Hacking

In nicht allzu ferner Zukunft werden Tools wie Kismet, nmap, nessus oder das gute alte SATAN oder Passwortcracker wie L0phtcrack verboten sein.
Jedenfalls falls die aktuelle Gesetzesvorlage so durchkommt.

Denn dort steht (zusammengefasst):

Besonders gefährliche Vorbereitungshandlungen zu Computerstraftaten werden künftig strafbar sein. Sanktioniert wird insbesondere das Herstellen, Überlassen, Verbreiten oder Verschaffen von „Hacker-Tools“, die bereits nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen (§ 202c StGB neu).

Das Problem ist, dass die oben genannten Tools sowohl für gute Zwecke als auch für schlechte eingesetzt werden kann.
So schreibt das BSI (Bundesamt für Sicherheit in der Informationstechnik) zum Thema Penetrationstest:

Kenntnisse in der Handhabung von Hackertools und Schwachstellen-Scannern
Zur Durchführung von Penetrationstest ist neben dem erforderlichen Grundlagenwissen auch Erfahrung in der Handhabung mit Hackertools und Schwachstellen-Scannern notwendig. Kenntnisse im Umgang mit diesen Tools sollten in der Praxis erworben worden sein. Aus der Vielzahl der verfügbaren Tools haben sich im Laufe der Zeit einige Produkte eine weite Verbreitung gefunden (z. B. nmap für Portscans, L0phtcrack für Windows-Passwörter). Sowohl kommerzielle Tools für die Durchführung einer effizienten Prüfung als auch frei verfügbare Werkzeuge zur Demonstration der relativ einfachen Durchführbarkeit können zum Einsatz kommen. Die Effizienz des Penetrationstests hängt aber wesentlich davon ab, wie erfahren der Penetrationstester im Umgang mit diesen Tools ist.

So verwendet selbst Trinity in Matrix zuerst nmap und dann einen SSH-Root-Exploit (siehe Screenshot). Einige der o.g. Tools sowie einige mehr wurden auch bei der Lehrveranstaltung Praktikum IT-Sicherheit/Hackers Contest verwendet

Da kann ich nur sagen: Hackertools-Verbot ist genauso wirkungsvoll wie ein Vermummungsverbot für Bankräuber..
Über die potentiellen Auswirkungen will ich garnicht nachdenken: alle Debian, Gentoo usw Mirrors werden illegal, man verliert viele sinnvolle Tools. Wahrscheinlich kommt dann demnächst auch noch das Verbot von starker Kryptographie
Wie man sowas in Zeiten des Internets durchsetzen will, ist auch fraglich.

Ich glaube ich bin im Kindergarten gelandet: ich kann in Firefox nicht mehr alle Adressen erreichen..

This address is restricted
This address uses a network port which is normally used for purposes other than Web browsing. Firefox has canceled the request for your protection.

Abhilfe ist hier beschrieben: Mozilla-Wiki.
Aber irgendwie finde ich dieses Verhalten trotz der beschriebenen Sicherheitslücke sehr blöd
Zumal wohl jeder, der sich mit IT-Sicherheit beschäftigt hat, mir zustimmen wird, dass eine schwarze Liste "böser" Ports schwachsinnig ist..

Was ist wohl die schönste Art seine eigenen Server abzuschießen?

Genau - ein Client, der bei Fehlern jede 40 sekunden versucht einen neuen Request abzuschicken. Derzeit geschieht genau dies beim Blizzard Downloader für den aktuellen WoW-Patch. Wohl etliche tausend Benutzer wollen den Patch runterladen, aber der Tracker ist offline. Und steht selbst wenn er wieder online geht, unter einem Dauerfeuer von Requests...

Dabei ist ja das Konzept von Peer-to-Peer-Transfers (quasi Bittorrent) für sowas gerade gut geeignet. Nur der Tracker ist halt ein Single-Point of Failure


UPDATE: das ganze zieht noch ein Folgefehler hinter sich: das FAQ-System auf das verwiesen wird "Der Tracker antwortet nicht Info" ist mittlerweile auch down:

Unable to connect to the MySQL database at 172.31.22.26. Please ensure that a MySQL database server is running, and check your login credentials in the configuration file.

Too many connections

Was bedeutet "Kontrolle über ein Computersystem haben"?

Heißt es, dass ich als Benutzer mit entsprechenden Rechten volle Kontrolle über den Kernel oder über alle Prozesse haben kann?

Das ich den Kernel unter Windows nicht wirklich kontrollieren kann, sollte ja wohl jedem klar sein. Aber bislang konnte man jeden Prozess quasi dadurch kontrollieren, dass man einen Debugger auf einen Prozess loslassen konnte.

Aber mit Windows Vista wird das Prozessmodell geändert. Jetzt gibt es einen s.g. "Protected Process".
In einen solchen Prozess kann man keinen Thread injecten (CreateRemoteThread) und man kann einen solchen nicht debuggen (DebugActiveProcess).

Zwar kann man bislang noch keinen Protected Process erzeugen (das darf nur der "Windows Protected Media Path"), aber was wäre wenn das Sony Rootkit solch einen Prozess verwendet hätte? Oder in Zukunft Viren, die sich perfekt schützen. Kein Reverse-Engineering (solange das Binary stark geschützt ist) anhand des Live-Prozesszustands mehr möglich. Keine einfache Analyse was ein Prozess macht.


In der Zeitlinie des Sony Rootkits findet man ein interessantes Zitat:

Andrew Moss, Microsofts Senior Director of technical policy: ‘’A personal computer is called a personal computer because it’s yours. Anything that runs on that computer, you should have control over.'’

Aber genau das fällt ja jetzt weg - wenn auch bislang nur eingeschränkt auf von Microsoft bestimmte Prozesse. Aber dennoch eine zweifelhafte Entwicklung


Aber schon beim Durchlesen des Drafts fallen mir ein Haufen Angriffe und mögliche Probleme ein

Im Rahmen des aktuellen Praktikums füge ich meiner Auswertung vom Hacking-CTF2005 noch ein paar Folien zum Thema Code-Injection in PHP hinzu. Als kleine Bonusbeilage auch ein praktischer Angreif: Einbauen eines Public Keys für SSH

Folien Code-Injection in PHP (PDF)
Folien Code-Injection in PHP (Powerpoint)

Es hat eine Weile gedauert, aber endlich sind die Videos von den 22C3 online: Gentlemen, fire up your clients.

Viel Spaß beim Leechen.. Im Laufe des Tages wird der Server vom Chaos-Darmstadt als weitere schnelle Quelle eingerichtet

UPDATE: hier sind die URLs für den Darmstädter Server:

http://ftp.chaos-darmstadt.de/congress/2005/lectures/video/mp4/720x576/
ftp://ftp.chaos-darmstadt.de/congress/2005/lectures/video/mp4/720x576/

USE MORE BANDWIDTH!

Falls der Server überlastet ist, steht eine persönliche Auswahl von mir noch auf meinem Server zur Verfügung:
http://mirror.not-another-server.net/

Heute war der erste Uni-Termin für das neue Semester: Vortreffen zum Praktikum IT-Sicherheit/Hackers Contest.
Das ganze wird wohl eine Art CTF aber über das ganze Semester verteilt. Dafür bekommt man im Gegensatz zu den alten CTFs auch einen Schein dafür
Dafür stehen dann am Ende des Semesters mal ein paar Materialen um beim CTF besser Leute aus- & weiterzubilden..

Bei getDigital.de gibt es einen WLAN Hacker zu kaufen

Der neue LIRPA WLAN ist das optimale Tool für Hacker und Wardriver. Man muss sich nur ins Auto setzen und etwas herum fahren, damit der kleine Helfer auf einer per GPS geladenen Strassenkarte alle vorhandenen 802.11b und 802.11g WLANs anzeigt und auf der Karte einträgt. Sollte ein Netzwerk mit WEP verschluesselt sein, hoert er den Datenverkehr ab und berechnet den WEP-Key. Auf Knopfdruck kannst Du dann im WWW surfen oder Deine Mails mit dem integrierten eMail-Client empfangen.

Desweiteren bietet der LIRPA WLAN vier praktische Hotkeys für die wichtigsten Funktionen:
1. WLANs auflisten und WEP-Keys berechnen.
2. Voice over IP Telefongespräch starten (Mikrofon und Lautsprecher integriert)
3. Rechner im aktuellen Netzwerk auflisten (IP, Betriebssystem, Patch-Level)
4. JAM Networks - Stört alle vorhanden Netzwerke durch Versenden von ungültigen Datenpaketen.

Desweiteren sind die verbreitesten 100 Exploits und Netzwerkanalyse-Tools vorinstalliert.

Jeder kennt das: juristische Entscheidungen sind für den Normal-Mensch kaum nachvollziehbar.

Genau so geht es mir gerade bei der Entscheidung, ob die Speicherung der Ausweisnummer beim WM-Ticket-Kauf zulässig ist.

Immerhin findet man recht schnell das PersAuswG, in dem folgendes steht:

(4) Die Seriennummern dürfen nicht so verwendet werden, daß mit ihrer Hilfe ein Abruf personenbezogener Daten aus Dateien oder eine Verknüpfung von Dateien möglich ist.

und schon hat man den passenden Datensatz. Da kann man die Personalausweisnummer fast schon als PK verwenden


Über Praxisfragen wie neue Personalausweisnummer wenn ich meinen Ausweis verloren habe, will ich garnicht erst reden.
Wer noch mehr zum Thema WM und Überwachung lesen will: Die Fußball-WM als Überwachungs-Großprojekt

Ich mag die Postbank nicht wirklich, aber die Umstellung auf signierte Mails ist meiner Meinung nach endlich mal ein Schritt in die richtige Richtung.

Hoffen wir mal, dass sich andere Banken und Firmen dem anschließen und auch mit Signieren anfangen.

Heute habe ich meine erste Abuse-Mail wegen Tor bekommen. Irgendjemand benutzt scheinbar das Tor-Netzwerk um dem Betreiber einer Reise-Site anzugreifen: er fragt Verfügbarkeiten von Flügen ab.. Diese Abfrage kostet den Seitenbetreiber aber jedesmal Geld...

Na ja, bin mal gespannt wie der Admin auf meine Mail nun reagiert - ärgerlich ist das ganze ja schon.

Ich habe soeben wohl meinen Lieblingsgetränkehändler gefunden - er hat Club-Mate auf Vorrat und ist sowohl von Wiesbaden als auch Darmstadt schnell zu erreichen: Getränkewolf in Rüsselsheim..


Dabei merke ich gerade auch, dass Club-Mate jetzt offiziell deutschlandweit geliefert wird - aber leider auch relativ teuer.


/me wird demnächst wieder seine Mate-Bestände auffüllen

Nach den ersten Versuchen gestern, habe ich noch ein paar mehr Sachen rausgefunden:

Scheinbar leiten die Server den Request nur weiter. Entweder einfaches Portforwarding oder als Reverse-Proxy. Diese Schlußfolgerung basiert darauf, dass unter mehreren Server mit völlig unterschiedlichen IPs (also anderer Netblock) genau dieselben Datendateien liegen. Außerdem liegen submit.php und verify.php auf einem *nix-Server (zu erkennen am Pfad in der Fehlermeldung). Weiterhin haben alle SSL-Hosts auf den IPs genau denselben Zertifikatsfingerprint.

Mittlerweile sind zwei Server mehr gefunden:
http://211.199.252.187:180/ und http://211.32.14.248

Auch einige Phishing-Pfade sind jetzt bekannt:

• /r1/an/


• /r1/ba/


• /r1/com/


• /r1/eBayIsap


• /r1/na/


• /r1/wo/


• /r1/Isa/

Sowie die passenden Datendateien:

• /r1/an/anzinfo777777773333.txt


• /r1/Isa/binfertertertert733337tyho.txt


• /r1/na/natfgfgfg73737info.txt

Witzigerweise hat Heise gerade heute über den Phishing-Baukasten berichtet. Jetzt fehlt mir nur noch der Sourcecode vom "Rock-Phish-Kit" - wer ihn hat: immer her damit!

Ich kämpfe gerade gegen die Passwörterflut und habe deswegen erstmal Teile meines Mailservers auf Clientzertifikate umgestellt.

Sprich ich muss mir nur noch eine Passphrase für mein Zertifikat merken und kann mich damit gegen viele Sachen authentifizieren (jedenfalls ist so mein Plan)

Technisch sieht es bei einer Mail dann so aus:

Received: from [192.168.0.24] (mein-dialin-anbieter.net [aa.bb.cc.dd])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(Client CN "Jens Weibler", Issuer "CA Cert Signing Authority" (verified OK))
by mail.not-another-server.net (Postfix) with ESMTP id 576C17FA2

Jetzt fehlt nur noch IMAP, Zugang auf bestimmte Websites usw

Der FTP-Server ist endlich fertig und unter ftp://ftp.chaos-darmstadt.de ist jetzt ein schneller Mirror für ftp://ftp.ccc.de erreichbar

Hosted by Chaos-Darmstadt mit freundlicher Unterstützung (Serverunterstellung) der TU Darmstadt FB20 Fachgebiet ITSec

So sieht bei mir ein normaler Monat mit Tor aus:

Anders kann man die Aktion einiger Banken ein neues Bezahlverfahren für Interneteinkaufen wohl nicht umschreiben..

Der Benutzer soll dann bei Ebay auf einen Link klicken und in der sich öffnenden Webseite seine PIN und TAN auf ein vorgefertigtes Formular eintragen? Das schreit doch gerade nach neuen Phising oder JavaScript-Attacken..


Außerdem: bei Ebay ist es ja noch ok, dass ich mit Vorabüberweisung zahle, aber bei normalen Händlern würde ich nie auf diese Idee kommen. Lastschrift bietet da doch deutliche Vorteile.

Letztens hatte ich eine Diskussion welchen DNS-Server man denn einsetzen sollte.
Zur Auswahl standen Bind (in Version 9) oder tinydns (djbdns).

Aufgabe sollte das Hosting mehrerer Domains sein, natürlich auf mehrere Server verteilt.
Jedem der sich mit DNS und somit BIND schonmal beschäftigt hat, kennt die Sicherheitsgeschichte von Bind. Aber es gibt ja noch die Features als Argumentationsbasis.


Die zwei daraus resultierende Diskussionen waren sehr interessant.

Ich hasse Bluescreens. Noch mehr hasse ich Bluescreens durch schlechte Treiber.
Ich sitze hier fröhlich in der Uni und *wupps* kommt ein Bluescreen mit DRIVER_IRQL_NOT_LESS_OR_EQUAL 0x1000000a (0x03ff03ff, 0x00000002, 0x00000000, 0x805380c6).

Ein bißchen Analyse mit dem Windows-Debugger zeigte schnell den Verursacher auf (wie das geht steht in einem Dokument von Microsoft auf das ich schonmal zum Thema BSOD verwiesen habe):



Ein bißchen googlen zeigt, dass das Problem wohl weit verbreitet ist: w29n51.sys crashes

Generell scheint der Intel-Treiber Probleme zu haben: 802.11 fuzzing. intel 2200bg crashes winxp

Na ja, ich gebe mich garnicht mehr mit dem Versuch eines Treiberupdates oder Downgrade ab, sondern warte einfach auf meine neue Atheros-Mini-PCI-Karte
Meine Treiber-Version ist übrigens 9.0.3.9 - laut Intel die aktuelle Treiberversion
Aber mal sehen was der Intel-Support dazu sagt

Nachdem ich gestern bereits ein paar mehr Apache-Vhosts auf meinem Server mit SSL ausgestattet habe (dank SSL-Vhosting und wildcard-Zertifikate mit wenig IP-Adressenverbrauch - siehe Running Name-Based SSL Virtual Hosts in Apache), habe ich heute meinem Postfix beigebracht generell TLS mit anderen Servern zu sprechen. Vorher konnte man nur als normaler Client Mails mit TLS-Unterstützung abgeben.

Ist zwar kein ausreichender Schutz und man sollte seine Mail immer noch verschlüsseln, aber verhindert immerhin das jemand zwischen den Servern mithorcht..

In der Praxis sieht es dann so aus: