente durch die diversen Schichte bis man herausgefunden hat, wie die Elemente miteinander verknüpft sind. Das Ergebnis ist der Schaltplan. Quasi der Source Code des Chips. Um das zu erschweren, werden Dummyzellen in den Chip eingebaut, unnötige Verdrahtungen, nicht verwendete Funktionen, etc. Mit etwas Übung kann man die nutzlosen Schaltungen jedoch herausfiltern. Bei sehr großen Chips dürfte das allerdings kaum praktikabel sein.
Inzwischen haben das auch die meisten Chip-Hersteller verstanden und implementieren starke Algorithmen wie AES. Der nächste Schwachpunkt wird daher laut Karsten vermutlich die (un-)sichere Speicherung von Masterkeys in Chips werden. Masterkeys werden in Hardware verschlüsselt gespeichert und mit proprietären Algorithmen vor der Verwendung entschlüsselt. Wie man proprietäre Algorithmen analysiert haben Karsten und Starbug jedoch bereits vorgeführt.
Ich frage mich, ob das bei der Premiere-Verschlüsselung auch funktionieren würde?
Der Vortrag von Anne Roth zeigt eigentlich nur eines:
Der Staat hat sich in den letzten 10 Jahren vom Beschützer zum Bedroher gewandelt. Egal in welchem Land.
Angefangen vom § 129a in Deutschland über die Anti-Terrorgesetze in Europa oder Übersee … diese Gesetze werden nicht wie ursprünglich den Bürgern versprochen gegen Terroristen eingesetzt … ganz im Gegenteil. In der Praxis gibt es unzählige Beispiele wie diese Gesetze verwendet werden, um Familien und Schulschwänzer zu bespitzeln (UK), Umweltschützer zu verfolgen (Portugal), Tierschützer einzusperren (Österreich) oder Bürgerrechtsaktivisten auszuspionieren (Neuseeland).
Ich habe geschwiegen, als sie die Umweltschützer holten,
denn ich war ja kein Umweltschützer.
Ich habe geschwiegen, als sie die Bürgerrechtaktivisten holten,
denn ich war kein Bürgerrechtsaktivist.
Ich habe geschwiegen als sie die letzten kritischen Journalisten holten,
denn ich war auch kein Journalist.
Als sie mich holten war niemand mehr da,
der dagegen hätte protestieren können.
— nach Martin Niemöller
… ist leider ausgefallen wegen Erkrankung des Referenten.
In Saal 2 ist jetzt der Vortrag von Saal 1 (Terrorist All-Stars von Anne Roth) gepatcht worden. Nicht uninteressant, da sieht man mal wieder wie gerne Staaten weltweit die Bürgerrechte mit Füßen treten. Aber für mich leider nicht so relevant. Nunja, so kann ich mich wenigstens in Ruhe akklimatisieren.
So, ich bin angekommen. Wie geplant, erfreulicherweise kein Stau. Aber eben auch nicht rechtzeitig zu Fefes Vortrag. Naja egal, Fefe wird die FEM-Leute schon treten, bis die Videos da sind.
Meine DECT-Nummer vom letzten Jahr war leider schon vergeben, jetzt habe ich eine ähnliche neue: 2267.
Falls ich nicht gerade in einem spannenden Vortrag bin (da mache ich das Telefon höflicherweise aus) bin ich darüber erreichbar. Es sei denn, ich bin gerade nicht im BCC. So ab 50 m vor dem BCC bucht sich mein Telefon leider aus. Mein Hotel ist 500 m weit weg 🙂
Mein erster Eindruck: Irgendwie ist wenig los. Ok, das übliche Gedränge auf den Gängen aber der Catering-Bereich erscheint aufgeräumter als sonst und sogar im Hackcenter hätte ich leicht noch einen Platz kriegen können. Internet funktioniert, Telefon auch, mal sehen, was wird.
Nachtrag:
Ach ja, Ralf und Vido, die von mir noch ein Bier bzw. eine Bionade ausgegeben bekommen, dürfen die Nummer natürlich auch gerne nutzen. Ihr solltet lediglich noch eure E-Mail Adresse wissen mit der ihr den Kommentar abgegeben habt, damit nicht jeder Leser hier auf dem Congress ein Freibier will 🙂
Nachtrag 2:
Der erste Eindruck hat getäuscht. Inzwischen wird es richtig voll. Glücklich, wer Strom und Ethernet hat. Wie ich 😉
26. Dezember 2008
Meine fertige Agenda ab morgen:
27.12.2008
Ich schätze, die 14:00 Uhr Vorträge lasse ich aus, dann kann ich vormittags gemütlich aus München anreisen. Dan Kaminsky halte ich für etwas überschätzt, insbesondere ist mir in seinen Vorträgen zu viel Show und zuwenig greifbare Informationen. Da kann man auch die Präsentation lesen und muss sowieso alles nacharbeiten. Ansonsten ist der erste Tag für mich nicht so spannend. Das sind kaum Themen, mit denen ich mich tatsächlich beschäftige.
28.12.2008
Ich verspreche mir hier besonders viel von Attacking Rich Internet Applications, da Webserver heute das Haupteinfallstor in Unternehmen sind, außerdem von Short Attention Span Security und Tricks: makes you smile. Die Italiener waren letzte Jahr schon cool. Da sind bestimmt ein paar Anregungen für Pentests oder Sicherheitsanalysen dabei. Außerdem möchte ich die TCP Denial of Service Vulnerabilites ansehen. Da weiß ich einiges und Fabian hat letztes Jahr ja schon den Vortrag über Port Bunny gehalten, der kennt sich mit TCP sehr gut aus.
29.12.2008
Sehr interessant wird sicher der Flash-Vortrag von fukami und vermutlich auch der IOS-Vortrag von FX. Mich persönlich interessieren auch die Vorträge zu Honeypots (Squeezing Attack Traces) und zu den chinesischen Hackern (We got owned …).
30.12.2008
Mal sehen, der vierte Tag sieht noch nicht so spannend aus aber da fehlen zu einigen Vorträgen auch noch Details.
Also … man sieht sich. Und für ein Bier einfach durchklingeln, meine Nummer steht im Impressum.
24. Dezember 2008
Twister hat die diversen Lügen, Verdrehungen und Widersprüche des BKA-Chefs Ziercke und des Stasi 2.0 Ministers Schäuble bei Telepolis sehr schön zusammengestellt:
BKA, BDK, Lügen und Onlinedurchsuchungen
Man fragt sich ja, haben die gar kein Schamgefühl mehr oder sind das alles verkappte Nazis, die die Geschichte zurückdrehen wollen? Und was sagt unsere Hosenanzug tragende Sprechblasenautomatin dazu? Genau … nichts.
23. Dezember 2008
Firewall-Appliances sind schon seit geraumer Zeit der Renner, niemand kauft mehr eine Firewall-Software die dann auf einem Standardbetriebssystem installiert wird. Gehärtete Betriebssystemvarianten (meist Linux) sind ok, aber dann möchte man auch nicht viel mit der Konfiguration und dem Update des Betriebssystems zu tun haben. Check Point dagegen sah sich lange Zeit als reiner Software-Hersteller und hat das Appliance-Geschäft Partnern überlassen. Beispielsweise gab es Check Point auf IBM, auf Dell-Hardware, kurzzeitig sogar auf Pyramid Appliances …
Inzwischen hat Check Point eingesehen, dass es ohne eigene Hardware nicht geht. Als ersten Schritt hat Check Point die ehemalige Ericcsson-Tochter Sofaware gekauft und daraus die Edge-Appliances geformt. Danach hat Check Point zuerst mit der UTM-1 und später mit der Power-1 eigene Hardware an den Start gebracht. SecurePlatform, das Linux-basierte gehärtete eigene Betriebssystem gibt es ja schon seit geraumer Zeit als „Software-Appliance“.
Gleichzeitig hat Check Point mit der eigenen Hardware jedoch den Appliance-Partnern das Leben schwer gemacht. Ich kenne mehrere Unternehmen, denen die Kosten für Nokia einfach zu hoch wurden und die statt dessen auf Standard-Server mit SecurePlatform wechselten oder gleich zu einer UTM-1, die mit einem (für Check Point) günstigen Bundle-Preis aus Hardware und Software kommt. Der ehemals eigenständige Geschäftsbereich Nokia Internet Communications ist schon vor Jahren dem Bereich Nokia Networks zugeschlagen worden, eine große Zahl der damaligen Nokia-Mitarbeiter hat das Unternehmen inzwischen verlassen.
Konsequenterweise hat Nokia diesen Geschäftszweig jetzt an Check Point verkauft. Ich bin mir sicher, Nokia ist froh diesen Bereich los zu sein, die Gewinne dürften in den letzten Jahren deutlich eingebrochen sein. Allerdings ist mir nicht 100% klar, warum sich Check Point dieses Geschäft ans Bein bindet. Ok, es gibt eine breite Basis installierter Check Point Lizenzen auf Nokia, die Check Point nicht verlieren will. Allerdings wäre es sicher auch denkbar gewesen, diese Kunden auf die Power-1 Appliance zu hieven.
Statt dessen hat Check Point jetzt drei verschiedene Appliance-Typen am Hals:
- Sofaware Edge, die mit einer Firmware ausgestattet sind, die nichts mit der normalen FireWall-1 Software zu tun hat. Insbesondere läuft auf der Edge nicht das gewohnte FireWall-1 Kernel-Modul, das den Firewall-Bytecode in einer VM interpretiert.
- Check Point UTM-1/Power-1 mit SecurePlatform, Linux-basierte Appliances die Check Point aktuell von einem 2.4.22 auf einen aktuellen 2.6.x Kernel umstellt, weil es inzwischen wohl mehr und mehr Probleme mit Treibern für aktuelle Hardware gibt.
- Check Point Nokia, mit dem ursprünglich FreeBSD-basierten IPSO, das sich grundsätzlich anders als Linux verhält, mit eigner Weboberfläche (Voyager) und eigener zentraler Verwaltungssoftware (HorizonManager).
Ich bin gespannt, wie Check Point das zusammenführen will.
Eine Abkehr von SecurePlatform dürfte nicht möglich sein. Ansonsten wird Check Point nur noch Appliances anbieten können, da für IPSO keine Treiber für allgemeine Server Hardware vorhanden ist. Andererseits enthält IPSO einen eigenen Routing-Dämon, SecurePlatform könnte in Zukunft auf den Gate-Dämon verzichten.
Meine persönliche Meinung ist, dass Check Point das Nokia-Geschäft für nen Apple und ’n Ei günstig in der Rezession erworben hat um Zugriff auf die Kundendatenbank von Nokia zu erhalten. Die Kunden werden mittelfristig von der Nokia Hardware mit IPSO auf die Check Point Appliances mit SecurePlatform umgestellt und IPSO wird sterben. Und da Check Point jetzt die Kontrolle über die Nokia Appliance-Entwicklung hat, kann diese Migration ganz nach den Vorstellungen Check Points gesteuert werden.
Nachtrag:
Aber schön, wie in der Pressemitteilung nochmal die alten Slogans ausgegraben werden, beispielsweise „best-of-breed solution“ oder „First Call – Final Resolution“. Nur der Slogan „The Power of Two“ fehlt … aber der ist ja nun auch nicht mehr aktuell.
(via The Register)
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Kleiner Test: einfach mal den Eicar-String in den RSS-Feed kopieren. Falls ein Virenscanner anschlägt würde ich mich über Rückmeldung freuen. Eigentlich sollte darauf kein einziger Scanner reagieren. Aber man weiß ja nie …