Auflistung aller Beiträge aus der Kategorie

Angriff

ψ² = Ps(i)²

BMI streitet Sicherheitsprobleme ab

Wie mir gerade von einem Teilnehmer der Veranstaltung Public IT-Security (PITS) berichtet wird bleibt das BMI bei der Darstellung, dass zum Missbrauch des ePA dessen Besitz notwendig sei. Andreas Reisen, Leiter des Referats “Pass- und Ausweiswesen, Identifizierungssysteme” im Bundesministerium des Innern, habe sich auf der Veranstaltung diesbezüglich geäußert.

Ich hatte am 03.10. hier im Blog auf die Pressemitteilung des Chaos Computer Clubs hingewiesen, in der sich das alles etwas anders anhört: Thorsten Schröder äußert dort den folgenden Wunsch:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”

Das hat ja dann offensichtlich nicht geklappt. Weiter heißt es in der Pressemitteilung des CCC:

“Das Bundesinnenministerium hat im Rahmen des Großprojektes die einfachen Basis-Lesegeräte erworben, die per Schadsoftware abgeschnüffelt werden können. Eine Million dieser Geräte sollen in einem “Starterkit” an Ausweisbesitzer vergeben werden. Den Betroffenen wird damit eine potentielle Sicherheitslücke untergejubelt. Auch sozial schwache “Kunden” des ePA sind besonders betroffen. Diese werden sich die sicherere Variante der Lesegeräte nur schwerlich leisten können und werden zudem über die potentiellen Risiken gar nicht aufgeklärt. (…)

Auch wenn die Marketing-Abteilungen der profitierenden Unternehmen sowohl in der Schweiz als auch in Deutschland unisono die Sicherheit der Identitätskarten betonen, so beweisen die nun gezeigten Angriffe, daß man nicht einmal im physikalischen Besitz der SuisseID oder des elektronischen Personalausweises sein muß, um Schindluder zu treiben. Die offensichtlich falschen Vertrauensbilder sollten nicht noch von Ministern weiterverbreitet werden.

Das Ministerium und seine nachgeordneten Behörden sehen das ePA-Projekt naturgemäß anders: “Der Spagat zwischen Datenschutz und Bedienungskomfort ist gelungen”, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) über den elektronischen Personalausweis in seinem aktuellen Jahresbericht.

“Was die da rauchen, hätten wir auch gern mal”, kommentierte CCC-Sprecher Engling.

Wenig hilfreich antwortete Amtssprecher Matthias Gärtner:

“dass in Gebäuden der Bundesverwaltung – und somit auch im BSI – Rauchverbot besteht, so dass wir dem (…) Wunsch des Chaos Computer Clubs nicht entsprechen können.”

Und bei Ausweisen der Bundesverwaltung besteht ein Missbrauchsverbot, möchte man hinzufügen. Innenminister de Maiziére stellte in der “Tagesschau” fest:

“Irgendwelche Hacker mögen immer irgendwas hacken können, aber die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.”

Das System kann gehackt werden, aber die Sicherheit des Systems steht außer Frage?!? De Maiziére streitet bar jeglicher Argumentationsgrundlage ab und das BSI hat noch Zeit für Witzchen. Als ich mir in Zürich den Vortrag von Max Moser und Thorsten Schröder angehört habe, fand ich das eigentlich nicht so lustig.

Lesen Sie mehr →
ψ² = Ps(i)²

Sicherheitsprobleme bei elektronischen Ausweisen

Weder bei SuisseID noch beim deutschen elektronischen Personalausweis wurden die Systeme bis zu Ende gedacht. Auf der security-zone in Zürich konnte ich mir den Vortrag von Max Moser und Thorsten Schröder selbst ansehen und mich von den Denkfehlern in den beiden Systemen überzeugen lassen. Es geht nicht in erster Linie um die Sicherheit der verwendeten Algorithmen oder der verwendeten Technik. Es ist der Prozess, der mit dem System abgebildet werden soll, der nur mäßig durchdacht ist. Das wundert mich nicht – machen Entwickler doch immer wieder den Fehler zu glauben, sie könnten mit Technik Sicherheitsprobleme lösen. Das Bruce Schneier Zitat ist ja eigentlich ein alter Hut:

“Wenn Sie denken, Technologie kann Ihre Sicherheitsprobleme lösen, dann verstehen Sie die Probleme nicht, und Sie verstehen die Technologie nicht.”

Gefühle 100 Mal wiederholte Max Moser gebetsmühlenartig, das es nicht um die Sicherheit der Technik ginge. Das Problem sei in erster Linie die fehlerhafte Annahme, dass verwendete Arbeitsplatz-Systeme sicher seien. Auch das keine große Neuigkeit.

Die CCC-Pressemitteilung zu den erheblichen Sicherheitsproblemen beider Systeme arbeitet das Thema ausführlich auf und liefert viele Hintergrundinformationen. CCC-Sprecher Dirk Engling kommentierte:

“Es geht hier nicht um theoretische Schwachstellen, es geht um praxisrelevantes systemisches Versagen.”

Auch Sicherheitsforscher Thorsten Schröder stellte klar:

“Wir wollen vor allem darauf hinwirken, daß die zum Teil absurde Augenwischerei der Verantwortlichen bezüglich der realen Risiken für den Benutzer ein Ende findet.”

Lesen Sie mehr →
ψ² = Ps(i)²

PDF-Analyse mit Didier Stevens

Eigentlich war das jetzt kostenlos erhältliche e-Book “Analyzing Malicious PDF Files” als Kapitel für ein Buch geplant, dass jedoch vom Haupt-Autor abgebrochen wurde. Daher gibt es das e-Book jetzt als pdf-download. Ich wiederhole: PDF-DOWNLOAD.

Naja: es wird schon kein Trojaner oder so drin sein – und wenn doch, dann steht in dem pdf-File, wie man das herausfindet…

Lesen Sie mehr →
ψ² = Ps(i)²

Fehler auf Financial Times Deutschland

Wie der Security Consultant Marko Rogge berichtet, ermöglicht es ein Fehler bei ftd.de, kostenpflichtige Inhalte der Webseite kostenlos lesen zu können.Der betreffende Fehler tritt über die erfolgreiche Suche von Google auf, in dem man gezielt nach einem Artikel sucht. Beispiel wäre: “Fit in Schlips und Pumps”.

Anschließend findet sich bereits recht weit oben ein Artikel der Financial Times Deutschland, der genau diesen Titel hat. Die dort angezeigte URL zeigt die Inhalte für mobile Geräte an. Zudem muss man sich weder registieren noch muss man eine Zahlung dafür leisten. Schaut man sich nun den eigentlichen Artikel an, dann sieht man, dass dieser kostenpflichtig ist:

http://www.ftd.de/lifestyle/outofoffice/:buerosport-fit-in-schlips-und-pumps/339861.html

Um festzustellen, ob dies bei allen Artikeln so möglich ist, wirft man einen Blick in den Quellcode der Webseite und siehe da, die mobile, kostenlos lesbare Version wird bei allen Artikeln überliefert (fett):


try {
if (navigator.userAgent.search(/(...)/i) > -1) {
document.location.href='http://m.ftd.de/;special;svr=lifestyle/lifestyle/outofoffice/:buerosport-fit-in-schlips-und-pumps/339861.html?mode=simple';
}
} catch (e) {
}

Der Rest ist denkbar einfach, die mobile URL in den Browser kopieren und man umgeht die Registrierung sowie den Bereich kostenpflichtig auf Inhalte zugreifen zu können. Der Test ergab, dass dieser Umstand auf alle kostenpflichtigen Inhalte zutrifft.

Alternativ austauschbar für jede URL, anstelle www. zu Beginn durch ein m ersetzen und am Ende ?mode=simple eintragen.

Quelle:
Marko Rogge, 17.09.2010
“Fehler auf Financial Times Deutschland ermöglicht kostenloses lesen von kostenpflichtigen Inhalten.”

Lesen Sie mehr →
ψ² = Ps(i)²

DEF CON 18 Archiveseite ist online

Seit Freitag ist die Archivseite der DEF CON 18 online. Neben den Präsentationen und Whitepapers finden sich dort auch das Programm und viele andere Dateien als pdf-Datei zum Download. In den nächsten Tagen wird die Seite um weitere Dokumente und die ersten Videos ergänzt werden.

Lesen Sie mehr →
ψ² = Ps(i)²

Facebook verrät Klarnamen zu Mail-Adressen

Endlich rausfinden, wer kleinemaus@example.com ist. Endlich den echten Namen von dem Typ erfahren, der sich hinter willigersklave@example.com verbirgt – das war mit Facebook nun für kurze Zeit möglich. Ein echter Glücksgriff für Kriminelle, Geheimdienste und neugierige Nachbarn, die endlich ihre Datenbanken updaten konnten. Vor zehn Jahren hätte man dafür eine Ermittlungsabteilung mit 500 Mann gebraucht. Was war passiert?

Nachdem Facebook ja dauernd Sicherheitslücken hat (siehe Beiträge hier im Blog), kam jetzt eine neue dazu, die auch auf Dauer ein interessantes Feature hätte werden können. The Register berichtete von dem Vorfall. Die Zeit war also knapp. Wenn man jedoch dass ebenfalls veröffentlichte Skript genutzt hat, dann reichte sie aus, um seine E-Mail-Adressen ohne Namen zu aktualisieren. Solche zeitlich begrenzten Sonderangebote kennt man ja aus dem Marketing.

Atul Agarwal von Secfence Technologies, der die Schwachstelle veröffentlicht hat, schreibt selbst:

PS: I did not report this, as I am unsure on what to call it, a “bug”, “vuln” or a “feature”.

Lesen Sie mehr →
ψ² = Ps(i)²

WebApp Fingerprinting mit BlindElephant

Wer wissen will, mit welcher Software eine Webseite betrieben wird, der kann einen Blick in das generator-Tag des Seitenquelltexts werfen. Das sieht dann zum Beispiel so aus:

<meta name="generator" content="WordPress 3.0" />

Erstens kann das bewusst verfälscht worden sein und in vielen Fällen werden keine Subversionierungen angezeigt. Will man also wissen, ob eine Webseite für eine bestimmte Schwachstelle gepatcht wurde, oder nicht, muss man genauer nachforschen. Der BlindElephant WebApp Fingerprinter ist dazu da, die Version einer bekannten Webapplikation herauszufinden. In unserem Beispiel von oben wäre das die Blog-Software WordPress. BlindElephant kann aktuell die folgenden Produkte erkennen:

  • WordPress (inklusive einiger Plugins)
  • Drupal (inklusive einiger Plugins)
  • Joomla
  • MediaWiki
  • MovableType
  • phpBB
  • PHP-Nuke
  • Liferay
  • Moodle
  • osCommerce
  • phpMyAdmin
  • SPIP

Das in Python programmierte Tool vergleicht dazu vorhandene Dateien auf dem Server gegen Hash-Werte der verschiedenen Versionen. Diese Methode ist schnell, schont die Bandbreite und ist sehr flexibel einsetzbar. Um das Tool zu nutzen reicht es aus, den Tarball herunterzuladen und in einem beliebigen Verzeichnis zu entpacken. Eine Installation mit python setup.py install ist nur nötig, wenn man beabsichtigt das Tool als Library zu verwenden. Danach ist das Tool extrem einfach zu bedienen:

python BlindElephant.py http://example.com wordpress

Nach diesem Befehl rattert der blinde Elefant nun alle möglichen WordPress-Dateien auf dem Server durch und verbessert seinen Tipp, um welche Version es sich handelt. Am Ende kommt er zu einer Einschätzung:

Fingerprinting resulted in:
3.0
3.0-IIS
3.0-RC1
3.0-RC1-IIS
3.0-RC2
3.0-RC2-IIS
3.0-RC3
3.0-RC3-IIS
Best Guess: 3.0

Also insbesondere bei der Unterscheidung der Vorabversionen gibt es Schwierigkeiten, weil die Unterscheidungsmöglichkeiten am kleinsten sind. Die Trefferquote ist jedoch sehr hoch. Wer übrigens tatsächlich versucht example.com zu scannen, der bekommt die Fehlermeldung zu sehen, die BlindElephant zeigt, wenn man mit der Webseiten-Software daneben lag:

File produced no match. Error: Error code: 404 (Not Found)
(...)
Error: All versions ruled out!

Example.com wird also nicht mit WordPress betrieben! Für diese Erkenntnis hat sich das Tool doch schon gelohnt.

Was man mit dem Tool noch so alles anfangen kann, hat Qualys auf der letzten BlackHat in Las Vegas gezeigt und dazu Folien und ein Whitepaper veröffentlicht.

Lesen Sie mehr →
ψ² = Ps(i)²

Dümmer geht (n)immer?! Der Open Source Crack

Im Internet wird ja so manche doofe Masche ausprobiert. Sunbelt berichtet jetzt sogar von Leuten, die via Twitter mit einem gecrackten Firefox 4.0 auf der Suche nach einem Doofen sind:

Wie sinnvoll ist das denn? Warum sollte man denn eine freie Software cracken? Das ist so sinnvoll wie Leuten Schlüssel fürs Fußballtor zu verkaufen, falls mal einer gucken will, wie es hinter der Linie aussieht.

Jedenfalls können sich die Leute, die Crazy4Firefox sind, mit dem Download eine ganze Reihe Krankheiten einfangen:

VirTool.Win32.Obfuscator.hg!b
FraudTool.Win32.FakeVimes
Trojan-Downloader.Win32.CodecPack.2GCash.Gen
Trojan.DNSChanger.Gen
Virus.Win32.Parite
TrojanDownloader-Win32/FakeRean

Lesen Sie mehr →
ψ² = Ps(i)²

Einfach nicht unfassbar: Spionage statt Reparatur

Es ist einfach nicht unfassbar, was die Redakteure der Computerbild nach Angaben der Welt herausgefunden haben. Das einzige, was unfassbar ist, dass es offenbar Leute gibt die anderes erwartet hatten: Wer seinen Rechner bei den Firmen Targa, Asus, Media Markt, Toshiba und PC-Feuerwehr abgibt muss nach dem Testergebnis der Computerbild damit rechnen, dass sich die Techniker private Dateien mindestens ansehen, in einigen Fällen sogar kopieren. Ich hätte darauf gewettet, das es so ist.

Allerdings ist es schon eine komische Vorstellung dass man unter Umständen dafür zahlen muss, dass jemand die eigenen Urlaubsfotos anschaut. Zu Familienfesten müssen das meine Verwandten immer ohne Bezahlung machen. Auch nicht schlecht: Vollständig funktionstüchtige Geräte wurden defekt zurückgeschickt. Die Reaktion der Firmen: Asus, Targa und Fujitsu reagierten mit Bedauern und betonten, dass es den Technikern durch strikte Arbeitsanweisung untersagt sei, auf Kundendaten zuzugreifen. Wenn es verboten war, dann ist das Ergebnis ja gar nicht so schlimm – ich hatte schon Angst.

By the way:
Es ist durch strickte Arbeitsanweisung untersagt eine meiner Websites zu hacken. So!

Lesen Sie mehr →
ψ² = Ps(i)²

GoogleDiggity automatisiert Google-Hacking

Das Google Hacking Diggity Project hat den Scanner GoogleDiggity in der Version 0.1 veröffentlicht. Das Kommandozeilentool bringt 1623 Anfragen mit und liefert die Ergebnisse einer Suchanfrage als txt-Datei. Das Tool selbst behauptet zwar nicht mehr als 64 Suchanfragen am Stück abzuarbeiten, weil das gegen die Google-AGB verstoße, macht es dann aber offenbar trotzdem für alle 1623 Anfragen in einem Rutsch, was bei mir etwa 10 Minuten gedauert hat:

GoogleDiggity.exe -f "GHDB and FSDB - All.txt" -d example.com

Wenn die erstellte Datei output.txt am Ende so aussieht ist alles in Ordnung:

GoogleDiggity - http://www.stachliu.com
Started GoogleDiggity Scan: 02.08.2010 13:13:06
Command Line: GoogleDiggity.exe -f GHDB and FSDB - All.txt -d example.com
Main Category Secondary Category Search String Title Content URL (...)
-> Hier sollte besser nichts stehen!
Finished GoogleDiggity Scan: 02.08.2010 13:23:49

An der rot markierten Stelle im Listing sollte besser nichts stehen. In diesem Fall gilt: No news is good news! Ob die Suche überhaupt funktioniert hat, kann mit dem folgenden Befehl getestet werden (http://example.com/):

GoogleDiggity.exe -q "RFC 2606" -d example.com

Das Ergebnis sollte die folgenden Informationen enthalten:

Title: Example Web Page
Content: These domain names are reserved for use in documentation and are not available for registration. See <strong>RFC 2606</strong>, Section 3.
URL: http://www.example.com/
Google Cache URL: http://www.google.com/search?q=cache:oMLrRbSxI5MJ:www.example.com

Die Zeile mit dem Suchtreffer wird in der Spalte Content angezeigt.

Lesen Sie mehr →