Wie in meinem letzten Blog-Eintrag ankündigt werde ich meine derzeitgen Arbeiten hier veröffentlichen. Diesmal meine Präsentation zum Thema Botnetze.

Vortrag

Die Präsentation hatte Ursprünglich noch meine ganzen Quellen enthalten, aber mit Absprache meine Professors, haben wir ausgemacht, das die Quellen in der dazugehörigen Seminararbeit genannt werden. Werde diese auch in den nächsten Wochen nach meinen Prüfungen veröffentlichen.

Ich wünschen allen Lesern ein frohes und erfolgreiches Jahr - auch wenn was verspätet

Es blieb in den letzten Jahren eher ruhig hier um RemoteShell-Security.

Viele Neuerungen kann ich nicht versprechen, aber da ich derzeit an verschiedenen Projekten im Rahmen meines Studiums beschäftigt bin, werde ich die Ergebnisse auch hier veröffentlichen. Mein derzeit wohl spannendeste Projekt befasst sich mit dem Thema Botnetze, welches ich zu gegebener Zeit auch hier veröffentlichen werde.

 Bis dahin wünsche ich uns allen, dass wir auch die unerwarteten Herausforderungen des neuen Jahres 2010 erfolgreich meistern werden.

Gestern habe ich das erste mal Google Wave genutzt und muss sagen, dass ich positiv überrascht bin.

Viel habe ich bisher noch nicht genutzt, werde aber bei Gelegenheit was herumspielen und meine Erfahrungen hier veröffentlichen.

Wer Interesse an einen Google Wave Account hat, kann sich einfach bei mir melden. Ich sende dann eine Einladung.

Ein schöner Artikel über den Sicherheitswahn hier in Deutschland:

http://www.zeit.de/2009/33/Sicherheitswahn?page=all

...passend dazu auch :

Und weiter geht die Talfahrt unsere einst so geliebten Demokratie.

Wie gestern im Hamburger Abendblatt berichtet, soll nach Meinung von Bundesfamilienministerin Ursula von der Leyen der Kampf gegen "Schmutz im Internet" verschärft werden. Es hieß zwar gegenüber Welt Online, dass die Bundesfamilienministerin "keineswegs eine Ausweitung der
Internetsperren oder ein anders geartetes konkretes Vorgehen gegen
weitere rechtwidrige Inhalte als Kinderpornografie angekündigt" habe und dies nicht durch den Wortlaut des Interviews gedeckt werde.

Doch was noch ist, kann ja noch werden.

Sehr schön zum Thema ist auch der Blogeintrag vom Lawblog dazu.

Als Kind und vorallem als Jugendlicher werden oft Dinge getan, die besser nicht für jedermans Ohren und Augen bestimmt sind. Über kurz oder lang werden die Geschichten dann auch vergessen und nur in seltenen Augenblicken aus der geistigen Erinnerungstruhe ausgepackt.

Doch im Zeitalter des Internets, beginnt unsere heutige Gesellschaft schon früh damit das Erlebte im Internet zu präsentieren. Sei es nur, um das Erlebte mit Anderen zu teilen bzw. sich darüber auszutauschen.
Früher fand das Präsentieren des Erlebten noch über die eigene Webseite mit vielen Informationen über einem selber - die man am besten nie hätte ins Internet stellen sollen - statt. Doch war das nur einer kleinen Gruppe von Menschen möglich. Heute sieht das alles schon etwas anders aus.
Spätestens seit "Web 2.0" ist nun fast ein jeder sein Leben - völlig transparent - mit der ganzen Welt am teilen.
Sei es mit eigener Seite auf MySpace oder einfach einem eigenen Blog bei Blogspot oder doch nur ein Profil in einen der zahlreichen Social Networks wie StudiVZ oder Facebook. Wer dann noch mehr über sich erzählen möchte, ist am Twittern.
Das die ganzen Plattformen durchaus ihren Sinn haben, will ich auch garnicht bezweifeln - immerhin blogge ich hier auch . Jedoch sollte bedacht werden, dass Informationen die ich einmal ins Internet gestellt habe, auch noch viele Jahre danach aufrufbar sind.
Der Bundeskanzler im Jahre 2050 wird bestimmt einiges privates aus unser heutigen Zeit ins Internet gestellt haben, was seiner Reputation dann 2050 nicht allzu gut kommt.
Doch wie kann das sein? Im Gegenzug zum Menschen, der über die Fähigkeit des Vergessens verfügt, vergisst das Internet nicht. Schon Friedrich Nietzsche stellte fest, „Es ist möglich, fast ohne Erinnerung zu leben, ja glücklich zu leben, wie das Tier zeigt; es ist aber ganz und gar unmöglich, ohne Vergessen überhaupt zu leben ... Es gibt einen Grad von Schlaflosigkeit, von Wiederkäuen, von historischem Sinne, bei dem das Lebendige zu Schaden kommt, sei es nun ein Mensch oder ein Volk oder eine Kultur." Doch genau hier, macht uns das Internet einen Strich durch die Rechnung. Es ist das wohl sicherste Medium, wenn es um nachhaltige Sichern von Informationen geht. Genauso wie das Internet vernetzt ist, sind auch die enthaltenden Informationen vernetzt und gar redundant.

Alle Informationen die im Internet für Interessant gehalten werden, hat auch immer irgendwer lokal gespeichert, der es dann wieder hochladen kann. Hinzukommen da noch Fälle, in denen ganze Webseiten archiviert werden, wie zum Beispiel mit Tools wie HTTrack.
Dazu gibt es auch noch Medien die einem das Durchsuchen von alten Inhalten ermöglichen. Hier gibt es die Wayback Machine oder den Cache von Google. Zu dem ermöglicht Google auch noch das gezielte Suchen des Caches. Der Syntax sieht wie folgt aus:

http://google.com/search?q=cache:www.domain.de/pfad/zur/seite.html

Der Versuch, Inhalte aus dem Internet auch nachhaltig zu entfernen grenzt schon fast an Utopie. Denn selbst durch gezieltes entfernen können die Inhalte schon Tage danach wieder verfügbar sein. Bestes Beispiel hierfür sind Videos auf Youtube. Das Internet ist eben ein selbstheilender Organismus, mit unbegrenzten Gedächnis. Daher sollte sich immer vor Augen gehalten werden, das alles was wir im Internet machen, auch seine Spuren hinterlässt.
Da wundert es nicht, dass es schon einige Anbieter fürs Online Reputation Management gibt.
Einen anderen Weg geht das Open-Source-Programm Vanish, welches Computerwissenschaftler der University of Washington entwickelt haben. Heise fasst die Funktionweise sehr schön zusammen:
"Vanish [...] erzeugt für jedes Posting, das mit einem Browser online gestellt wurde, einen geheimen Schlüssel, mit dem dieses codiert wird. Der Sender kennt diesen Schlüssel auch nicht. Der Schlüssel wird dann fragmentiert und zufällig auf Computer verteilt, die P2P-Netzwerken angehören. Da diese sich konstant verändern, Computer neu hinzukommen und andere verschwinden, wird der Schlüssel allmählich nicht mehr zugänglich. Nach einer gewissen Zeit lassen sich die Postings daher nicht mehr lesen. Beim Prototyp ist die Standardeinstellung acht Stunden, die Benutzer können aber auch eine andere Zeit einstellen, um ihre Kommunikation aus dem Internet verschwinden zu lassen. Das ist ein wenig wie eine Geheimschrift, die nur für eine gewisse Zeit lesbar ist. Allerdings sind die Daten dann auch unwiederbringlich verschwunden.

Um zu funktionieren, müssen freilich Sender und Empfänger Vanish installiert haben, was der Sache derzeit doch einen sehr begrenzten Nutzen verleiht. Der Sender kann einen Teil des Textes markieren, der gelöscht werden soll. Das funktioniert mit webbasierter Maildiensten wie Hotmail, Yahoo oder Gmail oder mit Sozialen Netzwerken wie MySpace oder Facebook."

Weitere Informationen können direkt der Meldung der University of Washington entnommen werden.

Im Rahmen meines Studiums konnte ich in der Veranstaltung "Penetration Testing I" Bekanntschaft mit dem Exploiting Framework Core Impact Pro V9 machen.
Im vergleich zu Metasploit besteht der große Vorteil darin, dass es in der Bedienung sehr intuitiv zu bedienen ist und trotzallem sehr detaillierte Einstellungen erlaubt. Dabei können die individuellen Konfigurationsmöglichkeiten mit Hilfe eines Assistenten erfolgen.
Core Impact arbeitet auf Basis der „patentierten Agenten Technologie“ wie Core Security selbst ihre Entwicklung beschreibt. Ein Agent ist ein Programm, welches auf dem kompromittierten System installiert wird. Es entspricht in der Funktionalität einem RAT, der ausschließlich im RAM des kompromittierten Systems arbeitet und versucht, durch anti-forensische Maßnahmen  unerkannt zu bleiben. So können über die Agenten lokale Prozesse oder über das bereits kompromittierte System weitere Ziel-Systeme angegriffen werden. Ein Agent kann jederzeit aus einem kompromittierten System entfernt werden und überleben per Default keinen Neustart (kann aber eingestellt werden).
Eine Besonderheit von Core Impact ist das automatisierte Ausführen von Penetrationstests, welche von Core Security als “Rapid Penetration Testing“ (RPT) bezeichnet wird. Hierzu wird bei der Standardkonfiguration automatisch folgender Prozess ausgeführt:

1. Enumeration (Information Gathering)
2. Angriff und Penetration
3. Lokales Information Gathering
4. Privilege Escalation
5. Cleanup
6. Reporting

Bei der “Enumeration“ werden wahlweise Information über das Ziel-Netz oder -System gesammelt. Auf Grundlage dieser Informationen wird ein Angriff auf das Ziel-System durchgeführt. Ist der Angriff erfolgreich, werden Informationen über das lokale – also das kompromittierte System – gesammelt, um die erlangten Privilegien zu verifizieren. Sofern durch den Angriff des Ziel-Systems noch nicht die höchsten Zugriffsrechte erlangt wurden, wird versucht diese auszuweiten. Der Angriff wird nach einem Cleanup beendet. Im Cleanup werden alle installierten Agenten entfernt. Ziel ist die Wiederherstellung des Ausgangszustandes vor dem Angriff. Abgeschlossen wird der Prozess mit der Generierung eines ausführlichen Reports. Neben der automatischen Standardkonfiguration besteht die Möglichkeit, per Drag and Drop eigene Prozessfolgen durchzuführen. Allerdings müssen dabei Abhängigkeiten zwischen einzelnen Prozessschritten eingehalten werden. Dabei kann auch auf externe Programme zurückgegriffen werden (z.B. bei Schritt 1).
Je nach Leistung des Systems, auf dem Core Impact ausgeführt wird, können Angriffe parallel ausgeführt werden. Zudem ermöglicht der Scheduler von Core Impact ein detailliertes Planen von Angriffen mit wählbaren Zeitpunkten. Es besteht die Möglichkeit, auch Webanwendungen auf Vulnerabilities zu testen und Phishing E-Mails zu generieren.

Die Exploits, die Core Impact zur Verfügung stellt sind in Python programmiert und können angepasst werden. Hierzu wird eine Python-Schnittstelle bereitgestellt. Die Exploit-Bibliothek von Core Impact wird stetig erweitert und durchschnittlich 10- bis 20-mal im Monat aktualisiert, um neue Vulnerabilities auszunutzen. Das hat zur Folge, dass schon wenige Tage (<= 2 Tage) nach erscheinen einer Vulnerability, ein Exploit für diese bereitgestellt wird.
Zum Suchen dieser Exploits bietet Core Impact eine umfangreiche Exploit-Suchmaschine an. Dabei kann auf bis zu 6 verschiedene Arten gesucht werden, wie in nachfolgender Tabelle zu sehen ist.

Exploits können per Drag and Drop angewendet werden. Core Impact analysiert zuvor das relevante Betriebssystem sowie die Version. Je mehr Informationen über das Ziel-System bekannt sind, desto wahrscheinlicher ist eine erfolgreiche Anwendung des Exploits. Zudem wird eine automatische Wahl der Konfigurationsparameter begünstigt. Eine manuelle Wahl der Konfigurtionsparameter ist ebenfalls möglich.

Einziges Manko an Core Impact ist der exorbitante Preis im Vergleich zu Metasploit, welches kostenlos ist.

Am kommenden Donnerstag den 23.07.2009 findet in Bonn eine Informationsveranstaltung mit anschließender Diskussion zum Thema "Internetsperren in der Bundesrepublik Deutschland und Europa" statt.

Hier der Flyer, der alle Informationen enthält:

Titel: "Netzsperren in Deutschland und Europa - Einstieg in die
Internetzensur oder wirkungsvolles Mittel im Kampf gegen
Kindesmissbrauch"

Beschreibung: Am 18. Juni 2009 wurde das Zugangserschwerungsgesetz im
Bundestag beschlossen. Dieses Gesetz wird von den Befürwortern als ein
flankierendes Mittel im Kampf gegen sexuellen Missbrauch von Kindern
gefeiert und von Gegnern als Einstieg in die Internetzensur
kritisiert. Obwohl die Befürworter nicht müde werden zu betonen, dass
es nur um sogenannte Kinderpornographie geht, werden die Stimmen
lauter, die diese Sperren auch als Mittel gegen Hasspropaganda,
gewaltverherrlichende Spiele und Urheberrechtsverstösse fordern.

Bei dem Informationsabend soll es um die um die politischen,
technischen und juristischen Möglichkeiten und Grenzen von Zensur im
Internet gehen. Dazu wird es einen Vortag geben und im Anschluss eine
Diskussion, um speziellere Fragen zu diskutieren. Der Vortrag wird
gehalten von fukami, einem Mitglied der Piratenpartei in Bonn.

Verantalter: LUUSA (Linux-Unix Usergroup Sankt Augustin)
Datum: Donnerstag, 23. Juli 2009 ab 20 Uhr
Ort: Netzladen Bonn, Wolfsstrasse 10 (Hinterhof), 53111 Bonn

Als die Suche nach einer (wissenschaftlichen) Definition eines Exploiting Frameworks ergebnislos blieb, habe ich mich zur folgenden Definition hinreißen lassen:

Ein  Exploiting Framework besteht aus den beiden Wörtern “Exploiting“ und “Framework“.  Dabei definiert sich ein Exploit als “Anleitung oder Software zur systematischen oder vereinfachten Durchführung eines Angriffs.“ [Ruef]. Das beschreibt den Vorgang der Benutzung eines Exploits. Der Begriff Framework definiert sich als “ein wieder verwendbarer Entwurf, der durch eine Menge von abstrakten Klassen, sowie dem Zusammenspiel ihrer Instanzen beschrieben wird.“ [Lüecke]. Dem nach definiert sich ein Exploiting Framework, als ein wieder verwendbarer Entwurf zur Durchführung Angriffs, der durch eine Menge von abstrakten Klassen, sowie dem Zusammenspiel ihrer Instanzen beschrieben wird. Weit weniger Abstrakt lässt sich ein Exploiting Framework wie folgt definieren:

Ein Exploiting Framework, ist ein Archiv von Anleitungen zur Durchführung eines Angriffs, welche entsprechend den Wünschen des Anwenders angepasst werden können.

Ohne Worte:

http://blog.odem.org/2009/06/bundesregierung-keine-kenntnis.html



Ganz interessant hierzu noch folgende beiden Links:

http://blog.fefe.de/?ts=b4cf0a07

http://handelsblatt6.blogg.de/eintrag.php?id=2147



Lesen lohnt sich, auch wenn es einem zwischen Trauer und Wut schwanken lässt.

Im Rahmen eines Projektes im dritten Semester meines Bachelor Studiengangs in Computer Sience, haben ich und meine Kommilitonen personenbezogene Daten von Festplatten des Bundes wiederhergestellt.

Weitere Informationen können der Pressemitteilung der Hochschule entnommen werden:

http://www.inf.fh-bonn-rhein-sieg.de/News/2009_04_27_Informationsssicherheit.html


Interessant an diesem Projekt war vorallem die Tatsache, wie das Thema Datensicherheit in staatlichen Behörden wahrgenommen bzw. umgesetzt wurde. Siehe hierzu auch "22. Tätigkeitsbericht zum Datenschutz für die Jahre 2007 und 2008" auf Seite 105.

Dies zeigt uns nur mal wieder dass das Thema Datenschutz immer noch nicht überall angekommen ist. Bei wichtigen Daten auf Festplatten, sollten diese immer lieber gelagert werden, anstatt sie bei EBay zu verkaufen. Zusätzlich bietet es sich noch an, sich einen Degausser zuzulegen, um die Daten physisch zu zerstören. Denn selbst mehrmalliges überschreiben der Daten beim Löschen schließt keine Wiederherstellung zu 100% aus. So ist es Spezialisten, die zur Wiederherstellung von Daten ausgebildet sind, möglich über den Restmagnetismus einer Festplatte die Daten wiederherzustellen. Dabei können die Schichten der Festplatte , Schicht für Schicht
abgetragen werden und die Ursprungsdaten wiederhergestellt werden.

Wir bewegen uns Gesellschaftlich immer mehr in einer Richtung, in der wir unser Privatleben der Welt präsentieren. Immer noch ist vielen Bundesbürgern der sensible Umgang mit ihren privaten Daten, vorallem im Internet, nicht bekannt. Viele wissen einfach nicht um die Tragweite ihrer Handlungen bescheid und handeln getreu dem Motto: "Ich habe ja nichts zu verbergen".

Das ZDF hatte zu einem verwandten Thema am Dienstag den 07.04.2009 einen sehenswerten Bericht ausgestrahlt. Schwerpunkt des Berichtes ist vorallem der Handel mit diesen Informationen und der Gewinn der Information ohne Verwendung neuer Medien wie dem Internet. Interessant ist vorallem der Umgang der Politik mit diesem Thema, was auch Teil des Berichtes ist. Auch wenn mir vieles schon zuvor bekannt war, so war es doch erschreckend zu sehen wie umfangreich das Sammeln und Erstellen von "Bürgerprofilen" ist, ohne die Verwendung neuer Medien die es noch leichter machen.

Ansehen kann man sich den Bericht unter:

http://video.google.com/videoplay?docid=1339183800128699700

Entgegen alter Verlautbarungen meinerseits, in denen ich viele Neuerungen verkünden ließe, blieb es eher ruhig um Remoteshell-Security.

Doch nach dem ich aus meinem Winterschlaf wieder zurück bin und nun auch wieder ein wärmeres Lüftchen durch Deutschland weht, soll auch wieder neues Leben eingehaucht werden.

So wurden alte Inhalte aktualisiert und mir bekannte Fehler aus Dokumenten entfernt. Zu dem stehen einige Projekte (Dokumente, Programme) die bis dato noch nicht das Licht der Welt erblickt haben, einer Veröffentlichung kurz bevor.
Damit diese Ankündigungen auch nichts als eine Ankündigung bleiben, will ich direkt schonmal mit einem
wirklich neuen Beitrag diese Rückkehr beginnen.

Erstens kommt es anders und zweitens als man denkt.

Obwohl ich Ende letzten Jahres verkünden ließe, dass es nun mehr Beiträge hier geben soll, konnte ich den Verlautbarungen nicht gerecht werden. Dies hängt wohl in erster Linie damit zusammen, das ich privat wie auch im Studium mal wieder mehr um die Ohren hatte, als zunächst angenommen. Allerdings will ich dem geneigten Leser nicht mit irgendwelchen privaten Problemen unterhalten, sondern versuchen noch ein paar spannende Beiträge hier zu veröffentlichen, solange sich der Erdball noch nicht ganz einmal mehr um die Sonne gedreht hat.

Wer kennt es nicht, man surft auf seiner Lieblingswebseite und würde gerne eines der Flash Videos, die es im Internet mittlerweile wie Sand am Meer gibt, auch lokal auf der Festplatte sichern. Für die bekanntesten Webseiten, vor allem den bekannten Videoportalen (wie z.B youtube.com), gibt es zahlreiche Browser Plug-ins (z.B. DownloadHelper für Mozilla Firefox) die einem diesen Vorgang erleichtern.

Probleme gibt es nur dann, wenn man auf Browser angewiesen ist die solche Plug-ins nicht bereitstellen, oder (viel wahrscheinlicher) dass man eine Seite besucht, bei der es nicht möglich ist das Plug-in zu verwenden.

Befindet man sich in solch einer Situation, ist es ganz praktisch etwas über die Beschaffenheiten von Flash im Zusammenspiel mit Webbrowsern bescheid zu wissen.

Dabei sollen die hier gezeigten Möglichkeiten nur die technischen Eigenschaften des Flash Videoformates im Zusammenspiel mit Browsern aufzeigen. Die hier verwendeten Techniken dürfen niemals für urheberrechtlich geschütztes Material ohne Einwilligung der Rechteinhaber verwendet werden.

So wird Flash clientseitig ausgeführt. Das hat zur Folge, dass alle Flash Videos zur Laufzeit sich lokal auf dem Rechner befinden. Um nun auf die Videos zuzugreifen, muss man mit dem Dateibrowser seiner Wahl zum Cache seines Browsers wechseln. Der Pfad ist dabei von Betriebssystem und verwendeten Browser (auch Version kann hier eine Rolle spielen) unterschiedlich. Wenn man nun im Cache seines Browsers angelangt ist, sieht man nun eine Menge wirre Dateien. Meist handelt es sich bei den größeren Dateien um Flash Video Dateien. Je nach Betriebssystem ist die Vorgehensweise wie man an die entsprechenden Videos gelangt unterschiedlich.

Falls man unter Windows nicht gerade das Unix-Tool file zur Verfügung hat - sei es durch Cygwin, GnuWin32 oder ähnlichem - dann bleibt einem in der Regel nur die Möglichkeit, seinen Dateibrowser die Dateien der Größe nach zu sortieren zu lassen. Die größten Dateien repräsentieren meist auch die Flash Videos.

Ob es sich tatsächlich um ein Flash Video handelt, testet man am besten mit einem beliebigen Videoplayer der in der Lage ist Dateien im Flash-Video-Format abzuspielen, wie z.B. der VLC-Player.

Weit aus praktischer und weniger umständlich ist es unter Linux (und natürlich jedes andere System in dem entsprechende Utilities vorhanden sind).

Hier zu wechselt man einfach in das Verzeichnis des Browser-Caches (hier im Beispiel von Firefox) und anschließend lässt man mit file nach Dateien suchen, die vom Typ Macromedia Flash Video sind:

rsecurity blog # cd ~/.mozilla/firefox/mtyue9ih.default/Cache/

und dann

rsecurity blog # for i in STERN ; do file $i | grep "Macromedia Flash Video"; done

bzw.

rsecurity blog # file STERN | grep "Macromedia Flash Video"

// STERN muss hier natürlich durch das Asterisk Jokerzeichen ersetzt werden

Möchte man nun z.B. nur die Audiodaten des Videos haben, so kann mit einem kurzen Script Abhilfe geschaffen werden:

rsecurity blog # vi flv2mp3

#!/bin/bash

file_org=$1
ffmpeg -i "${file_org}" -ab 128k -ar 22050 "${file_org}.mp3

rsecurity blog #  ./flv2mp3 a.flv 
FFmpeg version SVN-rUNKNOWN, Copyright (c) 2000-2007 Fabrice Bellard, et al.

....
size=    3232kB time=206.8 bitrate= 128.0kbits/s    
video:0kB audio:3232kB global headers:0kB muxing overhead 0.000967%
rsecurity blog #  ls -l
total 236508
-rw------- 1 root    root     6889229 2008-10-05 17:51 a.flv
-rw-r--r-- 1 root    root     3309432 2008-10-05 17:56 a.flv.mp3

....

Natürlich bieten die zahlreichen Browser Plug-ins eine wesentlich bequemere Methode um an entsprechende Videos zu gelangen, aber es sollte nun deutlich sein, dass die vielen Verschleierungen des Quelltextes der Webseiten nutzlos bleiben, so lange Flash Videos als einzelne Videodatei im Browsercache gelangen. Weiterhin wird das umständliche Analysieren vom Quelltext überflüssig, falls mal kein passendes Webbrowser Plug-in zur Verfügung steht.