KAPE – Daten extrahieren und analysieren

Eine forenische Analyse besteht, grob gesprochen, aus zwei Teilen: der Extraktion von interessanten Daten und der Analyse der extrahierten Daten. Ein bekanntes Tool hierfür ist Autopsy. Vor Kurzem bin ich beim Betrachten eines Videos (YouTube-Kanal von 13cubed) auf ein weiteres Tool gestoßen: KAPE (KROLL Artifact Parser and Extractor). Wie der Name schon vermuten lässt, wird dieses Tool von der Firma KROLL zur Verfügung gestellt. Autor des Tools ist Eric Zimmerman, der schon einige interessante Forensik-Tools entwickelt hat.

Das Tool erfordert eine kostenfreie Registrierung. Nach der Registrierung erhält man einen Download-Link, über den KAPE heruntergeladen werden kann.

KAPE muss nicht installiert werden. Man kann das Verzeichnis, das man nach dem Entpacken erhalten hat, einfach auf einen USB Stick übertragen.

Das Verzeichnis enthält drei Unterverzeichnisse: Documentation, Modules und Targets. Zu den beiden letzten Verzeichnissen kommen wir später; der Inhalt von „Documentation“ besteht aus einer Textdatei mit dem Link zur aktuellen Dokumentation und einem PDF mit den Nutzungsbedingungen. Die kommerzielle Nutzung ist, soweit erkennbar, nicht ausgeschlossen.

Das Hauptverzeichnis selbst enthälteine Datei mit Änderungen (ChangeLog), ein Skript zum Updaten  von KAPE sowie die Kommandozeilen- und die GUI-Version von KAPE.

Das Verzeichnis „Targets“ enthält die Anweisungen, welche Dateien zu sammeln sind. Hierbei ist anzumerken, dass es sich um Textdateien und nicht um Programme handelt!

Schauen wir uns zum Beispiel die Datei zum Sammeln von Dateien zum TrendMicro-Virenscanner an (TrendMicro.tkape):

Description: Trend Micro Data
Author: Drew Ervin
Version: 1.0
Id: 73f8ccea-61cf-4993-aa26-e5cad4f8cc8f
RecreateDirectories: true
Targets:
-
Name: Trend Micro Logs
Category: Antivirus
Path: C:\ProgramData\Trend Micro\
IsDirectory: true
Recursive: true
Comment: ""
-
Name: Trend Micro Security Agent Report Logs
Category: Antivirus
Path: C:\Program Files*\Trend Micro\Security Agent\Report\*.log
IsDirectory: false
Recursive: false
Comment: ""
-
Name: Trend Micro Security Agent Connection Logs
Category: Antivirus
Path: C:\Program Files*\Trend Micro\Security Agent\ConnLog\*.log
IsDirectory: false
Recursive: false
Comment: ""

Die Dateien aus „Targets“ enden alle auf .tkape. In ihnen ist beschrieben, wo KAPE nach Dateien suchen soll. Es kann angegeben werden, ob es sich um Dateien oder ein Verzeichnis handelt und ob rekursiv gesichert werden soll. Somit kann man sich selbst einfach zusätzliche „Targets“ schreiben.

Innerhalb von „Targets“ gibt es verschiedene Unterverzeichnisse für die verschiedenen Applikationsarten. Die obige Datei wurde dem Verzeichnis „Antivirus“ entnommen.

Das Verzeichnis „Modules“ ist ähnlich aufgebaut. Der entscheidende Unterschied ist das Verzeichnis „bin“. Das Auswerten der gesammelten Dateien überlässt KAPE nämlich einer großen Anzahl von Tools. Hier finden sich Eric Zimemrmans eigene Tools, Tools von Sysinternals und noch viele weitere Programme. Wobei diese Aussage nicht ganz richtig ist; „bin“ muss nämlich erst gefüllt werden.

Schauen wir uns aber erst mal eine .mkape-Datei an:

Description: Autoruns reports Explorer shell extensions, toolbars, browser helper objects, Winlogon notifications, auto-start services, and much more.
Category: LiveResponse
Author: Andy Furnas, Encoding updates by piesecurity
Version: 1.1
Id: c95e71bd-7abb-48c3-abae-f48b9ff19dec
BinaryUrl: https://download.sysinternals.com/files/Autoruns.zip
ExportFormat: csv
Processors:
-
Executable: C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe
CommandLine: -Command "%kapedirectory%\Modules\bin\autorunsc.exe -a * -s -user * -c -accepteula -nobanner -h | Set-Content -Path %destinationDirectory%\autoruns.csv"
ExportFormat: csv

Wie hier zu sehen ist, wird das Tool Autoruns mit bestimmten Parametern aufgerufen und die Ergebnisse werden in einer CSV-Datei abgespeichert. Wichtig ist hierbei auch noch die Zeile mit „BinaryURL“, die angibt wo das Programm heruntergeladen werden soll.

KAPE erledigt nicht das Herunterladen des Programmes; aber es erleichtert das Suchen nach fehlenden Programmen. Dazu führt man zuerst einmal folgenden Aufruf von KAPE aus (Kommandozeilen- und GUI-Version müssen immer mit administrativen Rechten ausgeführt werden):

kape --mlist . --mdetail

Das Ergebnis sieht dann so aus:

J:\KAPE>kape --mlist . --mdetail

Modules found: 0

Sub directories
!Disabled
BrowsingHistory
EventLogs
FileFolderAccess
FileSystem
LiveResponse
Misc
ProgramExecution
Registry
Timelining

Das ist erst mal nicht so spektakulär. Führt man aber zum Beispiel

kape --mlist BrowsingHistory --mdetail

aus, so werden die Details zu den Tools aus dem Bereich BrowsingHistory angezeigt. Hier als Beispiel „HindSight“:

Module: Hindsight
Description: Hindsight - Chrome browser parsing
Category: BrowsingHistory

Processor details:
Executable: hindsight.exe
Command line: -i %sourceDirectory% -o %destinationDirectory%\Hindsight_output -f xlsx
Export format: xlsx

Executable: hindsight.exe
Command line: -i %sourceDirectory% -o %destinationDirectory%\Hindsight_output -f json
Export format: json

Fehlt nun ein Tool, so steht am Ende der Ausgabe:

The following modules are missing binaries (Module name --> Download URL):
Hindsight --> https://github.com/obsidianforensics/hindsight/releases

Wichtig: der Name des Programms muss genau dem Namen hinter „Executable“ entsprechen! Bei Tools, die in 32-Bit- und 64-Bit-Versionen vorliegen, kann das zu einem Problem führen, da der Prozessortyp oft im Namen enthalten ist.

Sofern noch 32-Bit-Systeme zu untersuchen sind, empfiehlt sich die Zusammenstellung von zwei KAPE-Ordnern je nach Prozessortyp.

Wie wird KAPE nun angewendet? Betrachten wir zuerst den Schritt des Datensammelns. Hierbei kann KAPE ein Live-System auswerten, auf eine externe Platte (natürlich über WriteBlocker) zugreifen oder eine E01-Datei verwenden (E01= Encase File Format). In einem anderen Blog habe ich den Hinweis gefunden, dass man zum Mounten einer E01-Datei nicht den FTK Imager nehmen soll, sondern den Arsenal Image Mounter. Der Grund dafür ist wohl dass der FTK Imager keine Volume Shadow Copies zugreifbar macht[1].

Beim Aufruf bedienen wir uns eines kleinen Tricks. Die GUI-Version zeigt nach der Auswahl der Optionen die entsprechende Kommandozeile an. Interessant ist hierbei, dass die korrekte Kommandozeile erst angezeigt wird, nachdem man in das Feld „Current Command Line“ geklickt hat.

Hier ein einfacher Aufruf:

.\kape.exe --tsource C:\Users\Thomas --tdest J:\KAPE_Daten\Targets --tflush --target Firefox,WebBrowsers --gui

Der Schalter „–gui“ würde bei einem Aufruf über die Kommandozeile natürlich weggelassen.

KAPE soll also nur die Daten kopieren, die die Targets Firefox und WebBrowsers betreffen. Diese Daten sollen unterhalb von „C:\Users\Thomas“ gesucht und nach „J:\KAPE_Daten\Targets“ kopiert werden. Dabei soll das Zielverzeichnis vorher geleert werden!

Hinter dem Target „WebBrowsers“ verbirgt sich der Aufruf für die Targets der Browser Chrome, Edge, Internet Explorer und FireFox; insofern war der Parameter „FireFox“ redundant.

Etwas irritierend sind die Aufrufe innerhalb von FireFox.tkape:

Path: C:\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\*\places.sqlite*

Hier wird explizit C: angegeben, was nicht zwingend der Laufwerksbuchstabe sein muss, unter dem das Image eingebunden ist. In einem weiteren Artikel werde ich das Mysterium hoffentlich auflösen können.

Den Aufruf kann man aber noch verfeinern:

.\kape.exe --tsource C:\Users --tdest J:\KAPE_Daten\Targets --tflush --target Firefox --vss --vhdx test --zv false --gui

Der Schalter „–vss“ weist KAPE an, auch in den Volume Shadow Copies nach Daten zu suchen. Interessant ist auch der Schalter „–vhdx test“. Hiermit werden die Daten nicht einzeln kopiert, sondern es wird eine VHDX-Datei erzeugt (mit dem Namen „test“). Diese Datei soll aber nicht gepackt werden; deshalb der Schalter „–zv false“. Als Ziele stehen noch VHD- und ZIP-Dateien zur Auswahl.

Basierend auf dem SHA1-Hash der gefundenen Dateien findet auch noch eine Deduplizierung statt. Ist das nicht gewünscht, kann das mit dem Schalter „–tdd“ abgeschaltet werden.

Sofern bestimmte Dateien nicht kopiert werden sollen (obwohl sie zum Target passen), dann können entsprechenden SHA1-Hashes übergeben werden.

Werden die Dateien in einen VHDX- oder VHD-Container bzw. als ZIP kopiert, so kann die Zieldatei per SFTP übertragen oder in AWS S3 bzw. Azure Storage kopiert werden.

Hinweis: bei einem Live-System benötigt KAPE zwei Durchläufe, um in Benutzung befindliche Dateien auch kopieren zu können.

Liegen die kopierten Datein nun vor, können sie mit den passenden Modulen weiterbearbeitet werden.

Bleiben wir bei unserem Beispiel mit den Browserdaten. Als Quelle wird nun das Zielverzeichnis des obigen Aufrufs genommen. Die verarbeitenden Programme sind „Browsing History View“ von NirSoft und „Hindsight“.

.\kape.exe --msource J:\KAPE_Daten\Targets --mdest J:\KAPE_Daten\Modules --mflush --module BrowsingHistoryView,Hindsight 

Mit dem Schalter „–zm“ können die Ergebnisse gepackt werden; „–zpw <Passwort>“ legt ein Passwort auf die Datei.

Es können noch weitere Parameter gesetzt werden; aber für erste Gehversuche sollten die Angaben erst mal reichen.

Sofern es zu Problemen kommt, liegen im „Targets“- und im „Modules“-Ordner Protokolldateien.

[1] https://binaryforay.blogspot.com/2019/02/introducing-kape.html

 

Veröffentlicht unter forensik, security | Kommentare deaktiviert für KAPE – Daten extrahieren und analysieren

Neues Lesefutter

Es gibt mal wieder ein paar neue Buchvorschläge. Anfangen möchte ich mit Penetration Testing mit mimikatz – Das Praxis Handbuch von Sebastian Brabetz. Mimikatz ist ein Tool zum Angreifen von einzelnen Windows PCs, aber auch von ganzen Netzwerken. Es wird häufig bei Penetrations-Tests genutzt um die Sicherheit eines Active Directories zu testen. Dieses kleine Buch (230 Seiten) gibt einen Überblick über einige Angriffe, mit denen man rechnen muss wenn man ein Active Directory betreibt. Dabei liegt der Schwerpunkt auf praktischen Beispielen, wobei die Theorie nicht außen vorgelassen wird. Der einzige Kritikpunkt ist die sehr lange Einführung, da erst mal der Aufbau eines Test-Labs erklärt wird. Erst ab Seite 81 geht es richtig los. Aber falls man so etwas noch nicht gemacht hat, ist das schon hilfreich. Wer also eine gute (deutsch-sprachige) Einführung in das Thema sucht, kann hier zugreifen. Ich habe mir direkt Buch und eBook geholt, damit ich die Informationen auch unterwegs dabei habe.

Bei zweiten Buch muss ich vorab eine Warnung aussprechen: ich bin kein Mediziner und kann somit den Wahrheitsgehalt der Aussagen in dem Buch nicht beurteilen. Da es sich um ein kompliziertes Thema handelt, sind noch weitere Infos notwendig. Es geht um das Buch Depression und Burnout loswerden von Klaus Bernhardt. Warum die Vorbemerkung? Der Autor schreibt, dass Depression und Burnout oft durch die Lebensweise und falsche Ernährung ausgelöst oder verstärkt wird und dass Psychopharmaka meistens nicht helfen. Das sind Thesen, die nicht unbedingt dem entsprechen was ich vorher gehört habe. Allerdings enthält das Buch auch einige interessante Informationen darüber, wie das menschliche Gehirn funktioniert und wie man sich unter Umständen in starken Belastungssituationen selbst helfen kann. Ein Tipp ist, dass man innerlich die Sprache wechseln soll (z.B. auf Englisch), wenn man negative Selbstgespräche führt. Wie gesagt: ich bin kein Mediziner. Aber interessant war es schon.

Weg von diesem Thema zu etwas ebenfalls Ernstem, obwohl bei dem Thema man auch oft Schmunzeln oder Lachen muss. Es geht um Verschwörungstheorien. Im Buch Verschwörungsmythen – Wie wir mit verdrehten Fakten für dumm verkauft werden von Holm Gero Hümmler hat der Autor einen interessanten Ansatz. Er nimmt sich einige bekannte Verschwörungstheorien vor und betrachtet sie rein wissenschaftlich. Dabei versucht er erst gar nicht, sich mit politischen oder weltanschaulichen Argumenten auseinander zu setzen. Im Buch werden nur die Punkte betrachtet, die man naturwissenschaftlich betrachten kann. Dieser Ansatz kommt mir natürlich entgegen. Wenn mir nun mal wieder jemand mit Chemtrails kommt, kann ich zum Buch greifen und die Argumente Stück für Stück abarbeiten. Sehr empfehlenswert!

Bleiben wir bei dem Thema: Angela Merkel ist Hitlers Tochter – Im Land der Verschwörungstheorien von Christian Alt und Christian Schiffer nähert sich dem Thema aus einer anderen Richtung. Was sind das für Leute, die solche Theorien glauben? Zuerst war ihr Plan, eine eigene Verschwörungstheorie aufzubauen. Aber im Laufe ihrer Rechenrchen haben sie dann gemerkt, dass das Ganze dann doch nicht so lustig ist und haben es lieber gelassen (leider). Gut ist, dass sie nicht direkt starten mit „die sind ja alle blöd“, sondern schon versuchen zu verstehen was diese Leute antreibt. Desto tiefer sie in den Kaninchenbau eindringen, desto bizarrer wird es und auch desto gefährlicher. Manche Theorien sind echt sehr abgefahren und wenn es dann im letzten Kapitel zu David Icke kommt, dann muss man schon an der menschlichen Intelligenz zweifeln. David Icke ist der mit den Echsenmenschen…

Auch hier gilt: sehr interessant!

 

 

Veröffentlicht unter buecher | Kommentare deaktiviert für Neues Lesefutter

Mehr Lesestoff

Ich frage mich ja immer, warum Menschen zu Terroristen oder Amokläufern werden. Zu diesem Thema hatte ich schon Einiges gelesen; aber neulich fiel mir ein weiteres Buch dazu in die Hände.

Von Hass erfüllt von Nils Böckler und Jens Hoffmann versucht die Frage zu klären, was Menschen zu solchen Taten treibt. Der Schwerpunkt liegt hier bei Islamisten und Rechtsradikalen.

Einige Punkte in dem Buch sind nicht ganz unbekannt: oft handelt es sich um gescheiterte Existenzen, die ihrem Leben einen (makabren) Sinn geben wollen. Spannend war zu sehen, welche Parallelen es zwischen Tätern aus diesen Gruppen gibt. Und oftmals spielt die Ideologie gar keine so große Rolle. Bei Islamisten ist es wohl eher so, dass die Religin eher vorgeschoben ist; die Täter fielen vorher nicht durch tiefe Religiosität auf bzw. hatten nur geringe Kenntnisse.

Es wird auch auf die Rolle der Medien eingegangen, die durch ihre Berichterstattung oft Nachahmungstäter anregen. Im Buch wird deshalb auch fast immer auf die Nennung der Nachnamen der Täter verzichtet, um ihnen keine zusätzliche Publicity zu geben. Gerade bei Amokläufen kommt es zu Häufungen, da sich Personen „inspiriert“ fühlen. Der Amoklauf an der Columbine High School findet auch heute noch Nachahmungstäter.

Ferner wird auch die Bezeichnung „Einsamer Wolf“ für Einzeltäter kritisiert, da das eher verklärend wirkt.

Alles in Allem ein interessantes Buch.

Veröffentlicht unter buecher | Kommentare deaktiviert für Mehr Lesestoff

Und noch ein Buch…

Seit dem Sommer 2015 steht ja der Vorwurf des Rechtsbruchs im Raum. Wir erinnern uns: viele Flüchtlinge standen an der deutschen Grenze und die Kanzlerin hat damals die Entscheidung getroffen sie aufzunehmen.

Gemäß Abkommen innerhalb der EU ist eigentlich das Land für die Flüchtlinge zuständig, in dem sie zuert die EU betreten. Für Deutschland war das eine bequeme Position, da so nur noch Flüchtlinge eine Chance hatten, die per Flugzeug kamen. Von vielen Seiten gibt es seitdem den Vorwurf, dass damals durch die Regierung geltendes Recht gebrochen wurde.

Vor einiger Zeit habe ich dann bei verfassungsblog.de einen Beitrag gelesen, der erklärte dass es doch nicht so einfach ist. Als ich nun das Buch Die Zauberlehrlinge von Stephan Detjen und Maximilian Steinbeis in die Hände bekam, dachte ich mir: lass es dir doch mal genauer erklären.

Schon mal so viel vorweg: einige Kapitel sind zeimlich trocken; also genau das, was man bei dem Thema erwartet (und ich konnte auch nicht jeder Ausführung folgen). Andere Kapitel schildern die politischen Abläufe und lassen sich leichter lesen. Und dabei erfährt man schon interessante Dinge.

Ein gr0ßer Kritiker der Kanzlerin war Horst Seehofer. Der war im entscheidenden Moment (als sich eine große Gruppe Flüchtlinge auf die Grenze zubewegte) übrigens abgetaucht. Das scheint er wohl häufiger zu machen; was auch Parteifreunde oft ärgert. So drückte er sich um die Verantwortung, mit entscheiden zu müssen, und konnte nachher schön kritisieren. Meine gute Erziehung verbietet mir das angemessen zu kommentieren.

Interessant war auch der Hinweis im Buch darauf, dass die Regierung die Grenzen „geöffnet“ hätte. „Öffnen“ setzt voraus, dass etwas geschlossen ist. Nur gab es ja keine Grenzkontrollen mehr…

Und was ist jetzt mit dem Bruch der Dublin-Verordnung? Schauen wir mal bei Wikipedia nach:

Nach dem Dublin-Verfahren ist derjenige Staat verpflichtet, das Asylverfahren durchzuführen, in dem die asylsuchende Person zum ersten Mal die EU-Grenzen betritt. Ergibt diese Prüfung, dass ein anderer Dublin-Staat für den Asylantrag zuständig ist, so wird dieser Staat gebeten, die asylsuchende Person zu übernehmen.

Klingt ja erst mal einleuchtend, oder? Also wären damals die Grenzländer der EU zuständig gewesen. Aber  die Verordnung geht noch weiter:

Selbsteintrittsrecht: Jeder Mitgliedsstaat kann im Einzelfall einen sogenannten Selbsteintritt ausüben und unabhängig von den genannten Kriterien die Zuständigkeit für einen bei ihm gestellten Antrag übernehmen. Dieser ist an keine festen Voraussetzungen geknüpft. Die Übernahme der Zuständigkeit kann aus politischen oder humanitären Gründen erfolgen. Ein Anspruch auf die Ausübung eines Selbsteintritts besteht nicht, da eine Entscheidung darüber im Ermessen des BAMF liegt.

Wenn die Leute nur mal mehr als den ersten Satz lesen würden…

Das Buch beschreibt auch noch die Diskussionen von Staatsrechtlern, die auch ein lustiges Völkchen zu sein scheinen.

Ich halte das Buch für sehr interessant und sehr wichtig; auch wenn man sich durch manche Passagen durchbeissen muss.

Wichtig ist es beim Lesen eins im Hinterkopf zu behalten: Jura ist keine exakte Wissenschaft. Man kann bestimmte Gesetze und Verordnungen auch anders interpretieren (das Buch behauptet auch nicht, neutral zu sein). Aber es zeigt ganz klar, dass es einen „eindeutigen“ Rechtsbruch wohl nicht gegeben hat.

Veröffentlicht unter buecher | Kommentare deaktiviert für Und noch ein Buch…

Bücher, Bücher, Bücher…

Es wird mal wieder Zeit für eine Liste der Bücher, die ich in der letzten Zeit gelesen habe. Und da der letzte Beitrag zu dem Thema schon etwas länger her ist, wird dieser Beitrag auch etwas länger.

Tamer Bakiner: Der Wahrheitsjäger

Der Autor ist Privatdetektiv und beschreibt hier Fälle aus seiner Praxis. Zudem gibt er noch Tipps, wie man seine eigenen detektivischen Fähigkeiten verbessern kann (um z.B. auf Betrüger nicht reinzufallen). Letzteres kann Einen etwas paranoid machen und über die Wirksamkeit kann man streiten. Lässt man das aber beiseite, so gibt das Buch einen interessanten Einblick in den Alltag eines privaten Ermittlers (der sich auch mit Wirtschaftsfällen beschäftigt). An einigen Stellen nervt es zwar etwas, wenn der Autor sich selbst lobt; aber es bleibt im Rahmen.

Lesenswert!

Angela Nagle: Kill all normies

So viel schon mal vorneweg: das Buch ist in einem recht akademischen Stil geschrieben und nicht ganz einfach zu lesen.

Es geht um politische Diskussionen auf Online-Plattformen; insbesondere um solche wie z.B. 4Chan, die nicht Jedem bekannt sind.

Sie beschreibt hier die Plattformen, die zur Entstehung der sogennaten Alt-Rigt-Bewegung bzw. der Verbreitung der Ideen beigetragen haben. Aber auch eher „linke“ Plattformen wie Tumbl werden beschrieben; Letzteres war mir vorher nicht so richtig bekannt.

Das Buch ist nicht leicht zu lesen. Es kann aber hilfreich sein, um bestimmte politische Entwicklungen zu verstehen.

Matthias Naß: Countdown in Nordkorea

Diese Buch hatte ich mir zugelegt, als sich der Konflikt zwischen Nord-Korea und den USA gerade mal wieder zugespitzt hatte. Um solche Situationen besser zu verstehen, können Hintergrundinformationen hilfreich sein.

Das Buch beschreibt aber nicht nur den Konflikt und die historische Entwicklung in Nordkorea, sondern auch die Geschichte von Südkorea nach dem zweiten Weltkrieg.

Das Buch hat auf einige Aspekte hingewiesen, die in den Nachrichten oft übergangen werden. Gerade die Abschnitte über Süd-Korea waren sehr interessant.

Martin Wehrle: Noch so ein Arbeitstag, und ich dreh durch!

Der Autor ist Karriere- und Lebenscoach (ist das eine Berufsbezeichnung). Er beschreibt den Alltag in verscheidenen Firmen und den dort (durch das Management) initiierten Irrsinn. Bei einigen Geschichten habe ich gedacht „das muss erfunden sein“; aber Andere kamen mir seltsam vertraut vor. Auch wenn ich von vielen Situationen verschont geblieben bin, bekam ich bei Kunden schon Einiges mit.

Der Autor gibt den Führungskräften aber auch mit, was besser werden muss.

Wenn mal mal lesen will, dass man mit seinem Problemen nicht alleine ist, dann kann man zugreifen;-)

Chris McGeorge: Escape Room

Seit einigen Jahren gibt es Escape Rooms in jeder großen Stadt. Man bekommt als Gruppe eine Aufgabe gestellt und muss in gegebener Zeit zur Lösung der Aufgabe viele kleine Rätsel lösen. Das macht viel Spass; sogar unsere Kinder haben das mit Freunden schon gespielt.

So ein Trend schlägt dann natürlich auch auf Film und Literatur durch. So auch bei diesem Buch. Ich will nicht zu viel verraten, um nicht zu spoilern. Aber so viel seit gesagt: das Buch kann die Erwartungen meiner Ansicht nach nicht erfüllen. Es ist nicht schlecht; aber eben auch nichts Besonderes.

Guido Limmer: Überführt – Spektakuläre Fälle der Kriminaltechnik

Ich bin ja ein großer Fan von Serien wie CSI oder Criminal Minds. Aber mir reichen die Geschichten nicht; ich möchte immer auch wissen, wie es im wirklichen Leben aussieht. Dieses Interesse hat zum Kauf dieses Buches geführt. Der AUtor beschreibt hier verschiedene Kriminnalfälle und wie die Wissenschaft zru Ergreifung der Täter beigetragen hat. Dabei werden die verschiedensten Bereiche betrachtet; von Formspuren hin zu Handschriften, Phonetik und der DNA-Analyse.

Wer sich für das Thema interessiert, kann hier beruhigt zugreifen.

Christine Negroni: The Crash detectives

Dieses Buch beschreibt die Analyse von Flugzeugunglücken. Dabei werden nicht nur neuere Unglücke wie Malaysia 370 betrachtet; die Autorin geht auch in die Anfangszeiten der Passagierluftfahrt zurück. Dabei zeigt sich, wie Flugzeugherstelelr immer schon gerne Probleme vertuscht haben und Behörden nicht genau hingeschaut haben.

Wer sich für das Thema interessiert oder mal was Neues sucht, dem kann ich das Buch nur wärmstens empfehlen.

Abdel Bari Atwan: Das digitale Kalifat

Ich habe ja schon einige Bücher zu islamistischen Bewegungen gelesen. Dieses Buch hatte ich mir geholt, weil ich mehr über den digitalen Aspekt dieser Gruppen (z.B. auch ihr Angriffspotential) lesen wollte).

Das Buch beschreibt aber nicht nur diese Punkte, sondern auch die gesamte Entwicklung des IS. Insofern war es interessant, wenn auch nicht so speziell wie ich gehofft habe. Aber es beschreebt sehr gut, wie Radikalisierung und Steurung über das Internet verläuft.

How to investigate like a rockstar

Dieses relativ kurze Buch beschreibt den Einbruch in die IT einer Firma und wie die Forensiker Schritt für Schritt den Angriff nachvollziehen. Es ist vollgepackt mit Tools und Ideen für verschiedene Systeme (Mainframes!) und war sehr interessant. Definitiv ein Buch, zu dem man später noch mal zurückkommt, wenn man vor einem ähnlichen Fall steht.

Cem Karakaya / Tina Groll: Die Cyber-Profis

Die Journalistin Tina Groll ist selber schon Opfer von Identitätsdiebstahl geworden. Zusammen mit dem ehemaligen(?) Polizisten Cem Karakaya beschreibt sie eindringlich Fälle von Identitätsdiebstahl. Die Autoren beschreiben aber nicht nur die Fälle an sich bzw. geben Tipps zum Schutz; sie beschreiben auch die Folgen für die Betroffenen. Diese Folgen sind oft schlimmer als der eigentliche Verlust von Geld.

Das Buch ist gut zu lesen und eignet sich auch für Leute, die nicht Technik-affin sind.

Norbert Walter-Borjans: Steuern – Der große Bluff

Der Autor war einige Jahre Finanzminister in Nordrhein-Westfalen. In deisem Buch beschreibt er die legalen und manchmal auch nicht legalen Steuertricks, mit dem sich Wohlhabendere um die Zahlung ihrer Steuern herumdrücken. Er beschreibt aber auch, wie die Politik oft eine gerechtere Besteuerung behindert. Er belegt seine Aussagen auch mit Fakten, was ich ja immer begrüße. Wer sich mal in das Thema einarbeiten will, dem kann ich das Buch nur empfehlen (und allen Anderen eigentlich auch).

Katharina Nocun: Die Daten, die ich rief

Katharina Nocun beschreibt in ihrem Buch (wie auch in sehenswerten Vorträgen z.B. auf dem CCC), welche Daten Konzerne sammeln, wie sie genutzt werden und wie schwierig es ist, von Konzernen überhaupt zu erfahren, welche Daten diese über Einen sammeln.

Sie konzentriert sich an einigen Stellen auf Facebook, was ich mangels Facebook-Konto nicht nachverfolgen konnte. Aber das tut der Qualität des Buches keinen Abbruch. Wer schon imemr mal ein Buch suchte, dass er einem nicht Technik-affinen Familienmitglied in die Hand drücken kann, ist hier gut aufgehoben.

Frederik Weinert: Die Sprache der Rechten

Der Autor ist Kommunikationswissenschaftler und analysiert die Verwendung von „rechter“ Sprache in den Meiden. Aber es geht hier nicht nur um Aussprüche, die Rechte gemacht haben (wie ich zuerst gedacht habe); auch die „normalen“ Medien und eher linke Kräfte bekommen ihr Fett weg.

Und letztendlich wird auch gezeigt, warum bestimmte Themen aufgegriffen und auch mal übertrieben dargestellt werden: weil wir als Konsumente eher auf solche Themen anspringen.

Das kam beim Lesen jetzt her unerwartet; aber um was zu lernen, muss man ja auch mal aus der eigenen Komfortzone raus.

Aditya Gupta: IoT Hackers Handbook

Dieses Buch ist eine Einführung in die Analyse von IoT-Geräten. Es startet mit Ausführen zum Einbinden von Security in den Entwicklungszyklus. Danach geht es um den Ablauf von IoT Pentests. Ab dem dritten Kapitel geht es dann um die eigentliche Analyse. Es werden Themen wie UART, SPI, I^2C und JTAG behandelt. Danach geht es zur Firmware Analyse und zur Analyse von Apps. Abschliessend gibt es noch Kapitel zu SDR und ZigBee. Passend zum Buch betreut der Autor auch eine eigene Distribution (AttifyOS).

Das Buch ist sehr interessant und lehrreich. Leider muss man aber auch sagen, dass offensichtlich niemand Korrektur gelesen hat. An mehr als einer Stelle fehlt ein im Text angesprochenes Bild.

Wer damit leben kann, bekommt einen netten Einstieg in das Thema.

Veit Etzold: Staatsfeind

Ich hatte dieses Buch (als Taschenbuch) schon auf meiner Beobachtungsliste. Als eine Bekannte mir das Buch dann noch mal empfohlen hat, habe ich zugeschlagen. Das Buch handelt (grob gesagt) von einer Verschwörung rechter Kreise, die sich zum Zweck der Machtübernahme mit Islamisten zusammen tun. Nun ist das ja nicht ganz weit hergeholt; man denke nur an Hitler und den Großmufti von Jerusalem. Es hätte also ein gutes Bucht werden können. Hätte…

So ziemlich jedem Charakter im Buch werden Worte in den Mund gelegt, die direkt aus erchten Verschwörungstheorien stammen könnten bzw. die bestimmte Blickwinkel (frustrierte Polizei) einseitig wiedergeben. Die Hauptfigur, die erst kurz vor Ende des Buches zur „guten“ Seite wechselt, gab mir wenig bis gar keine Identifikationspunkte. Und am Ende haben wir eine Situation, die mit Demokratie wenig zu tun hat (obwohl die „gute“ Seite gewinnt).

Ich kann das Buch nicht weiter empfehlen; mir hat es nicht gefallen.

Cory Doctorow: Wie man einen Toaster überlistet

Nach Staatsfeind musste ich mal was Leichteres lesen. In diesem kleinen Buch wird eine Welt beschrieben, in dem alle Geräte vernetzt sind und sogar Toaster ein Vendor-Lock-In haben. Die Heldin versucht in ihrem Wohnhaus diese Einschränkungen zu umgehen.

Das Buch liest sich so weg, ist unterhaltsam und regt auch zum Nachdenken an.

M. Sean Coleman: Netwars – Der Code

Vor einige Jahren gab es ein Projekt zum Thema „IT-Sicherheit“, dass neben einer Dokumentation auch noch ein Web-Projekt, eBooks/Audiobooks, eine Graphic Novel als App (leider wohl nicht mehr verfügbar) sowie Bücher umfasste. Beim Stöbern im Internet bin ich jetzt auf den ersten Band gestossen. Es geht um einen IT-Spezialisten, der nach einem bestimmten Code lebt und Kriminelle, die durch die Maschen des Gesetzes schlüpfen, persönlich zur Strecke bringt. Oder genauer gesagt: er tötet sie. Dabei legt er sich mit einer gefährlichen Organisation an, die ihn zurück in seine Vergangenheit führt. Mehr will ich mal nicht verraten. Es handelt sich nicht um große Dichtkunst; abere s war ganz unterhaltsam. Mehr kann man für 3,49€ nicht verlangen. Jetzt muss ich nur noch den zweiten Band auftreiben.

Nathalie Boegel: Berlin – Hauptstadt des Verbrechens

Es handelt sich bei dem Buch nicht um eine aktuelle Beschreibung, sondern es geht um die Jahre zwischen den Kriegen. Auf dieses Buch bin ich gekommen, nachdem ich eine entsprechende Dokumentation gesehen habe. Insbesondere hat mich die Geschichte von Ernst Gennat, der die systematische Begutachtung eines Tatorts quasi eingeführt hat. er hat z.B. dafür gesorgt, dass die Berliner Polizei eine sogenanntes „Mordauto“ bekommen hat; quasi ein rollendes Labor mit Allem, was man zur Sputrenaufnahme braucht.

Das Buch beschreibt aber nicht nur spektakuläre Kriminalfälle, sondern auch die politischen Unruhen jener Zeit.

Ein sehr spannendes Buch!

 

 

Veröffentlicht unter buecher | Kommentare deaktiviert für Bücher, Bücher, Bücher…

Spass mit USBPcap

Ich nutze schon seit vielen Jahren Windows und Linux parallel. Aus Bequemlich-keitsgründen habe ich vor einiger Zeit von einem Dual-Boot-System auf die Lösung „Windows als Virtualbox-Host, Linux als Gast“ umgestellt. Bei dieser Konstellation war es nie ein großes Problem auch innerhalb von Linux USB-Geräte zu nutzen.

Seit einigen Tagen aber war es mir nicht mehr möglich USB-Geräte an den Linux-Gast durchzureichen. Es kam immer nur die Meldung „device is busy“. Beim Suchen nach dem Fehler stellte ich fest, dass die Gast-Tools in Linux nicht aktuell waren. Die Freude (Fehler gefunden!) war aber nur kurz: auch das Update brachte keinen Erfolg.

Eine Suche im Internet brachte dann den Durchbruch. Einige Tage vorher hatte ich unter Windows Wireshark neu installiert. Diesmal habe ich mich dazu entscheiden alles mitzuinstallieren; das beinhaltet auch USBPcap zum Mitsniffen von USB Traffic.

Leider scheinen sich VirtualBox und USBPcap aber nicht gut zu verstehen. Nachdem ich USBPcap deinstalliert und den Rechner neu gebootet hatte, ging alles wieder.

Ich sollte doch mal aufschreiben, was ich wann installiert bzw. geändert habe. Hätte mir viel Sucherei erspart…

 

Veröffentlicht unter blog, computer | Kommentare deaktiviert für Spass mit USBPcap

Neues Lesefutter

Es ist mal wieder an der Zeit für ein paar Buchtipps. Alle drei Bücher haben mit IT zu tun; aber es geht um gänzlich unterschiedliche Bereiche.

Das erste Buch verrät uns nur seinen Titel, nicht aber seinen Autor: How to hack like a legend.

Es ist nun nicht schwer zu erraten, worum es bei diesem Buch geht. Es reiht sich in die lange Reihe von Büchern ein, die beschreiben wie man in Computernetze eindringt. Aber der Ansatz ist diesmal etwas anders. Anhand eines fiktiven Beispiels wird ein Angriff beschrieben. Das ist nun auch nichts Besonderes; in der Art gibt es auch schon einige Bücher. Der fiktive Angriff verläuft aber diesmal anders. Es wird nicht das eigentliche Ziel angegriffen, sondern ein Softwarezulieferer. Ziel des Angriffs ist die Manipulation des Quellcodes für eine Software, die beim eigentlichen Ziel eingesetzt wird. Aber auch das ist noch nicht alles: der Softwarezulieferer hat (vermeintlich) seine Hausaufgaben gemacht und eine sehr starke IT-Sicherheit aufgebaut. So werden in dem Buch nicht die üblichen Angriffstools benutzt; es werden Angriffe beschrieben, die schon ein bisschen ausgefeilter sind. Unter Anderem wird beschrieben, wie man Windows ATP und Windows ATA in gewissen Szenarien umgehen kann.

Das Buch ist sehr kurz (ca. 100 Seiten); aber die haben es in sich. Wer sein Angriffsarsenal erweitern will (natürlich nur für legale Angriffe), der wird hier die eine oder andere gute Idee finden.

PS: aus der Reihe gibt es noch How to hack like a pornstar und How to hack like a god. Nicht von den Titeln abschrecken lassen;-)

Das zweite Buch ist von Katharina Nocun und heisst Die Daten, die ich rief. Der Untertitel Wie wir unsere Freiheit an Großkonzerne verkaufen verrät schon, worum es geht. Wir ziehen mittlerweile eine breite Datenspur hinter uns her und das weckt nicht nur Begehrlichkeiten bei Konzernen, sondern auch bei Behörden. Von Suchanfragen über Fitnessarmbänder hin zu Online-Shops beschreibt die Autorin, was an Daten anfällt und was mit den Daten heute oder in naher Zukunft gemacht werden kann.

Katharina Nocun lässt sich von einigen Anbietern zuschicken,w as die so über sie gesammelt haben. Und das stimmt dann schon nachdenklich.

Das Buch ist gut geschrieben und lässt sich flüssig lesen, ohne zu seicht zu sein. Einziger Kritikpunkt: häufig wird als Beispiel Facebook herangezogen. Als Nicht-Facebook-Nutzer hätte ich mir eine andere Gewichtung gewünscht; aber das ist wirklich nur eine kleine Kritik.

Ein wichtiges Buch, dass von möglichst vielen Leuten gelesen werden sollte.

Das dritte und letzte Buch ist von Abdel Bari Atwan und heisst Das digitale Kalifat (Untertitel: Die geheime Macht des Islamischen Staates).

Es geht um die Geschichte des Islamischen Staates unter besonderer Berücksichtigung der Nutzung des Internets als Propagandainstrument.

Das Buch ist von 2015 und mittlerweile ist die Macht des IS ja geschrumpft. Das heisst aber nicht dass das Buch nicht mehr interessant ist. Zum Einen wird die Geschichte des IS noch mal aufgearbeitet und es wird sehr schön dargelegt, wie sich ismalistische Gruppen unterschiedlichen Allianzen anschliessen. Und es wird beschrieben, wie geschickt der IS bei der Nutzung sozialer Meiden ist, um seine Botschaft zu verbreiten, neue Mitglieder anzuwerben und Menschen zu radikalisieren.

Wer sich für das Thema interessiert, dem kann ich das Buch nur wärmstens empfehlen.

Veröffentlicht unter buecher | Kommentare deaktiviert für Neues Lesefutter

Gadget Test: Packet Squirrel

Hak5 (https://www.hak5.org/) ist nicht nur eine wöchentliche Show über Hacking und Spass mit elektronischen Geräten, sondern auch eine Bezugsquelle für verschiedenartige Gadgets. Wir benutzen einige dieser Gadgets bei Penetrationstests (wie z.B. die LAN Turtle oder den WiFi PineApple) und interessieren uns deshalb immer für Neuerscheinungen.

Eine dieser Neuerscheinungen ist nun der Packet Squirrel. Da im aktuellen Projekt gerade eine kurze Pause angesagt ist, habe ich endlich mal die Zeit mir das Teil näher anzuschauen.

Fangen wir erst mal mit zwei Bildern an, auf denen die einzelnen Anschlüsse, Schalter und Anzeigen erkennbar sind.

Das Gerät ist mit zwei Netzwerkanschlüssen ausgestattet, so dass es in eine bestehenden Verbindung eingesteckt werden kann. Dabei ist zu beachten, dass es sich nicht um Gigabit-Anschlüsse handelt und die Anschlüsse auch nicht PoE unterstützen. Hier muss man also gerade im Rahmen eines Pentests genau planen, wo man das Gerät anschliesst.

In diesem Bild wird schon deutlich (anhand des 1-EURO-Stücks) wie klein das Gerät ist. Wir sehen hier einen der Netwzerkanschlüsse, den Anschluss für einen USB 2.0 Stick, die LED Statusanzeige (programmierbar) sowie den Auswahlschalter. Man kann nämlich drei verschiedene Programme auf den Packer Squirrel laden und über den Schalter steuern, was genutzt werden soll. In der vierten Position ermöglicht der Schalter den Zugang per SSH auf das Gerät.

Hier sehen wir nun die andere Seite des Gerätes. Auch hier gibt es einen Netzwerkanschluss; zudem finden wir hier den Mini-USB-Anschluss für die Stromversorgung sowie (an der Seite) einen Knopf. Dieser Knopf kann im Programm abgefragt werden und ermöglicht so z.B. das saubere Schreiben auf den Stick, um das Gerät dann wieder entfernen zu können.

Der Packet Squirrel benötigt auf jeden Fall eine Stromversorgung. Allerdings soll er, aufgrund der geringen Leistungsaufnahme (0.12 A laut Webseite), mit einer entsprechenden Power Bank eine Woche lang auskommen.

Die Inbetriebnahme startet mit einem Firmware-Update. Dazu wird die aktuelle Firmware-Datei heruntergeladen und auf einen leeren USB Stick kopiert (nicht in ein Unterverzeichnis). Der Stick muss entweder mit NFTS oder Ext4 formatiert sein; dass gilt auch für alle weiteren Nutzungen. Ich hatte ein wenig Probleme mit einem NTFS-formatierten Stick und bin dann auf Ext4 umgestiegen. Woran es genau lag, habe ich nicht erforscht; vermutlich klappt es auch mit NTFS und ich habe irgendwo einen Fehler gemacht.

Kleiner Tipp: nach einem erfolgreichen Update sollte die Firmware-Datei wieder vom Stick gelöscht werden. Sonst dauert das nächste Starten unnötig lange 😉

Schauen wir uns nun den Packet Squirrel genauer an. Dazu steckt man ihn per Netzwerkkabel an einen PC an und versorgt ihn (z.B. über ein Smartphone-Ladegerät) mit Strom. er benötigt ca. 30 Sekunden zum Starten. Am Anfang ist die LED noch aus; nach einiger Zeit leuchtet sie dann je nach Schalterstellung. Und da tritt auch das erste Problem auf: prüft man vor dem Einstecken nicht die Schalterstellung, dann wird ggf. ein Payload geladen anstatt dass der SSH-Zugang aktiviert wird. Ist beim Draufschauen der Mini-USB-Anschluß links, dann wird der erste Payload geladen, sofern der Schalter ganz nach Links geschoben wurde. Wird der Schalter nach ganz Rechts geschoben, so wird der SSH-Zugang aktiviert. Hier hilft vielleicht ein Aufkleber auf dem Gerät 😉

Zu beachten ist ebenfalls, dass der Netzwerkanschluss auf der Seite des Mini-USB-Anschlusses für die Verbindung zum Zielgerät ist und der andere Anschluss zum Netzwerk geht.

Hat man nun alles richtig verkabelt und geschoben, kann man sich per SSH Client mit dem Packet Squirrel verbinden. Die IP des Squirrel ist 172.16.32.1; der PC bezieht eine IP aus dem Subnetz über den Squirrel. Man meldet sich als root mit dem Passwort hak5squirrel an.

Man landet nun im Verzeichnis /root/. Dort findet man, neben der Versionsdatei, das Verzeichnis payloads. Unterhalb von payloads befinden sich die Verzeichnisse switch1, switch2 und switch3. In diesen Verzeichnissen befindet sich nun das Skript, dass je nach Schalterstellung beim Booten geladen wird; ggf. befinden sich dort noch weitere Dateien.

Hier nun mal der Code für den ersten Payload; es geht um das Mitprotokollieren des Netzwerkverkehrs mit Hilfe von TCPDUMP:

#!/bin/bash
# TCPDump payload v1.0

function monitor_space() {
while true
do
[[ $(df | grep /mnt | awk '{print $4}') -lt 10000 ]] && {
kill $1
LED G SUCCESS
sync
break
}
sleep 5
done
}

function finish() {
# Kill TCPDump and sync filesystem
kill $1
wait $1
sync

# Indicate successful shutdown
LED R SUCCESS
sleep 1

# Halt the system
LED OFF
halt
}

function run() {
# Create loot directory
mkdir -p /mnt/loot/tcpdump &> /dev/null

# Set networking to TRANSPARENT mode and wait five seconds
NETMODE TRANSPARENT
sleep 5

# Start tcpdump on the bridge interface
tcpdump -i br-lan -w /mnt/loot/tcpdump/dump_$(date +%Y-%m-%d-%H%M%S).pcap &>/dev/null &
tpid=$!

# Wait for button to be pressed (disable button LED)
NO_LED=true BUTTON
finish $tpid
}

# This payload will only run if we have USB storage
[[ ! -f /mnt/NO_MOUNT ]] && {
LED ATTACK
run &
monitor_space $! &
} || {
LED FAIL
}

Wir sehen in dem Beispiel sehr schön einige Konzepte der Skripte. An mehreren Stellen wird die LED angesprochen und, je nach Zustand, leuchtet sie in anderen Farben. Das Skript läuft auch nur bei eingestecktem USB Stick,  da dort die PCAP-Datei abgespeichert wird. An einer Stelle wird auch geprüft, ob der Knopf gedrückt wurde. Im Großen und Ganzen also eine übersichtliche Skriptsprache. Aber der interessanteste Punkt ist, dass die aufgerufenen Tools schon vorinstalliert sind. Schauen wir mal in die Verzeichnisse /usr/bin und /usr/sbin:

Wir finden hier einige Tools (neben tcpdump), die den gespeicherten Netzwerkverkehr direkt analysieren können. Es stellt sich nun die Frage, was man mit den Tools anfangen kann. Neben der Möglichkeit selbst Skripte zu schreiben kann man auch auf die GitHub-Seite des Projektes gehen. Dort finden sich erste Beispiele für weitere Tools.

Verbleiben wir aber für einen kurzen Moment noch mal bei den mitgelieferten Payloads. Neben TCPDUMP gibt es noch einen Payload zum Spoofen von DNS-Antworten. Hierbei können DNS-Anfragen entweder komplett oder nur für einzelne Hosts falsch beantwortet werden. Dazu muss nur die Datei /root/payloads/switch2/spoofhost bearbeitet werden.

Will ich nun zum Beispiel alle Aufrufe der Seite https://schalke04.de/ umlenken auf die Seite https://www.bvb.de/, dann trage ich in die Datei die folgenden Zeile ein:

address=/schalke04.de/5.147.249.101

Hinter dem Beispiel verbirgt sich eine kleine Geschichte; aber ich schweife ab…

Der dritte Payload bietet die Möglichkeit entweder einen Remotezugang (SSH) zum Packet Squirrel einzurichten oder den PacketSquirrel als VPN-Client zu nutzen. In beiden Fällen benötigt man noch einen OpenVPN-Server.

Nun kommen wir zu den Payloads auf Github.

Neben einem Payload zum Versenden der gesammelten Daten per SCP gibt es noch eine Handvoll anderer Skripte. Hier ist jetzt wieder die Community gefragt noch weitere Beispiele zu erstellen. Ich habe mir zwei Payloads näher angeschaut:

  • nmapdump (unter payloads/library/recon)
  • ispyintel (unter payloads/library/sniffing)

nmapdump scannt automatisch das lokale Netz. Dabei erkennt das Skript selbsttätig das Subnetz; allerdings wird empfohlen, das Interface „lo“ im Skript durch ein anderes Interface zu ersetzen (ich habe es auf „br-lan“ geändert). Das Ganze hat aber einen kleinen Haken: im Ergebnis werden die Hosts mit ihrer IPv6-Adresse aufgelistet. Hier muss ich mich noch mal tiefer ins Skript vergraben. Ansonsten macht der Payload genau was er soll.

NMAP wird wie folgt im Skript aufgerufen:

# Finally! Lets run NMap!
# Use ipv4
if [ ! "$ipv6" ]; then
nmap -Pn -e $goodInterface -sS -F -sV -oA $lootPath/$lootFileNameScheme -D RND:$rndDecoyNumber --randomize-hosts --spoof-mac $spoofDevType

$targets >> $lootPath/log.txt
else
# Use ipv6
nmap -Pn -e $goodInterface -sT -F -R -oA $lootPath/$lootFileNameScheme --randomize-hosts --spoof-mac $spoofDevType -6 $ipv6 >>

$lootPath/log.txt
fi

ispyintel macht im ersten Schritt dasselbe wie tcpdump; es wird der Netzwerktraffic aufgezeichnet. Allerdings geht das Skript noch weiter: mit Hilfe weiterer Tools werden interessante Informationen direkt aus der PCAP-Datei gezogen. Theoretisch sollten die besuchten Webseiten (URLs), Passworte und Session IDs herausgetrennt werden; ferner sollen IPs und Mailadressen aus der PCAP-Datei gezogen werden. Hier hat mich ein erster Test noch nicht so ganz überzeugt. In weiteren Tests wäre zu klären, ob vielleicht zu viel Datenverkehr den Packet Squirrel überlastet. Da die Auswertung aber erst erfolgt, nachdem man den Knopf gedrückt hat (und somit man den Packet Squirrel eh wieder einsammeln will), kann man die Auswertung natürlich auch am heimischen PC machen.

Grundsätzlich gilt aber auch hier, dass ein USB Stick eingesteckt sein muss.

Der Stick hat aber noch einen Vorteil…

Legt man auf dem Stick ein Verzeichnis payloads an und erstellt darunter auch Verzeichnisse switch1, switch2 und switch3, so werden dort abgelegte Skripte anstelle der Skripte auf dem Packet Squirrel ausgeführt. Man kann sich also Sticks mit verschiedenen Payload-Sammluungen zusammenstellen.

Was wäre nun ein mögliches Angriffsszenario (natürlich nur im Rahmen eines beauftragten Pentests)? Man könnte den Packet Squirrel an einen Netzwerkdrucker anstecken, der Zugriff auf einen Verzeichnisdienst hat (z.B. Active Directory). Erfolgt der Zugriff dann über LDAP, so hat man schon mal ein erstes Benutzerkonto.

Der Packet Squirrel lässt sich natürlich auch dafür nutzen, den Nezwerkverkehr von Geräten zu überwachen, auf die man keinen Sniffer installieren kann/darf. Mir würden da spontan Smart TVs einfallen.

Be creative!

Zum Schluss noch die Frage nach dem Preis: bestellt man direkt bei Hak5, so liegt der Preis bei ca. 60 US-$. Bei Bestellungen in den USA muss man aber imemr mit höheren Versandkosten rechnen. Bestellt man nur einen Packet Squirrel und begnügt man sich mit US Postal Service (7-30 Werktage), dann kommt man auf 13 US-$. DHL Express läge bei 33.54 US-$ und von UPS rede ich lieber erst gar nicht…

Einige Hak5-Produkte werden auch über einen Shop in Irland vertrieben (https://edutech-hakshop.myshopify.com/); aber leider nicht der Packet Squirrel.

Aber ich habe dann doch noch einen Shop in Deutschland gefunden, der ihn anbietet: http://www.firewire-revolution.de/shop/index.php?route=product/category&path=318_326

Hier liegt man inklusive Versandkosten bei (aktuell) knapp 90,-€.

PS: nein, ich bekomme von keinem der Shops Provision.

Veröffentlicht unter blog, computer, security | Kommentare deaktiviert für Gadget Test: Packet Squirrel

I’m back!

Lange Zeit war Ruhe im Blog. Das lag schlicht und ergreifend daran, dass ich mit dem Plugin iSecurity rumgespielt habe und mich dabei scheinbar selber ausgesperrt habe. Nachdem mehrere Versuche (inkl. Dateivergleiche mit meinem anderen Blog) nur ergeben haben, dass mir jemand im anderen Blog eine Webshell untergejubelt hat, wollte ich heute mich mal wieder an das Problem setzen. Zu meinem großen Erstaunen konnte ich mich mit dem Konto, dass keinen Yubikey verwendet, wieder anmelden. Da in beiden Blogs auch Plugins auftauchten, die ich selber nicht installiert habe (die aber legitim aussahen), vermute ich mal dass ein größeres Update durch 1&1 stattgefunden hat. Und das hat dann direkt mein Problem gelöst. Allerdings ging die Anmeldung per Yubikey nicht mehr. Da wurde scheinbar eine Datei überschrieben.

Was lernen wir daraus? Ich muss regelmäßig meine Blogs auf Malware überprüfen und meine Backup-/Recovery-Strategie ist offensichtlich auch optimierbar.

 

PS: iSecurity meldete für die letzten Tage eine große Menge fehlgeschlagener Anmeldeversuche. Da versuchte offensichtlich jemand sich Zugang zu verschaffen. Interessanterweise wurden als Anmeldenamen, neben solchen die mir gar nichts sagten, Wörter benutzt, die direkt aus dem Blog gezogen wurden.

 

Veröffentlicht unter blog, sonstiges | Kommentare deaktiviert für I’m back!

Lesefutter

Nach längerer Pause melde ich mich wieder zurück. Da ich in letzter Zeit viel mit der Bahn fahre, ist die Liste der gelesenen Bücher ziemlich groß. Dieser Beitrag dreht sich aber nur um zwei Bücher. Diese Bücher finde ich so besonders, dass sie nicht in einem großen Beitrag untergehen sollen.

Das erste Buch ist Die Macht der Geographie von Tim Marshall. Der Untertitel Wie sich die Weltpolitik anhand von 10 Karten erklären lässt beschreibt sehr schön den Inhalt des Buches. Tim Marshall betrachtet die Politik einiger Länder anhand der geographischen Gegebenheiten und hilft so, manche politische Entscheidungen besser zu verstehen (auch wenn man sie trotzdem nicht gutheissen muss). Ein Beispiel ist Russland, dass deshalb Pufferstaaten zwischen sich und Europa stellen möchte, da die nordeuropäische Tiefebene für potentielle Angreifer kein geographisches Hindernis darstellt. Im Buch wird auch das Verhältnis von Indien und Pakistan betrachtet sowie geopolitische Gründe für die Besetzung Tibets durch China. Aber es beschreibt auch Gründe, warum manche Gebiete auf der Erde sich wirtschaftlich besser entwickelt haben als Andere. Hier wird z.B. Europa (Wasserverbindung von Norden nach Süden und keine großen trennenden Bergketten) mit Lateinamerika verglichen. Solche Gründe mögen nicht die Einzigen sein, aber es ist interessant darüber mal nachzudenken. Der Autor beschränkt sich weitgehend auf Fakten und das mag nicht jedem gefallen; aber so wird man in seiner Meinungsbildung nicht beeinflusst.

Wer in diesem Jahr nur ein Buch zum Thema Politik/Geschichte lesen will, dem lege ich dieses Buch ans Herz.

Das zweite Buch widmet sich einem Thema, bei dem viele Leute aufstöhnen werden: Mathematik. Leider ist schlechter Mathematik-Unterricht oft der Grund, warum Menschen keinen Bezug zur Mathematik finden. Die Mathematik ist aber nicht nur eine große geistige Leistung der Menschheit und bietet viele Möglichkeiten den eigenen Verstand zu trainieren, sondern ist auch extrem wichtig für das Verstehen der heutigen Welt. Man nehme hier nur das Thema Statistik, zu dem ich später auch noch einen Tipp haben werde. Aber bleiben wir erst mal bei meinem Buchtipp.

The Joy of x wurde von Steven Strogatz verfasst, einem Professor für angewandte Mathematik. Ausgehend von der (scheinbar) simplen Tätigkeit des Zählens nimmt Strogatz den Leser mit auf eine Reise durch die Mathematik. Dem Subtrahieren, Multiplizieren und Dividieren sind eigene Kapitel gewidmet, die selbst bei so einfachen Themen plötzlich neue Einsichten bringen. Ohne daß man sich versieht, steckt man plötzlich mitten in Variablen und wird in das Land der Funktionen geführt. Weitere Themen sind Geometrie, Differential- und Integralrechnung, Statistik und immer wieder das Thema der Unendlichkeit. Bei Letzterem darf Hilberts Hotel nicht fehlen.

Das klingt jetzt nach einem anstrengenden Buch; aber ich kann versprechen, dass man ohne größere Anstrengungen von Thema zu Thema wandert und sich ständig neue Erkenntnisse ergeben.

Ich habe selber Mathematik studiert und schon viele Bücher zu dem Thema gelesen; aber dieses Buch ist einzigartig. Ich empfehle, immer mal wieder ein Kapitel zu lesen (nur keine zu großen Abstände dazwischen) und in den Pausen das Gelesene sich setzen zu lassen.

Will man der Mathematik noch mal eine Chance geben oder sagt man sich, dass man nur noch ein Buch über Mathematik in seinem Leben lesen will, dann ist es dieses Buch.

Ich habe das Buch auf Englisch gelesen, aber mittlerweile gibt es auch eine deutsche Ausgabe (bisher aber wohl nur als Hardcover). Der deutsche Titel ist The Joy of x: die Schönheit der Mathematik.

Veröffentlicht unter buecher, mathematik, politik-und gesellschaft | Verschlagwortet mit , | Kommentare deaktiviert für Lesefutter