Daten verstecken

Beim 31C3 gab es einen interessanten Vortrag darüber, was man so alles mit Dateien machen kann[1]; Dateien enthielten verschiedene Objekte, je nachdem womit man es öffnet.

Das brachte mich auf eine Idee, von der ich aber noch nicht weiß ob man sie verwirklichen kann. Aber ich wollte sie trotzdem mal niederschreiben…

Nehmen wir z.B. an, das ich in einem Bild ein anderes Bild verstecke. Das ist ja nichts Neues. Aber ferne würde ich auf meinem Computer eine modifizierte Version eines Programmes zum Öffnen von Bildern haben; das könnte z.B. GIMP. GIMP ist nun so modifiziert, dass ein Aktivieren eines selten genutzten Features eine alternative Routine zum Öffnen von Dateien aktiviert wird. Diese Routine führt dann nicht zur Anzeige des ursprünglichen Bildes, sondern des versteckten Bildes.

Das könnte man nun fortführen: in einer Tabelle verstecke ich Zahlen, die ich nicht öffentlich machen will. Zur Verschleierung füge ich jede Menge Zahlen hinzu, damit die Struktur der Daten verbergen will. Die alternative Routine zum Öffnen der Datei filtert nun die überflüssigen Daten aus.

Die wichtigste Frage ist nun: kann ich Daten so in anderen Daten verstecken, dass sie nicht entdeckt werden können? Bei einem Bild könnten die Daten ja zusätzlich noch verschlüsselt werden; bei Daten z.B. in einer Tabelle stelle ich mir das eher schwierig vor.

Über Kommentare würde ich mich freuen.

[1] https://www.youtube.com/watch?v=Ub5G_t-gUBc

Veröffentlicht unter blog, computer, security | Kommentare deaktiviert für Daten verstecken

TV-Tipp: Scorpion

Seit wenigen Wochen läuft Sonntags Abends um 22:15 Uhr die neue Serie „Scorpion“. Die Helden sind ein Computer-Genie mit Vergangenheit, ein Spezialist für Verhaltensanalyse mit einem leichten Spielproblem, ein Rechen-Genie mit fotografischem Gedächtnis und einigen Phobien , eine Hardware-Hackerin mit Wut-Problem, ein Special Agent (Robert Patrick aus „Terminator 2“) sowie eine Kellnerin mit hochbegabten Sohn, die als „Übersetzerin für soziale Kontakte“ fungiert. Das klingt nach „The Big Bang Theory“ im Action-Umfeld und was in den bisherigen drei Folgen als Lösung von Problemen präsentiert wird, ist stellenweise ziemlich abgedreht. Aber allein die Szene in der Pilotfolge, wo aus einem (sehr!) tieffliegenden Jumbo-Jet der Ko-Pilot ein Computerkabel aus dem ausgefahrenen Fahrwerk heraushängen lässt, damit aus dem drunter herfahrenden Sportwagen per Laptop die Software des Bordcomputers heruntergeladen werden kann, ist so bizarr, dass es schon wieder lustig ist. Wenn man die Geschichten nicht zu ernst nimmt, ist das Ganze gute Unterhaltung mit interessanten Charakteren.

Einfach mal reinschauen!

Veröffentlicht unter blog, computer, kino-tv-radio, security | Kommentare deaktiviert für TV-Tipp: Scorpion

Kinokritik: Blackhat

Nachdem WHOAMI[1] im letzten Jahr ja schon gut vorgelegt hat, war ich gespannt wie ein aktueller US-amerikanischer Film das Thema „Hacking“ darstellt. Der Trailer deutete auf eine interessante Story hin, in dem Angriffe auf Industrieanlagen von einem böswilligen Angreifer durchgeführt werden. Dieser Angreifer schien keine der üblichen Motive wie Geld oder Rache zu haben.

Auf der Suche nach einem Kino waren wir dann aber schon erstaunt, dass der Film scheinbar nur noch in der Spätvorstellung läuft. Wir mussten unsere Suche bis nach Witten ausweiten, wo der Film dann auch um 20 Uhr gezeigt wurde. Der Kinosaal selber erinnerte dann aber mehr an ein gut ausgebautes Heimkino (mit dem Nachteil, dass die Untertitel schlecht lesbar waren).

Ich hatte vorher extra alle Kritiken ignoriert, um nicht zu viel von der Story zu erfahren. Mittlerweile weiss ich dank IMDB, dass der Film schon nach wenigen Wochen in den USA nur noch in ca. 240 Kinos gezeigt wird und dass auf einen Start in Australien angeblich komplett verzichtet wurde. Der Film soll Verluste in Höhe von 90 Mio. US-$ eingefahren haben.

Da stellt sich die Frage: ist er wirklich so schlecht? Ich weise vorsichtshalber darauf hin, dass für den Rest des Artikels gilt: SPOILER ALARM. Wer den Kinobesuch noch vor sich hat, für den gibt es jetzt ein kurzes Fazit: kein Hit, aber wir haben die Ausgabe auch nicht bereut.

.
.
.
.
.
.
.
.
.
.

Wie sieht nun die Story aus? Zeitgleich werden Steuercomputer in den USA und China angegriffen. Die Angriffe in den USA bleiben folgenlos, aber der Angriff in China führen zu einer Explosion in einem Nuklearreaktor. Ich fand hierbei die Eingangssequenz, in der wohl angedeutet werden sollte wie sich die Schadsoftware im Computer verbreitet, ganz gut gemacht.

Der Ermittler in China (dessen Schwester passenderweise auch eine Spezialistin in der IT ist) schlägt seinen Vorgesetzten eine Zusammenarbeit mit den US-Ermittlern vor. Als er entdeckt, dass der Schädling teilweise auf seinem eigenen alten Code und dem eines ehemaligen Kommilitonen beruht, holt er den inhaftierten Hacker hinzu (Auftritt Chris Hemsworth). Der fängt natürlich eine Affäre mit der Schwester seines Kumpels an, was übrigens meiner Frau nicht gefiel. Sie fragte mich nachher, warum eigentlich immer eine Romanze eingebaut werden muss; zudem fand sie, dass doch eher wenig gehackt wurde. Muss mein schlechter Einfluss sein…

Die Helden werden durch halb Asien gejagt, 9/11 wird auch kurz eingebaut und zum Schluss kommt es zum Showdown mit den Bösen, die dann doch nur am Geld interessiert sind.

Ach so, die NSA (und deren geheime Software) kommt auch noch drin vor.

Was mir zu dem Film einfällt:

  • es wird auch gehackt und man verzichtete auf übetrieben unrealistische Oberflächen. Eigentlich wurden hauptsächlich Konsolenzugriffe gezeigt.
  • manche regen sich über eine IP-Adresse auf, die in zwei Oktetten Zahlen größer als 255 enthielt. Hat mich nicht egstört, da ich ja auch an fiktive Telefonnummern gewöhnt bin
  • der Hacking-Anteil ist moderat und nimmt zum Ende hin deutlich ab
  • der Action-Anteil ist (gerade in der zweiten Hälfte) hoch
  • es stellt sich die Frage, ob ein hochrangiger Mitarbeiter der NSA wirklich einfach so ein PDF öffnen würde und ob es möglich wäre, darüber dort einen Keylogger zu installieren
  • würde die NSA wirklich einen Remotezugriff auf eine streng geheime Software zulassen? (aber die haben sich ja auch von einem kleinen Techniker den Fileserver lerrräumen lassen;-))
  • der Trailer verspricht eine etwas andere Story
  • der böse Hauptschurke war enttäuschend (wobei „Die Hard 4“ mit der Figur des Thomas Gabriel die Latte meines Erachtens sehr hoch gelegt hat)
  • das Finale war etwas krawallig und es war unglaubwürdig, dass bewaffnete Leute durch eine große Menschenmenge laufen können, ohne eine Panik zu erzeugen

Der Film folgt den üblichen Hollywod-Storywegen und ist deshalb kein „Hacker-Film“. Betrachtet man ihn als Action-Film mit Hacker-Elementen, dann ist er aber gute Unterhaltung. Er ist kein Blockbuster-Material wie Mission Impossible, aber solide Unterhaltung.

Was mir ganz gut gefiel: es gab zwischendurch ruhige Szenen, die dadurch besonders wirkten, weil in ihnen nicht gesprochen wurde.

Warum ist der Film nun so gnadenlos gefloppt? Auf IMDB gibt es mehrere Theorien dazu:

  • er trat gegen „American Sniper“ an und der scheint in den USA alle anderen Filme zu überrollen
  • Chris Hemsworth ist zwar als Thor bekannt („The Avengers“), aber er ist eben (noch) kein Zugpferd wie Tom Cruise oder Jason Statham
  • man nahm Chris Hemsworth den Hacker nicht ab
  • für einige Zuschauer war wohl unglaubwürdig, dass jemand ein guter Hacker und gut im Nahkampf ist
  • in der englsichen Fassung ist die Schwester wohl schwer zu verstehen
  • schlechte Kritiken haben potentielle Besucher dann abgeschreckt

Aber vielleicht haben die Zuschauer auch befürchtet (wie die uns begleitenden Damen), dass man im ganzen Film nur Leute vor Bildschirmen sieht.

Ich möchte auf den Punkt mit „man nahm ihm den Hacker nicht ab“ noch mal eingehen. Das erinnert mich ein bisschen an die Diskussion „ist Ben Affleck ein guter Batman“. Hier wird den Schauspielern gar nicht erst die Chance gegeben, die Zuschauer zu überzeugen; dumme Vorurteile eben.

Würde ich mir den Film noch einmal im Kino ansehen? Vermutlich nicht (dafür gibt es zu viele andere interessante Filme). Werde ich mir die DVD zulegen? Ja, denn ich sammle Filme mit „Hacking“ als Topic und da passt er rein.

Wenn man mit der richtigen Erwartungshaltung in den Film rein geht, dann wird man nicht enttäuscht werden; aber es reicht eventuell auch, wenn man sich die DVD zulegt.

Meine persönlichen Hacker-Filme bleiben „Hackers“, „Wargames“, „Takedown“ und „Whoami“ (und, ausser Konkurrenz, „Die Hard 4“;-)).

[1] https://wallutis.de/?p=1737

 

 

Veröffentlicht unter blog, computer, kino-tv-radio, security | 4 Kommentare

HBO – John Oliver

Eigentlich ist dieser Blog ja frei von Werbung, aber ab und zu gibt es Sachen, auf die muss man einfach aufmerksam machen.

Surft man auf YouTube (und da kann man sich schnell verlieren), findet man manches Interessante, viel (für mich) Uninteressantes und einen ganzen Haufen „WTF?“. Aber immer wieder gibt es wunderschöne Perlen zu finden und eine davon ist John Oliver. Er ist Moderator einer Sendung auf dem US-amerikanischen Bezahlsender HBO. Netterweise wird seine Show kostenlos in einem eigenen YouTube-Kanal bereitgestellt; wobei ich dafür sogar bezahlen würde.

John Oliver ist (soweit ich weiss) Engländer, der aber in den USA lebt(?) und arbeitet. Viele seiner Themen sind auf die USA bezogen, aber oft trotzdem interessant. Er kommentiert Dinge wie Kinder-Schönheitswettbewerbe, Nuklearwaffen und die Todesstrafe. Oftmals kann ich mich vor Lachen kaum halten; aber gleichzeitig transportiert er viele Infos, die so nicht in der Presse stehen.

Falls jemand z.B. Argumente gegen TTIP und die dort geplanten internationalen Schiedsgerichte sucht, dem empfehle ich die Sendung über Tabakkonzerne[1] (ca. ab Minute 8).

Der einzige Haken ist, dass die Sendungen nur auf Englisch sind; aber zumindest das ist sehr gut verständlich.

Und die Sendungen sind gut als kleiner Snack zwischendurch, da sie zwischen 3 und 20 Minuten lang sind.

[1] https://www.youtube.com/watch?v=6UsHHOCH4q8

Veröffentlicht unter blog, kino-tv-radio | Kommentare deaktiviert für HBO – John Oliver

Wenn ich jedes Mal einen Euro dafür bekommen würde…

Leider trifft man immer wieder auf Windows-Umgebungen (Active Directory), in denen User einen Account zum Arbeiten und zum Administrieren nutzen. Ich möchte jetzt gar nicht über die Gründe sprechen, die aus Security-Sicht dagegen sprechen. Aber während einer Exchange-Migration tritt dann immer wieder ein Problem auf…

Folgendes Szenario: der neue Server ist aufgebaut und es werden die ersten User migriert. Plötzlich melden sich einzelne User, bei  denen die Synchronisierung ihres Smartphones mit ihrem Postfach nicht mehr klappt[1]. Schaut man sich nun die betroffenen User an, stellt man fest dass sie Mitglied in einer oder mehrere administrativen Domänen-Gruppen sind. In diesem Fall greift etwas, dass unter dem Stichwort „AdminSDHolder“ bekannt ist. Um administrative Konten zu schützen, werden regelmäßig (jede Stunde) alle Konten auf diese Mitgliedschaft geprüft. Falls das betreffende Konto Mitglied z.B. in der Gruppe der Domänen-Administratoren ist, dann wird die Berechtigungsvererbung abgeschaltet. Das führt aber auch dazu, dass Exchange nun bestimmte Rechte auf dem User fehlen. Aber ohne diese Eintragung findet keine Erstsynchronisation statt…

Bei  der ersten Synchronisation mit dem neuen Server wird im Regelfall das Gerät im Benutzerkonto eingetragen. Fehlen Exchange aber die entsprechenden rechte, schlägt diese Eintragung fehl.

Was kann man da tun:

– kurzfristig: die Vererbung wieder einschalten. Siehe hierzu [2], [3] oder [4]

– langfristig: Administratoren müssen zwei Konten nutzen. Das mag unbequem sein, ist aber auch aus anderen Gründen sinnvoll. Und bei der Gelegenheit kann man ja auch mal schauen, ob wirklich für alle Mitglieder dieser Gruppen die Mitgliedschaft (noch) notwendig ist.

Wer sich für die Hintergründe interessiert, findet entweder unter den obigen Links etwas oder auch unter [5] bzw. [6].

Dieses Problem tritt immer wieder auf (bei einem Kunden war es schon unser running gag); daher also die Überschrift…

[1] Alternativ können sie sich auf dem neuen Server nicht an Outlook Web Access anmelden. Hier liegt es daran, dass man bei der ersten Anmeldung die bevorzugte Sprache und die Zeitzone angeben muss; das wird dann im Benutzerkonto vermerkt. Diese Eintragung schlägt aber fehl, weil Exchange die entsprechenden Rechte auf dem User fehlen.

[2] http://www.msxfaq.de/konzepte/adminsdholder.htm

[3] http://www.serverhowto.de/Der-AdminSDHolder.477.0.html

[4] http://blog.mrinas.de/2011/11/12/adminsdholder-oder-warum-habe-ich-keine-rechte/

[5] http://blogs.technet.com/b/askds/archive/2009/05/07/five-common-questions-about-adminsdholder-and-sdprop.aspx

[6] http://policelli.com/blog/archive/2009/11/06/understanding-adminsdholder-and-protected-groups/

PS: wie immer gilt: für den Inhalt der externen Links bin ich nicht verantwortlich.

Veröffentlicht unter blog, computer | Verschlagwortet mit | Kommentare deaktiviert für Wenn ich jedes Mal einen Euro dafür bekommen würde…

Dude, where is my OWA?

Ich migriere gerade bei einem Kunden von Exchange 2003 auf Exchange 2013. Da wir rein mit Bordmitteln arbeiten, müssen wir den Zwischenschritt über Exchange 2010 machen. Ich bearbeite gerade ein Problem mit den öffentlichen Ordnern und deshalb musste ich meine Mailbox zurück auf den alten Server verschieben (um sicherzustellen, dass in meinem Outlook auch der alte „Öffentliche Ordner“ Speicher genutzt wird).

Im Gespräch mit dem Administrator kamen wir auf das neue (ab Exchange 2010 geltende) Berechtigungsmodell zu sprechen (Stichwort: RBAC). Ich wollte seinen User nun so berechtigen, dass er auch den neuen Server administrieren darf. Dazu rief ich aus der Toolbox den entsprechenden Punkt auf. Dieser Punkt wird aber in Exchange 2010 über die ECP-Konsole administriert, also über den Browser.  Und dort wurde mir dann nach der Anmeldung eine Fehlermeldung präsentiert:

Seite nicht gefunden. Mit der von Ihnen eingegebenen Adresse ist kein Zugriff auf das Postfach möglich. Die korrekte Adresse erhalten Sie vom Helpdesk.

Nachdem ich dann ein bisschen gesucht hatte und auf die Lösung gestossen bin, war das wieder so ein „hätte ich auch selbst drauf kommen können“ Moment. Ich melde mich beim Exchange 2010 OWA an, um auf die ECP-Seite zu kommen. Nur liegt ja mein Postfach auf dem „alten“ Server, auf dem es keine ECP-Seite gibt. So schlägt der Redirect natürlich fehl.

Merke für die Zukunft: eigenen Test-Account anlegen.

 

 

Veröffentlicht unter blog, computer | Verschlagwortet mit | Kommentare deaktiviert für Dude, where is my OWA?

Kino-Tipp: Whoami

Hinweis: der folgende Text könnte Hinweise auf entscheidende Punkte der Handlung enthalten. Wer sich den Spass nicht verderben will, sollte vielleicht erst ins Kino gehen;-)

Normalerweise bin ich kein großer Fan deutscher Produktionen. Deutsche Filme stellen oft Psychologie und Beziehungsprobleme in den Vordergrund, auch wenn es (meiner Meinung nach) nicht zur Geschichte passt. Aber der Trailer zu „Whoami“ machte mich neugierig: ein deutscher Film über Hacker? „23“ war ja ein ganz guter Film, aber auf der anderen Seite gibt es im Moment ja auch eine Schwemme an „Hacker“-Filmen. Aber das Kino schien mir eine bessere Alternative zu Halloween zu Hause zus ein und da ein Freund mitkommen wollte, habe ich mich in Bewegung gesetzt;-)

Der Film fängt mit dem Ende an und der Hauptdarsteller erzählt, wie es zu diesem Ende gekommen ist. Diese Erzählweise ist ja nicht unbekannt im Kino und wird in verschiedenen Filmen unterschiedlich eingesetzt. Ich will hier nicht zu viel verraten, aber einem fleissigen Filmgucker werden zum Ende des Films (mindestens) zwei weitere Filme einfallen…

Die Geschichte wird gut erzählt und man baut zu den einzelnen Darstellern eine gute Beziehung auf (ob positiv oder negativ mag bei Jedem unterschiedlich sein).

Was mir gut gefiel: die Darstellung der Unterhaltungen im Chat. So etwas ist ja immer schwierig darzustellen, aber hier fand ich die Umsetzung sehr gut gelungen.

Wenn gehackt wurde, dann machte Einiges auf den Bildschirmen sogar Sinn; insbesondere NMAP wurde mit zusätzlichen Skripten immer wieder ins Spiel gebracht.

Natürlich muss Einiges so dargestellt werden, dass auch das Nicht-Computeraffine Publikum unterhalten wird (und die Geschichte vorangetrieben wird). Deshalb kann ich zwei Dinge auch wohlwollend tolerieren;-)

Erstens: wie wir alle schon in „Hackers“ gelernt haben: man hackt nicht von zu Hause aus (ok, in „Hackers“ geht der Satz weiter mit „keine Bank“). Und der zweite Fehler: man klebt entweder die Kamera im Laptop ab oder deaktiviert sie;-)

Die Hacks selber waren echt lustig. Mehr verrate ich aber nicht;-) Allerdings hoffe ich aber mal, dass man beim BND nicht so einfach ins neue Gebäude kommt; sonst muss ich mich schon fragen, wohin das ganze Geld für den Bau ging;-)

Schön war auch, dass „Social Engineering“ und „Hardware Hacking“ eine Rolle spielten; oft sieht man in Filmen ja meistens nur Software-Voodoo.

Mein Fazit: ich empfehle den Film; auch für Nicht-Technikaffine. Und wenn er auf DVD rauskommt, kommt der Film in meine Sammlung.

PS: nette Randnotiz: auf Seiten der Ermittler gab eine Haeckse den entscheidenden Hinweis.

 

 

 

 

Veröffentlicht unter blog, computer, kino-tv-radio | Verschlagwortet mit | Kommentare deaktiviert für Kino-Tipp: Whoami

Quick-Tipp: Fehler beim Zugriff auf die CUPS-Adminseite

Ich habe einen neuen Drucker zu Hause, da mir jemand einen gebrauchten Farb-Tintenstrahler geschenkt hat. Der Drucker hat aber keine Netzwerk-Schnittstelle, so dass ich ihn über Umwege in das heimische Netz einbauen muss. Ich könnte mir es einfach machen und einen kleinen Printserver laufen, aber die sind nicht so billig und es wäre wieder ein Gerät mehr das Strom verbraucht. Mein Router bietet zwar eine USB-Schnittstelle und könnte als Printserver genutzt werden; leider steht er im falschen Raum.

Direkt neben dem Drucker steht aber mein Raspberry Pi, der schon eine Serveraufgaben erfüllt. Ich habe den Drucker also per USB angeschlossen und unter Debian CUPS nachinstalliert. Dummerweise bekam ich beim Zugriff auf die Admin-Webseite (https://servername:631/admin) aber immer die Fehlermeldung „Forbidden“. Also habe ich mal die verschiedenen Logs durchsucht; stiess aber auf keine Fehlermeldung. Auch ein Blick in die CUPS-Konfigurationsdatei brachte keine Erleuchtung. Ich vermutete dann noch ein Problem mit dem NGINX-Webserver, der anstelle des ressourcenfressenden Apache läuft; aber auch hier Fehlanzeige.

Auf der Kommandozeile habe ich mir dann noch mal alle Tools anzeigen lassen, die mit „cups“ beginnen. Dabei stiess ich auf das Tool cupsctl. Ich rief das Tool ohne weitere Parameter auf und erhielt folgende Ausgabe:

root@raspberrypi:/var/log/cups# cupsctl
_debug_logging=0
_remote_admin=0
_remote_any=0
_remote_printers=1
_share_printers=0
_user_cancel_any=0
BrowseLocalProtocols=CUPS dnssd
DefaultAuthType=Basic
JobPrivateAccess=default
JobPrivateValues=default
MaxLogSize=0
SubscriptionPrivateAccess=default
SubscriptionPrivateValues=default
WebInterface=Yes

„remote_admin“ sah schon mal vielversprechend aus; es war nur noch nicht klar, wofür 0 und 1 standen.

„cupsctl -?“ lieferte dann (Ausschnitt):

–[no-]debug-logging Turn debug logging on/off.
–[no-]remote-admin Turn remote administration on/off.
–[no-]remote-any Allow/prevent access from the Internet.
–[no-]remote-printers Show/hide remote printers.
–[no-]share-printers Turn printer sharing on/off.
–[no-]user-cancel-any Allow/prevent users to cancel any job.

Ich gab dann „cupsctl –remote_admin“ ein und rief wieder „cupsctl“ auf. Und nun stand dort

_remote_admin=1

Als ich nun wieder die Webseite aufrief, wurde mir der Zugriff nicht mehr verwehrt.

PS: Die ersten Treffer bei Google waren keine Hilfe; in einem Thread von 2008 schien der Workaround zu sein, dass man „system-config-printer“ als Root starten sollte. Solche Lösungen scheinen mir immer üble Hacks zu sein…

PS II: Die Anmeldung an der Webkonsole gestaltete sich dann noch etwas schwieriger, da der Root-Account auf dem Raspberry Pi nicht direkt nutzbar ist und meinem Useraccount Rechte fehlten.  Mit dem Befehl „usermod -aG lpadmin insertyouruserhere“ konnte ich mir erfolgreich Zugriff verschaffen

Veröffentlicht unter blog, computer | Verschlagwortet mit | Kommentare deaktiviert für Quick-Tipp: Fehler beim Zugriff auf die CUPS-Adminseite

Was die Leute so alles ans Internet hängen

Mein Blog meldet mir, dass er eine bestimmte IP nach 16 vergeblichen Logins für 24 Stunden gesperrt hat. Ich habe mir daraufhin per WHOIS mal angeschaut, woher die IP kommt. Scheinbar interessiert sich jemand in den Niederlanden brennend für meine Login-Seite. Die IP wird aber mittels Reverse DNS zu einem Namen aufgelöst, der „static“ enthält. Das lässt vermuten, dass es sich um einen Server handelt. Also schaue ich mal nach, welche Dienste der Server so im Internet anbietet:

02102014-login-attempts-A-2

Wie zu sehen ist, bietet der Rechner einige Dienste an, die auf einem alten Windows-Server nicht ungewöhnlich sind. Ein Aufruf der IP im Windows Remote Desktop Client zeigt, dass es sich wirklich um einen Windows 2003 Server handelt. Der angebotene FTP-Dienst lässt eine anonyme Anmeldung zu und der IIS ist nicht konfiguriert.

Richtig lustig wird es aber, wenn man sich mit dem Mailserver verbindet. Der gibt als Hostnamen nämlich SRVPDC001 zurück; es handelt sich also wahrscheinlich um einen Domänenkontroller:

02102014-login-attempts-B-2

Ich denke mal, ich werde heute Abend den Provider informieren, damit der den Kunden ansprechen kann.

Wir haben noch einen langen Weg vor uns, wenn wir das Internet zu einem sicheren Ort machen wollen.

Veröffentlicht unter Uncategorized | Kommentare deaktiviert für Was die Leute so alles ans Internet hängen

BRUCON 2014

Ich habe auch in diesem Jahr die BRUCON-Konferenz im schönen Städtchen Gent besucht. Leider war in diesem Jahr kein Budget für ein Training vorhanden, so daß ich nur von der Konferenz berichten kann.

Wie üblich gab es wieder Vorträge und (teilweise) parallel Workshops. Man konnte sich über eine Webseite einen eigenen Kalender zusammenstellen; allerdings wurde nicht deutlich, dass man sich so auch für die Workshops registriert hat. So hatte ich aber zumindest einen Platz in jedem gewünschten Workshop sicher…

Die Konferenz begann am Donnerstag mit einer Keynote von Jennifer Minella. Ihr Thema war, wie wir mehr Leute für IT Security begeistern können, um die Personalknappheit zu vermindern. Sie nutzte dazu Zitate aus Büchern von Dr. Seuss. Zwei Punkte haben mir besonders gut gefallen:

– Leadership bedeutet Leader zu erschaffen, nicht Follower

– Man begeistert Leute nicht für die IT Security, wenn man selber nur darüber spricht wie schlecht alles ist

Ich bin eigentlich kein Freund von Keynotes, fand diese aber gut.

Der nächste Vortrag von Matt Hastings und Ryan Kazanciyan hatte den Titel Investigating PowerShell Attacks. Die Beiden haben sehr schön aufgezeigt, welche neue Angriffsfläche durch PowerShell entstehen kann und wie sich PowerShell für Attacken nutzen lässt. Die Folien werde ich mir auf jeden Fall noch mal in Ruhe anschauen und einige Dinge in meine Beratung einfliessen lassen.

Danach gab es einen Vortrag von Aaron Lemasters mit dem Titel Windows Crash Dump Exploration Vehicles. In dem Talk wurde gezeigt, was bei einem Crash Dump passiert und wie sich das ausnutzen lässt, um z.B. bei einem Befall mit einem Rootkit der MBR ausgelesen werden kann. Keine leichte Kost, aber zu empfehlen.

Danach hatte ich die Auswahl zwischen drei Workshops. Leider habe ich mich in den falschen Workshop gesetzt…

Daniela Zapata und Wim Remes wollten einen vierstündigen Workshop zum Thema The dirty secrets of client-side exploitation and protection halten. Unglücklicherweise befanden sich die Hands-on Labs in dem Koffer, der nicht den Weg nach Gent gefunden hatte (merke: immer ein Backup haben). So ging Wim eine Stunden lang seine Folien durch, die aber für mich nicht viel Neues enthielten. Interessant war aber, dass er einige Freiwillige in die Stadt schickte mit dem Auftrag, von Wildfremden die Mailadressen und Telefonnummern zu bekommen. Und sie kamen nicht ohne Beute zurück…

Schade nur dass nicht gezeigt wurde, wie man mit diesen Informationen an weitere Informationen zur Vorbereitung eines Angriffs kommt.

Nun musste ich mich entscheiden, wie ich die Lücke füllen sollte. Ich entschied mich, in den Workshop Javascript for Pentesters with over 20 Challenges von Vivek Ramachandran zu gehen. Ursprünglich hatte Vivek für den Workshop vier Stunden vorgesehen, wurde aber wegen parallel laufender Workshops gebeten, seinen Workshop zwei Mal zu halten. Er musste seine Beispiele deswegen in 120 Minuten packen. Die hatten es dann aber in sich. Selbst ich als ziemlicher Javascript-Neuling konnte fast allen Beispielen folgen und ich war erstaunt, was damit so alles geht. Wirklich schade, dass es davon keine Videoaufzeichnung gibt.

Zu der Party sage ich nur so viel, dass keiner tanzte, die Musik aber trotzdem zu laut zum Unterhalten war. Ich plädiere hier für eine Rückkehr zu der Location von vor zwei Jahren.

Am nächsten Morgen haben wir uns kurzfristig für den Workshop Splinter the Rat Attack: Create your own Botnet to exploit the network von Solomon Sonya entschieden. Dieser Workshop war aufgrund von Änderungen am Ablauf in den ersten Slot geraten, was sich als Glück für uns herausstellte. Solomon zeigte uns in dem Workshop, wie man mit seinem Tool Splinter und einigen anderen Tools ein Botnetz aufbaut. Wir haben auch darüber diskutiert, wie man sich dann am besten vor Entdeckung schützt. Der Workshop war ein echter Gewinn und aufbauend auf seinen Tools kann man mal ein anderes Live-Hacking als das Übliche „hier ist die Shell“ aufbauen.

Danach ging es dann zu Willi Ballenthin und seinem Workshop „EID 1102 – The Audit Log was cleared“ wont stop me: Advanced Windows Event Log Forensics. Willi erklärte einige Internas zum Windows Event Log und erklärte die Unterschiede zwischen dem Prä-Vista Event Log und der neuen Version (ab Vista). Er stellte dann einige Tools vor, mit denen man auch dann noch Informationen aus dem System holen kann, wenn ein Angreifer das Event Log gelöscht hat. Ein sehr interessanter Wokshop von jemand, der weiß wovon er spricht.

Abschliessend gab es dann noch den Workshop Network Device Forensics von Didier Stevens. Es standen 20 CISCO-Geräte für die Teilnehmer zur Verfügung; leider bekam ich meine serielle Schnittstelle nicht zum Laufen, so daß ich auf die vorgefertigten Dumps zurückgreifen musste. Didier erzählte zuerst etwas über die Internas von CISCO IOS und zeigte dann, wie man einen Dump von einem IOS-Gerät macht. Er stellte dann ein paar seiner eigenen Tools vor, um diese Dumps zu analysieren. Wie praktisch, dass ich noch einen alten ISDN-Router zu Hause habe;-)

Auch dieser Workshop war sehr spannend und wer sich mit CISCO IOS beschäftigt, sollte mal einen Blick auf seine Tools werfen.

Nach diesem Workshop war dann Schluß für uns und wir haben uns auf den Heimweg gemacht.

Ich habe wieder viel gelernt, alte Freunde getroffen und neue Freunde gewonnen. Das macht für mich BRUCON aus.

In diesem Sinne: bis zum nächsten Jahr! (Und dann hoffentlich wieder mit dem Besuch eines Trainings)

PS: was ich gerne noch gesehen hätte:

– Michael Sikorski: Counterfeiting the pipes with Fakenet 2.0 (zumindest habe ich die Slides)

– Hal Pomeranz: Linux Forensics Workshop (ich habe zu spät gesehen, dass der Workshop Donnerstag Abend noch mal lief)

– Jake Valletta: Exploiting the bells and whistles: Uncovering OEM vulnerabilities in Android (auch hier habe ich aber die Materialien; der Workshop soll sehr gut gewesen sein)

Veröffentlicht unter blog, konferenzen, security | Verschlagwortet mit , , | Kommentare deaktiviert für BRUCON 2014