Captain's blog

Immer wieder lustig, was man mit eigentlich ganz ungefährlichen Blogeinträgen so anrichten kann:

Nutzer von Mailinglisten etc. wissen die VERP-Funktionalität ihres Mailservers oft zu schätzen. Immerhin macht es die Empfängeradresse bla+test@example.com einfach, Mail entsprechend durch Filter zu jagen, um sie z.B. in hierfür vorgesehen Ordner einzusortieren.

Durch Zufall bin ich eben darauf gestoßen, wie sich das Verhalten auch unter Zimbra aktivieren lässt:

Nachdem Peter Gutmann und ich vor einiger Zeit TrueCrypt und Co. auf Nutzbarkeit und Sicherheit der Verschlüsselung getestet haben, haben sich mittlerweile ein paar Dinge an dieser Front getan:
Die Entwickler haben in Zwischenzeit eine neue Version (4.3) herausgegeben, die ein paar Verbesserungen (leider fast ausschließlich für Windows-User) mit sich bringt. Daraufhin haben sich findige Leute einmal auf andere Angriffsvektoren auf die Software konzentriert, und sind prompt (bei der Linux-Version) fündig geworden...

Wie in einem älteren Posting bereits angekündigt, habe ich es heute Abend endlich einmal geschafft, die erste PHP-Applikation in Form meiner "Bookmark-Verwaltung" zu ersetzen.

Kam bis vor ein paar Stunden noch der "del.icio.us-Klon" Scuttle zum Einsatz , werkelt unter der Haube nun das Ruby on Rails basierte url.markr.

Wer ein öffentlich erreichbares (Unix-) System betreibt, kennt die Problematik der diversen gescheiterten Anmeldeversuche per SSH. Hervorgerufen durch Bots, die triviale Kombinationen und Passworten durchprobieren, müllen sie Logfiles zu, und finden schlimmstenfalls sogar wirklich einen Luser, der ein leicht zu erratendes Passwort nutzt.
Lösungen für dieses Problem sind (nicht nur hier) bereits mehrfach angesprochen worden; angefangen bei einfachen Maßnahmen wie der Verlegung des Port von 22 auf einen anderen, nicht standardgemäßen. Nutzung von SSH-Public Keys. Weiter über Paketfilter und eigens hierfür entwickelte Tools wie z.B. denyhosts oder fail2ban.

Eine gänzlich andere Möglichkeit, die darüber hinaus noch weitere Vorteile bietet ist die Authentisierung über Einmalpassworte. In Verbindung mit einer Zwei-Faktorauthentisierung (wie sie z.B. RSA mit den SecureID-Tokens) vormacht kommt zusätzlich zum Passwort noch eine Besitzkomponente hinzu. Ohne Token, das das OTP anzeigt, ist kein Zugang möglich.

Leider lohnen sich der Kauf dieser Token für den "Privatgebrauch" nicht wirklich, immerhin existieren mittlerweile (freie) Projekte, die diese Technik sehr kostengünstig ermöglicht. Das wohl vielversprechendste ist hier wohl FreeAuth.
Statt eines Hardwaretokens kommt hier das (in den allermeisten Fällen eh vorhandene) Handy zum Einsatz, das mit Hilfe eines kleinen Stückchen Java-Software die Funktion schnell und einfach nachbildet.

Nachdem es so gut zum letzten Posting hier passt, geht es heute wieder um eine "Security-Linux Live-CD": nach einigen Monaten Wartezeit wurde gestern die stabile Version der "Pentesting-Distribution" BackTrack in Version 2 freigegeben.

Wer sich einmal eingehender mit Penetration Testing befasst hat, wird um den Download bisher wohl kaum herumgekommen sein. Natürlich gibt es auch andere Projekte, die sich die Ansammlung möglichst vieler sinniger Tools auf die Fahnen geschrieben haben, das Team um Max Moser hingegen begnügt sich nicht nur mit aktuellen Sicherheitswerkzeugen (von denen trotzdem über 300 mitgeliefert werden).
Viel mehr wird dem Tester alleine durch die Vorbereitung der Wireless-Module für Packet Injections, als auch besonders im Bereich der (oft so ungeliebten) Methologie und "Nacharbeit" (Dokumentation etc.)) unter die Arme gegriffen. Nicht umsonst orientiert sich die Distribution mehr und mehr an "Standards" wie ISSAF und OSSTMM. Die Ausformulierung von Vorgehensweise, Erkenntnissen und potentiellen Lösungen bleibt dem Pentester jedoch trotz allem selbst überlassen.

Den weiteren Abend werde ich jedenfalls damit verbringen, mir die neue Version einmal ganz genau anzusehen. Jedem, der sich für Security interesissert kann selbiges definitiv auch ans Herz gelegt werden. In diesem Sinne: Slainte Mhath!

Dass Linux nicht nur Spaß machen,sondern auch mal (bewusst) unsicher sein kann, zeigt das Damn Vulnerable Linux-Projekt (kurz DVL). Es besteht aus einem Damn Small Linux, das aber eigens zu "Trainingszwecken" für Einsteiger und Fortgeschrittene der IT-Security modifiziert wurde.

Am besten jedoch beschreibt es ein Zitat der Macher selbst:

Actually, it is a perverted Linux distribution made to be as insecure as possible. It is collection of IT-Security and IT-Anti-Security tools. Additional it includes a fullscaled lesson based environment for Attack & Defense on/for IT systems for self-study or teaching activities during university lectures. It's a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer. As well it can be run within virtual machine environments, such as qemu or vmware. [...] Its sole purpose in life is to put as many security tools at your disposal with as much training options as it can. It contains a huge ammount of lessons including lesson description - and solutions if the level has been solved by a community member at crackmes.de.

Pünktlich zum neuen Jahr ist es wieder Zeit für ein paar neue Spielereien. In diesem Fall habe ich pünktlich damit angefangen, mein kleines Heimnetzwerk ein wenig aufzupeppeln. Das aktuelle Setup ist teils in die Jahre gekommen, oder erfüllt schlicht und ergreifend nicht mehr meine Anforderungen.

Kommen wir also direkt zum Ist-Zustand:

Ich hab's ja schon länger gesagt, und langsam aber sicher dringt es immer lauter an die Öffentlichkeit: PHP stinkt!

Sollte es jemand noch nicht mitbekommen haben:
Endlich ist es so weit...nach rund 6 Monaten Arbeit hat Fyodor heute Nmap 4.20 freigegeben. Interessant wird die Sache allein wegen der sog. "2nd generation OS detection", aber auch einige andere nette Neuigkeiten, sowie ein ganzer Haufen hinzugekommene Fingerprints sind definitiv wieder einen Download wert.

Mal schauen, ob ich da nicht auf die Schnelle ein passendes OpenBSD-Paket zusammengeschnürt bekomme.

Nachdem ich bereits eine ganze Zeit lang Tor nutze, um nicht unbedingt jedem meine Daten etc. mitzuteilen, interessiert mich die Untersuchung über potentielle Schwachstellen der Anonymisierung natürlich ganz besonders.
Dass die Betreiber von Exit-Nodes (den Hosts, die den endgültigen Connect zum Zielhost herstellen) im Zweifelsfall sämtlichen Traffic mitlesen können ist ja nichts wirklich Neues. Da die Anfragen aber durch die unterschiedlichsten Tor-Nodes geleitet werden, ist aber wenigstens der Ursprung der Anfragen unbekannt (FAQ).

Nachdem Mattias Schlenker im Rootforum alleine durch die Umschreibung der Vorteile von Jails einen kleinen FreeBSD-Hype ausgelöst hat, interessierte mich eine solche (im "Standardumfang" nicht enthaltene) Lösung natürlich auch gerade unter OpenBSD. Immerhin bedeutet eine "virtuelle" OS-Instanz vor allem eine weitere erhöhte Sicherheit.

Fündig in diesem Fall wurde ich bei sysjail, das Jail-Konstrukte mit Hilfe des systrace-Frameorks umsetzt, das seinerseits eine sehr mächtige (aber dennoch einfache) RBAC-Imlementierung für System Calls darstellt. Somit lässt sich der "Komfort" eines Jails noch durch zusätzliche Sicherheit kombinieren, da sich so sehr feingranular einschränken lässt, was in der VM erklaubt ist.

Ich weiß, das Thema ist steinalt und ausgenudelt wie sonst nur was. Da ich aber irgendwann garantiert wieder danach suchen werde, poste ich die Sachen jetzt einfach mal hier rein. Daher gibt's anbei noch mal zwei verschiedene Möglichkeiten, SSH-Bruteforcing mit Hilfe von Paketfiltern (in diesem Fall IPTables und OpenBSDs PF) in die Schranken zu weisen:

Vor ein paar Tagen hatte ich ja bereits angekündigt, dass es (dem Freitraffic sei Dank ) demnächst hier einen Mirrorserver für verschiedene Projekte geben wird. Dieses Vorhaben habe ich nun endlich in die Tat umgesetzt, und bin gerade dabei, die hierfür reservierten 150 GB mit "Leben" zu füllen.

Das erste Projekt, das ich hier mit Plattenplatz und Traffic unterstützen möchte ist OpenBSD, von dem (ganz gemäß der Mirror-Policy) jeweils die letzten beiden Releases, sowie die Snapshots vorliegen werden. Natürlich werden auch die dementsprechenden OpenSSH-Tarballs zu finden sein.
Weitere Dinge, die ich noch gern spiegeln würde sind Nmap und ein paar kleinere Exploit-Archive. Man darf also gespannt sein, was in naher Zukunft hier noch so alles auftaucht.

P.S.: Vorschläge für andere unterstützenswerte Projekte bitte als Kommentar oder (noch besser) Mail an mich.

Auch wenn die LinuxWorld Expo (dieses Jahr in Köln) wieder ein Stückchen "übersichtlicher" geworden ist, hat sich der Besuch doch auf gewisse Art und Weise wieder gelohnt:

Als hervorstechendstes Erlebnis gab es ein extrem interessantes Gespräch mit den Jungs von Zimbra, in dem ich endlich mehr über die Vorzüge der frisch herausgegebenen Beta erfahren konnte.
Sehr zur Freude diverser potentieller Kunden wird es nun endlich nicht nur möglich, verschiedene Identitäten via Webfrontend zu nutzen, sondern auch selbständig einen "POP3-Sammeldienst" einrichten zu können. Gerade das waren die Sachen, die bislang viele davon abgehalten haben, Zimbra auch "just for fun" zu nutzen.
Auch "persönliche Verteilerlisten" stehen nun endlich auf dem Programm, und sind erstaunlich einfach zu handhaben.
Das Update auf die Beta habe ich daher direkt heute (auf meiner "persönlichen" Umgebung) durchgezogen, und bin begeistert. Auch wenn sich auf den ersten Blick nicht viel getan hat, wirkt die Oberfläche noch einmal ein wenig schneller, hat mich persönlich am allermeisten gefreut, dass den Kontakten nun auch der Geburtstag zuzuordnen ist.

Viel Zeit habe ich mit Sven (Grussfrequenzen ) bei den Jungs am Gentoo-Stand verbracht, an dem ich dann auch mein erstes "Club Mate"-Erlebnis hatte.

Kurz vor Beginn der Linux NewMedia Awards konnte ich noch den zuständigen Redakteur des Linux-Magazins persönlich kennenlernen, der für die Aktualisierung meines alten Nmap-Artikels für ein bald erscheinendes Sonderheft zuständig ist.
Die Awards selbst waren dieses Jahr recht unspektakulär. Sowohl Ubuntus "Community Manager" als auch Mark Shuttleworth konnten nicht anwesend sein, einzig und allein die Verleihung des Preises an den sichtlich ergriffenen Klaus Knopper war den Applaus wert.