Seit Freitag ist die Archivseite der DEF CON 18 online. Neben den Präsentationen und Whitepapers finden sich dort auch das Programm und viele andere Dateien als pdf-Datei zum Download. In den nächsten Tagen wird die Seite um weitere Dokumente und die ersten Videos ergänzt werden.
Endlich rausfinden, wer kleinemaus@example.com ist. Endlich den echten Namen von dem Typ erfahren, der sich hinter willigersklave@example.com verbirgt – das war mit Facebook nun für kurze Zeit möglich. Ein echter Glücksgriff für Kriminelle, Geheimdienste und neugierige Nachbarn, die endlich ihre Datenbanken updaten konnten. Vor zehn Jahren hätte man dafür eine Ermittlungsabteilung mit 500 Mann gebraucht. Was war passiert?
Nachdem Facebook ja dauernd Sicherheitslücken hat (siehe Beiträge hier im Blog), kam jetzt eine neue dazu, die auch auf Dauer ein interessantes Feature hätte werden können. The Register berichtete von dem Vorfall. Die Zeit war also knapp. Wenn man jedoch dass ebenfalls veröffentlichte Skript genutzt hat, dann reichte sie aus, um seine E-Mail-Adressen ohne Namen zu aktualisieren. Solche zeitlich begrenzten Sonderangebote kennt man ja aus dem Marketing.
Atul Agarwal von Secfence Technologies, der die Schwachstelle veröffentlicht hat, schreibt selbst:
PS: I did not report this, as I am unsure on what to call it, a “bug”, “vuln” or a “feature”.
Wer wissen will, mit welcher Software eine Webseite betrieben wird, der kann einen Blick in das generator-Tag des Seitenquelltexts werfen. Das sieht dann zum Beispiel so aus:
<meta name="generator" content="WordPress 3.0" />
Erstens kann das bewusst verfälscht worden sein und in vielen Fällen werden keine Subversionierungen angezeigt. Will man also wissen, ob eine Webseite für eine bestimmte Schwachstelle gepatcht wurde, oder nicht, muss man genauer nachforschen. Der BlindElephant WebApp Fingerprinter ist dazu da, die Version einer bekannten Webapplikation herauszufinden. In unserem Beispiel von oben wäre das die Blog-Software WordPress. BlindElephant kann aktuell die folgenden Produkte erkennen:
- WordPress (inklusive einiger Plugins)
- Drupal (inklusive einiger Plugins)
- Joomla
- MediaWiki
- MovableType
- phpBB
- PHP-Nuke
- Liferay
- Moodle
- osCommerce
- phpMyAdmin
- SPIP
Das in Python programmierte Tool vergleicht dazu vorhandene Dateien auf dem Server gegen Hash-Werte der verschiedenen Versionen. Diese Methode ist schnell, schont die Bandbreite und ist sehr flexibel einsetzbar. Um das Tool zu nutzen reicht es aus, den Tarball herunterzuladen und in einem beliebigen Verzeichnis zu entpacken. Eine Installation mit python setup.py install ist nur nötig, wenn man beabsichtigt das Tool als Library zu verwenden. Danach ist das Tool extrem einfach zu bedienen:
python BlindElephant.py http://example.com wordpress
Nach diesem Befehl rattert der blinde Elefant nun alle möglichen WordPress-Dateien auf dem Server durch und verbessert seinen Tipp, um welche Version es sich handelt. Am Ende kommt er zu einer Einschätzung:
Fingerprinting resulted in:
3.0
3.0-IIS
3.0-RC1
3.0-RC1-IIS
3.0-RC2
3.0-RC2-IIS
3.0-RC3
3.0-RC3-IIS
Best Guess: 3.0
Also insbesondere bei der Unterscheidung der Vorabversionen gibt es Schwierigkeiten, weil die Unterscheidungsmöglichkeiten am kleinsten sind. Die Trefferquote ist jedoch sehr hoch. Wer übrigens tatsächlich versucht example.com zu scannen, der bekommt die Fehlermeldung zu sehen, die BlindElephant zeigt, wenn man mit der Webseiten-Software daneben lag:
File produced no match. Error: Error code: 404 (Not Found)
(...)
Error: All versions ruled out!
Example.com wird also nicht mit WordPress betrieben! Für diese Erkenntnis hat sich das Tool doch schon gelohnt.
Was man mit dem Tool noch so alles anfangen kann, hat Qualys auf der letzten BlackHat in Las Vegas gezeigt und dazu Folien und ein Whitepaper veröffentlicht.
Im Internet wird ja so manche doofe Masche ausprobiert. Sunbelt berichtet jetzt sogar von Leuten, die via Twitter mit einem gecrackten Firefox 4.0 auf der Suche nach einem Doofen sind:
Wie sinnvoll ist das denn? Warum sollte man denn eine freie Software cracken? Das ist so sinnvoll wie Leuten Schlüssel fürs Fußballtor zu verkaufen, falls mal einer gucken will, wie es hinter der Linie aussieht.
Jedenfalls können sich die Leute, die Crazy4Firefox sind, mit dem Download eine ganze Reihe Krankheiten einfangen:
VirTool.Win32.Obfuscator.hg!b
FraudTool.Win32.FakeVimes
Trojan-Downloader.Win32.CodecPack.2GCash.Gen
Trojan.DNSChanger.Gen
Virus.Win32.Parite
TrojanDownloader-Win32/FakeRean
Es ist einfach nicht unfassbar, was die Redakteure der Computerbild nach Angaben der Welt herausgefunden haben. Das einzige, was unfassbar ist, dass es offenbar Leute gibt die anderes erwartet hatten: Wer seinen Rechner bei den Firmen Targa, Asus, Media Markt, Toshiba und PC-Feuerwehr abgibt muss nach dem Testergebnis der Computerbild damit rechnen, dass sich die Techniker private Dateien mindestens ansehen, in einigen Fällen sogar kopieren. Ich hätte darauf gewettet, das es so ist.
Allerdings ist es schon eine komische Vorstellung dass man unter Umständen dafür zahlen muss, dass jemand die eigenen Urlaubsfotos anschaut. Zu Familienfesten müssen das meine Verwandten immer ohne Bezahlung machen. Auch nicht schlecht: Vollständig funktionstüchtige Geräte wurden defekt zurückgeschickt. Die Reaktion der Firmen: Asus, Targa und Fujitsu reagierten mit Bedauern und betonten, dass es den Technikern durch strikte Arbeitsanweisung untersagt sei, auf Kundendaten zuzugreifen. Wenn es verboten war, dann ist das Ergebnis ja gar nicht so schlimm – ich hatte schon Angst.
By the way:
Es ist durch strickte Arbeitsanweisung untersagt eine meiner Websites zu hacken. So!
