Alex' blog (Artikel mit Tag it security)

IT-Forensik macht dick

nospam@example.com (Alex) — Sat, 18 Apr 2009 01:07:47 +0200

Klingt seltsam, ist aber so!

25C3

nospam@example.com (Alex) — Fri, 02 Jan 2009 02:36:26 +0100

Der 25. Chaos Communication Congress ist vorbei und es hat sich definitiv gelohnt dabei zu sein.

Weitere Infos zum Congress (Streams, Slides, etc.) gibt es hier.

TrueCrypt 6.1

nospam@example.com (Alex) — Sat, 01 Nov 2008 15:37:23 +0100

Seit gestern gibt es TrueCrypt in Version 6.1 zum Download.

In die neue Version sind viele verschiedene Änderungen eingeflossen:

Ability to encrypt a non-system partition without losing existing data on the partition. (Windows Vista/2008)

(Note: To encrypt a non-system partition in place, click 'Create Volume' > 'Encrypt a non-system partition' > 'Standard volume' > 'Select Device' > 'Encrypt partition in place' and then follow the instructions in the wizard. Please note that this is not supported on Windows XP/2000/2003 as these versions of Windows do not natively support shrinking of a filesystem (the filesystem needs to be shrinked to make space for the volume header and backup header).)

Support for security tokens and smart cards.

The TrueCrypt boot loader can be prevented from displaying any texts (by selecting Settings > System Encryption and enabling the option 'Do not show any texts in the pre-boot authentication screen').

The TrueCrypt boot loader can now display a custom message (select Settings > System Encryption and enter the message in the corresponding field) either without any other texts or along with the standard TrueCrypt boot loader texts.

Pre-boot authentication passwords can now be cached in the driver memory, which allows them to be used for mounting of non-system TrueCrypt volumes (select Settings > System Encryption and enable the option 'Cache pre-boot authentication password').

Linux and Mac OS X versions: The ability to mount a Windows system partition encrypted by TrueCrypt and to mount a partition located on a Windows system drive that is fully encrypted by a Windows version of TrueCrypt.

During the process of creation of a hidden operating system, TrueCrypt now securely erases the entire content of the partition where the original system resides after the hidden system has been created. The user is then prompted to install a new system on the partition and encrypt it using TrueCrypt (thus the decoy system is created).

Neue Hakin9-Ausgabe: Nr. 35 / 05-2008

nospam@example.com (Alex) — Fri, 22 Aug 2008 22:13:43 +0200

Ich bin mal wieder in der neusten Ausgabe als Autor vertreten. Dieses Mal mit dem kurzen Tool-Artikel "Dnsmap", welcher schon in der vorletzten Ausgabe für die letzte Ausgabe angekündigt war. An mir liegt diese Verspätung allerdings nicht !
Der in der letzten Ausgabe versprochene Tool-Artikel zu "Verinice", einem ISMS-Tool, fehlt. Dies liegt aber auch nicht an mir. Vermutlich kommt dieser Artikel in der nächsten Ausgabe Anfang November.

Die neue Ausgabe beinhaltet noch folgende weitere Artikel:

Angriffserkennung über Benutzerverhalten
Schwachstellen in Webanwendungen
Apache Basisschutz
IPv6 Superworm aka Teredo
Sprachstörungen - Netzwerke unter Beschuss
E-Mail-Sicherheit
Advanced Encryption Standard AES
Weiterbildung mittels Security-Zertifizierungen
Evolution der IT-Sicherheit
EVB-IT
Wenn der Kunde zum König wird

Beim Durchblättern ist mir bereits aufgefallen, dass Yannick von Arx, der Autor des Artikels "Weiterbildung mittels Security-Zertifizierungen", überhaupt nicht auf Zertifizierungen zum Auditor nach ISO 27001 respektive BSI-Grundschutz eingeht.
Eigentlich schade darum, aber Zertifizierungen dieser Art sind eher weniger etwas für einen selbst. Vielleicht ist das der Grund, weshalb er diese in seinem Artikel vernachlässigt hat.

CAcert Assurer Challenge bestanden

nospam@example.com (Alex) — Fri, 18 Jul 2008 16:00:00 +0200

Nachdem ich mich endlich einmal um ein paar mehr Punkte bemüht habe, so dass ich die CAcert Assurer Challenge (irgendwie ein Witz ...) auch mal machen kann, ist mir vorhin eingefallen, dass ich diesen Test doch jetzt eigentlich mal machen könnte.

Nachdem ich ihn auch sofort bestanden habe, kann ich nun auch andere assure'n. Für das ((nicht-)elektronische) Zertifikat als PDF, was per E-Mail erfragt werden muss, war ich bislang allerdings zu faul.

Neue Hakin9-Ausgabe: Nr. 34 / 04-2008

nospam@example.com (Alex) — Sat, 21 Jun 2008 16:23:00 +0200

Es ist mal wieder soweit: eine neue Ausgabe der Fachzeitschrift Hakin9 ist verfügbar. Im Moment allerdings nur für Abonnenten. Die Ausgabe am Kiosk kommt gegen Monatsende.

Ich bin (mal wieder) mit zwei Artikeln darin vertreten. Ein Artikel zu "Anti DNS-Pinning" und ein Tool-Artikel über "TrueCrypt".

Zu dem TrueCrypt-Tool-Artikel muss ich bereits jetzt schon etwas loswerden: er ist nicht mehr ganz aktuell.
Mein Artikel stammt noch aus der Zeit als Version 5.0 noch aktuell war. Mit dem Erscheinen von Version 5.1a haben sich ja noch ein paar Dinge (z.B. Hibernation Mode) geändert.
Das dieser Tool-Artikel erst so spät herauskommt, liegt aber nicht an mir. Wer sich über TrueCrypt und den Veränderungen von 5.0 zu 5.1a bei mir noch informieren möchte, dem lege ich folgenden Link ans Herz: http://www.bitsploit.de/plugin/tag/truecrypt

Die neue Ausgabe beinhaltet noch folgende weitere Artikel:

Kryptoanalyse mit C
Breaking Enterprise Security
Address Space Layout Randomization
ISO 27001
Unternehmen schützen mit IT-Grundschutz
IT-Sicherheit ritualisieren
Eine sichere PHP-Umgebung schaffen
Datenschutz - Chance statt Blockade
Löschen von Festplatten
Interview mit Professor Hartmut Pohl
Feuilleton "Digitale Hausdurchsuchung 2008"

(In der Ausgabe 35 werden auch wieder zwei Artikel von mir mit am Start sein: ein Tool-Artikel zum Programm "Dnsmap" und ein Artikel zu "HTTP Response Splitting".)

BackTrack 3 ist fertig

nospam@example.com (Alex) — Fri, 20 Jun 2008 14:21:00 +0200

Die Linux-Live-Distribution BackTrack 3 ist gestern in ihrer finalen Version 3.0 erschienen.

Maßgeschneiderte Downloads gibt es für CD (ca. 700 MB), USB-Stick (ca. 800 MB) und als VMware-Image (ca. 700 MB).

Update: Der "John the ripper"-Cluster ist kein Bestandteil der Distribution.

Neues Buch: Botnets - The Killer Web App

nospam@example.com (Alex) — Sun, 18 May 2008 15:40:00 +0200

Habe mir heute mal wieder ein neues Buch geleistet - eigentlich nur aus Studienzwecken. Ich glaube bei dem Titel "Botnets - The Kill Web App" braucht man nicht mehr viel zum Inhalt zu sagen. Hier musste aber auch die kostengünstigeren Version herhalten. Also als PDF-Datei.

Eigentlich lese ich viel lieber Bücher aus Papier als aus Nullen und Einsen, aber bei einem Preis von ca. 6,41 EUR für ein Buch konnte ich dann doch nicht widerstehen.

(Ich hoffe aber sehr, dass die Entwicklung der elektronischen Book-Reader weiter gut voranschreitet und hoffentlich irgendwann meine Bedürfnisse erfüllt. Dann würde ich mich sogar bereit erklären und nur noch digitale Werke kaufen und lesen, anstatt auf Papier zu setzen.)

~~Mein nächstes E-Book~~, was ich mir unabhängig von irgendwelchen Studiengeschichten zulegen werde, wird das ebenfalls mit ca. 15,47 EUR recht günstige Buch "XSS Exploits - Cross Site Scripting Attacks And Defense" sein.

Update: Es kommt doch immer anders als man denkt. Nachdem ich nun alle Bücher auf meiner Einkaufsliste mit den Beständen von Syngress verglichen habe, habe ich nun doch noch eine Menge Bücher entdeckt, die über Syngress veröffentlicht wurden. Da ich dabei viel sparen kann, werde ich dort in nächstes Zeit wohl noch öfters einkaufen. Verkneifen konnte ich es mir bei einem Preis von unter 5 EUR dann doch nicht und habe noch eben schnell auch noch das Buch "Phishing Exposed" gekauft.

Update 2: "Wireshark & Ethereal - Network Protocol Analyzer Toolkit" habe ich mir auch noch gekauft. Mal sehen, ob ich daraus noch etwas lernen kann ...

Neues Layout beim Hakin9 Magazin

nospam@example.com (Alex) — Sun, 27 Apr 2008 17:00:26 +0200

Seit gestern bin ich wieder im Besitz der neuesten Ausgabe des Hakin9 Magazins. Sofort fällt das neue Layout auf. Gefällt mir wesentlich besser als das alte.

Zudem bin ich mal wieder darin vertreten - dieses Mal allerdings nur mit einem Tool-Artikel.
(Für das falsche Bild bin ich allerdings nicht verantwortlich !)

Bis zum Jahresende dürfte ich eigentlich in jeder Ausgabe vertreten sein (normale Artikel und Tool-Artikel).

Der Versand der neuen Ausgaben hat sich seit den letzten Monaten nicht mehr verändert: er ist stets sehr pünktlich. Das war ein Punkt, den ich früher bemängeln musste.

Security Day an der Hochschule der Medien Stuttgart

nospam@example.com (Alex) — Fri, 25 Apr 2008 01:04:00 +0200

Letztes Mal konnte ich leider nicht persönlich beim Security Day der HdM Stuttgart teilnehmen, da ich zu spät davon erfuhr. Daher habe ich per Live-Stream teilgenommen. Übrigens: der Live-Stream ist jetzt noch immer verfügbar.

Dieses Mal könnte ich allerdings vorbeischauen, aber ich finde, dass sich dieses Mal die Themen nicht unbedingt lohnen, um damit über 200 km Weg zu rechtfertigen. Daher werde ich wieder den Live-Stream anschauen, welcher sich hier befindet. (Vielleicht bleibt der Live-Stream auch noch nach dem heutigen Security Day verfügbar.)

Update: Wieder einmal recht interessante Themen. Vor allem "Abuse Handling & Underground Economy", aber ich bin dennoch froh, dass es den Live-Stream gab und ich mir deshalb die Anfahrt sparen konnte.

Update 2: Der Live-Stream vom allerersten Security Day befindet sich hier.

Firefox 3.0 und CAcert-Probleme

nospam@example.com (Alex) — Sat, 22 Mar 2008 22:10:00 +0100

Ich habe mir vor einigen Tagen die neuste Vorab-Version von Firefox 3.0 angeschaut. Die Neuerung "ausführliche Zertifikatsfehlermeldungen" ist immer noch enthalten.

Das gibt, wie ich hier schon einmal erwähnt hatte, auf jeden Fall Probleme für Betreiber von Webseiten mittels CAcert-Zertifikat (oder einem self-signed Zertifikat).

Da der Nutzer nicht mehr zur Interaktion gezwungen wird, wie eins mit dem Dialogfeld, dessen Voreinstellung das temporäre Erlauben der Webseite gewesen wäre, werden sicherlich viele Nutzer die Webseite verlassen, bevor sie sie richtig aufgesucht haben.

Da CAcert als CA auch im Firefox 3.0 noch nicht dabei sein wird (abgesehen von einigen Linux-Distributionen, die CAcert als CA gleich dazupacken), werden meiner Ansicht nach viele Nutzer aus Sicht des Betreibers einer Webseite ausgesperrt werden. Andererseits ist es eine ausführliche Warnung natürlich besser für die Sicherheit.

Wenn ein Nutzer nun das Zertifikat akzeptieren will (egal ob temporär oder permanent), so durchläuft er folgende Screenshot-Abfolge:

Schritt 1:

Schritt 2:

Schritt 3:

Schritt 4:

Anzahl nötiger Klicks bei permanenter Annahme des Zertifikats: 4
Anzahl nötiger Klicks bei temporärer Annahme des Zertifikats: 5

Zudem hat sich die Voreinstellung für die Annahme des Zertifikats unbekannter CAs geändert: die neue Voreinstellung ist "permanent". Nicht mehr "temporär".

TrueCrypt 5.1

nospam@example.com (Alex) — Tue, 11 Mar 2008 14:21:02 +0100

Seit dem 10. März steht TrueCrypt in Version 5.1 zum Download bereit.

Mit der neusten Version funktioniert der Ruhezustand unter Windows sogar bei einer komplett verschlüsselten Systempartition.
Zudem ist die Steuerung per Kommandozeile bei der Linux-Version wieder zurückgekommen. Der Verschlüsselungsalgorithmus AES wurde von der Performance her deutlich verbessert. Mit Version 5.1 lassen sich nun auch verschlüsselte Systempartitionen als Volume mounten. Desweiteren sind noch einige weitere Neuerungen hinzugekommen, die man hier genauer nachlesen kann.

Ein großes Lob an die Entwickler !

Lokale IP-Adresse im E-Mail Header von Mozilla Thunderbird entfernen

nospam@example.com (Alex) — Thu, 21 Feb 2008 22:23:00 +0100

Wenn Mozilla Thunderbird keinen FQDN des verwendeten PCs feststellen kann, so wird hierfür die IP-Adresse der ans WAN angebundenen NIC verwendet. Diese Adresse erscheint dann im Header einer jeden E-Mail.
Wenn man nun hinter einem Router mit NAT sitzt, so wird die lokale IP-Adresse der Außenwelt verraten.
Mit dieser Kenntnis lassen sich gezieltere Angriffe auf ein Intranet durchführen.

Damit man diese Unart von Thunderbird abstellen kann, bedarf es nur eines neuen Eintrages in der Konfiguration, welche man unter "Konfiguration bearbeiten..." (für Kenner: about:config) über "Extras" => "Einstellungen" => "Erweitert" => "Allgemein" erreichen kann.

Hier legt man einen neuen String mit dem Namen "mail.smtpserver.default.hello_argument" an. Der Wert des Strings kann dann eine (quasi) beliebige IP-Adresse sein. Ich bevorzuge hier die IP-Adresse 127.0.0.1, da sie eigentlich von allen Mail-Servern als gültig angesehen werden dürfte. Da 127.0.0.1 die IP-Adresse des lokalen Loopback-Interfaces ist, verrät man hiermit definitiv kein Geheimnis.

Truecrypt 5.0a

nospam@example.com (Alex) — Wed, 13 Feb 2008 20:27:00 +0100

Gut eine Woche später steht bereits das erste Bugfix-Release für Truecrypt 5 bereit: 5.0a.
Ein Update ist empfehlenswert, aber aus sicherheitstechnischer Sicht nicht zwingend nötig.

Mein alter Beitrag zu Truecrypt 5.0.

Update: Der allerneusten Timeline ist zu entnehmen, dass eine Unterstützung des Ruhezustands unter Microsoft Windows geplant ist.