Results for category "security"

Beiträge zum Thema Sicherheit (nicht nur IT-Sicherheit)

Gadget Test: Packet Squirrel

Hak5 (https://www.hak5.org/) ist nicht nur eine wöchentliche Show über Hacking und Spass mit elektronischen Geräten, sondern auch eine Bezugsquelle für verschiedenartige Gadgets. Wir benutzen einige dieser Gadgets bei Penetrationstests (wie z.B. die LAN Turtle oder den WiFi PineApple) und interessieren uns deshalb immer für Neuerscheinungen.

Eine dieser Neuerscheinungen ist nun der Packet Squirrel. Da im aktuellen Projekt gerade eine kurze Pause angesagt ist, habe ich endlich mal die Zeit mir das Teil näher anzuschauen.

Fangen wir erst mal mit zwei Bildern an, auf denen die einzelnen Anschlüsse, Schalter und Anzeigen erkennbar sind.

Das Gerät ist mit zwei Netzwerkanschlüssen ausgestattet, so dass es in eine bestehenden Verbindung eingesteckt werden kann. Dabei ist zu beachten, dass es sich nicht um Gigabit-Anschlüsse handelt und die Anschlüsse auch nicht PoE unterstützen. Hier muss man also gerade im Rahmen eines Pentests genau planen, wo man das Gerät anschliesst.

In diesem Bild wird schon deutlich (anhand des 1-EURO-Stücks) wie klein das Gerät ist. Wir sehen hier einen der Netwzerkanschlüsse, den Anschluss für einen USB 2.0 Stick, die LED Statusanzeige (programmierbar) sowie den Auswahlschalter. Man kann nämlich drei verschiedene Programme auf den Packer Squirrel laden und über den Schalter steuern, was genutzt werden soll. In der vierten Position ermöglicht der Schalter den Zugang per SSH auf das Gerät.

Hier sehen wir nun die andere Seite des Gerätes. Auch hier gibt es einen Netzwerkanschluss; zudem finden wir hier den Mini-USB-Anschluss für die Stromversorgung sowie (an der Seite) einen Knopf. Dieser Knopf kann im Programm abgefragt werden und ermöglicht so z.B. das saubere Schreiben auf den Stick, um das Gerät dann wieder entfernen zu können.

Der Packet Squirrel benötigt auf jeden Fall eine Stromversorgung. Allerdings soll er, aufgrund der geringen Leistungsaufnahme (0.12 A laut Webseite), mit einer entsprechenden Power Bank eine Woche lang auskommen.

Die Inbetriebnahme startet mit einem Firmware-Update. Dazu wird die aktuelle Firmware-Datei heruntergeladen und auf einen leeren USB Stick kopiert (nicht in ein Unterverzeichnis). Der Stick muss entweder mit NFTS oder Ext4 formatiert sein; dass gilt auch für alle weiteren Nutzungen. Ich hatte ein wenig Probleme mit einem NTFS-formatierten Stick und bin dann auf Ext4 umgestiegen. Woran es genau lag, habe ich nicht erforscht; vermutlich klappt es auch mit NTFS und ich habe irgendwo einen Fehler gemacht.

Kleiner Tipp: nach einem erfolgreichen Update sollte die Firmware-Datei wieder vom Stick gelöscht werden. Sonst dauert das nächste Starten unnötig lange 😉

Schauen wir uns nun den Packet Squirrel genauer an. Dazu steckt man ihn per Netzwerkkabel an einen PC an und versorgt ihn (z.B. über ein Smartphone-Ladegerät) mit Strom. er benötigt ca. 30 Sekunden zum Starten. Am Anfang ist die LED noch aus; nach einiger Zeit leuchtet sie dann je nach Schalterstellung. Und da tritt auch das erste Problem auf: prüft man vor dem Einstecken nicht die Schalterstellung, dann wird ggf. ein Payload geladen anstatt dass der SSH-Zugang aktiviert wird. Ist beim Draufschauen der Mini-USB-Anschluß links, dann wird der erste Payload geladen, sofern der Schalter ganz nach Links geschoben wurde. Wird der Schalter nach ganz Rechts geschoben, so wird der SSH-Zugang aktiviert. Hier hilft vielleicht ein Aufkleber auf dem Gerät 😉

Zu beachten ist ebenfalls, dass der Netzwerkanschluss auf der Seite des Mini-USB-Anschlusses für die Verbindung zum Zielgerät ist und der andere Anschluss zum Netzwerk geht.

Hat man nun alles richtig verkabelt und geschoben, kann man sich per SSH Client mit dem Packet Squirrel verbinden. Die IP des Squirrel ist 172.16.32.1; der PC bezieht eine IP aus dem Subnetz über den Squirrel. Man meldet sich als root mit dem Passwort hak5squirrel an.

Man landet nun im Verzeichnis /root/. Dort findet man, neben der Versionsdatei, das Verzeichnis payloads. Unterhalb von payloads befinden sich die Verzeichnisse switch1, switch2 und switch3. In diesen Verzeichnissen befindet sich nun das Skript, dass je nach Schalterstellung beim Booten geladen wird; ggf. befinden sich dort noch weitere Dateien.

Hier nun mal der Code für den ersten Payload; es geht um das Mitprotokollieren des Netzwerkverkehrs mit Hilfe von TCPDUMP:

#!/bin/bash
# TCPDump payload v1.0

function monitor_space() {
while true
do
[[ $(df | grep /mnt | awk '{print $4}') -lt 10000 ]] && {
kill $1
LED G SUCCESS
sync
break
}
sleep 5
done
}

function finish() {
# Kill TCPDump and sync filesystem
kill $1
wait $1
sync

# Indicate successful shutdown
LED R SUCCESS
sleep 1

# Halt the system
LED OFF
halt
}

function run() {
# Create loot directory
mkdir -p /mnt/loot/tcpdump &> /dev/null

# Set networking to TRANSPARENT mode and wait five seconds
NETMODE TRANSPARENT
sleep 5

# Start tcpdump on the bridge interface
tcpdump -i br-lan -w /mnt/loot/tcpdump/dump_$(date +%Y-%m-%d-%H%M%S).pcap &>/dev/null &
tpid=$!

# Wait for button to be pressed (disable button LED)
NO_LED=true BUTTON
finish $tpid
}

# This payload will only run if we have USB storage
[[ ! -f /mnt/NO_MOUNT ]] && {
LED ATTACK
run &
monitor_space $! &
} || {
LED FAIL
}

Wir sehen in dem Beispiel sehr schön einige Konzepte der Skripte. An mehreren Stellen wird die LED angesprochen und, je nach Zustand, leuchtet sie in anderen Farben. Das Skript läuft auch nur bei eingestecktem USB Stick,  da dort die PCAP-Datei abgespeichert wird. An einer Stelle wird auch geprüft, ob der Knopf gedrückt wurde. Im Großen und Ganzen also eine übersichtliche Skriptsprache. Aber der interessanteste Punkt ist, dass die aufgerufenen Tools schon vorinstalliert sind. Schauen wir mal in die Verzeichnisse /usr/bin und /usr/sbin:

Wir finden hier einige Tools (neben tcpdump), die den gespeicherten Netzwerkverkehr direkt analysieren können. Es stellt sich nun die Frage, was man mit den Tools anfangen kann. Neben der Möglichkeit selbst Skripte zu schreiben kann man auch auf die GitHub-Seite des Projektes gehen. Dort finden sich erste Beispiele für weitere Tools.

Verbleiben wir aber für einen kurzen Moment noch mal bei den mitgelieferten Payloads. Neben TCPDUMP gibt es noch einen Payload zum Spoofen von DNS-Antworten. Hierbei können DNS-Anfragen entweder komplett oder nur für einzelne Hosts falsch beantwortet werden. Dazu muss nur die Datei /root/payloads/switch2/spoofhost bearbeitet werden.

Will ich nun zum Beispiel alle Aufrufe der Seite https://schalke04.de/ umlenken auf die Seite https://www.bvb.de/, dann trage ich in die Datei die folgenden Zeile ein:

address=/schalke04.de/5.147.249.101

Hinter dem Beispiel verbirgt sich eine kleine Geschichte; aber ich schweife ab…

Der dritte Payload bietet die Möglichkeit entweder einen Remotezugang (SSH) zum Packet Squirrel einzurichten oder den PacketSquirrel als VPN-Client zu nutzen. In beiden Fällen benötigt man noch einen OpenVPN-Server.

Nun kommen wir zu den Payloads auf Github.

Neben einem Payload zum Versenden der gesammelten Daten per SCP gibt es noch eine Handvoll anderer Skripte. Hier ist jetzt wieder die Community gefragt noch weitere Beispiele zu erstellen. Ich habe mir zwei Payloads näher angeschaut:

  • nmapdump (unter payloads/library/recon)
  • ispyintel (unter payloads/library/sniffing)

nmapdump scannt automatisch das lokale Netz. Dabei erkennt das Skript selbsttätig das Subnetz; allerdings wird empfohlen, das Interface „lo“ im Skript durch ein anderes Interface zu ersetzen (ich habe es auf „br-lan“ geändert). Das Ganze hat aber einen kleinen Haken: im Ergebnis werden die Hosts mit ihrer IPv6-Adresse aufgelistet. Hier muss ich mich noch mal tiefer ins Skript vergraben. Ansonsten macht der Payload genau was er soll.

NMAP wird wie folgt im Skript aufgerufen:

# Finally! Lets run NMap!
# Use ipv4
if [ ! "$ipv6" ]; then
nmap -Pn -e $goodInterface -sS -F -sV -oA $lootPath/$lootFileNameScheme -D RND:$rndDecoyNumber --randomize-hosts --spoof-mac $spoofDevType

$targets >> $lootPath/log.txt
else
# Use ipv6
nmap -Pn -e $goodInterface -sT -F -R -oA $lootPath/$lootFileNameScheme --randomize-hosts --spoof-mac $spoofDevType -6 $ipv6 >>

$lootPath/log.txt
fi

ispyintel macht im ersten Schritt dasselbe wie tcpdump; es wird der Netzwerktraffic aufgezeichnet. Allerdings geht das Skript noch weiter: mit Hilfe weiterer Tools werden interessante Informationen direkt aus der PCAP-Datei gezogen. Theoretisch sollten die besuchten Webseiten (URLs), Passworte und Session IDs herausgetrennt werden; ferner sollen IPs und Mailadressen aus der PCAP-Datei gezogen werden. Hier hat mich ein erster Test noch nicht so ganz überzeugt. In weiteren Tests wäre zu klären, ob vielleicht zu viel Datenverkehr den Packet Squirrel überlastet. Da die Auswertung aber erst erfolgt, nachdem man den Knopf gedrückt hat (und somit man den Packet Squirrel eh wieder einsammeln will), kann man die Auswertung natürlich auch am heimischen PC machen.

Grundsätzlich gilt aber auch hier, dass ein USB Stick eingesteckt sein muss.

Der Stick hat aber noch einen Vorteil…

Legt man auf dem Stick ein Verzeichnis payloads an und erstellt darunter auch Verzeichnisse switch1, switch2 und switch3, so werden dort abgelegte Skripte anstelle der Skripte auf dem Packet Squirrel ausgeführt. Man kann sich also Sticks mit verschiedenen Payload-Sammluungen zusammenstellen.

Was wäre nun ein mögliches Angriffsszenario (natürlich nur im Rahmen eines beauftragten Pentests)? Man könnte den Packet Squirrel an einen Netzwerkdrucker anstecken, der Zugriff auf einen Verzeichnisdienst hat (z.B. Active Directory). Erfolgt der Zugriff dann über LDAP, so hat man schon mal ein erstes Benutzerkonto.

Der Packet Squirrel lässt sich natürlich auch dafür nutzen, den Nezwerkverkehr von Geräten zu überwachen, auf die man keinen Sniffer installieren kann/darf. Mir würden da spontan Smart TVs einfallen.

Be creative!

Zum Schluss noch die Frage nach dem Preis: bestellt man direkt bei Hak5, so liegt der Preis bei ca. 60 US-$. Bei Bestellungen in den USA muss man aber imemr mit höheren Versandkosten rechnen. Bestellt man nur einen Packet Squirrel und begnügt man sich mit US Postal Service (7-30 Werktage), dann kommt man auf 13 US-$. DHL Express läge bei 33.54 US-$ und von UPS rede ich lieber erst gar nicht…

Einige Hak5-Produkte werden auch über einen Shop in Irland vertrieben (https://edutech-hakshop.myshopify.com/); aber leider nicht der Packet Squirrel.

Aber ich habe dann doch noch einen Shop in Deutschland gefunden, der ihn anbietet: http://www.firewire-revolution.de/shop/index.php?route=product/category&path=318_326

Hier liegt man inklusive Versandkosten bei (aktuell) knapp 90,-€.

PS: nein, ich bekomme von keinem der Shops Provision.

Daten verstecken

Beim 31C3 gab es einen interessanten Vortrag darüber, was man so alles mit Dateien machen kann[1]; Dateien enthielten verschiedene Objekte, je nachdem womit man es öffnet.

Das brachte mich auf eine Idee, von der ich aber noch nicht weiß ob man sie verwirklichen kann. Aber ich wollte sie trotzdem mal niederschreiben…

Nehmen wir z.B. an, das ich in einem Bild ein anderes Bild verstecke. Das ist ja nichts Neues. Aber ferne würde ich auf meinem Computer eine modifizierte Version eines Programmes zum Öffnen von Bildern haben; das könnte z.B. GIMP. GIMP ist nun so modifiziert, dass ein Aktivieren eines selten genutzten Features eine alternative Routine zum Öffnen von Dateien aktiviert wird. Diese Routine führt dann nicht zur Anzeige des ursprünglichen Bildes, sondern des versteckten Bildes.

Das könnte man nun fortführen: in einer Tabelle verstecke ich Zahlen, die ich nicht öffentlich machen will. Zur Verschleierung füge ich jede Menge Zahlen hinzu, damit die Struktur der Daten verbergen will. Die alternative Routine zum Öffnen der Datei filtert nun die überflüssigen Daten aus.

Die wichtigste Frage ist nun: kann ich Daten so in anderen Daten verstecken, dass sie nicht entdeckt werden können? Bei einem Bild könnten die Daten ja zusätzlich noch verschlüsselt werden; bei Daten z.B. in einer Tabelle stelle ich mir das eher schwierig vor.

Über Kommentare würde ich mich freuen.

[1] https://www.youtube.com/watch?v=Ub5G_t-gUBc

TV-Tipp: Scorpion

Seit wenigen Wochen läuft Sonntags Abends um 22:15 Uhr die neue Serie „Scorpion“. Die Helden sind ein Computer-Genie mit Vergangenheit, ein Spezialist für Verhaltensanalyse mit einem leichten Spielproblem, ein Rechen-Genie mit fotografischem Gedächtnis und einigen Phobien , eine Hardware-Hackerin mit Wut-Problem, ein Special Agent (Robert Patrick aus „Terminator 2“) sowie eine Kellnerin mit hochbegabten Sohn, die als „Übersetzerin für soziale Kontakte“ fungiert. Das klingt nach „The Big Bang Theory“ im Action-Umfeld und was in den bisherigen drei Folgen als Lösung von Problemen präsentiert wird, ist stellenweise ziemlich abgedreht. Aber allein die Szene in der Pilotfolge, wo aus einem (sehr!) tieffliegenden Jumbo-Jet der Ko-Pilot ein Computerkabel aus dem ausgefahrenen Fahrwerk heraushängen lässt, damit aus dem drunter herfahrenden Sportwagen per Laptop die Software des Bordcomputers heruntergeladen werden kann, ist so bizarr, dass es schon wieder lustig ist. Wenn man die Geschichten nicht zu ernst nimmt, ist das Ganze gute Unterhaltung mit interessanten Charakteren.

Einfach mal reinschauen!

Kinokritik: Blackhat

Nachdem WHOAMI[1] im letzten Jahr ja schon gut vorgelegt hat, war ich gespannt wie ein aktueller US-amerikanischer Film das Thema „Hacking“ darstellt. Der Trailer deutete auf eine interessante Story hin, in dem Angriffe auf Industrieanlagen von einem böswilligen Angreifer durchgeführt werden. Dieser Angreifer schien keine der üblichen Motive wie Geld oder Rache zu haben.

Auf der Suche nach einem Kino waren wir dann aber schon erstaunt, dass der Film scheinbar nur noch in der Spätvorstellung läuft. Wir mussten unsere Suche bis nach Witten ausweiten, wo der Film dann auch um 20 Uhr gezeigt wurde. Der Kinosaal selber erinnerte dann aber mehr an ein gut ausgebautes Heimkino (mit dem Nachteil, dass die Untertitel schlecht lesbar waren).

Ich hatte vorher extra alle Kritiken ignoriert, um nicht zu viel von der Story zu erfahren. Mittlerweile weiss ich dank IMDB, dass der Film schon nach wenigen Wochen in den USA nur noch in ca. 240 Kinos gezeigt wird und dass auf einen Start in Australien angeblich komplett verzichtet wurde. Der Film soll Verluste in Höhe von 90 Mio. US-$ eingefahren haben.

Da stellt sich die Frage: ist er wirklich so schlecht? Ich weise vorsichtshalber darauf hin, dass für den Rest des Artikels gilt: SPOILER ALARM. Wer den Kinobesuch noch vor sich hat, für den gibt es jetzt ein kurzes Fazit: kein Hit, aber wir haben die Ausgabe auch nicht bereut.

.
.
.
.
.
.
.
.
.
.

Wie sieht nun die Story aus? Zeitgleich werden Steuercomputer in den USA und China angegriffen. Die Angriffe in den USA bleiben folgenlos, aber der Angriff in China führen zu einer Explosion in einem Nuklearreaktor. Ich fand hierbei die Eingangssequenz, in der wohl angedeutet werden sollte wie sich die Schadsoftware im Computer verbreitet, ganz gut gemacht.

Der Ermittler in China (dessen Schwester passenderweise auch eine Spezialistin in der IT ist) schlägt seinen Vorgesetzten eine Zusammenarbeit mit den US-Ermittlern vor. Als er entdeckt, dass der Schädling teilweise auf seinem eigenen alten Code und dem eines ehemaligen Kommilitonen beruht, holt er den inhaftierten Hacker hinzu (Auftritt Chris Hemsworth). Der fängt natürlich eine Affäre mit der Schwester seines Kumpels an, was übrigens meiner Frau nicht gefiel. Sie fragte mich nachher, warum eigentlich immer eine Romanze eingebaut werden muss; zudem fand sie, dass doch eher wenig gehackt wurde. Muss mein schlechter Einfluss sein…

Die Helden werden durch halb Asien gejagt, 9/11 wird auch kurz eingebaut und zum Schluss kommt es zum Showdown mit den Bösen, die dann doch nur am Geld interessiert sind.

Ach so, die NSA (und deren geheime Software) kommt auch noch drin vor.

Was mir zu dem Film einfällt:

  • es wird auch gehackt und man verzichtete auf übetrieben unrealistische Oberflächen. Eigentlich wurden hauptsächlich Konsolenzugriffe gezeigt.
  • manche regen sich über eine IP-Adresse auf, die in zwei Oktetten Zahlen größer als 255 enthielt. Hat mich nicht egstört, da ich ja auch an fiktive Telefonnummern gewöhnt bin
  • der Hacking-Anteil ist moderat und nimmt zum Ende hin deutlich ab
  • der Action-Anteil ist (gerade in der zweiten Hälfte) hoch
  • es stellt sich die Frage, ob ein hochrangiger Mitarbeiter der NSA wirklich einfach so ein PDF öffnen würde und ob es möglich wäre, darüber dort einen Keylogger zu installieren
  • würde die NSA wirklich einen Remotezugriff auf eine streng geheime Software zulassen? (aber die haben sich ja auch von einem kleinen Techniker den Fileserver lerrräumen lassen;-))
  • der Trailer verspricht eine etwas andere Story
  • der böse Hauptschurke war enttäuschend (wobei „Die Hard 4“ mit der Figur des Thomas Gabriel die Latte meines Erachtens sehr hoch gelegt hat)
  • das Finale war etwas krawallig und es war unglaubwürdig, dass bewaffnete Leute durch eine große Menschenmenge laufen können, ohne eine Panik zu erzeugen

Der Film folgt den üblichen Hollywod-Storywegen und ist deshalb kein „Hacker-Film“. Betrachtet man ihn als Action-Film mit Hacker-Elementen, dann ist er aber gute Unterhaltung. Er ist kein Blockbuster-Material wie Mission Impossible, aber solide Unterhaltung.

Was mir ganz gut gefiel: es gab zwischendurch ruhige Szenen, die dadurch besonders wirkten, weil in ihnen nicht gesprochen wurde.

Warum ist der Film nun so gnadenlos gefloppt? Auf IMDB gibt es mehrere Theorien dazu:

  • er trat gegen „American Sniper“ an und der scheint in den USA alle anderen Filme zu überrollen
  • Chris Hemsworth ist zwar als Thor bekannt („The Avengers“), aber er ist eben (noch) kein Zugpferd wie Tom Cruise oder Jason Statham
  • man nahm Chris Hemsworth den Hacker nicht ab
  • für einige Zuschauer war wohl unglaubwürdig, dass jemand ein guter Hacker und gut im Nahkampf ist
  • in der englsichen Fassung ist die Schwester wohl schwer zu verstehen
  • schlechte Kritiken haben potentielle Besucher dann abgeschreckt

Aber vielleicht haben die Zuschauer auch befürchtet (wie die uns begleitenden Damen), dass man im ganzen Film nur Leute vor Bildschirmen sieht.

Ich möchte auf den Punkt mit „man nahm ihm den Hacker nicht ab“ noch mal eingehen. Das erinnert mich ein bisschen an die Diskussion „ist Ben Affleck ein guter Batman“. Hier wird den Schauspielern gar nicht erst die Chance gegeben, die Zuschauer zu überzeugen; dumme Vorurteile eben.

Würde ich mir den Film noch einmal im Kino ansehen? Vermutlich nicht (dafür gibt es zu viele andere interessante Filme). Werde ich mir die DVD zulegen? Ja, denn ich sammle Filme mit „Hacking“ als Topic und da passt er rein.

Wenn man mit der richtigen Erwartungshaltung in den Film rein geht, dann wird man nicht enttäuscht werden; aber es reicht eventuell auch, wenn man sich die DVD zulegt.

Meine persönlichen Hacker-Filme bleiben „Hackers“, „Wargames“, „Takedown“ und „Whoami“ (und, ausser Konkurrenz, „Die Hard 4“;-)).

[1] http://wallutis.de/?p=1737

 

 

BRUCON 2014

Ich habe auch in diesem Jahr die BRUCON-Konferenz im schönen Städtchen Gent besucht. Leider war in diesem Jahr kein Budget für ein Training vorhanden, so daß ich nur von der Konferenz berichten kann.

Wie üblich gab es wieder Vorträge und (teilweise) parallel Workshops. Man konnte sich über eine Webseite einen eigenen Kalender zusammenstellen; allerdings wurde nicht deutlich, dass man sich so auch für die Workshops registriert hat. So hatte ich aber zumindest einen Platz in jedem gewünschten Workshop sicher…

Die Konferenz begann am Donnerstag mit einer Keynote von Jennifer Minella. Ihr Thema war, wie wir mehr Leute für IT Security begeistern können, um die Personalknappheit zu vermindern. Sie nutzte dazu Zitate aus Büchern von Dr. Seuss. Zwei Punkte haben mir besonders gut gefallen:

– Leadership bedeutet Leader zu erschaffen, nicht Follower

– Man begeistert Leute nicht für die IT Security, wenn man selber nur darüber spricht wie schlecht alles ist

Ich bin eigentlich kein Freund von Keynotes, fand diese aber gut.

Der nächste Vortrag von Matt Hastings und Ryan Kazanciyan hatte den Titel Investigating PowerShell Attacks. Die Beiden haben sehr schön aufgezeigt, welche neue Angriffsfläche durch PowerShell entstehen kann und wie sich PowerShell für Attacken nutzen lässt. Die Folien werde ich mir auf jeden Fall noch mal in Ruhe anschauen und einige Dinge in meine Beratung einfliessen lassen.

Danach gab es einen Vortrag von Aaron Lemasters mit dem Titel Windows Crash Dump Exploration Vehicles. In dem Talk wurde gezeigt, was bei einem Crash Dump passiert und wie sich das ausnutzen lässt, um z.B. bei einem Befall mit einem Rootkit der MBR ausgelesen werden kann. Keine leichte Kost, aber zu empfehlen.

Danach hatte ich die Auswahl zwischen drei Workshops. Leider habe ich mich in den falschen Workshop gesetzt…

Daniela Zapata und Wim Remes wollten einen vierstündigen Workshop zum Thema The dirty secrets of client-side exploitation and protection halten. Unglücklicherweise befanden sich die Hands-on Labs in dem Koffer, der nicht den Weg nach Gent gefunden hatte (merke: immer ein Backup haben). So ging Wim eine Stunden lang seine Folien durch, die aber für mich nicht viel Neues enthielten. Interessant war aber, dass er einige Freiwillige in die Stadt schickte mit dem Auftrag, von Wildfremden die Mailadressen und Telefonnummern zu bekommen. Und sie kamen nicht ohne Beute zurück…

Schade nur dass nicht gezeigt wurde, wie man mit diesen Informationen an weitere Informationen zur Vorbereitung eines Angriffs kommt.

Nun musste ich mich entscheiden, wie ich die Lücke füllen sollte. Ich entschied mich, in den Workshop Javascript for Pentesters with over 20 Challenges von Vivek Ramachandran zu gehen. Ursprünglich hatte Vivek für den Workshop vier Stunden vorgesehen, wurde aber wegen parallel laufender Workshops gebeten, seinen Workshop zwei Mal zu halten. Er musste seine Beispiele deswegen in 120 Minuten packen. Die hatten es dann aber in sich. Selbst ich als ziemlicher Javascript-Neuling konnte fast allen Beispielen folgen und ich war erstaunt, was damit so alles geht. Wirklich schade, dass es davon keine Videoaufzeichnung gibt.

Zu der Party sage ich nur so viel, dass keiner tanzte, die Musik aber trotzdem zu laut zum Unterhalten war. Ich plädiere hier für eine Rückkehr zu der Location von vor zwei Jahren.

Am nächsten Morgen haben wir uns kurzfristig für den Workshop Splinter the Rat Attack: Create your own Botnet to exploit the network von Solomon Sonya entschieden. Dieser Workshop war aufgrund von Änderungen am Ablauf in den ersten Slot geraten, was sich als Glück für uns herausstellte. Solomon zeigte uns in dem Workshop, wie man mit seinem Tool Splinter und einigen anderen Tools ein Botnetz aufbaut. Wir haben auch darüber diskutiert, wie man sich dann am besten vor Entdeckung schützt. Der Workshop war ein echter Gewinn und aufbauend auf seinen Tools kann man mal ein anderes Live-Hacking als das Übliche „hier ist die Shell“ aufbauen.

Danach ging es dann zu Willi Ballenthin und seinem Workshop „EID 1102 – The Audit Log was cleared“ wont stop me: Advanced Windows Event Log Forensics. Willi erklärte einige Internas zum Windows Event Log und erklärte die Unterschiede zwischen dem Prä-Vista Event Log und der neuen Version (ab Vista). Er stellte dann einige Tools vor, mit denen man auch dann noch Informationen aus dem System holen kann, wenn ein Angreifer das Event Log gelöscht hat. Ein sehr interessanter Wokshop von jemand, der weiß wovon er spricht.

Abschliessend gab es dann noch den Workshop Network Device Forensics von Didier Stevens. Es standen 20 CISCO-Geräte für die Teilnehmer zur Verfügung; leider bekam ich meine serielle Schnittstelle nicht zum Laufen, so daß ich auf die vorgefertigten Dumps zurückgreifen musste. Didier erzählte zuerst etwas über die Internas von CISCO IOS und zeigte dann, wie man einen Dump von einem IOS-Gerät macht. Er stellte dann ein paar seiner eigenen Tools vor, um diese Dumps zu analysieren. Wie praktisch, dass ich noch einen alten ISDN-Router zu Hause habe;-)

Auch dieser Workshop war sehr spannend und wer sich mit CISCO IOS beschäftigt, sollte mal einen Blick auf seine Tools werfen.

Nach diesem Workshop war dann Schluß für uns und wir haben uns auf den Heimweg gemacht.

Ich habe wieder viel gelernt, alte Freunde getroffen und neue Freunde gewonnen. Das macht für mich BRUCON aus.

In diesem Sinne: bis zum nächsten Jahr! (Und dann hoffentlich wieder mit dem Besuch eines Trainings)

PS: was ich gerne noch gesehen hätte:

– Michael Sikorski: Counterfeiting the pipes with Fakenet 2.0 (zumindest habe ich die Slides)

– Hal Pomeranz: Linux Forensics Workshop (ich habe zu spät gesehen, dass der Workshop Donnerstag Abend noch mal lief)

– Jake Valletta: Exploiting the bells and whistles: Uncovering OEM vulnerabilities in Android (auch hier habe ich aber die Materialien; der Workshop soll sehr gut gewesen sein)

Der neue Trend: schlüsselloses Türöffnen

Ich war gestern auf der Messe „SECURITY“ in Essen. Ein neuer Trend scheint hierbei das Öffnen von Türen ohne traditionelle Schlüssel zu sein. Waren es vor einigen Jahren noch wenige Aussteller, so scheinen in diesem Jahr ganze Hallen voll dieser Technik zu sein. Es scheint zwar mehr Anbieter als Techniken zu geben, aber ein paar unterschiedliche Ansätze gibt es schon. Technisch ganz interessant fand ich einen Ansatz, der ohne Batterie auskommt; angeblich erzeugt das Drehen des Schlüssels schon genug Energie um die zusätzliche Authentifizierung zu ermöglichen.

Viele Lösungen beruhen auf drahtloser Übertragung, wobei neben speziellen Schlüsselanhängern gerne auch Smartphones genutzt werden. Ich möchte mir hier gar nicht ausmalen, was das aufgrund der Unsicherheit der darunterliegenden Plattform bedeutet.

Bei „drahtlos“ bin ich ja immer etwas skeptisch, da solche Lösung immer mal wieder sich als angreifbar erweisen. Ein Anbieter setze auf die Bluetooth-Verschlüsselung noch eine symmetrische Verschlüsselung mit AES-256 drauf; ich würde gerne mal ausprobieren, ob das System trotzdem angreifbar ist. Die Lösung für den Privatgebrauch kostet allerdings ca. 400,-€ und das ist „just for fun“ dann doch etwas viel (Spenden werden aber gerne angenommen).

Der Kollege, mit dem ich auf der Messe war, erzählte mir dazu eine nette Geschichte: er war bei einem Kunden zu Besuch, der vor Kurzem für die Räume der IT ein schlüsselloses Öffnungsverfahren angeschafft hatte. Während seines Besuches sah er einen Techniker, der and en Türen die Batterien austauschte. Da wurde ihm erst mal bewusst, dass in den Türen ja eine Stromversorgung sein muss. Er sprach den Kunden darauf an und der erzählte ihm, dass in der Anfangszeit die Batterien teilweise schon nach zwei Tagen leer waren. Es stellte sich heraus, dass in einem Nebenraum Geräte lagerten, die auf derselben Frequenz funkten. Die Komponenten versuchten nun permanent miteinander zu kommunizieren und das führte zum schnellen Leeren der Batterien.

Das bringt mich natürlich auf verschiedenen Gedanken:

– beim Einsatz drahtloser Technik müssen wir künftig an Wechselwirkungen mit Geräten denken, die wir bisher nicht auf dem Schirm hatten

– theoretisch könnten hier Szenarien entstehen, die zu einem Denial-of-Service führen. Leere ich die Batteriene einer Tür und die lässt sich manuell dann nur noch von Innen öffnen, verwehre ich den Mitarbeitern einer Firma den Zutritt. Das könnte rein aus „Spass“ erfolgen oder aber um z.B. einen Angriff auf einem anderen Kanal länger durchführen zu können.

Und ich kann nur hoffen, dass es keine Hersteller gibt die in solch einem Fall (Batterie leer) die Tür automatisch entriegeln…

 

 

 

TInfoLeak – Infos über Twitter-User mit Hilfe von Python abfragen

Ich bin über ein nettes kleines Tool gestolpert, mit dem man aus der Kommandozeile heraus Infos über Twitter-User abfragen kann. Das Tool nennt sich tinfoleak und die Webseite dazu ist http://vicenteaguileradiaz.com/tools/. Ich habe ein bisschen mit dem Tool herumgespielt und möchte meine ersten Eindrücke schildern.

Damit man das Tool nutzen kann benötigt man zum einen Tweepy (eine Twitter API Library für Python)[1] und  zudem OAuth Credentials (API Key) für den API-Zugriff[2]. Tweepy gibt es sowohl für Linux als auch für Windows; die Windows-Variante scheint aber noch nicht richtig zu funktionieren.Ich habe Tweepy und TInfoLeak deshalb unter OpenSuse 13.1 installiert. Unter [2] sind die Schritte ganz gut beschrieben. Ich habe dort eine nicht existente App eingetragen und erhielt so einen API Key und ein API Secret (die man für sich behalten soll). Das reicht aber noch nicht; man muss sich auch noch eine Access Token mit entsprechendem Access Token Secret erzeugen. Diese vier Informationen benötigt man später. Am Besten packt man die Infos in eine Textdatei, damit man sie später nicht von Hand eingeben muss.

Tweepy installiert man am Einfachsten über „easy_install tweepy„; andere Methoden (Git Repository / Source Archiv) sind unter [3] beschrieben.

TInfoleak wird nicht installiert; das Paket besteht nur aus einem README und dem Python-Skript. Vor dem ersten Start muss man aber noch die oben erwähnten vier Information im Skript eintragen:

# OAuth Settings
# How to obtain the API key:
# Go to https://dev.twitter.com/apps/new
# Copy the consumer key (API key), consumer secret, access token and access token secret
CONSUMER_KEY = “
CONSUMER_SECRET = “
ACCESS_TOKEN = “
ACCESS_TOKEN_SECRET = “

„CONSUMER_KEY“ und „CONSUMER_SECRET“ beziehen sich hier auf „API Key“ und „API Secret“.

Nun sind wir bereit für einen ersten Test. Zuerst einmal rufe ich meine eigenen Infos ab. python tinfoleak.py -n twallutis -b liefert:

+++
+++ tinfoleak v1.2 – „Get detailed information about a Twitter user“
+++ Vicente Aguilera Diaz. @VAguileraDiaz
+++ Internet Security Auditors
+++ 03/02/2014
+++

Looking info for @twallutis

Account info
——————-
Screen Name: twallutis
User name: Thomas Wallutis
Twitter Unique ID: 49129829
Account created at: 06/20/2009
Followers: 279
Tweets: 6751
Location: Germany
Description: Computer Nerd; especially MS Exchange and Security. All tweets are my own opinion. Blame me, not others! I tweet in German and bad English.
URL: http://t.co/KNbtt73v6M
Profile image URL: http://pbs.twimg.com/profile_images/274513070/foto_normal.jpg

Elapsed time: 00:00:00

See you soon!

Nun möchte ich gerne wissen mit welchen Apps ich so meine Tweets verschicke. python tinfoleak.py -n twallutis -s liefert

+++
+++ tinfoleak v1.2 – „Get detailed information about a Twitter user“
+++ Vicente Aguilera Diaz. @VAguileraDiaz
+++ Internet Security Auditors
+++ 03/02/2014
+++

Looking info for @twallutis

100 tweets analyzed

Date Source
————————————
09/11/2014 – TweetDeck
09/07/2014 – TweetCaster for Android
09/02/2014 – Twitter Web Client
09/01/2014 – XING
08/26/2014 – Twitter for Websites
08/26/2014 – Twitter for Android

6 results.

Elapsed time: 00:00:03

See you soon!

Hinweis: es werden die letzten 100 Tweets analysiert. Frage ich z.B. die letzten 1000 Tweets ab, indem ich noch „-c 1000“ anhänge, erhalte ich

Looking info for @twallutis

        1000 tweets analyzed

        Date         Source
        ————————————
        09/11/2014 – TweetDeck
        09/07/2014 – TweetCaster for Android
        09/02/2014 – Twitter Web Client
        09/01/2014 – XING
        08/26/2014 – Twitter for Websites
        08/26/2014 – Twitter for Android
        08/15/2014 – Social Proxy by Mailchimp

Daraus könnte man jetzt schon Informationen für einen gezielten Angriff ableiten. Aber es gibt noch mehr: „python tinfoleak.py -n twallutis -p 1“ durchsucht die Tweets nach Bildern und speichert diese ab („-p 0“ würde sie direkt anzeigen).

python tinfoleak.py -n twallutis -f Blacky“ durchsucht meine Tweets nach dem Wort „Blacky“ und findet ganz korrekt meinen Tweet zum Tod von Joachim Fuchsberger:

+++
+++ tinfoleak v1.2 – „Get detailed information about a Twitter user“
+++ Vicente Aguilera Diaz. @VAguileraDiaz
+++ Internet Security Auditors
+++ 03/02/2014
+++

Looking info for @twallutis

100 tweets analyzed

Date Word [Blacky]
————————————
09/11/2014 – Joachim Fuchsberger ist tot. R.I.P. Blacky!

1 results.

Elapsed time: 00:00:02

See you soon!

Ich kann mir aber auch anzeigen lassen, welche Hashtags ein Account benutzt. Der Twitter-Account @MSCloud hat in den letzten 100 Tweets die folgenden Hashtags benutzt („python tinfoleak.py -n mscloud -h„):

+++
+++ tinfoleak v1.2 – „Get detailed information about a Twitter user“
+++ Vicente Aguilera Diaz. @VAguileraDiaz
+++ Internet Security Auditors
+++ 03/02/2014
+++

Looking info for @MSCloud

100 tweets analyzed

Date Hashtags
————————————
09/11/2014 – #Azure
09/11/2014 – #MachineLearning
09/10/2014 – #Azure #Cloud
09/09/2014 – #24hopquiz
09/08/2014 – #Cloud #MSFT
09/05/2014 – #Podcast
09/05/2014 – #Cloud #Azure
09/04/2014 – #Microsoft #MachineLearning
09/04/2014 – #winning
09/03/2014 – #machinelearning #msft
08/30/2014 – #CANITPRO #ITPRO #Azure #Cloud
08/29/2014 – #BigData
08/27/2014 – #bigdata #PredictiveAnalytics #machinelearning
08/26/2014 – #winserv
08/26/2014 – #SQLServer #Azure
08/25/2014 – #WindowsIntune
08/24/2014 – #azureml
08/23/2014 – #azureml #MLatMSFT
08/22/2014 – #Cloud #Gaming #CloudComputing
08/21/2014 – #Hybrid #Cloud
08/19/2014 – #machinelearning #MLatMSFT #bigdata #datascience
08/15/2014 – #winserv #SysCtr

22 results.

Elapsed time: 00:00:02

See you soon!

Und wie sieht es mit Mentions aus (hier beschränkt auf die letzten 10 Tweets)? „python tinfoleak.py -n twallutis -m -c 10“ liefert uns:

+++
+++ tinfoleak v1.2 – „Get detailed information about a Twitter user“
+++ Vicente Aguilera Diaz. @VAguileraDiaz
+++ Internet Security Auditors
+++ 03/02/2014
+++

Looking info for @twallutis

10 tweets analyzed

Date User mentions
————————————
09/11/2014 – @niggi
09/11/2014 – @andreasdotorg
09/11/2014 – @jnievele
09/11/2014 – @Laberfasel
09/11/2014 – @semibogan @thegrugq @dcuthbert
09/11/2014 – @dcuthbert @semibogan
09/11/2014 – @katerussell @TrendMicro @rik_ferguson

7 results.

Elapsed time: 00:00:01

See you soon!

Daraus lässt sich erkennen, mit wem ich mich so austausche.

Mit dem Parameter „-g“ und einem Dateinamen kann ich die in einem Tweet evtl. vorhandenen Geo-Informationen auslesen und in eine Datei speichern, die ich in z.B. Google Earth öffnen kann. Dann sehe ich, wo die betreffenden Person war, als der Tweet abgesetzt wurde. Ich selber übertrage aber keine Geolocation-Informationen und habe bisher auch keinen Account gefunden, der brauchbare Informationen geliefert hat. Hier aber ein einfaches Beispiel; ich benutze auch den Parameter „-t“, um mir die Uhrzeit des Tweets mit anzeigen zu lassen:

python tinfoleak.py -n scienceporn -g scienceporn.kml -t

liefert

+++
+++ tinfoleak v1.2 – „Get detailed information about a Twitter user“
+++ Vicente Aguilera Diaz. @VAguileraDiaz
+++ Internet Security Auditors
+++ 03/02/2014
+++

Looking info for @SciencePorn

100 tweets analyzed

Date Time Geolocation information
————————————
09/10/2014 – 19:41:58 – London
09/10/2014 – 16:01:05 – London
09/10/2014 – 15:09:58 – London
09/09/2014 – 23:29:23 – London
09/09/2014 – 14:46:38 – London
09/08/2014 – 20:40:19 – London
09/07/2014 – 18:18:21 – London
09/06/2014 – 13:31:55 – London
08/31/2014 – 20:54:45 – London
08/28/2014 – 21:12:39 – London

10 results.

Elapsed time: 00:00:03

See you soon!

Orts- und Zeitangaben können ein Bewegungsprofil des Accounts liefern und auch nur die Uhrzeit ergibt eine interessante Information.

Es gibt auch noch Optionen, um die Suche auf einen bestimmten Zeitraum bezogen auf Tage und Uhrzeit einschränken zu können.

Falls jemand interessante Szenarien findet, würde ich mich auf einen Hinweis in den Kommentaren freuen.

 

[1] https://github.com/tweepy/tweepy
[2] https://dev.twitter.com/discussions/631
[3] https://github.com/tweepy/tweepy/blob/master/INSTALL

 

30C3 – Chaos Communication Congress in Hamburg

Da wir am Ende des Jahres aus familiären Gründen oft in Berlin sind, konnte ich den Besuch des Kongresses oft mit diesen Besuchen verbinden. Die letzten beiden Jahre hatte ich aber ausgesetzt; insbesondere letztes Jahr habe ich nur virtuell teilgenommen. Da es in diesem Jahr aber ein besonderes Jubiläum war (30 Jahre Kongress), war ein Besuch dieses Jahr quasi Pflicht. Dieses Mal wollte ich den Besuch auch dazu nutzen einige Leute zu treffen, die ich bisher nur virtuell kannte (z.B. via Twitter). Ich kann schon mal vorwegnehmen, dass das sehr gut geklappt hat; ich habe auch einige Leute getroffen, die ich gar nicht auf meiner Liste hatte. Leider reichte die Zeit oft nicht für längere Gespräche; hieran muss ich noch arbeiten;-)

Die Anfahrt per ICE am ersten Tag war sehr angenehm, da der Zug nur mäßig gefüllt war. Ich hatte mir ein Hotel in der Nähe des CCH rausgesucht. Als ich davorstand, war ich überrascht: in einem Haus befanden sich mehrere Hotels, was ich so noch nie gesehen hatte. Ich war dann auch etwas skeptisch; aber ziemlich schnell wurde klar, dass ich eine gute Wahl getroffen hatte. Das Zimmer war ausreichend groß und sehr sauber und beim Frühstück beharrte man auch nicht auf den angegebenen Zeiten. Beim nächsten Kongress, den ich besuche, werde ich sicherlich wieder im Hotel Wagner übernachten. Es stellte sich beim Frühstück am zweiten Tag zudem heraus, dass neben dem Kollegen, dem ich das Hotel empfohlen hatte, noch zwei Leute dort nächtigten, die ich entweder persönlich oder über Twitter kannte. Deshalb zog sichd as Frühstück auch so hin;-)

Aber genug abgeschweift; zurück zum Kongress. Da ich meine Karte schon vorab bestellt hatte, konnte ich die Kasse für Vorbesteller nutzen und war so nach wenigen Minuten schon im Gebäude. Das Gebäude ist übrigens eine Herausforderung; ich habe einige Zeit gebraucht, bis ich mich einigermassen zurechtgefunden hatte. Mehr Platz hat eben seinen Preis…

Vorträge Tag 1

An introduction to Firmware Analysis

Reverse engineering of CHIASMUS from GSTOOL

In diesem Vortrag wurden die Fehler bei der Implementierung der Chiasmus-Chiffre im GSTOOL des BSI beschrieben. CHIASMUS ist eine vom BSI entwickelte Chiffre, die nicht offengelegt ist (was ich, im Gegensatz zum Vortragenden, für ein Problem halte). Der Vortrag zeigte zum Einen sehr schön, was man bei der Implementierung einer eigentlich sicheren Chiffre alles falsch machen kann; zudem wurde dargestellt, wie man als Firma/Behörde auf hilfreiche Hinweise nicht reagieren sollte. wer sich für das Thema interessiert, sollte sich das Video anschauen.

Electronic Bank Robberies

Die beiden Vortragenden berichteten hier über Malware-Attacken auf Geldautomaten, wobei die Malware per USB-Stick(!) übertragen wurde. Sie haben sehr schön die einzelnen Schritte erklärt und ich kann diesen Vortrag nur wärmstens empfehlen. Mittlerweile ist dieser Vortrag ja auch durch die Mainstream-Presse gegangen.

Basics of Digital Wireless Communication

Ich hatte diesem Vortrag den Vorzug vor anderen Vorträgen gegeben, weil ich mal was für mein Basiswissen tun wollte. Lieder war der Vortragende entweder furchtbar nervös oder hatte einfach einens chlechten Tag; jedenfalls kam der Vortrag ziemlich uninspiriert rüber. Der Inhalt war m.E. für einen Einführungsvortrag stellenweise zu ambitioniert, so dass ich keinen großen Erkenntnisgewinn aus dem Vortrag ziehen konnte.

Ich habe erst mal eine Pause eingelegt, mit ein paar Leuten gesprochen und bin ein bisschen durch die Hallen gelaufen.

Keynote von Glen Greenwald

Eigentlich bin ich ja kein Freund von Keynotes, aber in diesem Fall habe ich eine Ausnahme gemacht. Glen Greenwald hat unter persönlichen Risiken eine Menge für die IT-Sicherheit und den Journalismus getan und ich dachte mir, dann kann ich ihm auch mal eine Stunde meiner Zeit opfern. Er hat noch mal die Ereignisse des letzten halben Jahres beschrieben und sich dabei auch zu der Rolle der Journalisten in unserer Gesellschaft geäussert. Gerade diese Teile seiner rede fand ich sehr wichtig, da ich häufiger das Gefühl habe, dass zwar von Qualitäts-Journalismus geredet wird, dem aber wenig Taten folgen.

Am Ende seines Vortrags bekam er Standing Ovations, was ihn sichtlich berührt hat.

Essen muss man ja auch mal und keiner der Vorträge in diesem Slot hat mich wirklich interessiert; also habe ich hier eine Pause eingelegt.

World War II Hackers

Da ich mich sehr für Geschichte interessiere, schien mir dieser Vortrag gut geeignet zu sein, mein Interesse an Geschichte mit der an Spionage und Verschlüsselung zu verbinden. In dem Vortrag ging es um den Kreis der Spione um Richard Sorge und die von Ihnen benutzte Verschlüsselung. Der Vortrag war ganz nett, hätte aber ruhig länger dauern dürfen. Grundsätzlich fände ich es aber gut, wenn es mehr von solchen Vorträgen gäbe.

HbbTV Security

Da wir selbst zu Hause einen sogenannten Smart Fernseher haben, war dieser Vortrag meine erste Wahl für den Ausklang des Tages. Hier wurde noch mal schön dargelegt, dass man eigentlich nicht mehr von Fernsehern, sondern von Rechnern sprechen muss; unglücklicherweise aber von Rechnern mit mehr oder weniger schweren Sicherheitslücken. Unter Anderem wurde dargelegt, was diese Fernseher so alles in das Internet schicken. Ich sollte hier mal ernsthaft über einen Proxy für unseren Fernseher nachdenken. Die vorgestellte Lösung eines gehosteten Proxies gefiel mir nicht so gut, da hier die Daten wieder über einen Server laufen, den ich nicht kontrollieren kann.

Hacker Jeopardy habe ich mir geschenkt, was wohl auch wegen der Dauer eine gute Idee war. Zumindest gab es in diesem Jahr wohl keine größeren Peinlichkeiten…

Vorträge Tag 2

Im Hotel waren wir nicht die einzigen Besucher des Kongresses; wir trafen einen Bekannten (vom BackTrack Day) und dann konnte ich noch einem Twitter-Nick ein Geischt zuordnen. Vor lauter Reden haben wir dann die offizoielle Frühstückszeit im Hotel etwas ausgeweitet. Die Mitarbeiter nahmen es aber gelassen hin;-) Wir waren dann auch an den folgenden Tagen die Letzten am Frühstückstisch…

Extracting keys from FPGAs, OTP Tokens and Door Locks

Hillbilly Tracking of Low Earth Orbit

Diesen Vortrag habe ich mir vor allem deswegen angeschaut, weil ich Travis Goodspeed mal live sehen wollte; und ich wurde nicht enttäuscht. Die Idee hinters einem Vortrag war, wie man die Signale von Satelliten empfangen kann, wenn diese nicht geostationär sind. Da man heute so ziemlich alles bei eBay kaufen kann, kaufte er eine Satellitenschüssel, die ursprünglich mal auf einem Kriegsschiff eingesetzt wurde. Diese baute er dann in seinem Garten auf. Mit einem Wort: Abgefahren!

My journey into FM-RDS

Der nächste Vortrag war ein schönes Beispiel für Hacker Spirit. Die Hackerin Oona Räisänen entdeckte in öffentlichen Radiosignalen etwas, dass sie sich zuerst nicht erklären konnte. Ihr Vortrag zeigt sehr schön, wie sie sich dem Problem näherte und zum Schluss herausfand, dass die örtliche Nahverkehrsgesellschaft damit Daten übertrug. Definitiv ein Highlight des Kongresses.

FGPA 101

Diesen Vortrag habe ich besucht, weil ich schon immer mal wissen wollte, was genau ein FGPA ist. Der Vortrag war ein schöner Einstieg in das Thema. Nichts übermäßig Spektakuläres, aber ein solider Einstieg.

The Year in Crypto

Dieser Vortrag ist schon fast ein Klassiker: Nadja Henninger, Tanja Lange und Dan Bernstein liessen das letzte Jahr, bezogen auf Kryptographie, Revue passieren. Ich bin mir zwar manchmal nicht sicher, ob ihre Sicht (bezogen auf die Mathematik) die einzig Richtige ist, aber wer sich für das Thema nur halbwegs interessiert, sollte sich das Video anschauen. Aber Vorsicht: da gibt es Folien mit Formeln;-)

25 Jahre Chipkarten-Angriffe

Der nächste Vortrag war dann nicht ganz so anspruchsvoll, aber trotzdem interessant. Man bekam hier einen Überblick über 25 Jahre Chipkartenangriffe und es wurde gezeigt, was man als Nerd so alles zu Hause an Equipment haben kann. Genau der richtige Vortrag für einen verregneten Sonntagsnachmittag.

Security of the IC Backside

Etwas anspruchsvoller ward ann der nächste Vortrag. In vergangenen Jahren gab es ja einige Vorträge die zeigten, wie man durch z.B. Abschleifen von Chips Rückschlüsse auf die Funktionsweise ziehen kann. Da Hersteller dagegen mittlerweile Gegenmassnahmen einbauen (was ich schon sehr interessant fand), werden Chips nun von unten angegriffen. Sehr spannend!

SCADA StrangeLove 2

Vorträge Tag 3

Drones

In diesem Vortrag ging es nicht um militärische Drohnen, sondern um Drohnen für Privatpersonen. Was mich an diesem Vortrag besonders fasziniert hat waren die Möglichkeiten, die es selbst hier für (semi-)autonomen Flug gibt. Prinzipiell ist das kostengünstig für Flüge im Freien möglich und es wird sogar schon an Indoor-Lösungen gearbeitet. Das hat michs ehr beeindruckt. Wer sich für Quadcopter (und Ähnliches) interessiert, sollte sich diesen Vortrag auf jeden Fall ansehen.

RFID Treehouse of Horror

Damit die Kopf-interne Festplatte nicht überläuft, habe ich im nächsten Slot mal keinen Vortrag angeschaut. Wir entschlossen uns stattdessen mal wieder vernünftige Nahrung zu uns zu nehmen und sind Steak essen gegangen. Da wir nicht wussten, wie weit es zum Restaurant war, haben wir uns ein Taxi genommen. Der seltsame Blick des Taxifahrers hätte uns klar machen sollen, dass er das übertrieben fand. Auf dem Rückweg sind wir dann zu Fuss gegangen;-)

Even more Tamagotchis Were Harmed in the Making of this Presentation

Dieser Vortrag war die Fortsetzung eines Vortrages aus dem letzten Jahr (den ich nicht gesehen hatte). Es ging hier um Reverse Engineering von Tamagotchis. Klingt seltsam? Ist es auch. Aber alleine schon die Idee, sich damit zu beschäftigen, ist wieder Hacker Spirit pur. Vermutlich komplett nutzlos, aber spannend.Und ich musste mich ja auf den dazu gehörigen Workshop vorzubereiten.

Da mir zwei Stunden Workshop bevorstanden, habe ich im folgenden Slot keinen Vortrag besucht.

Tamagotchi Workshop

Der Workshop war sehr gut besucht und ich war froh, dass ich mein Kit (Tamagotchi und Arduino Board) schon vorher bestellt hatte. Das Board war extra gestaltet („Hello Kitty“ Motiv), was schon ein Hingucker ist. Leider „vergassen“ einige Leute darüber wohl, ihre Boards zu bezahlen. Das fand ich, gerade für die Organisatorin, sehr ärgerlich; letztendlich erlitt sie aber wohl keinen finanziellen Verlust (aber eben auch keinen Gewinn). Der Workshop selbst itt darunter, dass es sehr knifflig war das Tamagotchi so auf das Board zu drücken, dass ein Kontakt hergestellt wurde. Abere s gelang uns zumindest ein Mal einen neuen Hintergrund einzurichten. Spass hat es auf jeden Fall gemacht.

Da noch ein Vortrag und die Fnord News Show bevorstand, habe ich erst mal eine Pause eingelegt.

Zwischen supersicherer Verschlüsselung und Klartext liegt nur ein falsches Bit

Anhand ausgewählter Beispiele zeigte Jens Kubieziel auf, welche Fehler man im Bereich der Kryptographie (gerade bei der Implementierung) machen kann. Ein Vortrag, den sich eigentlich jeder mal ansehen sollte.

Da ich sowieso schon mal in Saal 2 war und ein freier Platz in Saal 1 Utopie war, sah ich die Fnord News Show nicht live, sondern als Stream.

Fnord News Show

Wenn ich anderen Leuten die Fnord News Show erklären soll, weiss ich nie so genau wie ich sie beschreiben soll. Frank und Fefe präsentieren Meldungen (vor allem aus der Nicht-IT-Welt); witzig aufbereitet u.a. durch selbst erfundene Auszeichnungen. Vielleicht nicht jedermanns Sache, aber sie füllten zwei Säle mit insgesamt 3500 Besuchern. Da es wohl die zehnte Show war, hatte man sich für die Beiden einige Überraschungen ausgedacht. Leider führte das dazu, dass der Fluss des Vortrags etwas litt. Ich sass in Saal 2, wohin die Show übertragen wurde. Eine Künstlerin machte Vortragsnotizen in Form von Bildern; eigentlich eine nette Idee, aber die häufige Einblendung wirkte sich ebenfalls störend aus. Trotzdem aber wieder ein Video, dass man sich anschauen sollte.

Danach sind wir noch ein bisschen durch den Partyraum gelaufen; aber Schlaf war uns dann doch wichtiger. Aber der Raum war schon interessant gestaltet.

Vorträge Tag 4

Coding your body

Der Vortrag war nichts Technisches, aber gerade für Schreibtischtäter interessant. Es ging um den eigenen Bewegungsapparat, häufig auftretende Probleme und wie man sie angehen kann. Die Vortragende brachte das Thema sehr verständlich rüber; leider war der Vortrag mit 30 Minuten etwas kurz. Ich hätte aber nichts dagegen, wenn Sie beim nächsten Kongress das Thema noch mal aufgreift.

Interessant wären auch mal Vorträge darüber, wie das menschliche Gehirn so funktioniert und wie man sich davor schützen kann, dass es sich in die Irre führen lässt. Ich habe zwar schon Einiges zu dem Thema gelesen, aber ein Vortrag bzw. ein Workshop zu dem Thema wäre mal interessant.

Thwarting Evil Maid Attacks

Through a PRISM, Darkly

Attacking HomeMatic

Security Nightmares

Back-Track Day 2013 in Fulda

Vor einigen Wochen wurde überraschend für dieses Jahr ein BackTrack Day in Fulda angekündigt. Die Anzahl der Teilnehmer war auf 35 begrenzt, aber mir war es gelungen eine Karte zu ergattern. Freitag Abend habe ich mich dann (später als geplant) auf den Weg nach Fulda gemacht. Nach fast 300 km mit vielen Baustellen und LKWs traf ich um 21 Uhr endlich in Fulda ein. Dort warf ich nur schnell meine Sachen ins Hotel und fuhr dann weiter zum Vortreffen in einem (nicht leicht zu findenden) Irish Pub. Zu meiner großen Freude schienen fast alle Teilnehmer dort versammelt zu sein, so dass sich schon erste Gespräche ergaben. Witzigerweise stellten wir erst beim Wiedereintreffen am Hotel fest, dass ein Bekannter aus Oberhausen im selben Hotel nächtigte.

Am nächsten Morgen fuhren wir zusammen zum Konferenzort; nicht ohne eine kleine Extrarunde durch die Innenstadt von Fulda;-). Das Wetter war leider nicht so besonders, aber wir waren ja auch nicht für Outdoor-Aktivitäten da. In diesem jahr traf der Begriff „Kellerhacker“ ganz gut zu, da wir in einem Kellergewölbe waren. Interessantes Ambiente und wir wurden nicht durch das Internet abgelenkt; leider gab es deshalb auch keinen Livestream.

Das Ganze begann (bei freiem Kaffee und freier Club Mate) mit ersten Gesprächen und einem Kennenlernen. Die Orga verkündete dann dass wir uns Gedanken über den zukünftigen Namen und die gewünschte Größe des nächsten BackTrack Days machen sollten und es wurde auch darum gebeten Vorschläge für Inhalt und Form zu machen. Falls also noch jemand Ideen hat: sendet sie ans Orga-Team!

Da ein Vortragender kurzfristig absagen musste, war die Agenda etwas entspannter; aber sieben Vorträge waren immer noch ein ordentliches Programm.

Der erste Vortrag hatte den Titel „Aus dem Nähkästchen eines Pentesters“. Inhalt war aber nicht ein kompletter Pentest, sondern das Abgreifen von Windows-Logindaten nach erfolgreichem Einbruch. Es wurden ein paar Tools vorgestellt, die das erleichtern. Für mich als Microsoftie war das natürlich besonders spannend. Ich habe aber wieder mal festgestellt, dass das ganze Thema „Authentifizierung“ unter Windows immer neue Facetten zeigt. Man müsste mal schauen, wie es sich generell bei verwendung von Kerberos darstellt, da diese komplexer (und eigentlich sicherer) als NLMT-Authentifizierung sein soll.

Beim zweiten Vortrag „Tauchfahrt mit Linux – Colocation Anti-Forensik“ bin ich mir immer noch nicht sicher, ob Blackhats nicht eher davon profitieren würden;-) Es ging konkret um die Frage, wie man bei gemieteten Komplettservern oder beim Aufstellen von eigenen Servern beim Provider sicherstellt, dass niemand unbefugt auf diesen Server zugreifen kann. Mir nicht bekanntw ar, dass Provider auch bei gemieteten Servern immer noch Zugriff über z.B. ein Rettungssystem haben. Der Vortragende stellte sehr schön dar, wie man einen Server inklusive(!) eigenem Rettungssystem so aufsetzt, dass niemand Drittes Zugriff hat und der Installationsvorgang möglichst nicht komprommitiert werden kann. Ich ahbe zwar nicht vor, in nächster Zeit einen Server in z.B. Nordkorea zu mieten, aber man weiss ja nie;-) Unabhängig von dieser Frage können die vorgestellten techniken natürlich auch bei eigenen Servern im eigenen RZ (oder zuhause) genutzt werden. Einziger Minuspunkt: während des Vortrags machte sich das Fehlen eines Mikrofons bemerkbar.

Danach gab es das vorher bestellte Mittagessen entweder vom Italiener oder vom Asia-Imbiss. Ich gehörte wieder zur Minderheit der Asia-Besteller, aber dafür bekamen wir auch eher unser Essen;-)

Weiter ging es mit dem Vortrag „Tool to Hack the Human – SET and other“, indem ausführlich die Möglichkeiten des „Social Engineering Toolkits“ vorgestellt wurden. Ich aknnte zwar einige Möglichkeiten des SET, aber hatte es noch nie getestet. Spannend, wie man dort eine ganze Phishing-Attacke zusammenbauen kann. Ein spannendes Thema, mit dem man sich auch beschäftigen sollte, wenn man keine Pentests durchführt;schliesslich erfährt man so, wie solche Attacken durchgeführt werden.

Thematisch nicht ganz so weit davon entfernt war der nächste Talk: „Antivirus Evasion – Von der Idee zum PoC“. Hier wurde vorgeführt, wie man einen in Metasploit vorhandenen Exploit so umbaut, dass er von den Scannern der Webseite VIRUSTOTAL nicht mehr erkannt wird. Ein schönes Projekt, dass ich mir noch mal in Ruhe anschauen muss; man lernt dabei auch viel über die Funktionsweise von Virenscannern.

Eines meiner Lieblingsthemen ist der Angriff auf Smartphones und wie auch schon in den Jahren davor lieferte unser Fachmann dafür einen sehr schönen Vortrag: „Hacking Smartphones – How to own a person in under 5 minutes“. Neben einer schönen Demonstration, was man bei (gerooteten) Smartphones auslesen kann, wurde ein schöner Hardwareangriff auf die Bildschirmsperre per PIN-Code gezeigt. Der dafür notwendige Code wird auf eine Teensy-Board gepackt, dass dann an den USB-Anschluss des Smartphones gesteckt wird. Dort simuliert das Board dann (Bildschirm-)Tastatureingaben und probiert alle möglichen Kombinationen durch. Die Demonstartion mit meinem Smartphone funktionierte nicht; mein Motorola ist für die Attacke wohl zu doof;-)

Nun wurde es richtig hart: im nächsten Vortrag ging es um Reverse Engineering („Binary Vouyerism: A decent introduction“). Da der Vortragende diesen Vortrag in der Woche davor drei Mal als Workshop gehalten hatte (auf Englisch), bat er darum ihn auch hier auf Englisch halten zu dürfen. Als ob das Thema nicht schon genug Kopfschmerzen erzeugt;-) Vorgestellt wurden drei coole Python-Skripte, die die Analyse von Programmen deutlich erleichtern. Man kann leicht alle im Programm verwendeten Windows-Funktionen aufzeigen lassen und so schnell sehen, wo verwundbare Funktionene auftauchen. Denkbar ist auch die Analyse und das anschliessende Setzen eines Breakpoints an die Stelle, an der ein eingegebenes Passwort abgefragt wird. Ich freue mich schon auf die Veröffentlichung der Skripte. Und es wird nun echt zeit, dass ich Python lerne.

Der letzte Vortrag wird nicht als Video verfügbar sein und es wurde auch schnell klar, warum: in „Drohnen/UAV/Copter-basierte Wirtschafts-Spionage und Sabotage“ ging es um den Einsatz von teilweise recht günstigen Drohnen und welche Möglichkeiten sie bieten. Denkt man länger darüber nach, wird schnell klar welches Schadenspotential dahinter steckt und wie schlecht die Schutzmassnahmen dagegen sind. Das fängt an beim Ausspähen des Nachbarn über Diebesbanden, die die Gegend ausspähem bis hin zu Anschlagsszenarien. Scary!

Danach war dann auch Schluss. es wurde noch verkündet, wie die Veranstaltung künftig heissen soll. Ich will aber dem Team nicht vorgreifen.

Da alle mit anpackten, ward er raum schnell aufgeräumt und wir konnten uns noch ein bisschen zusammensetzen. Es war zwar (wenn man aus NRW kommt) ungewohnt, dass in der Gaststätte geraucht werden durfte, aber trotzdem war es ein schöner Ausklang. Ich konnte mich noch nett mit einigen Leuten unterhalten und noch ein paar neue Kontakte knüpfen. Kurz vor Mitternacht waren wir dann wieder im Hotel.

Am nächsten Morgen haben wir noch in Ruhe gefrühstückt und dank leerer Strassen (keine LKWs am Sonntag) war ich nach 2.5 Stunden wieder zu Hause.

Fazit: das Treffen war toll organisiert und die Vorträge hatten alle(!) ein hohes Niveau. Dank der wenigen Teilnehmer kam man auch dazu, mal mit einigen leuten in Ruhe zu sprechen. Ein großes Lob für das Team und ich freue mich jetzt schon auf 2014!

]]>

Wodurch private Rechner bedroht werden

Wenn man mit Privatnutzern über die Gefahren, die im Internet lauern, redet, dann bekommt man oft zur Antwort: „ich habe nichts Wertvolles auf meinem Rechner“, „ich mache kein Home-Banking“ oder „wer will denn was von mir“. Das scheint offensichtlich ein internationales Problem zu sein, wie man an einem Blogeintrag auf der sehr empfehlenswerten Webseite von Brian Krebs sehen kann.

Brian Krebs ist ein Journalist, der sich auf Online-Kriminalität spezialisiert hat; er verfügt also über einen entsprechenden Erfahrungsschatz.

Der Blogeintrag The Scrap Value of a Hacked PC, Revisited“ dreht sich genau um dieses Thema: wie mache ich dem durchschnittlichen User klar, dass er sich doch zumindest ein bisschen um die Sicherheit seines PCs kümmern muss?

Ich finde die Idee mit dem Mindmap sehr gut; allerdings treffe ich immer wieder auf Anwender(innen), die sich mit englischen Begriffen schwer tun. Ich fragte also kurz bei Brian Krebs nach, ob ich sein Bild benutzen und eindeutschen darf; er stimmte netterweise sofort zu (mit der verständlichen Bitte, auf seinen Artikel zu verlinken).

Das Bild zeigt nun verschiedene Angriffe auf einen Privat-PC und die Auswirkungen, die diese Angriffe haben können. Ich bin mir sicher dass sich jeder Anwender irgendwo wiederfinden wird.

Gefahren für private Rechner

Eine größere Version des Bildes: Bedrohung privater Rechner

Betrachten wir nun einige Zweige genauer. Starten möchte ich mit dem Punkt Anmeldedaten. Auch wenn jemand kein Online-Banking macht, benutzt jeder irgendeine Webseite, auf der er/sie sich anmelden muss. Gelingt es einem Angreifer nun z.B., auf dem PC Tastatureingaben abzufangen, kann er auf eBay getürkte Auktionen erstellen oder auf Auktionen bieten. Über einen PayPal-Zugang kann Geld gewaschen oder ganz simpel Geld gestohlen werden. Denkbar ist auch der Zugriff auf gekaufte Musik und eBooks, die sich der Angreifer aneignet.

Hält man sich nun an Gesetz und Ordnung, kauft man sicherlich seine Software. So ist es oft so dass sich auf dem heimischen PC Lizenz-Keys für erworbene Programme befinden; das geht hin bis zum Betriebssystem. Taucht der eigene Windows-Key dann im Internet auf, kommt es im schlimmsten Fall zu einer Sperrung des Schlüssels und Windows behauptet plötzlich eine Raubkopie zu sein. Für Online-Spieler dürfte auch der Verlust eines über Monate aufwendig gepflegten Spielcharakter in z.B. World of Warcraft zu verlieren (oder zumindest gesammelte virtuelle Güter).

Ein Angreifer könnte aber auch Zugriff auf verschiedene Online-Identitäten bekommen und z.B. den eigenen Facebook-Account für Beleidigungen benutzen, die dann scheinbar unter dem Namen des Opfers veröffentlicht werden. Die eigene Reputation wieder herzustellen kann sehr schwierig sein. Noch schlimmer könnte der Missbrauch von Business-Netzwerken sein; Beispiele sind hierfür XING oder Linkedin. Peinlich wäre auch ein Missbrauch eines Online-Stellenportals. Wie würde der eigene Arbeitgeber reagieren, wenn er plötzlich von einer (scheinbaren) Stellensuche erfährt?

Denkbar ist auch das Abgreifen des eigenen Mailadressbuches und der dann folgende Versand von SPAM an den eigenen Freundeskreis. Über den Zugriff auf ein Mailkonto hat der Angreifer u.U. auch Zugriff auf andere Konten; er braucht sich nur Passwort-Rücksetzmails zuschicken zu lassen. Ich brauche wohl nicht zu erwähnen, welche fatale Folgen ein Zugriff auf das Firmen-Mailkonto haben kann!

Man muss noch nicht mal selbst angegriffen werden. Vielleicht dient der eigene Rechner ja auch zum Verteilen von illegaler Software oder er attackiert als Teil eines Botnetzes andere Rechner. Die Polizei geht in so einem Fall erst mal davon aus, dass der Besitzer des Rechners auch der Angreifer ist. Gerät man gar unter Verdacht, Kinderpornographie verteilt zu haben, kann sehr schnell das eigene Leben auseinanderfallen.

Schliesslich möchte ich noch auf einen Punkt hinweisen, der die virtuelle mit der physikalischen Welt verbindet. Über den Zugriff auf private Termine können Verbrecher den passenden Zeitpunkt für einen Einbruch oder einen Autodiebstahl herausfinden.

Was kann man nun tun? Hier gibt es nun genug Seiten im Internet, die einem dazu Tipps geben. Man sollte aber mindestens das Betriebssystem und die Programme auf dem aktuellen Stand halten, nicht als Administrator arbeiten und regelmäßig Sicherungen vom eigenen Rechner anfertigen.

Der beste Schutz ist aber immer noch, bei der Nutzung des Internets den eigenen Verstand zu nutzen!

Der Link zum Originalartikel: Brian Krebs: The Scrap Value of a hacked PC, Revisited

PS: Ich würde mich über Kommentare und sachliche Kritik freuen. Ist so eine Grafik hilfreich?