Alex' blog - .it-security

IT-Forensik macht dick

nospam@example.com (Alex) — Sat, 18 Apr 2009 01:07:47 +0200

Klingt seltsam, ist aber so!

25C3

nospam@example.com (Alex) — Fri, 02 Jan 2009 02:36:26 +0100

Der 25. Chaos Communication Congress ist vorbei und es hat sich definitiv gelohnt dabei zu sein.

Weitere Infos zum Congress (Streams, Slides, etc.) gibt es hier.

TrueCrypt 6.1

nospam@example.com (Alex) — Sat, 01 Nov 2008 15:37:23 +0100

Seit gestern gibt es TrueCrypt in Version 6.1 zum Download.

In die neue Version sind viele verschiedene Änderungen eingeflossen:

Ability to encrypt a non-system partition without losing existing data on the partition. (Windows Vista/2008)

(Note: To encrypt a non-system partition in place, click 'Create Volume' > 'Encrypt a non-system partition' > 'Standard volume' > 'Select Device' > 'Encrypt partition in place' and then follow the instructions in the wizard. Please note that this is not supported on Windows XP/2000/2003 as these versions of Windows do not natively support shrinking of a filesystem (the filesystem needs to be shrinked to make space for the volume header and backup header).)

Support for security tokens and smart cards.

The TrueCrypt boot loader can be prevented from displaying any texts (by selecting Settings > System Encryption and enabling the option 'Do not show any texts in the pre-boot authentication screen').

The TrueCrypt boot loader can now display a custom message (select Settings > System Encryption and enter the message in the corresponding field) either without any other texts or along with the standard TrueCrypt boot loader texts.

Pre-boot authentication passwords can now be cached in the driver memory, which allows them to be used for mounting of non-system TrueCrypt volumes (select Settings > System Encryption and enable the option 'Cache pre-boot authentication password').

Linux and Mac OS X versions: The ability to mount a Windows system partition encrypted by TrueCrypt and to mount a partition located on a Windows system drive that is fully encrypted by a Windows version of TrueCrypt.

During the process of creation of a hidden operating system, TrueCrypt now securely erases the entire content of the partition where the original system resides after the hidden system has been created. The user is then prompted to install a new system on the partition and encrypt it using TrueCrypt (thus the decoy system is created).

Neue Hakin9-Ausgabe: Nr. 35 / 05-2008

nospam@example.com (Alex) — Fri, 22 Aug 2008 22:13:43 +0200

Ich bin mal wieder in der neusten Ausgabe als Autor vertreten. Dieses Mal mit dem kurzen Tool-Artikel "Dnsmap", welcher schon in der vorletzten Ausgabe für die letzte Ausgabe angekündigt war. An mir liegt diese Verspätung allerdings nicht !
Der in der letzten Ausgabe versprochene Tool-Artikel zu "Verinice", einem ISMS-Tool, fehlt. Dies liegt aber auch nicht an mir. Vermutlich kommt dieser Artikel in der nächsten Ausgabe Anfang November.

Die neue Ausgabe beinhaltet noch folgende weitere Artikel:

Angriffserkennung über Benutzerverhalten
Schwachstellen in Webanwendungen
Apache Basisschutz
IPv6 Superworm aka Teredo
Sprachstörungen - Netzwerke unter Beschuss
E-Mail-Sicherheit
Advanced Encryption Standard AES
Weiterbildung mittels Security-Zertifizierungen
Evolution der IT-Sicherheit
EVB-IT
Wenn der Kunde zum König wird

Beim Durchblättern ist mir bereits aufgefallen, dass Yannick von Arx, der Autor des Artikels "Weiterbildung mittels Security-Zertifizierungen", überhaupt nicht auf Zertifizierungen zum Auditor nach ISO 27001 respektive BSI-Grundschutz eingeht.
Eigentlich schade darum, aber Zertifizierungen dieser Art sind eher weniger etwas für einen selbst. Vielleicht ist das der Grund, weshalb er diese in seinem Artikel vernachlässigt hat.

IT-Security Consultant

nospam@example.com (Alex) — Wed, 30 Jul 2008 02:40:51 +0200

Da ich demnächst als IT-Security Consultant anfange zu arbeiten, wird mein Blog aller Wahrscheinlichkeit nach in nächster Zeit eher seltener neue Einträge spendiert bekommen.

Ich bitte deshalb meine Leser um Verständnis.

CAcert Assurer Challenge bestanden

nospam@example.com (Alex) — Fri, 18 Jul 2008 16:00:00 +0200

Nachdem ich mich endlich einmal um ein paar mehr Punkte bemüht habe, so dass ich die CAcert Assurer Challenge (irgendwie ein Witz ...) auch mal machen kann, ist mir vorhin eingefallen, dass ich diesen Test doch jetzt eigentlich mal machen könnte.

Nachdem ich ihn auch sofort bestanden habe, kann ich nun auch andere assure'n. Für das ((nicht-)elektronische) Zertifikat als PDF, was per E-Mail erfragt werden muss, war ich bislang allerdings zu faul.

TrueCrypt 6

nospam@example.com (Alex) — Sun, 06 Jul 2008 12:25:00 +0200

In letzter Zeit geht es bei den Entwicklern von TrueCrypt wohl etwas schneller voran als früher: vorgestern ist Version 6 mit diesen Neuerungen erschienen.

Benchmark: AMD Turion 64 X2 Mobile TL-56 1,80 Ghz

TrueCrypt ist vor allem schneller auf Multicore- bzw. Multi-CPU-Systemen geworden.

Update: Seit dem 8. Juli ist TrueCrypt 6.0a verfügbar, welches ein Bugfix-Release ist.

Neue Hakin9-Ausgabe: Nr. 34 / 04-2008

nospam@example.com (Alex) — Sat, 21 Jun 2008 16:23:00 +0200

Es ist mal wieder soweit: eine neue Ausgabe der Fachzeitschrift Hakin9 ist verfügbar. Im Moment allerdings nur für Abonnenten. Die Ausgabe am Kiosk kommt gegen Monatsende.

Ich bin (mal wieder) mit zwei Artikeln darin vertreten. Ein Artikel zu "Anti DNS-Pinning" und ein Tool-Artikel über "TrueCrypt".

Zu dem TrueCrypt-Tool-Artikel muss ich bereits jetzt schon etwas loswerden: er ist nicht mehr ganz aktuell.
Mein Artikel stammt noch aus der Zeit als Version 5.0 noch aktuell war. Mit dem Erscheinen von Version 5.1a haben sich ja noch ein paar Dinge (z.B. Hibernation Mode) geändert.
Das dieser Tool-Artikel erst so spät herauskommt, liegt aber nicht an mir. Wer sich über TrueCrypt und den Veränderungen von 5.0 zu 5.1a bei mir noch informieren möchte, dem lege ich folgenden Link ans Herz: http://www.bitsploit.de/plugin/tag/truecrypt

Die neue Ausgabe beinhaltet noch folgende weitere Artikel:

Kryptoanalyse mit C
Breaking Enterprise Security
Address Space Layout Randomization
ISO 27001
Unternehmen schützen mit IT-Grundschutz
IT-Sicherheit ritualisieren
Eine sichere PHP-Umgebung schaffen
Datenschutz - Chance statt Blockade
Löschen von Festplatten
Interview mit Professor Hartmut Pohl
Feuilleton "Digitale Hausdurchsuchung 2008"

(In der Ausgabe 35 werden auch wieder zwei Artikel von mir mit am Start sein: ein Tool-Artikel zum Programm "Dnsmap" und ein Artikel zu "HTTP Response Splitting".)

BackTrack 3 ist fertig

nospam@example.com (Alex) — Fri, 20 Jun 2008 14:21:00 +0200

Die Linux-Live-Distribution BackTrack 3 ist gestern in ihrer finalen Version 3.0 erschienen.

Maßgeschneiderte Downloads gibt es für CD (ca. 700 MB), USB-Stick (ca. 800 MB) und als VMware-Image (ca. 700 MB).

Update: Der "John the ripper"-Cluster ist kein Bestandteil der Distribution.

Aufgelaufener Blog-Spam nach 8 Monaten

nospam@example.com (Alex) — Fri, 06 Jun 2008 17:52:00 +0200

Vor acht Monaten habe ich die Spamprotokollierung erneut gestartet.

Seitdem sind 39546 Kommentare/Trackbacks als Spam eingestuft worden. False-Positives habe ich in dieser Zeit keine ausmachen können. Allerdings habe ich natürlich auch nicht alle knapp 40000 Einträge manuell daraufhin überprüft.

Diese Anzahl kann man letztendlich auf 3887 verschiedene Absender herunterbrechen. Als eine eindeutige Anzahl verseuchter Computer kann man dies allerdings nicht ansehen. Es mögen durchaus auch weit weniger sein, was sich im Nachhinein allerdings nicht mehr feststellen lässt. Dass die Absender zum größten Teil auch nicht die ursprünglichen Absender des Spams sind, sondern durch einen Bot-Master mit entsprechenden Aufträgen versorgt werden o.ä., dürfte ebenfalls klar sein.

Letztendlich ergibt sich folgende (grobe) geografische Auswertung - 57 Absender konnten dabei nicht auf einen (groben) Standort bestimmt werden:

1 BARBADOS (nicht in der Grafik)
1 BERMUDA (nicht in der Grafik)
1 CYPRUS (nicht in der Grafik)
1 ESTONIA (nicht in der Grafik)
1 GRENADA (nicht in der Grafik)
1 JAMAICA (nicht in der Grafik)
1 KENYA (nicht in der Grafik)
1 KYRGYZSTAN (nicht in der Grafik)
1 LEBANON (nicht in der Grafik)
1 MALDIVES (nicht in der Grafik)
1 MAYOTTE (nicht in der Grafik)
1 MONGOLIA (nicht in der Grafik)
1 NEW CALEDONIA (nicht in der Grafik)
1 PARAGUAY (nicht in der Grafik)
1 PUERTO RICO (nicht in der Grafik)
1 SRI LANKA (nicht in der Grafik)
1 SYRIAN ARAB REPUBLIC (nicht in der Grafik)
1 THE FORMER YUGOSLAV REPUBLIC OF MACEDONIA (nicht in der Grafik)
1 UZBEKISTAN (nicht in der Grafik)
2 AZERBAIJAN (nicht in der Grafik)
2 CROATIA (nicht in der Grafik)
2 DOMINICAN REPUBLIC (nicht in der Grafik)
2 EL SALVADOR (nicht in der Grafik)
2 GEORGIA (nicht in der Grafik)
2 OMAN (nicht in der Grafik)
2 TURKMENISTAN (nicht in der Grafik)
2 YEMEN (nicht in der Grafik)
3 FINLAND (nicht in der Grafik)
3 GUATEMALA (nicht in der Grafik)
3 NICARAGUA (nicht in der Grafik)
3 QATAR (nicht in der Grafik)
4 BAHRAIN (nicht in der Grafik)
4 COSTA RICA (nicht in der Grafik)
4 ECUADOR (nicht in der Grafik)
4 ISLAMIC REPUBLIC OF IRAN (nicht in der Grafik)
4 KUWAIT (nicht in der Grafik)
4 NEW ZEALAND (nicht in der Grafik)
4 PORTUGAL (nicht in der Grafik)
4 SINGAPORE (nicht in der Grafik)
4 SLOVAKIA (nicht in der Grafik)
5 BOSNIA AND HERZEGOVINA (nicht in der Grafik)
5 HONG KONG (nicht in der Grafik)
5 KAZAKHSTAN (nicht in der Grafik)
5 SAUDI ARABIA (nicht in der Grafik)
6 SWEDEN (nicht in der Grafik)
7 DENMARK (nicht in der Grafik)
7 IRELAND (nicht in der Grafik)
7 REPUBLIC OF MOLDOVA (nicht in der Grafik)
7 URUGUAY (nicht in der Grafik)
8 JORDAN (nicht in der Grafik)
8 PAKISTAN (nicht in der Grafik)
8 PANAMA (nicht in der Grafik)
9 BELARUS (nicht in der Grafik)
10 LATVIA (nicht in der Grafik)
11 SERBIA AND MONTENEGRO (nicht in der Grafik)
12 SLOVENIA (nicht in der Grafik)
13 CZECH REPUBLIC (nicht in der Grafik)
13 GREECE (nicht in der Grafik)
14 AUSTRIA (nicht in der Grafik)
14 INDONESIA (nicht in der Grafik)
14 NORWAY (nicht in der Grafik)
14 SWITZERLAND (nicht in der Grafik)
14 VIET NAM (nicht in der Grafik)
15 CHILE (nicht in der Grafik)
15 PERU (nicht in der Grafik)
15 UNITED ARAB EMIRATES (nicht in der Grafik)
16 BELGIUM (nicht in der Grafik)
16 REPUBLIC OF KOREA (nicht in der Grafik)
16 THAILAND (nicht in der Grafik)
18 LITHUANIA (nicht in der Grafik)
18 TAIWAN (nicht in der Grafik)
19 VENEZUELA (nicht in der Grafik)
20 ISRAEL (nicht in der Grafik)
21 COLOMBIA (nicht in der Grafik)
27 MEXICO (nicht in der Grafik)
34 AUSTRALIA (1,03%)
35 BULGARIA (1,06%)
36 PHILIPPINES (1,09%)
37 MALAYSIA (1,12%)
38 NETHERLANDS (1,15%)
42 UKRAINE (1,27%)
43 ITALY (1,30%)
58 JAPAN (1,75%)
59 ARGENTINA (1,78%)
61 CANADA (1,84%)
63 CHINA (1,90%)
69 HUNGARY (2,08%)
92 ROMANIA (2,78%)
100 INDIA (3,02%)
102 UNITED KINGDOM (3,08%)
131 BRAZIL (3,95%)
134 FRANCE (4,04%)
179 SPAIN (5,40%)
220 RUSSIAN FEDERATION (6,64%)
305 GERMANY (9,20%)
370 TURKEY (11,61%)
417 POLAND (12,34%)
690 UNITED STATES (20,57%)
(3830 insgesamt)

Diese Verteilung hätte ich allerdings so nicht erwartet. Ich hätte viel mehr auf China und Hong Kong getippt, wenn es um hohes Spamaufkommen geht. Das die USA allerdings so weit vorne liegen, hatte ich (richtig) befürchtet. Das Deutschland und die Türkei ebenfalls so weit vorne liegen, verblüfft mich ehrlich gesagt doch etwas. Es gibt hier also noch viel nachzuholen. Wenn Deutschland bei der Fußball-EM 2008 genauso gut ist, wie mit der Fahrlässigkeit im Umgang mit dem Computer, dann könnte es, da die Amerikaner ja nicht mitspielen, gar auf einen dritten Platz reichen ...

Man könnte jetzt noch eine Abhängigkeit mit der geschätzten Gesamtanzahl von Internet-Computern pro Land hineinbringen, aber die Recherche ist mir dann doch etwas zu aufwändig.

(Die Programme, die für die Auswertung notwendig waren, habe ich im Übrigen selber geschrieben. Lässt sich innerhalb von ca. 10 Minuten erledigen. Es gibt dafür also keine Plugins - zumindest wären sie mir nicht bekannt.)

Neues Buch: Botnets - The Killer Web App

nospam@example.com (Alex) — Sun, 18 May 2008 15:40:00 +0200

Habe mir heute mal wieder ein neues Buch geleistet - eigentlich nur aus Studienzwecken. Ich glaube bei dem Titel "Botnets - The Kill Web App" braucht man nicht mehr viel zum Inhalt zu sagen. Hier musste aber auch die kostengünstigeren Version herhalten. Also als PDF-Datei.

Eigentlich lese ich viel lieber Bücher aus Papier als aus Nullen und Einsen, aber bei einem Preis von ca. 6,41 EUR für ein Buch konnte ich dann doch nicht widerstehen.

(Ich hoffe aber sehr, dass die Entwicklung der elektronischen Book-Reader weiter gut voranschreitet und hoffentlich irgendwann meine Bedürfnisse erfüllt. Dann würde ich mich sogar bereit erklären und nur noch digitale Werke kaufen und lesen, anstatt auf Papier zu setzen.)

~~Mein nächstes E-Book~~, was ich mir unabhängig von irgendwelchen Studiengeschichten zulegen werde, wird das ebenfalls mit ca. 15,47 EUR recht günstige Buch "XSS Exploits - Cross Site Scripting Attacks And Defense" sein.

Update: Es kommt doch immer anders als man denkt. Nachdem ich nun alle Bücher auf meiner Einkaufsliste mit den Beständen von Syngress verglichen habe, habe ich nun doch noch eine Menge Bücher entdeckt, die über Syngress veröffentlicht wurden. Da ich dabei viel sparen kann, werde ich dort in nächstes Zeit wohl noch öfters einkaufen. Verkneifen konnte ich es mir bei einem Preis von unter 5 EUR dann doch nicht und habe noch eben schnell auch noch das Buch "Phishing Exposed" gekauft.

Update 2: "Wireshark & Ethereal - Network Protocol Analyzer Toolkit" habe ich mir auch noch gekauft. Mal sehen, ob ich daraus noch etwas lernen kann ...

Neues Layout beim Hakin9 Magazin

nospam@example.com (Alex) — Sun, 27 Apr 2008 17:00:26 +0200

Seit gestern bin ich wieder im Besitz der neuesten Ausgabe des Hakin9 Magazins. Sofort fällt das neue Layout auf. Gefällt mir wesentlich besser als das alte.

Zudem bin ich mal wieder darin vertreten - dieses Mal allerdings nur mit einem Tool-Artikel.
(Für das falsche Bild bin ich allerdings nicht verantwortlich !)

Bis zum Jahresende dürfte ich eigentlich in jeder Ausgabe vertreten sein (normale Artikel und Tool-Artikel).

Der Versand der neuen Ausgaben hat sich seit den letzten Monaten nicht mehr verändert: er ist stets sehr pünktlich. Das war ein Punkt, den ich früher bemängeln musste.

Security Day an der Hochschule der Medien Stuttgart

nospam@example.com (Alex) — Fri, 25 Apr 2008 01:04:00 +0200

Letztes Mal konnte ich leider nicht persönlich beim Security Day der HdM Stuttgart teilnehmen, da ich zu spät davon erfuhr. Daher habe ich per Live-Stream teilgenommen. Übrigens: der Live-Stream ist jetzt noch immer verfügbar.

Dieses Mal könnte ich allerdings vorbeischauen, aber ich finde, dass sich dieses Mal die Themen nicht unbedingt lohnen, um damit über 200 km Weg zu rechtfertigen. Daher werde ich wieder den Live-Stream anschauen, welcher sich hier befindet. (Vielleicht bleibt der Live-Stream auch noch nach dem heutigen Security Day verfügbar.)

Update: Wieder einmal recht interessante Themen. Vor allem "Abuse Handling & Underground Economy", aber ich bin dennoch froh, dass es den Live-Stream gab und ich mir deshalb die Anfahrt sparen konnte.

Update 2: Der Live-Stream vom allerersten Security Day befindet sich hier.

Spamflut und Internal Server Error 500

nospam@example.com (Alex) — Sun, 20 Apr 2008 08:54:00 +0200

Vielleicht hat der ein oder andere Besucher gestern bzw. heute einen "Internal Server Error 500" auf meiner Webseite gesehen. Wie man sieht, ist dies jetzt wieder behoben.

Es hat aber einen kleinen Moment gedauert bis mir klar wurde, was auf einmal los ist.

Zuerst habe ich die Schuld schon auf irgendeine Änderung am Server geschoben gehabt. Es liegt aber nicht am Server, sondern an der Web-Applikation, obwohl daran niemand etwas verändert hat seit den letzten Tagen. Schlussendlich ist aber der Spam eigentlich schuld.

Was war passiert ?
Ich hatte zur Spambekämpfung bislang immer eine 24 Stunden andauernde IP-Sperre in der htaccess-Konfigurationsdatei drin, die von vom Weblog selbständig aktualisiert wird.

Eine neue Spamflut scheint nun aber herangerollt zu sein, die zur Folge hatte, dass in der Konfigurationsdatei nun hunderte von IPs für den Zugriff auf die Webseite gesperrt wurden. Irgendwann hat aber auch der Apache die Schnauze von solchen Komma-separierten IP-Adressen voll und erklärt die Konfigurationsdatei für ungültig, was letztendlich in einem "Internal Server Error 500" geendet hat.

Abhilfe: IP-Sperre deaktiviert und "Deny from"-Zeile gelöscht.

Da stellt sich mir aber noch folgende Frage: wie sieht es überhaupt mit der Speicherung von IP-Adressen zur Spambekämpfung aus ?
Das "Niederschreiben" der IP-Adresse in Logs ist ja nicht mehr erlaubt oder das Verbot befindet sich gerade in der Mache - AFAIK.

Kommentare zu dieser Thematik sind erwünscht !