Captain's blog

Nach langer, langer Zeit geht's auch hier im Blog wieder weiter. Neben den obligatorischen Linux- und Security-Themen wird's in Zukunft unter Umständen recht Cisco-lastig, immerhin schlage ich mich jetzt seit knapp über einem Jahr beruflich mit den Kisten herum. Falls Fragen auch gerade dazu auftauchen, bitte einfach kurz ansprechen.

Nachdem es so gut zum letzten Posting hier passt, geht es heute wieder um eine "Security-Linux Live-CD": nach einigen Monaten Wartezeit wurde gestern die stabile Version der "Pentesting-Distribution" BackTrack in Version 2 freigegeben.

Wer sich einmal eingehender mit Penetration Testing befasst hat, wird um den Download bisher wohl kaum herumgekommen sein. Natürlich gibt es auch andere Projekte, die sich die Ansammlung möglichst vieler sinniger Tools auf die Fahnen geschrieben haben, das Team um Max Moser hingegen begnügt sich nicht nur mit aktuellen Sicherheitswerkzeugen (von denen trotzdem über 300 mitgeliefert werden).
Viel mehr wird dem Tester alleine durch die Vorbereitung der Wireless-Module für Packet Injections, als auch besonders im Bereich der (oft so ungeliebten) Methologie und "Nacharbeit" (Dokumentation etc.)) unter die Arme gegriffen. Nicht umsonst orientiert sich die Distribution mehr und mehr an "Standards" wie ISSAF und OSSTMM. Die Ausformulierung von Vorgehensweise, Erkenntnissen und potentiellen Lösungen bleibt dem Pentester jedoch trotz allem selbst überlassen.

Den weiteren Abend werde ich jedenfalls damit verbringen, mir die neue Version einmal ganz genau anzusehen. Jedem, der sich für Security interesissert kann selbiges definitiv auch ans Herz gelegt werden. In diesem Sinne: Slainte Mhath!

Sollte es jemand noch nicht mitbekommen haben:
Endlich ist es so weit...nach rund 6 Monaten Arbeit hat Fyodor heute Nmap 4.20 freigegeben. Interessant wird die Sache allein wegen der sog. "2nd generation OS detection", aber auch einige andere nette Neuigkeiten, sowie ein ganzer Haufen hinzugekommene Fingerprints sind definitiv wieder einen Download wert.

Mal schauen, ob ich da nicht auf die Schnelle ein passendes OpenBSD-Paket zusammengeschnürt bekomme.

Nachdem ich bereits eine ganze Zeit lang Tor nutze, um nicht unbedingt jedem meine Daten etc. mitzuteilen, interessiert mich die Untersuchung über potentielle Schwachstellen der Anonymisierung natürlich ganz besonders.
Dass die Betreiber von Exit-Nodes (den Hosts, die den endgültigen Connect zum Zielhost herstellen) im Zweifelsfall sämtlichen Traffic mitlesen können ist ja nichts wirklich Neues. Da die Anfragen aber durch die unterschiedlichsten Tor-Nodes geleitet werden, ist aber wenigstens der Ursprung der Anfragen unbekannt (FAQ).

Vor ein paar Tagen hatte ich ja bereits angekündigt, dass es (dem Freitraffic sei Dank ) demnächst hier einen Mirrorserver für verschiedene Projekte geben wird. Dieses Vorhaben habe ich nun endlich in die Tat umgesetzt, und bin gerade dabei, die hierfür reservierten 150 GB mit "Leben" zu füllen.

Das erste Projekt, das ich hier mit Plattenplatz und Traffic unterstützen möchte ist OpenBSD, von dem (ganz gemäß der Mirror-Policy) jeweils die letzten beiden Releases, sowie die Snapshots vorliegen werden. Natürlich werden auch die dementsprechenden OpenSSH-Tarballs zu finden sein.
Weitere Dinge, die ich noch gern spiegeln würde sind Nmap und ein paar kleinere Exploit-Archive. Man darf also gespannt sein, was in naher Zukunft hier noch so alles auftaucht.

P.S.: Vorschläge für andere unterstützenswerte Projekte bitte als Kommentar oder (noch besser) Mail an mich.

Die Jungs und Mädels bei FON scheinen es mit ihrer Absicht, die weltweit größte WiFi-Community aufbauen zu wollen echt Ernst zu meinen. Seitdem vor ein paar Wochen die Meldung durch die Presse ging, dass kostenlose, auf OpenWRT aufbauende Access Points an neu hinzukommende "Foneros" verschickt werden, verfolge ich die Sache mit recht großem Interesse.

Das Konzept hierbei besteht darin, dass derjenige, der einen solchen Access Point betreibt den anderen Teilnehmern seinen breitbandigen Internetanschluss zur Verfügung stellt.
Im Gegensatz zu OpenWRT ist das FON-Gerät allerdings eine Blackbox, die keinerlei wirklichen Zugang (z.B. per SSH) erlaubt. Die Software ist dabei allerdings so raffiniert, dass sie ein vollständig privates WLAN ermöglicht, das unabhängig vom öffentlich erreichbaren arbeitet, so dass die meisten eh kein großes Bedürfnis nach vollständiger Konfigurierbarkeit verspüren werden.

Es ist (vorläufig) vollbracht:

Nachdem die letzten paar Wochen wieder sehr hektisch waren, kam ich innerhalb der letzten paar Tage endlich dazu, den kürzlich fertig gewordenen neuen Server in Betrieb zu nehmen. Da die Kiste für meine Zwecke mehr als ausreichend mit Athlon 64 3700+, 2 GB RAM, 2x 300 GB-Platten und einem /28er-Subnetz dimensioniert ist, komme ich also endlich in den Genuß, wieder vermehrt mit Virtualisierung herumzuspielen.

Nachdem ich heute wieder Gelegenheit hatte, mich mit weiteren Maßnahmen zur Hochverfügbarkeit von Linux-Servern zu befassen, kam ich endlich mal wieder in Kontakt mit Bonding. Manch einer mag dabei an Seile und andere Nettigkeiten denken, dabei handelt es sich schlicht und ergreifend um die Bündelung verschiedener Netzwerkkarten mit dem Ziel, die Geschwindigkeit und / oder die Verfügbarkeit zu erhöhen. Jeder, der sich mal näher mit Cisco-Switchen auseinandergesetzt hat, wird der Begriff Etherchannel hier direkt in den Sinn kommen, schlussendlich laufen beide Dinge aber auf's Gleiche hinaus.

Obwohl es von großem Nutzen sein kann, haben nur vergleichweise wenige Linux-Admins (die ich kenne) auch schon damit gearbeitet. Alleine aus diesem Grund möchte ich das Thema hier einmal in aller Kürze vorstellen:

Amir Alsbih did it again: der Autor des Override-Rootkits, das den "Schutz" des 2.6er Kernels durch nicht bekannte Systemcall-Tabellen umgeht, hat sich diesmal anscheinend mit Honeypots auseinandergesetzt. In diesem speziellen Fall hat er dabei wohl eine Methode gefunden, wie ein solches System bereits im Vorfeld als solches erkannt werden kann.

Seit dem gestrigen Update meiner Dapper-Installation auf dem T30 war es mir nicht mehr möglich, eine automatisierte WPA-Verbindung zum Access-Point aufzubauen.

Bei der Analyse des Problems fiel mir dann auch sehr schnell ins Auge, dass drei wichtige, zum Paket gehörende Dateien (/etc/default/wpasupplicant, /etc/init.d/wpasupplicant und /etc/wpa_supplicant.conf) umbenannt waren, und nunmehr die Endung ".dpkg-bak" trugen.
Da ich es zu dem Zeitpunkt gestern relativ eilig hatte, brachte ein beherzter manueller Aufruf (wpa_supplicant -B -D wext -c /etc/wpa_supplicant) erst einmal das gewünschte Ergebnis: die Verbindung war wiederhergestellt.

Heute war es endlich so weit: das neueste Stück meiner immer größer werdenen Sammlung an IBM ThinkPads, in diesem Fall ein T30 kam heute mit folgender Ausstattung an:

Nachdem ich mich ja vor ein paar Monaten gegen den Erwerb eines BlackBerry entschlossen hatte, hat mich mein Namensvetter Christian vor ein paar Tagen wieder für das Thema "sensibilisiert".

...die Pix zuhause als DSL-Router fungieren würde...

In diesem Fall würde ich wohl endlich mal Nägel mit Köpfen machen, und mir eine kleine Soekris-Box dort hin stellen. Erst recht, wo das Flashboot-Projekt es ermöglicht, die aktuelle OpenBSD-beta vom Flash aus zu starten. Alternativ würde sich natürlich auch noch ein zweiter WRT54G mit OpenWRT anbieten, dann wäre wohl auch noch die letzte Ecke des Hauses (und vermutlich noch das der Nachbarn) komplett "ausgeleuchtet".

assives Netzwerksniffing ist nicht nur für Netzwerkadmins und Betreiber von IDS-Systemen, Honeynets (bzw. Honeypots), sondern auch für Angreifer interessant.
Statt einer eigens hierfür konfigurierten Bridge geht es allerdings noch erheblich komfortabler; das Stichwort hierfür ist "Tapping":

- Blanke Theorie gibt's auf snort.org für 100- als auch für 1000 MBit-Netze.

- Relativ neu hingegen ist ein praktisches Beipiel für einen angenehm portablen Tap auf den Seiten von IronGeek. Da kommt man doch gleich in Bastellaune.

Seitdem mir mein Boss gestern eine UMTS-Karte von T-Mobile für Bereitschaftseinsätze in die Hand gedrückt hat, schlage ich mich nun zum ersten Mal mit diesem Thema unter Linux herum. Nach der Lektüre einiger Seiten, die aber eher auf Vodafone als Provider und kppp für die Konfiguration / Einwahl ausgerichtet sind, war noch ein wenig Sucherei im Internet nötig, um die Karte vollständig zur Mitarbeit zu bewegen.

Daher nun dieses kleine "Mini-Howto" in der Hoffnung, anderen diese Sucherei abnehmen zu können. Die hier genannte Vorgehensweise ist (von mir) ausschließlich unter der aktuellen Ubuntu-Entwicklerversion (Dapper Drake) getestet, sollte aber eigentlich relativ distributionsneutral sein: