Results for tag "hacking"

Kino-Tipp: Whoami

Hinweis: der folgende Text könnte Hinweise auf entscheidende Punkte der Handlung enthalten. Wer sich den Spass nicht verderben will, sollte vielleicht erst ins Kino gehen;-)

Normalerweise bin ich kein großer Fan deutscher Produktionen. Deutsche Filme stellen oft Psychologie und Beziehungsprobleme in den Vordergrund, auch wenn es (meiner Meinung nach) nicht zur Geschichte passt. Aber der Trailer zu „Whoami“ machte mich neugierig: ein deutscher Film über Hacker? „23“ war ja ein ganz guter Film, aber auf der anderen Seite gibt es im Moment ja auch eine Schwemme an „Hacker“-Filmen. Aber das Kino schien mir eine bessere Alternative zu Halloween zu Hause zus ein und da ein Freund mitkommen wollte, habe ich mich in Bewegung gesetzt;-)

Der Film fängt mit dem Ende an und der Hauptdarsteller erzählt, wie es zu diesem Ende gekommen ist. Diese Erzählweise ist ja nicht unbekannt im Kino und wird in verschiedenen Filmen unterschiedlich eingesetzt. Ich will hier nicht zu viel verraten, aber einem fleissigen Filmgucker werden zum Ende des Films (mindestens) zwei weitere Filme einfallen…

Die Geschichte wird gut erzählt und man baut zu den einzelnen Darstellern eine gute Beziehung auf (ob positiv oder negativ mag bei Jedem unterschiedlich sein).

Was mir gut gefiel: die Darstellung der Unterhaltungen im Chat. So etwas ist ja immer schwierig darzustellen, aber hier fand ich die Umsetzung sehr gut gelungen.

Wenn gehackt wurde, dann machte Einiges auf den Bildschirmen sogar Sinn; insbesondere NMAP wurde mit zusätzlichen Skripten immer wieder ins Spiel gebracht.

Natürlich muss Einiges so dargestellt werden, dass auch das Nicht-Computeraffine Publikum unterhalten wird (und die Geschichte vorangetrieben wird). Deshalb kann ich zwei Dinge auch wohlwollend tolerieren;-)

Erstens: wie wir alle schon in „Hackers“ gelernt haben: man hackt nicht von zu Hause aus (ok, in „Hackers“ geht der Satz weiter mit „keine Bank“). Und der zweite Fehler: man klebt entweder die Kamera im Laptop ab oder deaktiviert sie;-)

Die Hacks selber waren echt lustig. Mehr verrate ich aber nicht;-) Allerdings hoffe ich aber mal, dass man beim BND nicht so einfach ins neue Gebäude kommt; sonst muss ich mich schon fragen, wohin das ganze Geld für den Bau ging;-)

Schön war auch, dass „Social Engineering“ und „Hardware Hacking“ eine Rolle spielten; oft sieht man in Filmen ja meistens nur Software-Voodoo.

Mein Fazit: ich empfehle den Film; auch für Nicht-Technikaffine. Und wenn er auf DVD rauskommt, kommt der Film in meine Sammlung.

PS: nette Randnotiz: auf Seiten der Ermittler gab eine Haeckse den entscheidenden Hinweis.

 

 

 

 

BRUCON 2014

Ich habe auch in diesem Jahr die BRUCON-Konferenz im schönen Städtchen Gent besucht. Leider war in diesem Jahr kein Budget für ein Training vorhanden, so daß ich nur von der Konferenz berichten kann.

Wie üblich gab es wieder Vorträge und (teilweise) parallel Workshops. Man konnte sich über eine Webseite einen eigenen Kalender zusammenstellen; allerdings wurde nicht deutlich, dass man sich so auch für die Workshops registriert hat. So hatte ich aber zumindest einen Platz in jedem gewünschten Workshop sicher…

Die Konferenz begann am Donnerstag mit einer Keynote von Jennifer Minella. Ihr Thema war, wie wir mehr Leute für IT Security begeistern können, um die Personalknappheit zu vermindern. Sie nutzte dazu Zitate aus Büchern von Dr. Seuss. Zwei Punkte haben mir besonders gut gefallen:

– Leadership bedeutet Leader zu erschaffen, nicht Follower

– Man begeistert Leute nicht für die IT Security, wenn man selber nur darüber spricht wie schlecht alles ist

Ich bin eigentlich kein Freund von Keynotes, fand diese aber gut.

Der nächste Vortrag von Matt Hastings und Ryan Kazanciyan hatte den Titel Investigating PowerShell Attacks. Die Beiden haben sehr schön aufgezeigt, welche neue Angriffsfläche durch PowerShell entstehen kann und wie sich PowerShell für Attacken nutzen lässt. Die Folien werde ich mir auf jeden Fall noch mal in Ruhe anschauen und einige Dinge in meine Beratung einfliessen lassen.

Danach gab es einen Vortrag von Aaron Lemasters mit dem Titel Windows Crash Dump Exploration Vehicles. In dem Talk wurde gezeigt, was bei einem Crash Dump passiert und wie sich das ausnutzen lässt, um z.B. bei einem Befall mit einem Rootkit der MBR ausgelesen werden kann. Keine leichte Kost, aber zu empfehlen.

Danach hatte ich die Auswahl zwischen drei Workshops. Leider habe ich mich in den falschen Workshop gesetzt…

Daniela Zapata und Wim Remes wollten einen vierstündigen Workshop zum Thema The dirty secrets of client-side exploitation and protection halten. Unglücklicherweise befanden sich die Hands-on Labs in dem Koffer, der nicht den Weg nach Gent gefunden hatte (merke: immer ein Backup haben). So ging Wim eine Stunden lang seine Folien durch, die aber für mich nicht viel Neues enthielten. Interessant war aber, dass er einige Freiwillige in die Stadt schickte mit dem Auftrag, von Wildfremden die Mailadressen und Telefonnummern zu bekommen. Und sie kamen nicht ohne Beute zurück…

Schade nur dass nicht gezeigt wurde, wie man mit diesen Informationen an weitere Informationen zur Vorbereitung eines Angriffs kommt.

Nun musste ich mich entscheiden, wie ich die Lücke füllen sollte. Ich entschied mich, in den Workshop Javascript for Pentesters with over 20 Challenges von Vivek Ramachandran zu gehen. Ursprünglich hatte Vivek für den Workshop vier Stunden vorgesehen, wurde aber wegen parallel laufender Workshops gebeten, seinen Workshop zwei Mal zu halten. Er musste seine Beispiele deswegen in 120 Minuten packen. Die hatten es dann aber in sich. Selbst ich als ziemlicher Javascript-Neuling konnte fast allen Beispielen folgen und ich war erstaunt, was damit so alles geht. Wirklich schade, dass es davon keine Videoaufzeichnung gibt.

Zu der Party sage ich nur so viel, dass keiner tanzte, die Musik aber trotzdem zu laut zum Unterhalten war. Ich plädiere hier für eine Rückkehr zu der Location von vor zwei Jahren.

Am nächsten Morgen haben wir uns kurzfristig für den Workshop Splinter the Rat Attack: Create your own Botnet to exploit the network von Solomon Sonya entschieden. Dieser Workshop war aufgrund von Änderungen am Ablauf in den ersten Slot geraten, was sich als Glück für uns herausstellte. Solomon zeigte uns in dem Workshop, wie man mit seinem Tool Splinter und einigen anderen Tools ein Botnetz aufbaut. Wir haben auch darüber diskutiert, wie man sich dann am besten vor Entdeckung schützt. Der Workshop war ein echter Gewinn und aufbauend auf seinen Tools kann man mal ein anderes Live-Hacking als das Übliche „hier ist die Shell“ aufbauen.

Danach ging es dann zu Willi Ballenthin und seinem Workshop „EID 1102 – The Audit Log was cleared“ wont stop me: Advanced Windows Event Log Forensics. Willi erklärte einige Internas zum Windows Event Log und erklärte die Unterschiede zwischen dem Prä-Vista Event Log und der neuen Version (ab Vista). Er stellte dann einige Tools vor, mit denen man auch dann noch Informationen aus dem System holen kann, wenn ein Angreifer das Event Log gelöscht hat. Ein sehr interessanter Wokshop von jemand, der weiß wovon er spricht.

Abschliessend gab es dann noch den Workshop Network Device Forensics von Didier Stevens. Es standen 20 CISCO-Geräte für die Teilnehmer zur Verfügung; leider bekam ich meine serielle Schnittstelle nicht zum Laufen, so daß ich auf die vorgefertigten Dumps zurückgreifen musste. Didier erzählte zuerst etwas über die Internas von CISCO IOS und zeigte dann, wie man einen Dump von einem IOS-Gerät macht. Er stellte dann ein paar seiner eigenen Tools vor, um diese Dumps zu analysieren. Wie praktisch, dass ich noch einen alten ISDN-Router zu Hause habe;-)

Auch dieser Workshop war sehr spannend und wer sich mit CISCO IOS beschäftigt, sollte mal einen Blick auf seine Tools werfen.

Nach diesem Workshop war dann Schluß für uns und wir haben uns auf den Heimweg gemacht.

Ich habe wieder viel gelernt, alte Freunde getroffen und neue Freunde gewonnen. Das macht für mich BRUCON aus.

In diesem Sinne: bis zum nächsten Jahr! (Und dann hoffentlich wieder mit dem Besuch eines Trainings)

PS: was ich gerne noch gesehen hätte:

– Michael Sikorski: Counterfeiting the pipes with Fakenet 2.0 (zumindest habe ich die Slides)

– Hal Pomeranz: Linux Forensics Workshop (ich habe zu spät gesehen, dass der Workshop Donnerstag Abend noch mal lief)

– Jake Valletta: Exploiting the bells and whistles: Uncovering OEM vulnerabilities in Android (auch hier habe ich aber die Materialien; der Workshop soll sehr gut gewesen sein)

TInfoLeak – Infos über Twitter-User mit Hilfe von Python abfragen

Ich bin über ein nettes kleines Tool gestolpert, mit dem man aus der Kommandozeile heraus Infos über Twitter-User abfragen kann. Das Tool nennt sich tinfoleak und die Webseite dazu ist http://vicenteaguileradiaz.com/tools/. Ich habe ein bisschen mit dem Tool herumgespielt und möchte meine ersten Eindrücke schildern.

Damit man das Tool nutzen kann benötigt man zum einen Tweepy (eine Twitter API Library für Python)[1] und  zudem OAuth Credentials (API Key) für den API-Zugriff[2]. Tweepy gibt es sowohl für Linux als auch für Windows; die Windows-Variante scheint aber noch nicht richtig zu funktionieren.Ich habe Tweepy und TInfoLeak deshalb unter OpenSuse 13.1 installiert. Unter [2] sind die Schritte ganz gut beschrieben. Ich habe dort eine nicht existente App eingetragen und erhielt so einen API Key und ein API Secret (die man für sich behalten soll). Das reicht aber noch nicht; man muss sich auch noch eine Access Token mit entsprechendem Access Token Secret erzeugen. Diese vier Informationen benötigt man später. Am Besten packt man die Infos in eine Textdatei, damit man sie später nicht von Hand eingeben muss.

Tweepy installiert man am Einfachsten über „easy_install tweepy„; andere Methoden (Git Repository / Source Archiv) sind unter [3] beschrieben.

TInfoleak wird nicht installiert; das Paket besteht nur aus einem README und dem Python-Skript. Vor dem ersten Start muss man aber noch die oben erwähnten vier Information im Skript eintragen:

# OAuth Settings
# How to obtain the API key:
# Go to https://dev.twitter.com/apps/new
# Copy the consumer key (API key), consumer secret, access token and access token secret
CONSUMER_KEY = “
CONSUMER_SECRET = “
ACCESS_TOKEN = “
ACCESS_TOKEN_SECRET = “

„CONSUMER_KEY“ und „CONSUMER_SECRET“ beziehen sich hier auf „API Key“ und „API Secret“.

Nun sind wir bereit für einen ersten Test. Zuerst einmal rufe ich meine eigenen Infos ab. python tinfoleak.py -n twallutis -b liefert:

+++
+++ tinfoleak v1.2 – „Get detailed information about a Twitter user“
+++ Vicente Aguilera Diaz. @VAguileraDiaz
+++ Internet Security Auditors
+++ 03/02/2014
+++

Looking info for @twallutis

Account info
——————-
Screen Name: twallutis
User name: Thomas Wallutis
Twitter Unique ID: 49129829
Account created at: 06/20/2009
Followers: 279
Tweets: 6751
Location: Germany
Description: Computer Nerd; especially MS Exchange and Security. All tweets are my own opinion. Blame me, not others! I tweet in German and bad English.
URL: http://t.co/KNbtt73v6M
Profile image URL: http://pbs.twimg.com/profile_images/274513070/foto_normal.jpg

Elapsed time: 00:00:00

See you soon!

Nun möchte ich gerne wissen mit welchen Apps ich so meine Tweets verschicke. python tinfoleak.py -n twallutis -s liefert

+++
+++ tinfoleak v1.2 – „Get detailed information about a Twitter user“
+++ Vicente Aguilera Diaz. @VAguileraDiaz
+++ Internet Security Auditors
+++ 03/02/2014
+++

Looking info for @twallutis

100 tweets analyzed

Date Source
————————————
09/11/2014 – TweetDeck
09/07/2014 – TweetCaster for Android
09/02/2014 – Twitter Web Client
09/01/2014 – XING
08/26/2014 – Twitter for Websites
08/26/2014 – Twitter for Android

6 results.

Elapsed time: 00:00:03

See you soon!

Hinweis: es werden die letzten 100 Tweets analysiert. Frage ich z.B. die letzten 1000 Tweets ab, indem ich noch „-c 1000“ anhänge, erhalte ich

Looking info for @twallutis

        1000 tweets analyzed

        Date         Source
        ————————————
        09/11/2014 – TweetDeck
        09/07/2014 – TweetCaster for Android
        09/02/2014 – Twitter Web Client
        09/01/2014 – XING
        08/26/2014 – Twitter for Websites
        08/26/2014 – Twitter for Android
        08/15/2014 – Social Proxy by Mailchimp

Daraus könnte man jetzt schon Informationen für einen gezielten Angriff ableiten. Aber es gibt noch mehr: „python tinfoleak.py -n twallutis -p 1“ durchsucht die Tweets nach Bildern und speichert diese ab („-p 0“ würde sie direkt anzeigen).

python tinfoleak.py -n twallutis -f Blacky“ durchsucht meine Tweets nach dem Wort „Blacky“ und findet ganz korrekt meinen Tweet zum Tod von Joachim Fuchsberger:

+++
+++ tinfoleak v1.2 – „Get detailed information about a Twitter user“
+++ Vicente Aguilera Diaz. @VAguileraDiaz
+++ Internet Security Auditors
+++ 03/02/2014
+++

Looking info for @twallutis

100 tweets analyzed

Date Word [Blacky]
————————————
09/11/2014 – Joachim Fuchsberger ist tot. R.I.P. Blacky!

1 results.

Elapsed time: 00:00:02

See you soon!

Ich kann mir aber auch anzeigen lassen, welche Hashtags ein Account benutzt. Der Twitter-Account @MSCloud hat in den letzten 100 Tweets die folgenden Hashtags benutzt („python tinfoleak.py -n mscloud -h„):

+++
+++ tinfoleak v1.2 – „Get detailed information about a Twitter user“
+++ Vicente Aguilera Diaz. @VAguileraDiaz
+++ Internet Security Auditors
+++ 03/02/2014
+++

Looking info for @MSCloud

100 tweets analyzed

Date Hashtags
————————————
09/11/2014 – #Azure
09/11/2014 – #MachineLearning
09/10/2014 – #Azure #Cloud
09/09/2014 – #24hopquiz
09/08/2014 – #Cloud #MSFT
09/05/2014 – #Podcast
09/05/2014 – #Cloud #Azure
09/04/2014 – #Microsoft #MachineLearning
09/04/2014 – #winning
09/03/2014 – #machinelearning #msft
08/30/2014 – #CANITPRO #ITPRO #Azure #Cloud
08/29/2014 – #BigData
08/27/2014 – #bigdata #PredictiveAnalytics #machinelearning
08/26/2014 – #winserv
08/26/2014 – #SQLServer #Azure
08/25/2014 – #WindowsIntune
08/24/2014 – #azureml
08/23/2014 – #azureml #MLatMSFT
08/22/2014 – #Cloud #Gaming #CloudComputing
08/21/2014 – #Hybrid #Cloud
08/19/2014 – #machinelearning #MLatMSFT #bigdata #datascience
08/15/2014 – #winserv #SysCtr

22 results.

Elapsed time: 00:00:02

See you soon!

Und wie sieht es mit Mentions aus (hier beschränkt auf die letzten 10 Tweets)? „python tinfoleak.py -n twallutis -m -c 10“ liefert uns:

+++
+++ tinfoleak v1.2 – „Get detailed information about a Twitter user“
+++ Vicente Aguilera Diaz. @VAguileraDiaz
+++ Internet Security Auditors
+++ 03/02/2014
+++

Looking info for @twallutis

10 tweets analyzed

Date User mentions
————————————
09/11/2014 – @niggi
09/11/2014 – @andreasdotorg
09/11/2014 – @jnievele
09/11/2014 – @Laberfasel
09/11/2014 – @semibogan @thegrugq @dcuthbert
09/11/2014 – @dcuthbert @semibogan
09/11/2014 – @katerussell @TrendMicro @rik_ferguson

7 results.

Elapsed time: 00:00:01

See you soon!

Daraus lässt sich erkennen, mit wem ich mich so austausche.

Mit dem Parameter „-g“ und einem Dateinamen kann ich die in einem Tweet evtl. vorhandenen Geo-Informationen auslesen und in eine Datei speichern, die ich in z.B. Google Earth öffnen kann. Dann sehe ich, wo die betreffenden Person war, als der Tweet abgesetzt wurde. Ich selber übertrage aber keine Geolocation-Informationen und habe bisher auch keinen Account gefunden, der brauchbare Informationen geliefert hat. Hier aber ein einfaches Beispiel; ich benutze auch den Parameter „-t“, um mir die Uhrzeit des Tweets mit anzeigen zu lassen:

python tinfoleak.py -n scienceporn -g scienceporn.kml -t

liefert

+++
+++ tinfoleak v1.2 – „Get detailed information about a Twitter user“
+++ Vicente Aguilera Diaz. @VAguileraDiaz
+++ Internet Security Auditors
+++ 03/02/2014
+++

Looking info for @SciencePorn

100 tweets analyzed

Date Time Geolocation information
————————————
09/10/2014 – 19:41:58 – London
09/10/2014 – 16:01:05 – London
09/10/2014 – 15:09:58 – London
09/09/2014 – 23:29:23 – London
09/09/2014 – 14:46:38 – London
09/08/2014 – 20:40:19 – London
09/07/2014 – 18:18:21 – London
09/06/2014 – 13:31:55 – London
08/31/2014 – 20:54:45 – London
08/28/2014 – 21:12:39 – London

10 results.

Elapsed time: 00:00:03

See you soon!

Orts- und Zeitangaben können ein Bewegungsprofil des Accounts liefern und auch nur die Uhrzeit ergibt eine interessante Information.

Es gibt auch noch Optionen, um die Suche auf einen bestimmten Zeitraum bezogen auf Tage und Uhrzeit einschränken zu können.

Falls jemand interessante Szenarien findet, würde ich mich auf einen Hinweis in den Kommentaren freuen.

 

[1] https://github.com/tweepy/tweepy
[2] https://dev.twitter.com/discussions/631
[3] https://github.com/tweepy/tweepy/blob/master/INSTALL

 

Buchtipps

Da ich längere Zeit nichts gebloggt habe, stapeln sich auf meinem Tisch die gelesenen Bücher. Es ist also mal wieder Zeit für ein paar Buchbesprechungen.

Anfangen möchte ich mit dem Buch Der heilige Krieg von Guido Knopp, Stefan Brauburger und Peter Arens. Das Buch beschreibt die (militärischen) Konflikte zwischen muslimischen und christlichen Konfliktparteien von der Geburt des Islams bis heute. Dabei wird beschrieben, dass sich gerade die muslimischen Eroberer z.B. während der Kreuzzüge deutlich humaner verhalten haben in Bezug auf die Schonung des Gegners und der Zivilbevölkerung. Es wird auch aufgezeigt, wie die westlichen Mächte die muslimischen Völker gerne ausgenutzt hat, um eigene Ziele zu verfolgen (z.B. im ersten Weltkrieg). Aber es wird auch beschrieben, wie die muslimischen Länder im Laufe der Jahrhunderte durch eigenen Fehler ihre Vormachtstellung in Kultur und Wissenschaft verspielten. Das Buch liefert gutes Hintergrundwissen, um die Situation im nahen und mittleren Osten besser verstehen zu können. Bei einem Preis von 12,99€ und einem Umfang von ca. 380 Seiten (und einem handlichen Format) ist das eine schöne Urlaubslektüre.

Das nächste Buch ist Geheimer Krieg von Christian Fuchs und John Goetz. In disem Buch wird aufgezeigt, wie wichtig Deutschland für den „KAmp gegen den Terror“ der USA ist und wie tief verwickelt deutsche Dienste sind. Es geht hierbei um die Steuerung von Drohnen, das Koordinieren von Einsätzen auf dem afrikanischen Kontinent und das Abhören. Obwohl ich Einiges schon aus anderen Quellen kannte, haben mich die detaillierten Beschreibungen schon öfter geschockt. Wer sich eingehender mit diesem Themenkomplex beschäftigen will, dem kann ich das Buch nur sehr ans Herz legen.

Mit dem dritten Buch bleiben wir in Deutschland; aber jetzt geht es um das organisierte Verbrechen. Der ehemalige Kölner Staatsanwalt Egbert Bülles beschreibt in „Deutschland Verbrecherland?„, wie sich die organisierte Kriminalität in Deutschland ausgebreitet hat und welchen Problemen sich Polizei und Ermittlungsbehörden stellen müssen. Ich stimme ihn nicht immer zu (z.B. beim Thema Vorratsdatenspeicherung), aber das Buch enthielt doch einige interessante Informationen. Die größten Probleme scheinen das Desinteresse der Politik sowie die personelle Unterbesetzung von Polizei und Staatsanwaltschaft zu sein. Auch wenn man, wie ich, seine Aussagen nicht immer teilt, ist es ein wichtiges und interessantes Buch. Und man soll ja sowieso nicht immer nur Sachen lesen, die einen in der eigenen Meinung bestärken.

Nun gehen wir von der Sachbuchabteilung weg in die Thriller-Ecke. Das erste Buch ist Biest von Jenk Saborowski. Dieses Buch reiht sich ein in die Liste der Bücher, bei denen es sich um Cyber-Attacken gegen Industrieanlagen dreht. Das Buch spart nicht an Klischees (böse Russen), aber ist ganz unterhaltsam geschrieben. Ich will nicht zu viel über den Inhalt verraten, aber das Ende enthält einen netten Twist. Als HArcover wäre mir der Preis zu hoch, aber das Tschenbuch stellt ein gutes Preis-/Leistungsverhältnis dar. Das richtige Buch für den Strand;-)

DAs letzte Buch ist Silent Control von Thore D. Hansen. Auch dieses Buch dreht sich (surpise, surprise) um die Themen Hacker, Überwachung und Geheimdienste. Hier will ein schwedischer Hacker nur mit Hilfe eines selbst geschriebenen Programms für Transparenz sorgen und steckt plötzlich inmitten einer Verschwörung, in die auch die CIA verwickelt ist. Deren Leiter hat etwas entwickeln lassen, dass Überwachung in ungeahnter Dimension ist. Und es wird auch sehr schön beschrieben, wer daran Interesse haben könnte und wie man widerstrebende Politiker dazu bringt, den Einsatz zu unterstützen. Das Buch braucht etwas, bis es einen fesselt; aber das Durchhalten wird mit einer interessanten Geschichte belohnt. Inwieweit man die beschribene technologie für realistisch hält, muss jeder selbst entscheiden. Ich bezweifle nicht, dass daran geforscht wird; aber ich hoffe sehr stark, dass das nie jemand einsetzt.

Das soll es für heute erst mal gewesen sein.