Alex' blog (Artikel mit Tag firewall)

Freier Lesestoff für die Weihnachtstage

nospam@example.com (Alex) — Sun, 23 Dec 2007 17:41:01 +0100

Man muss für Bücher nicht immer Geld ausgeben und kann sie dennoch legal lesen. Und dazu bedarf es auch nicht immer einer Bibliothek, sondern schlichtweg nur eines Programms, welches PDF-Dateien lesen kann.

http://www.opensource-training.de/buecher_new.php
(IDS, VPN, IPS, Firewall, AppArmor, etc.)

Acer Notebooks in Gefahr durch ActiveX - Update

nospam@example.com (Alex) — Sat, 13 Jan 2007 14:00:00 +0100

Nachdem ich vor ein paar Tagen hier schrieb, dass ich die Veröffentlichung meines Exploits wahrscheinlich von der Reaktionszeit und der Informationspolitik von Acer abhängig machen werde, ist es nun Zeit ein Update dazu zu schreiben, da Acer nun einen Patch für das Problem bereitstellt. Jedoch finde ich deren Informationspolitik nicht überzeugend. Selbst die Update-Seite ist nicht sonderlich informativ ...

Acer Notebooks in Gefahr durch ActiveX

nospam@example.com (Alex) — Tue, 09 Jan 2007 15:45:02 +0100

Wie man beim Verlag Heise heute lesen konnte, ist das ActiveX-Control namens LunchApp.APlunch, welches sich auf mit Windows vorinstallierten Notebooks von Acer befindet, durch eine Schwachstelle anfällig. Das Control ist zwar als sicher für Scripting markiert, ist es aber leider nicht. Mittels Scripting lässt sich so das Control über jede Webseite missbrauchen, sofern der Internet Explorer 6 oder 7 eingesetzt wird. Version 6 gibt mit den Standardeinstellungen keinerlei Warnung aus. Der IE 7 jedoch einmalig. Entdeckt wurde die Schwachstelle von Tan Chew Keong bereits schon in November 2006.

Heise hat auch einen harmlosen Demo-Exploit dazu veröffentlicht.

Ich habe zwar kein Notebook von Acer und habe meinen Exploit auch nicht ausprobiert, aber ich war so frei und habe ihm folgende Dinge mit auf den Weg gegeben:

Sicherheitscenter unter Windows XP deaktivieren
Windows-Firewall deaktivieren
Automatische Updates deaktivieren
Erneuter Start dieser Dienste nach Reboot ebenfalls verhindern
Diverse Antivirus-Software am Update hindern
Diverse aktuell laufende Personal-Firewalls und Antivirus-Software abschiessen
Bot herunterladen und installieren

Dieser Exploit ist, wie man so schön sagt, noch nicht "released to the public" und ich habe es eigentlich auch nicht vor, da das ActiveX Control u.U. schon seit 1998 im Umlauf ist und somit viele Rechner kinderleicht angreifbar wären, aber vielleicht mache ich es auch noch abhängig von der Reaktionszeit von Acer und ihrer Informationspolitik.

Discountsurfer birgt Risiko

nospam@example.com (Alex) — Mon, 25 Sep 2006 01:50:15 +0200

Wer sich noch über eine analoge Modem-Verbindung ins Internet einwählt, der geniest nicht den üblichen geringfügigen Schutz einer SPI handelsüblicher Router. Wer allerdings dann Windows XP / 2000 mittels "win32sec.exe" (Dingens) abgeschottet hat von Hand von sämtlichen Netzverbindungen NetBIOS entfernt hat, der surft recht sicher im Netz, so dass er die in XP integrierte Firewall nicht bräuchte.

Wer allerdings den Discountsurfer von teltarif.de einsetzt, bekommt allerdings wieder Probleme mit der Sicherheit. Selbst wer NetBIOS von allen Discountsurfer-Verbindungen händisch entfernt und vielleicht zusätzlich noch versucht "Client für MS-Netzwerke" zu deaktivieren, der schafft dies zwar, aber nur bis zu einem Start des Discountsurfer. Sofort werden sämtliche gemachten Einstellungen überschrieben und die Ports 137, 138 und 139 wieder geöffnet. Schön, dass man davon nichts erfährt.
Wenigstens ist die "Datei- und Druckfreigabe" nicht aktiv.

Somit muss man letztendlich die Windows-eigene Firewall wieder aktivieren und auf alle Discountsurfer-Verbindungen festlegen. (Dies hindert die XP-Firewall allerdings auch nicht daran, für jede Verbindung sämtlichen ICMP-Verkehr auszufiltern, sofern die Firewall mit "ohne Ausnahmen" aktiviert wurde. Pro Verbindung lassen sich allerdings wieder Ausnahmen treffen, so dass einzelne ICMP-Typen wieder aktiv geschaltet werden können, jedoch werde diese Einstellungen nur beachtet, wenn die Firewall auch der Verbindung selbst zugewiesen wurde, was man ja eigentlich nicht will und auch andere Probleme wieder hervorruft.)

Nutzer des Discountersurfer seien also gewarnt ! Evtl. betrifft dies auch andere Least-Cost-Wählsoftware.

Windows Vista unter die Haube geschaut

nospam@example.com (Alex) — Mon, 24 Apr 2006 02:22:00 +0200

Heute hab ich etwas Zeit gefunden um woanders MS Windows Vista (CTP von Februar) einmal anschauen zu dürfen. Sogar ohne VM und somit auch wesentlich schneller.

Der Test-PC war mit einer 2,53 Ghz schnellen Intel P4-CPU, 768 MB RAM, 30 GB HDD und einer Geforce 4200 TI (64 MB) ausgestattet, um mal ein paar Kerndaten zu nennen.

Die Installation dauerte mit knapp 40-50 Minuten wie erwartet wesentlich länger als die von Windows XP. Viele Info-Screens sieht man bislang noch nicht, die die neuen Funktionen anpreisen. Aber das ist ja auch nicht wirklich verwunderlich.

Nachdem dann die Ultimate Edition (32-Bit Version), die beste Version des XP-Nachfolgers, installiert war, präsentierte sich mir nur die "AERO Basic" bzw. "AERO to go" bzw. "AERO Express" Oberfläche (wie sie nun auch immer heißt), da die Grafikkartentreiber unzureichend für die Darstellung der vollen "Pracht" (AERO Glass) sind. Auf der Nvidia-Webseite gibt es zwar angepaßte Treiber an die 32- und 64-Bit Version von Vista, aber jedoch nicht für die verbaute Karte.

Die neue Oberfläche, auch wenn sie für mich noch nicht mit Transparenz, etc. aufwartete, ist ziemlich bunt. Bunter als alles von Windows bisher gekannte. Wie allerdings zu erwarten war. Sie hat wirklich sehr starke Anlehnungen an das Design von Mac OS X.

Am Anfang wirkt es zwar etwas heftig, aber irgendwie kommt man nach ein paar Stunden umschauen doch erstaunlich gut damit zurecht. Einige Features, die ich schon in meinem letzten Eintrag erwähnt hatte, konnte ich bereits ausprobieren. Andere noch nicht, wie z.B. natürlich das WinFS. Jedoch habe ich beim Verfassen des letzten Eintrags auch eine wichtige große Änderung übersehen: BitLocker. Dies ist ein Programm zur Verschlüsselung der Festplatte (inkl. Systempartition).

Da die Betas bisher nur in englischer Sprache vorliegen, war es auch nicht verwunderlich, dass die Gimicks wie Text-to-Speech ebenfalls nur mit englischen Texten zurecht kommen. Das dafür dann relativ unschön so wie man es eben von XP ebenfalls gewohnt ist, wobei die Sprache jetzt statt männlich weiblich ist - bzw. sein soll.

Im Gegensatz zur Sprachausgabe funktioniert die integrierte Spracheingabe namens Speech Recognition erstaunlich problemlos. Amerikanisches Englisch (AE) ist zumindest eine sprachliche Voraussetzung, wenn es gelingen soll. So etwas sollte in den späteren Version von stimmlichen Muster her allerdings auch lokalisiert werden, da sonst wirklich gar nichts dabei herauskommt. Die Sprachsteuerung von Windows Vista ist nahe perfekt. Beim Diktat jedoch gibt es noch ein paar Hürden zu nehmen. Einlernen muss man das System nicht wirklich. Mit einem kleinen Tutorial, dass den Benutzer auf die Funktionsvielfalt und die Kommandos hinweißt und beibringt, kommt man allerdings nicht wirklich vorbei. Es ist zwar kein Muss, aber es ist sehr zu empfehlen. Zudem lernt das System so auch ein wenig das stimmliche Muster kennen.
Die Sprachsteuerung hat mich soweit wirklich überzeugt. Das ist echt mal gute Arbeit gewesen !

Um Vista etwas mehr komplett zu machen, habe ich mir dort ebenfalls die Beta-Version von der MSH (Codename: Monad) installiert, die ursprünglich auch mit Vista ausgeliefert hätte werden sollen. Ausprobiert unter Vista habe ich sie allerdings noch nicht. Das kommt aber sicherlich in den nächsten Tagen.

BitLocker konnte ich ebenfalls noch nicht ausprobieren, da dies wohl in der CTP von Februar noch nicht funktioniert. BitLocker soll es bislang nicht für Windows XP geben. Stelle ich mich auch recht schwer vor, wenn es nachträglich integriert werden soll.

Die Systemsteuerung ist recht überfüllt. Viele Programme, die es früher einzeln gab als Systemprogramme befinden sich nun (auch) in der Systemsteuerung bzw. einige Funktionen, die früher zusammengefaßt waren mit anderen, sind jetzt einzeln vorhanden.

Wie es für eine Beta noch zu erwarten ist, gibt es einige Programmfehler, die ich jetzt unbeabsichtigter Weise schon erreichen konnte. Absichtliche einige zu erzeugen um das neue OS auf Sicherheitslücken hin zu untersuchen konnte ich bis jetzt noch nicht. Dazu war noch keine Zeit. Heute sollte der erste Überblick sein.

Nachdem dann auch ein paar Patches automatisch eingespielt wurden, lief endlich auch der Sound. Jedoch bricht er beim Herunterfahren die Melodie immer hart ab. Mit den Updates schlich sich dann zumindest bei dem eingesetzten PC ein Problem ein, welches zuvor nicht bestand (und sich momentan auch noch nicht auf den abgesicherten Modus auswirkt): beim Öffnen von Ordnern hängt das System einige Sekunden lang, was allerdings nur die Ordner-Fenster betrifft (somit auch der Windows Explorer).

Outlook Express heißt nun Windows Mail, aber dies dürfte schon einigen Lesern recht lange bekannt sein. Der Internet Explorer, der nun angeblich Windows Internet Explorer heißt (was mir allerdings noch nicht aufgefallen ist), ist auch in der Version 7.0 dabei und beherrscht jetzt nun tatsächlich u.a. Tabs.
Windows Collaboration soll wohl eine Art überarbeitetes Netmeeting sein. Ausprobiert habe ich das allerdings auch noch nicht.
Der Windows Media Player liegt ebenfalls in der neuen Version vor - der 11. Der Player soll im Juni als Standalone fertig werden und somit auch für Windows XP verfügbar sein.

Die Firewall wurde in Windows Vista ebenfalls im Funktionsumfang aufgestockt. Jetzt läßt sich ein- und ausgehender Netzwerkverkehr blockieren. Das Software-Firewalls generell nichts taugen gegen wirklich boshafte Software ist hinlänglich bekannt, sofern sie auf dem gleichen Windows-System installiert ist, das es zu schützen gilt.

Da wir gerade wieder beim Thema Sicherheit sind: die Installationsroutine bleibt sicherlich nicht so fad, öde und uninformativ wie sie zur Zeiten der Beta ist, aber dennoch könnten die dort gemachten Fehler zum wiederholten Male auch in das neue Windows übernommen werden. Damit meine ich speziell die Anlegung von Benutzerkonten. Genauer: es wird momentan nur wieder ein Konto (wissentlich) angelegt. Und dies hat Administrator-Rechte. Dies wird zwar bekannt gegeben und es wird darauf hin verwiesen, dass die Erstellung für normale Benutzerkonten später folgt, aber dem ist nicht so. Es folgt momentan noch nichts. Das gehört also bis zur Final korrigiert. Da das Administrator-Konto ebenfalls nur ein Passwort optional erhalten kann und bislang immer noch nicht Zwang ist, geht das erneut einen ganz falschen Weg.

Um jetzt einmal auf das in Klammern gesetzte Wort "wissentlich" zurückzukommen: es existiert ein weiteres Administrator-Konto. Jedoch sieht man dies, wie man es von XP Home gewöhnt ist, ebenfalls nicht bis man den Ordner "Dokumente und Einstellungen" (unter Vista: "Users") durchschaut oder in die lokalen Sicherheitsrichtlinie einen Blick wirft bzw. den PC im abgesicherten Modus hochfährt. Dieses Konto ist genauso wie bei XP Home ohne Passwort. Ob auch der Netzwerkzugriff genauso wie bei XP Home verwehrt wird, ist mir bislang noch nicht bekannt, da ich es noch nicht getestet habe. Das Konto gehört natürlich mit einem guten Passwort versehen und das bei der Installation erstellte Konto mit administrativen Rechten gehören die selbigen entzogen.

Die alte Anmeldung am System im Windows 2000-Style vermisse ich bislang noch. Bei XP konnte man entweder die alte Anmeldung erzwingen oder durch zweimaliges Drücken von STRG+ALT+ENTF zum Vorschein bringen. In Vista tut sich bislang in dieser Hinsicht gar nichts. Wenn man die lokale Sicherheitsrichtlinie zu Rate zieht, dann kann man die alte Anmeldung zwar nicht wieder vom Design her herstellen, was ab und zu ganz gut wäre um nicht (fast) alle Benutzernamen in die "Welt" zu posaunen, aber der Klammergriff kann wieder angewendet werden. Okay, das bringt natürlich nicht wirklich viel. Vielleicht hilft das Studieren der Hilfe um eine neue Tastenkombination dafür in Erfahrung zu bringen u.U. auch.

Der "at"-Befehl in der Eingabeaufforderung, den man für zeitgesteuerte Aufgaben verwenden kann und mit System-Rechten läuft (Administrator-Rechte zum Einrichten), läuft in der Beta irgendwie gar nicht, obwohl ich es extra mit Administrator-Rechten natürlich ausprobiert habe.

Das neue OS legt sich beim Verbrauch von RAM auch mächtig ins Zeug. 500 MB bekommt man ganz schnell aufgebraucht. Es ist also tatsächlich nicht verwunderlich warum die Installation bei weniger als 512 MB RAM gar nicht erst beginnt. Sinnvoll erscheint mir der Gebrauch des neuen OS bislang eher nur mit mehr als 1 GB RAM. Das dies von den generellen Hardware-Anforderungen (Speicherplatz auf HDD, RAM-Verbrauch und CPU-Leistung (obwohl die GPU nun einen großen Teil der Oberfläche berechnet, sofern man auf maximale Effekte setzt und nicht die klassische Oberfläche behalten möchte)) her recht unverschämt ist, steht meines Erachtens sicherlich nicht zur Frage.

Dies war jetzt mal etwas spät nachts über meine ersten Eindrücke über das kommende Windows Vista. Man beachte bitte immer noch, dass dies eine Beta-Version ist. Einige interessante Sachen konnte ich bereits sehen, andere wiederum die einem die Haare zu Berge stehen lassen als IT-Security engagierten Menschen. Mehr Information zu dieser Beta werden in den nächsten Tagen folgen - dann auch etwas geordneter als in diesem Beitrag.

Mein kleines Labor

nospam@example.com (Alex) — Sun, 16 Apr 2006 23:45:00 +0200

Ich dachte mir, dass ich mein kleines Hardware-Labor hier einmal vorstellen könnte.

Dieses benutze ich eigentlich ausschließlich für die Simulation von Hacking-Angriffen u.ä. Für Berechnungen in einem Cluster habe ich es noch nicht benutzt, werde aber sicherlich einmal interessehalber einen Linux-Cluster damit erstellen und ausprobieren. Das Hauptaugenmerk liegt allerdings wie erwähnt auf dem Einsatzzweck als Hack-Labor, jedoch teste ich auch ab und zu Software vor dem Einsatz in Produktivsystemen damit, wenn eine virtualisierte Lösung zuviel Resourcen woanders raubt.

Die aktuell dafür vorhandene Hardware ist relativ alt, aber für einen solchen Einsatzzweck dennoch prima einsetzbar. Die Anzahl der PCs beträgt genau eine Hand voll. Die schnellste CPU taktet mit einem Ghz vor sich hin und der Hauptspeicher überschreitet auch nie das Viertel GB RAM. Der verfügbare Speicher der einzelnen PC-Festplatten beträgt auch nie mehr als 20 GB. Angebunden sind die meisten PCs mit ein oder zwei 100 Mbit/s-Netzwerkkarten. Jedoch befinden sie sich alle an einem alten IBM-Hub, der sich nur mit 10 Mbit/s (Half-Duplex) verständigen kann. WLAN-Karten sind zum Teil auch vorhanden.

An vier der PCs hängt über einen KVM-Switch ein 15"-CRT-Monitor und die üblichen Eingabegeräte. Der fünfte PC hat sein eigenes "Set". Wenn das Labor von fünf PCs nicht ausreicht, dann läßt sich noch ein sechster PC (Laptop um genau zu sein) dazu holen. Dann ist aber das Limit erreicht. Ins Internet gehen die Geräte entweder direkt oder per Router - ganz je nach Aufbau der gerade notwendigen Netzwerktopologie zum Testen. Wenn notwendig läßt sich auch die ein oder andere VM noch aufsetzen, was aber auf Grund des geringen RAMs eher zu vermeiden gilt. Aber eigentlich fahre ich so ganz gut für meine Testumgebungen.

Die Betriebssysteme sind natürlich auch ganz unterschiedlich und wechseln natürlich recht häufig. Das geht von Linux über Unix bis OS/2 Warp. Ich habe zwar leider nicht jedes Betriebssystem zur Verfügung (wie z.B. Mac OS), aber ich arbeite daran. Letztendlich hängt es teilweise ja auch an der betagteren Hardware. Natürlich sind die Betriebssysteme auch in verschiedenen Patch-Stadien auf den PCs zu finden. Im Großen und Ganzen läßt sich auch mit betagter Hardware und einem langsamen Netzwerk sowas perfekt erarbeiten. Manchmal wünscht man sich allerdings einen zweiten Internet-Anschluß.

Durch die Vielzahl der PCs läßt sich so recht leicht eine "komplexere" Umgebung einrichten. Mehrere Server für verschiedene Einsatzgebiete, Firewall, Router, Bridges und zuletzt natürlich Client-PCs sowie Angreifer selbst.
Als Lerngewinn für IT-Security so wesentlich besser als ein Buch.