Remoteshell-Security Blog - General

Google Wave - First Impressions

nospam@example.com (Daniel) — Wed, 09 Dec 2009 08:41:47 +0100

Gestern habe ich das erste mal Google Wave genutzt und muss sagen, dass ich positiv überrascht bin.

Viel habe ich bisher noch nicht genutzt, werde aber bei Gelegenheit was herumspielen und meine Erfahrungen hier veröffentlichen.

Wer Interesse an einen Google Wave Account hat, kann sich einfach bei mir melden. Ich sende dann eine Einladung.

Definition eines Exploiting Framework

nospam@example.com (Daniel) — Mon, 15 Jun 2009 20:38:58 +0200

Als die Suche nach einer (wissenschaftlichen) Definition eines Exploiting Frameworks ergebnislos blieb, habe ich mich zur folgenden Definition hinreißen lassen:

Ein Exploiting Framework besteht aus den beiden Wörtern “Exploiting“ und “Framework“. Dabei definiert sich ein Exploit als “Anleitung oder Software zur systematischen oder vereinfachten Durchführung eines Angriffs.“ [Ruef]. Das beschreibt den Vorgang der Benutzung eines Exploits. Der Begriff Framework definiert sich als “ein wieder verwendbarer Entwurf, der durch eine Menge von abstrakten Klassen, sowie dem Zusammenspiel ihrer Instanzen beschrieben wird.“ [Lüecke]. Dem nach definiert sich ein Exploiting Framework, als ein wieder verwendbarer Entwurf zur Durchführung Angriffs, der durch eine Menge von abstrakten Klassen, sowie dem Zusammenspiel ihrer Instanzen beschrieben wird. Weit weniger Abstrakt lässt sich ein Exploiting Framework wie folgt definieren:

Ein Exploiting Framework, ist ein Archiv von Anleitungen zur Durchführung eines Angriffs, welche entsprechend den Wünschen des Anwenders angepasst werden können.

Flash Videos herunterladen

nospam@example.com (Daniel) — Sun, 05 Oct 2008 19:37:00 +0200

Erstens kommt es anders und zweitens als man denkt.

Obwohl ich Ende letzten Jahres verkünden ließe, dass es nun mehr Beiträge hier geben soll, konnte ich den Verlautbarungen nicht gerecht werden. Dies hängt wohl in erster Linie damit zusammen, das ich privat wie auch im Studium mal wieder mehr um die Ohren hatte, als zunächst angenommen. Allerdings will ich dem geneigten Leser nicht mit irgendwelchen privaten Problemen unterhalten, sondern versuchen noch ein paar spannende Beiträge hier zu veröffentlichen, solange sich der Erdball noch nicht ganz einmal mehr um die Sonne gedreht hat.

Wer kennt es nicht, man surft auf seiner Lieblingswebseite und würde gerne eines der Flash Videos, die es im Internet mittlerweile wie Sand am Meer gibt, auch lokal auf der Festplatte sichern. Für die bekanntesten Webseiten, vor allem den bekannten Videoportalen (wie z.B youtube.com), gibt es zahlreiche Browser Plug-ins (z.B. DownloadHelper für Mozilla Firefox) die einem diesen Vorgang erleichtern.

Probleme gibt es nur dann, wenn man auf Browser angewiesen ist die solche Plug-ins nicht bereitstellen, oder (viel wahrscheinlicher) dass man eine Seite besucht, bei der es nicht möglich ist das Plug-in zu verwenden.

Befindet man sich in solch einer Situation, ist es ganz praktisch etwas über die Beschaffenheiten von Flash im Zusammenspiel mit Webbrowsern bescheid zu wissen.

Hinweiß:

Dabei sollen die hier gezeigten Möglichkeiten nur die technischen Eigenschaften des Flash Videoformates im Zusammenspiel mit Browsern aufzeigen. Die hier verwendeten Techniken dürfen niemals für urheberrechtlich geschütztes Material ohne Einwilligung der Rechteinhaber verwendet werden.

So wird Flash clientseitig ausgeführt. Das hat zur Folge, dass alle Flash Videos zur Laufzeit sich lokal auf dem Rechner befinden. Um nun auf die Videos zuzugreifen, muss man mit dem Dateibrowser seiner Wahl zum Cache seines Browsers wechseln. Der Pfad ist dabei von Betriebssystem und verwendeten Browser (auch Version kann hier eine Rolle spielen) unterschiedlich. Wenn man nun im Cache seines Browsers angelangt ist, sieht man nun eine Menge wirre Dateien. Meist handelt es sich bei den größeren Dateien um Flash Video Dateien. Je nach Betriebssystem ist die Vorgehensweise wie man an die entsprechenden Videos gelangt unterschiedlich.

Falls man unter Windows nicht gerade das Unix-Tool file zur Verfügung hat - sei es durch Cygwin, GnuWin32 oder ähnlichem - dann bleibt einem in der Regel nur die Möglichkeit, seinen Dateibrowser die Dateien der Größe nach zu sortieren zu lassen. Die größten Dateien repräsentieren meist auch die Flash Videos.

Ob es sich tatsächlich um ein Flash Video handelt, testet man am besten mit einem beliebigen Videoplayer der in der Lage ist Dateien im Flash-Video-Format abzuspielen, wie z.B. der VLC-Player.

Weit aus praktischer und weniger umständlich ist es unter Linux (und natürlich jedes andere System in dem entsprechende Utilities vorhanden sind).

Hier zu wechselt man einfach in das Verzeichnis des Browser-Caches (hier im Beispiel von Firefox) und anschließend lässt man mit file nach Dateien suchen, die vom Typ Macromedia Flash Video sind:

rsecurity blog # cd ~/.mozilla/firefox/mtyue9ih.default/Cache/

und dann

rsecurity blog # for i in STERN ; do file $i | grep "Macromedia Flash Video"; done

bzw.

rsecurity blog # file STERN | grep "Macromedia Flash Video"

// STERN muss hier natürlich durch das Asterisk Jokerzeichen ersetzt werden

Möchte man nun z.B. nur die Audiodaten des Videos haben, so kann mit einem kurzen Script Abhilfe geschaffen werden:

rsecurity blog # vi flv2mp3

#!/bin/bash

file_org=$1
ffmpeg -i "${file_org}" -ab 128k -ar 22050 "${file_org}.mp3

rsecurity blog #  ./flv2mp3 a.flv 
FFmpeg version SVN-rUNKNOWN, Copyright (c) 2000-2007 Fabrice Bellard, et al.

....
size=    3232kB time=206.8 bitrate= 128.0kbits/s    
video:0kB audio:3232kB global headers:0kB muxing overhead 0.000967%
rsecurity blog #  ls -l
total 236508
-rw------- 1 root    root     6889229 2008-10-05 17:51 a.flv
-rw-r--r-- 1 root    root     3309432 2008-10-05 17:56 a.flv.mp3

....

Natürlich bieten die zahlreichen Browser Plug-ins eine wesentlich bequemere Methode um an entsprechende Videos zu gelangen, aber es sollte nun deutlich sein, dass die vielen Verschleierungen des Quelltextes der Webseiten nutzlos bleiben, so lange Flash Videos als einzelne Videodatei im Browsercache gelangen. Weiterhin wird das umständliche Analysieren vom Quelltext überflüssig, falls mal kein passendes Webbrowser Plug-in zur Verfügung steht.

Spassgesellschaft Deutschland

nospam@example.com (Daniel) — Fri, 26 Oct 2007 17:10:08 +0200

Nicht schlecht hatte ich gestaunt, als ich heute einen Anruf von Sven Görmann bekamm, der doch tatsächlich einen angeblich bei mir gekauften PC über Ebay zurück schicken wollte.

Schon zu Beginn des Telefonats hatte ich den Eindruck mit einem Computerprogramm zu sprechen, da mich die immer wieder gleiche Betonung bei gleichen Sätzen und auch das wiederholte Aufkommen von gleichen Sätzen auf gefallen war.

Daher beendete ich das Telefonat einfach kurzer Hand, nach dem mir das Ganze doch ein wenig zu doof vor kam.

Anschließend suchte ich im Internet nach Informationen zu der Person die mich angeruffen hatte und schnell stellte sich meine Annahme als bestätigt heraus.

Wie sich heraus stellte handelte es sich bei diesem ominösen Anruf, um einen Spassanruf des neuen "Telefonspassportals" marcophono.net .

Die Idee dahinter ist gänzlich einfach, man wählt als Anwender des Portals einfach den gewünschten Streich aus. Anschließend ist nur noch der Name des anzurufenden zu wählen und die Telefonnummer des betroffenden einzugeben, schon kann der Spass beginnen.

Vor nicht ganz zu langer Zeit war die Plattform peterzahlt.de in aller Munde, mit der es möglich ist für 30 Minuten ein Telefonat auf Kosten des Plattform-Betreibers zwischen 2 Rufnummern zu führen. Das interessant dabei ist, das es einem auch möglich ist, Leute miteinander telefonieren zu lassen, die sich beispielsweise garnicht leiden können. Einzige Vorraussetzung ist, das beide das Gespräch entgegen nehmen.

Doch was hat ganze nun mit IT-Sicherheit zu tun, um ehrlich zu sein reichlich wenig, jedoch könnte ich mir eine Art DoS durch solche Services vorstellen, welche man auch relativ leicht automatisieren könnte. In so einem Fall, wäre dann eine Rufnummern-Sperre wohl das effektivste.

Ich bin gespannt welche Entwicklungen solche Services noch in Zukunft nehmen.

Der Angriff auf Anti-Spam-Dienste

nospam@example.com (Daniel) — Wed, 13 Jun 2007 13:35:00 +0200

Mitten letzten Jahres musste schon mal ein Erfolgreiches Projekt, welches sich zur Aufgabe gemacht hatte gegen Spamer vorzugehen aufgrund von lang anhaltenden DDoS beendet werden.

Die Rede ist hier Blue Frog Projekt der Firma Blue Security. Blue Frog war ein verteiltes System, das gegen Spamer mit deren eigenen Techniken vorgegangen war. Es hatte die Webseiten von Firmen welche Spam versenden, mit Tausenden von bitten um das Aufhören geflutet. Durch spezielle Scripte die diesen Vorgang automatisierten, die von Mitarbeitern des Projekts vorbereit wurden, konnten Benutzer des Systems, welche von Spam belästigt worden waren, dem E-Mail Absender eine nette Botschaft zukommen lassen, mit der Bitte mit der Spam-Versendung aufzuhören. Da den Spamern dies natürlich nicht gefiel, versuchten diese das Projekt mit verschiedenen Mitteln zu Fall zu bringen, doch erst mit gezielten DoS- bzw. DDoS-Attacken hatten die Spamer ihr ziel erreicht. Das Ende des Projektes.

Nun ein gutes Jahr später, sind schon wieder erfolgreiche Projekte, die sich im Kampf gegen die Spamer einsetzen von DDoS-Attacken betroffen. Die Anti-Spam-Dienste Spamhaus, SURBL und URIBL, sind wohl seit mitte vergangener Opfer von DDoS-Attacken. Durch auflisten von Spam-versendende Rechnern und den zugehörigen IP-Adressen sowie für das Aufbereiten einer Mailfilterung sind diese Projekte bekannt. Weiter Information zu den Angriffen kann in der Newsgroup news.admin.net-abuse.email nach gelesen werden:

http://groups.google.de/group/news.admin.net-abuse.email/browse_thread/thread/2790ae4a2f04a388/28d49877cc8dbc2d

Mittlerweile sind die Webseiten wieder zu erreichen, aber dennoch traurig wenn Projekte durch solche Angriffe in die Knie gezwungen werden.

Phrack ist zurück!

nospam@example.com (Daniel) — Thu, 07 Jun 2007 12:26:00 +0200

Das Phrack-Magazin ist ein kostenloses Untergrund-Magazin, welches sich mit Themen wie IT-Sicherheit, Hacken und Phreaking auseinander setzt. Es veröffentlicht seit dem 17. November des Jahres 1985 verschiedene Ausgaben zu den oben genannten Themen, aber auch Informationen wie das Erstellen einer eigenen Bombe bleibt nicht aus. Bekannt ist vorallem die Ausgabe 49 in der Aleph One den Artikel Smashing The Stack For Fun And Profit veröffentlichte. Dies war die erste Veröffentlichung zur Ausnutzung von Pufferüberlauf-Schwachstellen. Im Sommer 2005 wurde dann die vorerst letzte Ausgabe des Magazins mit der Ausgabe 63 veröffentlicht. Doch seit 27. Mai diesen Jahres hat die Gruppe The Circle of Lost Hackers als neuer Herausgeber die Ausgabe 64 veröffentlicht. In dieser Ausgabe werden zunächst die neuen Herausgeber vorgestellt und es finden sich viele Interessante Artikel zur IT-Sicherheit vor.
So zum Beispiel der Artikel Blind TCP/IP hijacking is still alive, welcher sich mit dem Hijacking bzw. den Übernehmen von TCP/IP Verbindungen befasst. Dabei wird gezeigt, wie mit Hilfe der IP_ID im IP Header bei einigen Betriebssystemen wie Microsoft Windows XP Rückschlüsse auf die zufällige Portnummer des Clients, die vom Betriebssystems generiert wird, geschlossen werden kann. Weiterhin wird dazu aufgezeigt wie man Rückschlüsse auf die richtige Sequenznummer vom Server und Client geschlossen werden kann. Weitere interessante Artikel sind zum Beispiel auch The art of exploitation: Autopsy of cvsxpl sowie Hacking deeper in the system, wobei der erste genannte Artikel auf die Kunst der Exploitation eingeht und dies an einen Exploit aus dem Jahre 2004 veranschaulicht. Der zweite genannte Artikel hingegen befasst sich mit der Thematik des Hardware-Hacking.

Enjoy it

Trojaner müssen draußen bleiben

nospam@example.com (Daniel) — Fri, 27 Apr 2007 20:36:00 +0200

Ohne Kommentar:

http://www.heise.de/security/artikel/88550

Google und Alternativen

nospam@example.com (Daniel) — Sat, 21 Apr 2007 11:51:00 +0200

Was Google nicht findet, existiert auch im Internet nicht. Dies ist eine weit verbreitende These von vielen Internet Benutzern.

Doch was für Alternativen gibt es zu Google?
Ich habe hier mal eine Liste an Suchmaschinen die ich immer mal wieder anstelle von Google verwende:
Live Search
altavista

msdewey

Für deutschsprachige Seiten kann ich folgende Suchmaschinen empfehlen:

http://www.seekport.de/
http://www.metager.de/
http://www.metager2.de

Webseiten die einem beim Suchen nach Informationen auch indirekt weiterhelfen können sind z.B. http://suma-lab.de/ oder auch http://www.suchfibel.de

Einen interessanten Fernsehbericht, welcher sich mit Google befasst, lief gestern auf Arte. Für alle die sich für diesen Bericht interessieren, können ihn sich in den nächsten 7 Tagen unter http://www.arte.tv/de/1543916.html ansehen.

Über sinnvolle Ergänzungen würde ich mich sehr freuen.

Anonymität im Internet

nospam@example.com (Daniel) — Wed, 07 Feb 2007 17:00:00 +0100

Das Internet war schon immer für seine grenzenlosen Freiheiten und Artenvielfalt begehrt, auch die Anonymität, die man fühlte, gab einem ein beruhigendes Gefühl.

Doch der Schein trügt. Sobald sich der Router oder das Modem von einem Benutzer mit dem Internet verbindet, bezieht dieser eine temporäre IP-Adresse von seinem Provider.
Meistens werden diese nach dem Ausschalten des Routers oder alle 24 Stunden durch eine neue ersetzt.
Der Provider ist dazu verpflichtet, diese Informationen noch Monate danach, genauer 6 Monate, diese Informationen aufzubewahren.
Natürlich kann man als Benutzer einen anonymen Proxyserver verwenden um sich hinter diesem versteckt durch das Internet zu bewegen.
Einen Schritt weiter geht das beliebte Programm Tor Webseite, welches ein anonymisierendes Netzwerk für TCP-Verbindungen bereitstellt.
Dennoch haben auch solche Anwendungen ihre Grenzen. So könnte durch überwachen einer ausreichend großen Zahl von Tor-Knoten bzw. Teile des Internets nahezu sämtlicher über Tor abgewickelter Datenverkehr nachvollzogen werden.
In einigen Länder gibt es sogar schon Ideen, die es vorsehen den gesamten Internetverkehr mitzuschneiden [1]. Doch wenn man das ganze was näher betrachtet, wird einem schnell klar wie realitätsfremd solch ein Vorhaben ist.
Zum einen kann jeder, der Wert auf seine Privatsphäre legt, auf Verschlüsselung setzen und zum anderen wäre die Datenmenge die es mitzuschneiden gäbe, viel zu groß.
Allerdings haben unsere lieben Politiker hier auch schon wieder Ideen wie es dennoch möglich sein soll den verschlüsselten Verkehr nachzuvollziehen. Ganz einfach es einfach zu verbieten.
So banal es auch klingen mag, eine Idee in Großbritannien war es, dass jeder Staatsbürger zu einer Herausgabe von Krypto-Schlüsseln gezwungen werden sollte. Allerdings könnte man durch eine glaubhafte Abstreitbarkeit, seinen Kopf elegant aus der Schlinge ziehen.
Weitere Information sind dem damaligen Newseintrag von heise.de zu entnehmen.
Was ist nun aus diesen Ideen geworden?
Vorerst nichts, da es allein aus technischer Sicht noch nicht umsetzbar ist. Doch es wäre nicht weiter verwunderlich, wenn schon bald die Stimmen wieder lauter werden, um uns, den Bürger, noch besser schützen zu können.
Spätestens nach dem nächsten Terroranschlag oder Medienberichten zur Cyberkriminalität.

Eine lange Zeit war es dann um solche Vorschläge im Internet ruhig geworden.
Aber im Dezember letzten Jahres war es dann soweit.
Erste Gerüchte über den so genannten Bundestrojaner sind aufgekommen [2].
Nun haben wir mittlerweile Februar, 2 Monate sind vergangen und der Bundesgerichtshof entschied, dass heimliche Online-Durchsuchungen unzulässig sind.
Der Grund, wieso die Polizei vorerst Computer nicht heimlich über das Internet ausspionieren darf liegt daran, dass für Online-Durchsuchungen zum Beispiel bei Terrorverdächtigen einfach die gesetzliche Grundlage fehle.
Das Ausforschen von Daten mit Hilfe eines Programms, das ohne Wissen des Betroffenen auf einen Computer aufgespielt wird, sei nicht durch die Strafprozessordnung gedeckt [3].
Dennoch haben einige Minister geplant, entsprechende Anpassungen am Gesetz vorzunehmen damit diese Rechtens sind.

Allerdings haben hier Politiker die Gleichung nicht zu ende aufgelöst. Denn um solch einen Trojaner einzuschleusen, müssen diese erst einmal Zugang zum System bekommen, um sie anschließend zu installieren. Dies könnte über Sicherheitslücken z.B. im Browser oder durch entsprechende Email-Anlagen umgesetzt werden.
Schnell wird einem klar, dass diese Rechnung eine Menge Lücken aufweißt. Zum einem muss der Benutzer einen entsprechenden Browser nutzen oder den enstsprechenden Dienst laufen haben, damit der Zugriff überhaupt gelingt. Zum anderen kann es sein, dass der Benutzer nicht einfach Email-Anhänge öffnet. Genauso ist davon auszugehen, dass dieser Trojaner nicht universal auf jeder Plattform läuft, so wird dieser aller Wahrscheinlichkeit nach erstmal für Windows konzipiert werden.
Darüber hinaus verwenden viele Benutzer Software, die vor genau solchen Zugriffen schützen soll. Es sind zwar immer Möglichkeiten gegeben diese zu umgehen, aber je nach dem wie gut diese Software arbeitet, wird dieser Bundestrojaner dennoch von dieser entdeckt.
Der aber wohl gravierendste Punkt ist, das solche Lücken meistens schnell gefixt werden, damit kein großer Schaden entstehen kann. Somit könnte dem Bundestrojaner vielleicht schon dort ein Riegel vor seinem Tun vorgeschoben werden und gelangt nicht auf das System eines Benutzers.
Da man davon ausgehen kann, dass die Drahtzieher bzw. die Entwickler dieser Malicious Software der Bundesregierung nicht ganz auf die Nase gefallen sind, dass sie entweder versuchen diese Lücken nicht zu veröffentlichen und nur für sich zu behalten oder direkt einen Backdoor auf dem System oder bei einen bestimmten Produkt zu platzieren.
Dieser im ersten Augenblick intelligent erscheinende Ansatz, weißt bei näherer Betrachtung ein ganz großes Risiko auf.
Ein böswilliger Benutzer hätte so noch leichteres Spiel sich genau diese Lücken des Systems zu Nutze zu machen.
Denn früher oder später werden auch andere über eine Zugangsmöglichkeit zu diesen Hintertüren verfügen oder sich die nicht veröffentlichten Sicherheitslücken zu Eigen machen.

Wie man sieht, wird auch das Internet immer mehr zu einem Schauplatz völliger "Scheinanoynmität", die bald noch mehr über jemanden verrät, als wenn man sich in der realen Welt bewegt.
Doch wie sich dieses Märchen entwickelt, wird uns letztendlich die Zukunft zeigen.