Auflistung aller Beiträge aus der Kategorie

Verteidigung

ψ² = Ps(i)²

WebApp Fingerprinting mit BlindElephant

Wer wissen will, mit welcher Software eine Webseite betrieben wird, der kann einen Blick in das generator-Tag des Seitenquelltexts werfen. Das sieht dann zum Beispiel so aus:

<meta name="generator" content="WordPress 3.0" />

Erstens kann das bewusst verfälscht worden sein und in vielen Fällen werden keine Subversionierungen angezeigt. Will man also wissen, ob eine Webseite für eine bestimmte Schwachstelle gepatcht wurde, oder nicht, muss man genauer nachforschen. Der BlindElephant WebApp Fingerprinter ist dazu da, die Version einer bekannten Webapplikation herauszufinden. In unserem Beispiel von oben wäre das die Blog-Software WordPress. BlindElephant kann aktuell die folgenden Produkte erkennen:

  • WordPress (inklusive einiger Plugins)
  • Drupal (inklusive einiger Plugins)
  • Joomla
  • MediaWiki
  • MovableType
  • phpBB
  • PHP-Nuke
  • Liferay
  • Moodle
  • osCommerce
  • phpMyAdmin
  • SPIP

Das in Python programmierte Tool vergleicht dazu vorhandene Dateien auf dem Server gegen Hash-Werte der verschiedenen Versionen. Diese Methode ist schnell, schont die Bandbreite und ist sehr flexibel einsetzbar. Um das Tool zu nutzen reicht es aus, den Tarball herunterzuladen und in einem beliebigen Verzeichnis zu entpacken. Eine Installation mit python setup.py install ist nur nötig, wenn man beabsichtigt das Tool als Library zu verwenden. Danach ist das Tool extrem einfach zu bedienen:

python BlindElephant.py http://example.com wordpress

Nach diesem Befehl rattert der blinde Elefant nun alle möglichen WordPress-Dateien auf dem Server durch und verbessert seinen Tipp, um welche Version es sich handelt. Am Ende kommt er zu einer Einschätzung:

Fingerprinting resulted in:
3.0
3.0-IIS
3.0-RC1
3.0-RC1-IIS
3.0-RC2
3.0-RC2-IIS
3.0-RC3
3.0-RC3-IIS
Best Guess: 3.0

Also insbesondere bei der Unterscheidung der Vorabversionen gibt es Schwierigkeiten, weil die Unterscheidungsmöglichkeiten am kleinsten sind. Die Trefferquote ist jedoch sehr hoch. Wer übrigens tatsächlich versucht example.com zu scannen, der bekommt die Fehlermeldung zu sehen, die BlindElephant zeigt, wenn man mit der Webseiten-Software daneben lag:

File produced no match. Error: Error code: 404 (Not Found)
(...)
Error: All versions ruled out!

Example.com wird also nicht mit WordPress betrieben! Für diese Erkenntnis hat sich das Tool doch schon gelohnt.

Was man mit dem Tool noch so alles anfangen kann, hat Qualys auf der letzten BlackHat in Las Vegas gezeigt und dazu Folien und ein Whitepaper veröffentlicht.

Lesen Sie mehr →
ψ² = Ps(i)²

In 6 Schritten zu einer gehärteten WordPress

Wer mit WordPress seine Webseiten gestalten will kommt schnell zu Erfolgserlebnissen. WordPress ist einfach zu bedienen und fast genauso einfach zu installieren. Wenn man jedoch etwas mehr Sicherheit wünscht, ist Handarbeit gefragt. Dabei einen Fehler zu machen, könnten an manchen Stellen ziemlichen Ärger bedeuten – also sorgfältig arbeiten und sorgfältig überlegen, ob ich in meiner Anleitung nicht irgendetwas vergessen oder falsch beschrieben habe!

  1. Daten sichern
  2. Konfigurationsdatei “wp-config.php” absichern
  3. Benutzerverwaltung absichern
  4. Admin-Konto absichern
  5. Anmeldung via SSL
  6. Tabellenpräfix “wp_” ändern (nur für Bastler)

Mit diesen 6 Schritten können Sie Ihre WordPress ein ganzes Stück sicherer machen. Wir gehen nun im Detail auf die Punkte ein und am Ende finden Sie noch einen Hinweis dazu, wie Sie die WordPress während dieser Arbeiten in einen Wartungsmodus versetzen können. Wir beginnen mit der Datensicherung:

Lesen Sie mehr →
ψ² = Ps(i)²

DEFCON: IPv6 ist ein “Sicherheits-Alptraum”

The Register berichtete am Freitag von Sam Bowne, der sagt, dass IPv6 ein Sicherheits-Alptraum sei. Zum großen Teil liege das daran, dass IT-Profis sich bisher nicht ausreichend mit dem Thema befasst hätten. Die Folien seines Vortrags und weitere Materialien findet man auf seiner Webseite.

Lesen Sie mehr →
ψ² = Ps(i)²

Die Blackberry Crux

Eigentlich hat die Welt nur auf ein Fallbeispiel gewartet das zeigt, dass die Sicherheit eines Produkts zu Lasten des Herstellers geht. Der Libanon, die Arabische Emirate, Indien und Saudi-Arabien wollen den Blackberry-Hersteller RIM nun zwingen, alle verschlüsselten Anwendungen zu stoppen, um den Regierungen Einblicke in die Kommunikation der Blackberry-Kunden zu geben. Hat sich RIM also mit der (vermeintlichen) Sicherheit seines Produkts selbst ein Bein gestellt? Das ist zumindest die Meinung der WELT:

Blackberry-Kaufargument wird zum Boomerang:
Blackberry-Handys sollen besonders abhörsicher sein. Doch das stört viele Regierungen – und kommt Hersteller RIM nun teuer zu stehen.

Weniger Marktanteile wegen der hohen Sicherheit? Ganz so klar scheint der Fall jedoch nicht zu sein. Die FAZ schließt ihren Artikel zum Thema mit den Worten:

Sollte das Sicherheitsargument wegfallen, könnte RIM weitere Marktanteile verlieren.

Weniger Marktanteile also wegen der weggefallenen Sicherheit? So wie es aussieht kann RIM ja nur verlieren.

Die Bundesregierung hatte sich bereits vor dem ganzen Ärger mit den Regierungen gegen die Nutzung von Blackberry-Geräten entschieden – wegen Sicherheitsbedenken. Also sind die Blackberrys gar nie sicher gewesen? Sind die Regierungen vom Libanon, den Arabischen Emiraten, Indien und Saudi-Arabien nur nicht in der Lage zu leisten, was unsere Geheimdienste bereits können. Irgendwie schwer vorstellbar?! Die FTD geht den Fall sachlicher an:

Blackberry-Streit wird zum Politikum:
Die spezielle Übertragungstechnik der Smartphones ist für den Hersteller RIM ein Problem.

Dem kann man sich anschließen. Die Crux an dem aktuellen Hype um die Sicherheit der Geräte ist nämlich, dass RIM nur verlieren kann. Mal sehen, was die Verhandlungen noch bringen…

Lesen Sie mehr →
ψ² = Ps(i)²

Wie Sie der Gefahr durch IMSI-Catcher entgehen

Auf der diesjährigen Defcon hat Chris Paget einen selbst gebauten IMSI-Catcher zum Belauschen von GSM-Netzen vorgestellt, dessen Wert bei etwa 1500€ liegt. Das System besteht aus einer programmierbaren Funkstation (USRP, Universal Software Radio Peripheral) und der Open-Source-Software OpenBTS. Damit ist es jetzt auch für Angreifer mit beschränktem Budget möglich, sich auf sehr einfache Art zwischen Mobilfunkanbieter und Handy zu setzen, um Telefonate abzuhören.

Nach Angaben von Heise sähe der GSM-Standard zwar vor, dass Handys bei unverschlüsselten Verbindungen eine Warnung anzeigen, die deutschen Netzbetreiber würden jedoch auf Nachfrage auch nach längerer Recherche nichts zu dieser Option zu sagen wissen.

Chris Paget gab an, dass die Netze in einigen Ländern nicht codiert werden dürfen. Wäre die Warn-Funktion dort aktiviert, würde bei jedem Wechsel der Funkzelle eine Meldung auf dem Display erscheinen. Jedenfalls für Deutschland ist das keine adäquate Erklärung. Ansonsten könne nur der konsequente Umstieg auf UMTS Schluss mit dem Lauschangriff machen, was Chris Paget aber in absehbarer Zeit für ausgeschlossen halte. Das sehe ich allerdings anders, weil das bei meinem Nokia N97 in zwei Sekunden möglich ist:

Menü - Einstellungen - Verbindungen - Netz - Netzmodus: UMTS

Damit meldet sich das Handy nicht mehr an GSM-Netzen an und nutzt ausschließlich UMTS Sendeanlagen. So hält man in jedem Fall neugierige Nachbarn und die Konkurrenz aus den Telefongesprächen raus, wenn diese in einen IMSI-Catcher investiert haben. Gerade in Großstädten – aber auch in vielen anderen Gegenden – ist das nicht einmal mit Einbußen beim Empfang verbunden.

Wenn Sie sich jedoch die Frage stellen, wie Sie Mitarbeiter und Führungskräfte dazu bringen sollen, zwei Sekunden in die Sicherheit ihrer Telefongespräche zu investieren, dann könnte es sein, dass es darauf keine Antwort gibt. Aber wer weiß…

Lesen Sie mehr →