Captain's blog

Nachdem Peter Gutmann und ich vor einiger Zeit TrueCrypt und Co. auf Nutzbarkeit und Sicherheit der Verschlüsselung getestet haben, haben sich mittlerweile ein paar Dinge an dieser Front getan:
Die Entwickler haben in Zwischenzeit eine neue Version (4.3) herausgegeben, die ein paar Verbesserungen (leider fast ausschließlich für Windows-User) mit sich bringt. Daraufhin haben sich findige Leute einmal auf andere Angriffsvektoren auf die Software konzentriert, und sind prompt (bei der Linux-Version) fündig geworden...

Wie in einem älteren Posting bereits angekündigt, habe ich es heute Abend endlich einmal geschafft, die erste PHP-Applikation in Form meiner "Bookmark-Verwaltung" zu ersetzen.

Kam bis vor ein paar Stunden noch der "del.icio.us-Klon" Scuttle zum Einsatz , werkelt unter der Haube nun das Ruby on Rails basierte url.markr.

Wer ein öffentlich erreichbares (Unix-) System betreibt, kennt die Problematik der diversen gescheiterten Anmeldeversuche per SSH. Hervorgerufen durch Bots, die triviale Kombinationen und Passworten durchprobieren, müllen sie Logfiles zu, und finden schlimmstenfalls sogar wirklich einen Luser, der ein leicht zu erratendes Passwort nutzt.
Lösungen für dieses Problem sind (nicht nur hier) bereits mehrfach angesprochen worden; angefangen bei einfachen Maßnahmen wie der Verlegung des Port von 22 auf einen anderen, nicht standardgemäßen. Nutzung von SSH-Public Keys. Weiter über Paketfilter und eigens hierfür entwickelte Tools wie z.B. denyhosts oder fail2ban.

Eine gänzlich andere Möglichkeit, die darüber hinaus noch weitere Vorteile bietet ist die Authentisierung über Einmalpassworte. In Verbindung mit einer Zwei-Faktorauthentisierung (wie sie z.B. RSA mit den SecureID-Tokens) vormacht kommt zusätzlich zum Passwort noch eine Besitzkomponente hinzu. Ohne Token, das das OTP anzeigt, ist kein Zugang möglich.

Leider lohnen sich der Kauf dieser Token für den "Privatgebrauch" nicht wirklich, immerhin existieren mittlerweile (freie) Projekte, die diese Technik sehr kostengünstig ermöglicht. Das wohl vielversprechendste ist hier wohl FreeAuth.
Statt eines Hardwaretokens kommt hier das (in den allermeisten Fällen eh vorhandene) Handy zum Einsatz, das mit Hilfe eines kleinen Stückchen Java-Software die Funktion schnell und einfach nachbildet.

Nachdem es so gut zum letzten Posting hier passt, geht es heute wieder um eine "Security-Linux Live-CD": nach einigen Monaten Wartezeit wurde gestern die stabile Version der "Pentesting-Distribution" BackTrack in Version 2 freigegeben.

Wer sich einmal eingehender mit Penetration Testing befasst hat, wird um den Download bisher wohl kaum herumgekommen sein. Natürlich gibt es auch andere Projekte, die sich die Ansammlung möglichst vieler sinniger Tools auf die Fahnen geschrieben haben, das Team um Max Moser hingegen begnügt sich nicht nur mit aktuellen Sicherheitswerkzeugen (von denen trotzdem über 300 mitgeliefert werden).
Viel mehr wird dem Tester alleine durch die Vorbereitung der Wireless-Module für Packet Injections, als auch besonders im Bereich der (oft so ungeliebten) Methologie und "Nacharbeit" (Dokumentation etc.)) unter die Arme gegriffen. Nicht umsonst orientiert sich die Distribution mehr und mehr an "Standards" wie ISSAF und OSSTMM. Die Ausformulierung von Vorgehensweise, Erkenntnissen und potentiellen Lösungen bleibt dem Pentester jedoch trotz allem selbst überlassen.

Den weiteren Abend werde ich jedenfalls damit verbringen, mir die neue Version einmal ganz genau anzusehen. Jedem, der sich für Security interesissert kann selbiges definitiv auch ans Herz gelegt werden. In diesem Sinne: Slainte Mhath!

Dass Linux nicht nur Spaß machen,sondern auch mal (bewusst) unsicher sein kann, zeigt das Damn Vulnerable Linux-Projekt (kurz DVL). Es besteht aus einem Damn Small Linux, das aber eigens zu "Trainingszwecken" für Einsteiger und Fortgeschrittene der IT-Security modifiziert wurde.

Am besten jedoch beschreibt es ein Zitat der Macher selbst:

Actually, it is a perverted Linux distribution made to be as insecure as possible. It is collection of IT-Security and IT-Anti-Security tools. Additional it includes a fullscaled lesson based environment for Attack & Defense on/for IT systems for self-study or teaching activities during university lectures. It's a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer. As well it can be run within virtual machine environments, such as qemu or vmware. [...] Its sole purpose in life is to put as many security tools at your disposal with as much training options as it can. It contains a huge ammount of lessons including lesson description - and solutions if the level has been solved by a community member at crackmes.de.

Mittlerweile ist anscheinend selbst bis zu "Otto Normaluser" durchgedrungen, dass die WEP-"Verschlüsselung" seines WLAN Access-Points fast nutzlos ist. Zum Glück haben das mittlerweile sogar die Hersteller dieser Geräte erkannt, und bieten die Geräte (wie z.B. AVM) mit standardmäßig aktviertem WPA an.

Dass auch dieses (in der "Preshared Secret"-, auch WPA-PSK- genannten) Variante wieder eine Achillesferse besitzt, dringt mittlerweile auch immer mehr nach außen.

Nachdem ich jetzt mittlerweile ein paar Tage mit EncFS herumgespielt habe, frage ich mich zunehmend, wieso die Verschlüsselung von mehreren Dateien und / oder Verzeichnissen bislang so aufwändig war. Wenn ich daran denke, welchen Aufwand ich für meinen damaligen Artikel über verschlüsselte Filesysteme betrieben habe, kommt mir die Arbeit mit EncFS vor wie ein Kinderteller.

Auch wenn's doch erst sehr spät kommt, wünsche ich allen hier lesenden ein gutes und erfolgreiches neues Jahr,. Ich für meinen Teil bin am Abend des 1.1. wieder zuhause angekommen, und habe bis heute schon wieder einiges erlebt. Mit Details möchte ich euch an dieser Stelle aber nicht langweilen, immerhin habe ich mich in letzter Zeit ja doch recht rar gemacht, und will niemanden mit belanglosen persönlichen Dingen vergraulen..

Den ersten Eintrag des Jahres werde ich auch recht kurz halten, da ich leider erst seit gestern mit alternativen Möglichkeiten der Verschlüsselung von Daten auf Festplatten befasse. Seit meinem Artikel zum Thema im Linux-Magazin hat sich diesbezüglich ja doch einiges getan.
Durch ein Posting im RootForum bin ich zum ersten Mal auf die Möglichkeit gestoßen, mit Hilfe von fuse für Verschlüsselung zu sorgen. Das Ganze nennt sich dann schlicht und ergreifend encfs, dessen Möglichkeiten ich immer interessanter finde.

Das auch im Posting genannte TrueCrypt hingegen regt mich irgendwie (rein subjektiv) nicht so zum "rumspielen" an. Vielleicht täuscht mich mein Gefühl in diesem Punkt ja vollkommen, und sofern mich jemand da eines besseren belehren kann, würde ich mich sehr über Erfahrungsberichte freuen.

Bis dahin aber teste ich auch weiterhin mit encfs rum, und werde Erfahrungsberichte im Laufe der nächsten paar Tage hier als "Rückkehr" veröffentlichen. Vielleicht entwickelt sich bis dahin ja hier schon eine kleine Diskussion.

So, nach den etwas dürftigen beiträgen der letzten paar Tage gibt's heute endlich mal wieder was "richtiges":

Da ich mich mit dem mittlerweile in Sarge enthaltenen Exim 4 (vor allem in dieser Konfiguration) ganz und gar nicht (mehr) anfreunden kann, setze ich mittlerweile auch auf meinen privaten Servern nur noch Postfix ein.

Der größte Vorteil Exims, die Filterung von hereinkommenden Mails anhand des Inhalts (z.B. mit Hilfe von SpamAssassin) kann Postfix in diesem Umfang leider bei weitem nicht bieten.
Im Gegensatz dazu ist Postfix zum Glück so modular aufgebaut, dass sich selbst dieses Manko mit relativ einfachen Mitteln beheben lassen würde. Dazu ist der "mitgelieferte" smtpd schlicht und ergreifend durch den Mail Avenger zu ersetzen. Dieser stellt einen "hochkonfigurierbaren, MTA-unabhängigen SMTP-Daemon" dar, der in der Lage ist, Mails noch im SMTP-Dialog zu filtern, um so Spam und Viren direkt (also ohne sie anzunehmen) abweisen zu können.

Da die einfachsten Lösungen meist mit zu den besten gehören, gibt's heute ein möglichst simples Portknocking-Tool: coarseknocking.

Botnets erfreuen sich heutzutage einer stetig wachsenden Beliebtheit. Die "Betreiber" sind allerdings bei weitem nicht mehr "nur" ein paar Scriptiddies, die sich so gegenseitig ihre "Macht" zeigen wollen. Aufgrund der schieren Macht, die tausende Zombies im Netz entfachen können, werden sie mittlerweile schon häufig "kommerziell" betrieben. Über Erpressungen von Online-Wettbüros war bis dato schon öfters in der einschlägigen Fachpresse zu lesen.

Nicht zuletzt aus diesem Grund hat sich (besonders) das Honeynet-Projekt (u.a.) die Analyse und Erkennung von Botnetzen auf die Fahnen geschrieben. In diesem Fall wird ein besonderes Augenmerk auf dafür spezialisierte Tools gelegt, die in der Lage sind, verdächtige Aktivitäten oder Angriffe auf potentielle Zombies zu erkennen und protokollieren zu können.
Ein solches ist das gestern in Version 3 freigegebene mwcollect (kurz für Malware collect).

Wem die Möglichkeiten von Tools wie nmap, p0f, tcpdump, AirSnort, hping oder (sogar) dsniff nicht weit genug gehen, wird an Scapy seine helle Freude finden.

Der Vorteil an all diesen (extrem mächtigen) Produkten ist dabei gleichzeitig oft ihr Nachteil: jedes für sich allein genommen ist auf ein sehr spezielles Aufgabengebiet zuschnitten, bietet aber weniger (bis keine) Möglichkeiten, etwas zu tun, das der Programmierer nicht vorgesehen hat. Im Gegensatz dazu umschreibt die Scapy-Webseite das Programm als "powerful interactive packet manipulation program"...und besser kann man es kaum sagen.

Nicht zuletzt aufgrund der sehr positiven Resonanz zum damaligen Portknocking-Posting, habe ich einmal damit angefangen, mir ein paar Implementierungen anzuschauen, die ich für mich selbst in Betracht ziehen würde.

Den Anfang macht dabei einer der bekanntesten Lösungen hierfür: knockd.

Vor ein paar Tagen hat VMWare den Player herausgebracht, mit dem es möglich ist, im Vorfeld erstellte Images auch ohne die große Kaufversion der Software zu nutzen.

Erwartungsgemäß hat es nicht lange gedauert, bis ein paar findige Köpfe auf die Idee gekommen sind, sich einmal näher damit auseinanderzusetzen. Beim rumspielen haben sie dann herausgefunden, wie sich das Image dahingehend manipulieren lässt, dass das darin enthaltene Betriebssystem mit extrem einfachen Mitteln "ausgetauscht" werden kann.

Wer mehr wissen möchte, schaut sich einfach das passende hack a day-Tutorial an. Viel Spaß beim basteln.

Vor ein paar Tagen habe ich (wie berichtet, siehe "Verwandte Links") meinen Spaß am ICMP-Protokoll entdeckt. Das Werkzeug meiner Wahl ist das dort vorgestellte sing. Je mehr ich mich damit auseinandersetze, desto mehr "nützliche" Anwendungsgebiete tun sich mir auf.