Captain's blog

Nachdem Peter Gutmann und ich vor einiger Zeit TrueCrypt und Co. auf Nutzbarkeit und Sicherheit der Verschlüsselung getestet haben, haben sich mittlerweile ein paar Dinge an dieser Front getan:
Die Entwickler haben in Zwischenzeit eine neue Version (4.3) herausgegeben, die ein paar Verbesserungen (leider fast ausschließlich für Windows-User) mit sich bringt. Daraufhin haben sich findige Leute einmal auf andere Angriffsvektoren auf die Software konzentriert, und sind prompt (bei der Linux-Version) fündig geworden...

Nachdem es so gut zum letzten Posting hier passt, geht es heute wieder um eine "Security-Linux Live-CD": nach einigen Monaten Wartezeit wurde gestern die stabile Version der "Pentesting-Distribution" BackTrack in Version 2 freigegeben.

Wer sich einmal eingehender mit Penetration Testing befasst hat, wird um den Download bisher wohl kaum herumgekommen sein. Natürlich gibt es auch andere Projekte, die sich die Ansammlung möglichst vieler sinniger Tools auf die Fahnen geschrieben haben, das Team um Max Moser hingegen begnügt sich nicht nur mit aktuellen Sicherheitswerkzeugen (von denen trotzdem über 300 mitgeliefert werden).
Viel mehr wird dem Tester alleine durch die Vorbereitung der Wireless-Module für Packet Injections, als auch besonders im Bereich der (oft so ungeliebten) Methologie und "Nacharbeit" (Dokumentation etc.)) unter die Arme gegriffen. Nicht umsonst orientiert sich die Distribution mehr und mehr an "Standards" wie ISSAF und OSSTMM. Die Ausformulierung von Vorgehensweise, Erkenntnissen und potentiellen Lösungen bleibt dem Pentester jedoch trotz allem selbst überlassen.

Den weiteren Abend werde ich jedenfalls damit verbringen, mir die neue Version einmal ganz genau anzusehen. Jedem, der sich für Security interesissert kann selbiges definitiv auch ans Herz gelegt werden. In diesem Sinne: Slainte Mhath!

Ich hab's ja schon länger gesagt, und langsam aber sicher dringt es immer lauter an die Öffentlichkeit: PHP stinkt!

Sollte es jemand noch nicht mitbekommen haben:
Endlich ist es so weit...nach rund 6 Monaten Arbeit hat Fyodor heute Nmap 4.20 freigegeben. Interessant wird die Sache allein wegen der sog. "2nd generation OS detection", aber auch einige andere nette Neuigkeiten, sowie ein ganzer Haufen hinzugekommene Fingerprints sind definitiv wieder einen Download wert.

Mal schauen, ob ich da nicht auf die Schnelle ein passendes OpenBSD-Paket zusammengeschnürt bekomme.

Amir Alsbih did it again: der Autor des Override-Rootkits, das den "Schutz" des 2.6er Kernels durch nicht bekannte Systemcall-Tabellen umgeht, hat sich diesmal anscheinend mit Honeypots auseinandergesetzt. In diesem speziellen Fall hat er dabei wohl eine Methode gefunden, wie ein solches System bereits im Vorfeld als solches erkannt werden kann.

Passend zur Cebit werden gerade auf Messen zum Schutz des IT-Inventars gern "Schutzmaßnahmen" in Form von Ketten und passenden Schlössern getroffen. Wer nach "How to pick a Kensington lock in 60 seconds" immer noch daran glaubt, dass sein Notebook in Sicherheit ist, dem ist wohl einfach nicht mehr zu helfen.
Somit hat es übrigens nun mittlerweile auch den Marktführer in dem Bereich (Kensington halt) getroffen.

assives Netzwerksniffing ist nicht nur für Netzwerkadmins und Betreiber von IDS-Systemen, Honeynets (bzw. Honeypots), sondern auch für Angreifer interessant.
Statt einer eigens hierfür konfigurierten Bridge geht es allerdings noch erheblich komfortabler; das Stichwort hierfür ist "Tapping":

- Blanke Theorie gibt's auf snort.org für 100- als auch für 1000 MBit-Netze.

- Relativ neu hingegen ist ein praktisches Beipiel für einen angenehm portablen Tap auf den Seiten von IronGeek. Da kommt man doch gleich in Bastellaune.

Dass (fast) alle getroffenen Sicherheitsmaßnahmen, vor allem "externe" wie z.B. Firewalls etc. herzlich nutzlos sind, sobald ein Angreifer die physikalische Kontrolle über einen Rechner hat, ist wohl seit langem kein großes Geheimnis.
Spätestens durch das Booten einer passenden CD (günstigstensfalls, nachdem man BIOS- und sonstige Bootloaderpassworte überlistet hat), hat man volle Kontrolle über die auf der Festplatte liegenden Daten. Sind diese verschlüsselt, dürfte der Zugriff allerdings erheblich schwieriger sein. Nicht zuletzt deshalb bietet sich eine solche Vorgehensweise besonders bei Notebooks an.

So lange ein Rechner läuft, und die verschlüsselten Daten im Klartext vorliegen, sind allerdings auch diese angreifbar. Neuere "Forschungen" lassen aber auch den besten lokalen Schutz, seien es hochsichere Passworte oder vollständig für die Außenwelt geschlossen Ports recht alt aussehen.

Nach fast genau zwei Jahren nach der Veröffentlichung der 3.50er-Version ist der großartige Portscanner nmap gestern in Version 4.0 freigegeben worden.

Im Vergleich zur alten Version kamen in den mittlerweile immerhin 36 "Zwischenreleases" immer mehr Funktionen hinzu, bis man sich zuletzt darauf konzentriert hat, den Kern so weit wie möglich abzuspecken und noch schneller zu machen. Das Ergebnis kann sich dabei absolut sehen lassen.

Weitere Goodies:

Mittlerweile ist anscheinend selbst bis zu "Otto Normaluser" durchgedrungen, dass die WEP-"Verschlüsselung" seines WLAN Access-Points fast nutzlos ist. Zum Glück haben das mittlerweile sogar die Hersteller dieser Geräte erkannt, und bieten die Geräte (wie z.B. AVM) mit standardmäßig aktviertem WPA an.

Dass auch dieses (in der "Preshared Secret"-, auch WPA-PSK- genannten) Variante wieder eine Achillesferse besitzt, dringt mittlerweile auch immer mehr nach außen.

Der Linux-Kernel in Version 2.6 galt hinsichtlich Rootkits, die mit Hilfe der Systemcall-Tabelle arbeiten als sicher, da diese nicht mehr exportiert wird. Da die Adressen der Systemcalls im Speicher somit nicht mehr bekannt sind, können sie auch nicht manipuliert werden.

Dass auch diese Maßnahme keine 100%ige Sicherheit bietet, zeigt Amir Alsbih nun mit Hilfe seines Override-Rootkits. Auf (momentan) gerade mal 567 Zeilen C-Code (!) werden dabei nicht nur sämtliche Funktionen zum "Aufspüren" der Adressen, sondern auch typische Rootkit-Funktionen wie das Verstecken von Prozessen und Netzwerkports, etc.

Obwohl das Ganze wohl "nur" ein Demo-Projekt ist, ist es schon fast beängstigend, mit welch einfachen Mitteln dabei gearbeitet (und zum Erfolg gekommen) wird. Ich bin jedenfalls extrem gespannt, wie es in dieser Hinsicht nun weitergehen wird.

So, zurück aus dem wohlverdienten Urlaub kann ich mich nun nach längerer Zeit mal wieder an "sinnvolle" Postings hier begeben. Ab heute gibt's diese dann auch endlich wieder regelmäßig (also möglichst täglich).

Vor ein paar Tagen wurde auf BugTraq eine äußerst interessante Mail gepostet, die sich eingehender mit dem BIOS eines Rechners befasst.

Nicht erst seit meinem nmap-Artikel bin ich der festen Überzeugung, dass Portscans in den allermeisten Fällen keinen Zusammenhang mit Angriffen auf Hosts haben. Eine aktuelle (und sehr lesenswerte) Untersuchung der Uni Maryland bestätigt nun diese These:

Biometrische Systeme zur Zugangskontrolle sind zwar schon länger am Markt, kamen bislang aber nur vereinzelt zum Einsatz. Meist sind es dann die (vergleichweise) recht "einfachen" und kostengünstigen Fingerabdrucksensoren.

Dass sich diese zum Teil erschreckend einfach täuschen lassen, ist aber schon länger bekannt. Beispiele gefällig?

- Cryptome: Gummy fingers
- Crazy Aaron: Thinking Putty defeats Biometric Fingerprint Scanners!
- CCC: Wie können Fingerabdrücke nachgebildet werden?

Eine aktuelle Untersuchung der Clarkson Universiy bringt jedoch erst den vollen Umfang ans Tageslicht. Immerhin ließen sich dort ganze 90% der Sensoren durch einfache Play-Doh Knetmasse täuschen.
In Anbetracht der Tatsache, dass solche Systeme gerade vermehrt auf deutschen Flughäfen eingefüht werden, finde ich es spannend zu sehen, dass auch auf solch deutliche, "offizielle" Warnungen immer noch nicht gehört wird.

Die Schläfrigkeit / Faulheit diverser Admins hat uns augenscheinlich den nächsten, Linux/Elxbot genannten "Linux-Wurm" beschert. Grund hierfür ist ein am 16.11.2005 gemeldete Sicherheitslücke in der register_globals-Emulation des CMS Mambo, die die Entwickler immerhin am 30.11. mit der aktuellen Version 4.5.3 gefixt haben.