6. Februar 2010
Ein paar Sachen die schon seit geraumer Zeit in meiner Inbox vorsichhinschimmeln:
ADS
ADS is where some file metadata is stored. Yes, it’s not viewable in Windows Explorer, but if you want more transparency with ADS, you can add ADS to the Properties tabs of the file system and view ADS for every file in the GUI by using StrmExt.dll. See: http://msdn.microsoft.com/en-us/library/ms810604.aspx
Shellcode
If you are interested in shellcoding then check out www.projectshellcode.com for heaps of shellcode tutorials, whitepapers, tools and resources.
Metasploit Addon
MetaScanner is a script in ruby to scan a host for exploits than are already in metasploit framework. This is not a vulnerability scanner and may report some few false puritives. How many times have you scanned a host using nmap and then tried different exploits from the framework? This tool automates that for you. You can find it on http://kalgecin.110mb.com/index.php?id=codes.
Fuzzer
Krakow Labs maintains a current list of security driven fuzzing technologies: http://www.krakowlabs.com/lof.html
Ich denke ich werde in Zukunft öfter Links mit so einer Kurzbeschreibung für Sachen posten, die bisher unter den Tisch gefallen sind, weil sie eigentlich keinen kompletten Blogeintrag rechtfertigen.
5. Februar 2010
Das kennen wir doch schon: Auf seriösen Webseiten werden nichtsahnende Benutzer durch bösartige Werbung mit Schadprogrammen infiziert. Dieses mal waren u.a. Golem.de, Zeit.de und Handelsblatt.de betroffen. Davor gerne auch mal Heise, die New York Times, The Register und andere.
Die Ursache für dieses wiederkehrende Problem findet sich an zwei Stellen:
- Die Werbung wird nicht von den Servern der Redaktion ausgeliefert. Statt dessen enthalten die Seiten lediglich einen Verweis auf einen Server der typischerweise bei einem Werbevermarkter steht. Dies kann Google sein aber auch kleinere Vermarkter wie Falk eSolutions. Von dort wird die Werbung eingeblendet auf die die Redaktion nur eingeschränkt Einfluss hat. Wenn bei diesen Vermarktern etwas passiert ist immer direkt eine größere Anzahl von Webseiten mit einer Vielzahl von Benutzern betroffen.
- Werbung bedient sich massiv dynamischer Inhalte wie Javascript und Flash, um die Aufmerksamkeit der Nutzer zu erlangen. Würden nur statische Inhalte wie Bilder oder Texte ausgeliefert, wäre die Gefahr generell geringer.
Als Lösung für den Anwender lässt sich meiner Ansicht nach nur empfehlen, Werbung so konsequent wie möglich auszublenden und gar nicht erst zu laden. Adblock Plus im Firefox erledigt das recht zufriedenstellend und ist einfach genug auch für weniger technisch versierte Benutzer bedienbar. Leider können es sich die etablierten werbefinanzierten Online-Medien schlecht leisten, Werbeblocker zu empfehlen. Statt dessen gibt es bei Heise nur eine Anleitung wie man die unerwünschte Scareware wieder los wird. Wenn das Kind also erst einmal in den Brunnen gefallen ist.
4. Februar 2010
Nur ein Link: http://extraexploit.blogspot.com/. Kommt in meine Blogroll.
Hach ja, SSL ist ein lustiger Dienst. Da braucht man so Zertifikate (X.509v3 ist recht beliebt) nur um dann feststellen zu können, die Webseite www.commerzbank.de gehört wirklich der Commerzbank in Frankfurt.
Wobei, wieso wirklich? Im Fall der Commerzbank bestätigt mir das die TC Trustcenter GmbH in Hamburg, seit neuestem eine Tochter der PGP Corp. Mein Mozilla Firefox (3.0.x) zeigt mir das in blauer Farbe vor der URL. Die Frage ist jetzt natürlich, ob ich TC Trustcenter glaube. Also quasi ob ich denen vertraue, dass sie die Prüfung korrekt durchgeführt haben und mich nicht belügen. Ich persönlich halte TC Trustcenter für recht seriös seit sie mal ein Zertifikat von mir nicht signieren wollten, das zugegeben geringfügig phishy aussah.
Wenn ich bei Verisign schaue, dem vermutlich weltweit wichtigsten Zertifikatsanbieter, bekomme ich sogar einen grünen Balken in meinem Firefox. Grün! Viel besser als blau! Weil Verisign hat sogar ein „Extended Validation“-Zertifikat. Übrigens von Verisign selbst ausgestellt. Die bescheinigen sich also selbst, dass sie Verisign sind. Das Extended Validation Zertifikat ist meiner Ansicht nach ja Beutelschneiderei par Excellenz. Da verlangt Verisign doppelt so viel Geld für das Zertifikat nur um den Antragsteller „genauer“ zu prüfen als für weniger Geld. Als ob eine vertrauenswürdige Zertifizierungsstelle nicht sowieso genau prüfen sollte. Aber gut, von Verisign kann man vermutlich nichts anderes erwarten. Die haben auch schon mal ohne Prüfung Zertifikate auf den Namen Microsoft ausgestellt. (Die sind übrigens immer noch im Internet Explorer als „Fraudulent“ zu finden). Außerdem war Verisign bis Oktober 2008 Haupteigentümer von Jamba. Das ist die Firma, die kleine Kinder mit Klingeltonabos über den Tisch zieht. Ob ich die wirklich vertrauenswürdig finde … ich bin mir da gar nicht so sicher. Verisign wäre jedenfalls der letzte Anbieter bei dem ich ein Zertifikat kaufen würde.
Der Chaos Computer Club greift übrigens auf die Dienste von CACert zurück. Die kennt mein Firefox nicht, und der Internet Explorer erst recht nicht. Obwohl ich die für recht vertrauenswürdig halte. Beim IE ist das aber klar. Ich habe mir sagen lassen, dass Microsoft rund 50.000 USD will, damit eine Zertifizierungsstelle in den IE aufgenommen wird. Und da CACert die Zertifikate kostenlos anbietet, vertragen sich die beiden Geschäftsmodelle recht schlecht. Vertrauen hin oder her.
Über die lustigeren Zertifizierungsstellen will ich gar nicht lästern, auch wenn mir ein Zertifikat einer deutschen Onlinebank ausgestellt z.B. vom „Autoridad Certificadora del Colegio Nacional de Correduria Publica Mexicana“ etwas … naja, spanisch … vorkommen würde. Obwohl die laut Internet Explorer sicher sehr vertrauenswürdig sind. Leider ist deren Zertifikat Mitte 2009 abgelaufen. Aber es gibt ja auch noch die „Saunalahden Server CA“ aus … na? … genau, Finnland. Wo soll so ein Saunala(h)den auch sonst herkommen 😉
Warum ich das alles schreibe? Weil es bei SSL-Zertifikaten eben einfach nur um das Vertrauen zum Aussteller geht. Ist die Zertifizierungsstelle (CA) vertrauenswürdig? Stellt sie nur Zertifikate aus wenn die Identität korrekt verifiziert worden ist? Oder kann jeder dahergerollte Schäuble zu so einer CA gehen und ein falsches Zertifikat bekommen um einen staatlichen Man-in-the-Middle Angriff durchzuführen? Dann will ich so eine CA gar nicht im Browser haben.
Die Mozilla Foundation hat sich genau diese Diskussion nämlich jetzt eingefangen, nachdem die staatlich kontrollierte chinesische Domainregistry CNNIC mit ihrer Zertifizierungsstelle in den Firefox-Browser aufgenommen wurde. Dabei wurden die Anforderungen der Mozilla Foundation strikt erfüllt. CNNIC hat eine Zertifikatspolicy (CSP) die formal allen Anforderungen genügt. Meine Freunde von Ernst & Young haben geprüft, dass diese Policy formal ok ist. Webtrust hat gekuckt, dass Ernst & Young formal korrekt geprüft hat. Und die Mozilla Foundation verlässt sich darauf, dass die Anforderungen von Webtrust formal korrekt sind. Formal eben. Nur das mit dem Vertrauen, das ist halt schwierig.
Aber wenn mich jemand fragt … das Sicherheitsmodell von SSL ist sowieso für’n Arsch.
(via Fefe)
Nachtrag:
Die Mozilla Foundation hat die CNNIC-SSL-Zertifikate wieder aus der Standardinstallation entfernt.
3. Februar 2010
Dave Aitel schrieb heute auf seiner Dailydave-Mailingliste:
ASLR
DEP
were gaining wide acceptance. Execshield was on almost all Linux systems, and the „golden age“ of buffer overflow exploitation looked like it was coming to a close.
Today, Immunity released a working version of the Aurora exploit for Windows 7 and IE8 today to CANVAS Early Updates. It does this by playing some very odd tricks with Flash’s JIT compiler. This technique is extendible to almost all similar vulnerabilities. In other words, ASLR and DEP are not longer the shield they once were.
Wenn das alles so stimmt (Dave Aitel will primär sein Canvas verkaufen, da ist einiges mit Vorsicht zu genießen) schließe ich zwei Sachen daraus:
- Just-in-Time Compiler sind böse, weil die meisten JIT Compiler ASLR und/oder DEP abschalten und damit Angriffe erleichtert werden.
- ASLR und DEP sind längst nicht die goldenen Schilde die vor allen möglichen Programmierfehlern und Schlampereien der Entwickler schützen, insbesondere was Puffermanagement angeht, sobald der Anwender z.B. Flash, Java, etc. verwendet.
Ob da jetzt Adobe (wie bei Apple) der Böse ist oder der Flash JIT nur verwendet wird, weil er weit verbreitet ist, kann ich noch nicht sagen. Die Canvas Early Updates in denen das bisher released wurde sind derart teuer, die will ich mir nicht leisten. Aber ich denke es lohnt sich nicht nur für Exploitprogrammierer, das Thema zu beobachten.
Nachtrag:
The Register hat das Thema aufgegriffen.
Wie inzwischen alle Medien berichten, ist der europäische Emissionshandel großflächig zerlegt worden. Angeblich haben sich Hacker mittels Phishing-Mails Zugriff auf die Accounts einzelner Nutzer der bei der Deutschen Emissionshandelsstelle (DEHSt) verschafft, deren Emissionsrechte auf andere Accounts übertragen und für mehrere Millionen Euro verkauft.
Ich finde ja spannend, was da offensichtlich alles schief gelaufen ist. Da richtet also das Bundesumweltamt, ein Geschäftsbereich des Bundesministeriums für Umwelt, Naturschutz und Reaktorsicherheit eine Webseite ein, auf der Emissionsrechte im Wert von vielen Millionen Euro gehandelt werden können. Und wie wird das abgesichert? Mit einem popeligen Passwort. Das der User selbst wählen muss. Einzige Bedingung: das Passwort muss mindestens 10 Zeichen, eine Ziffer und einen Buchstaben enthalten. Fertig. Dazu gibt es dann den freundlichen Hinweis:
„Transaktionen müssen mit großer Sorgfalt durchgeführt werden, da die DEHSt grundsätzlich keine Möglichkeit hat, abgeschlossene Transaktionen (z. B. falscher Empfänger, falsche Zertifikateanzahl) rückgängig zu machen.“
Keine Einmalpasswörter, Token oder Smartcards für die Anmeldung, keine TANs, iTANs oder mTANs zur Absicherung der Transaktionen, nix, null, niente. Selbst die schlechteste Onlinebank ist besser abgesichert als so eine Monsterbehörde. Statt dessen macht man den Laden laut FTD lieber zu:
„Die Stelle in Berlin hat am Freitag den Betrieb eingestellt. „Dabei bleibt es mindestens für den Rest dieser Woche“, sagte eine Sprecherin.“
Das sind dann die Momente in denen ich mich frage, welcher Versager das Sicherheitssystem entworfen und welcher Stümper das abgenommen hat. Im Impressum steht unter „Technische Unterstützung“ die Materna GmbH. Für jeden halbwegs gebildeten Menschen ist klar, dass derart hohe Werte natürlich Kriminelle anziehen wie Gesetzesentwürfe von Schäuble die Fliegen. Gleichzeitig sind für diesen Handel in den meisten Firmen Mitarbeiter verantwortlich, denen man IT-Kenntnisse nicht unbedingt zutrauen muss. Optionale Angebote wie die Möglichkeit, Transaktionen von zwei Personen genehmigen zu lassen werden sowieso nicht genutzt, weil viel zu umständlich.
Da hätte man mal besser die Anmeldegebühren von 200 Euro auf 250 Euro hoch gesetzt und dafür allen Nutzern einen Smartcard-Reader und eine Smartcard für die Authentisierung geschickt. Im Verhältnis zu den zu schützenden Werten und dem möglichen Schaden ist das eine lächerlich kleine Investition.
Das einzige das fehlt um die Pleite komplett zu machen ist lediglich noch so ein TÜV-Siegel „Safer Shopping“ oder so, auf der Seite der DEHSt. Ich kann mir nicht vorstellen, dass eine Bundesbehörde was online gehen lässt, ohne sich eine TÜV-Bescheinigung einzuholen. Und dann würde sich der Kreis natürlich schließen.
2. Februar 2010
Nach einer Studie von McAfee glauben 70% der Befragten, dass die chinesische Regierung hinter Cyberangriffen stecken würde. Für die USA und Russland nehmen das 60% an. Allerdings fürchten sich die befragten mehr vor Cyberangriffe aus den USA, als aus China oder Russland.
Zumindest behauptet das der Inquirer. Auf der Webseite von McAfee konnte ich die Studie leider nicht finden. Da ist nur Werbung, nach der McAfee „Coolest Cloud Security Vendor“ sei. Ich interpretiere das mal so, dass McAfee in der Cloud nix tut und deshalb die Server kühl bleiben.
Die spannende Frage ist natürlich, wie kommt es zu diesen Ergebnissen? Sind die US-Hacker so präsent in den Medien während man von den Chinesen hauptsächlich die Vorfälle im Bundeskanzleramt und bei Google hört? Fühlen sich die Unternehmen deshalb weniger bedroht? Ist die Angst vor US-Hackern wegen Industriespionage oder ganz allgemein wegen Datenklau und Imageschaden?
In meiner persönlichen Wahrnehmung würde ich die Chinesen als gefährlicher einstufen, weil da einfach mehr finanzielle Ressourcen dahinter stehen. Das kann aber auch daran liegen das meine Kunden tatsächlich eher von Chinesen als Amerikanern bedroht werden. Wie nehmen das eigentlich andere Firmen war?
31. Januar 2010
Wie in Deutschland die Zensur auf dem Umweg über den Jugendschutz eingeführt wird. Unbedingt lesen, auch die verlinkten Artikel im 1&1 Blog und bei Thomas Stadler.
30. Januar 2010
Der Safer Internet Day 2010 steht vor der Tür. Am 9. Februar soll er stattfinden. Auf klicksafe.de (Vorsicht beim klicken, siehe weiter unten!) steht das. Lustige Nasen sind das übrigens, die das veranstalten.
Im Newsticker steht vom 25.01.2010 die Meldung über ein neues Modul Datenschutz und Persönlichkeitsrechte mit dem Text:
„Das Thema „Datenschutz“ scheint gewissermaßen über Nacht populär geworden zu sein […] Mit dem neuen Zusatzmodul können Lehrerinnen und Lehrer mit ihren Schulklassen gemeinsam zu Fragen des Datenschutzes und der Persönlichkeitsrechte arbeiten.“
Stimmt. Man könnte beispielsweise die Datenschutzpolicy von klicksafe.de anschauen. Da findet man dann so Petitessen wie:
„Alle Zugriffe auf diesen Server werden protokolliert. Es werden Datum, Uhrzeit, anfragend IP-Adresse/Hostname, Browser/Betriebssystem-Version, Sprache, Proxy, aufgerufenes Dokument, übertragene Datenmenge, zuvor aufgerufenes Dokument, Art der Anforderung und Rückgabecode gespeichert. Diese Daten werden für statistische Zwecke ausgewertet und gegebenenfalls anonymisiert veröffentlicht.“
Ok, protokolliert wird viel. Ob das (a) nötig und (b) rechtens ist, darüber scheinen auch diverse Datenschutzbehörden unterschiedlicher Meinung zu sein. Aber sich dann auch gleich noch das Recht heraus nehmen, die Daten auszuwerten und ggf. (anonymisiert) zu veröffentlichen ist schon recht frech. Da wundert es mich allerdings gar nicht, dass die Klicksafe-Nasen feststellen, dass „über Nacht“ der Datenschutz populär geworden ist. Wenn man so den Kopf in den Sand steckt.
Im Impressum steht übrigens „Landeszentrale für Medien und Kommunikation (LMK) Rheinland-Pfalz“, also quasi eine staatliche Behörde. Und dann wundern sich die vermutlich noch, dass niemand Vertrauen zur staatlichen Datenkrake hat. Unglaublich.
29. Januar 2010
Aus Hackersicht sind die ganzen iPx von Apple alle zu nichts zu gebrauchen. Ok, man kann mit dem iPod Musik hören, mit dem iPhone telefonieren und mit dem iPad augenscheinlich eBooks lesen.
Aber was ist mit den wirklich relevanten Anwendungen? Wenn ich schon ein Gerät habe, das IP versteht, dann will ich da einen Portscanner drauf haben. Bevorzugt Nmap, notfalls auch was anderes. Wireshark könnte auch nützlich sein. Wenn das Gerät WLAN versteht, dann will ich da zumindest den Network Stumbler drauf haben. Kismet oder die komplette Aircrack Suite wäre natürlich besser. Einen einfachen Portscanner hatte ich vor 10 Jahren schon auf meinem HP iPaq mit Windows CE. Den Network Stumbler (MiniStumbler) gibt es auch für Windows CE. Technisch kann das also kein Problem sein.
Statt dessen haben wir hier es mit einer maximal verschlossenen Plattform zu tun. (Ok, es gibt Jailbreaks aber will ich mir bei einem so teuren Teil das selbst antun und das Risiko einzugehen mit dem nächsten Release einen teuren Ziegelstein zuhause zu haben?) Damit wird das Gerät für mich genauso nützlich wie ein Nintendo DS. Man kann ein bissi damit rumspielen aber ernsthafte Anwendungen fallen mir praktisch schon nicht mehr ein. Erstaunlich eigentlich, welche Rückschritte die letzten 10 Jahre hier passiert sind.
Also liebe Apple-Nasen: Es freut mich, dass ihr so viele IQ90-Träger findet, die sich zwar über DRM bei Musik aufregen aber trotzdem vergnügt ihr DRM-verseuchtes iPhone durch die Gegend schleppen. Mich jedenfalls kriegt ihr für das iPod/iPhone/iPad erst als Kunde, wenn Nmap im AppStore auftaucht.
