Bruteforce von Zutrittssystemen
Zutrittssysteme in Gebäude und Räume gibt es schon relativ lange. Toiletten in Restaurants an stark frequentierten Orten tendieren schon längst dazu, ihre Klosetts mit PIN Codes zu „sichern“. Idee dahinter ist, dass nur zahlende Kundschaft auch die Toilette nutzen kann. Den PIN Code erfährt man teilweise durch den Serviceangestellten oder auch auf der Quittung vermerkt (im Fast Food Restaurant).
Offenbar scheinen teilweise die Kosten für die Änderung des PIN Codes höher zu sein, als die gelegentliche Nutzung eines Nichtkunden. Das Beispiel unten zeigt dies auf eindrückliche Weise. Wer errät den PIN?
Filed under: exploit | 3 Comments
Zum Jahresbeginn nicht wirklich ein geistreicher Post, aber zur Abwechslung überhaupt mal wieder was.
Ich wünsche euch allen ein frohes neues Jahr!
Filed under: crypto | Leave a Comment
Harddiskverschlüsselung nutzlos
Im geschäftlichen Umfeld wird Harddiskverschlüsselung zum Schutz der Daten genutzt. Die Harddisk wird meist vollständig verschlüsselt und verunmöglicht so einem Dieb das Auslesen der Daten – könnte man meinen. Ohne Kenntnis des Verschlüsselungskeys hat es ein Angreifer durchaus schwer um an die Daten zu kommen, nur kommt er in den meisten Fällen relativ leicht an den Verschlüsselungskey. Eine Studie der Universität Princeton zeigt dies in einem Paper.
Die Funktionsweise der Harddiskverschlüsselung basiert darauf, permanent während des Betriebes des Computers auf den Schlüssel Zugriff zu haben. Während dieser Phase behält die Verschlüsselungssoftware den Schlüssel permanent im Memory (RAM), dies möglicherweise (softwareabhängig) auch wenn der Computer in den Suspend- oder Hibernatemodus wechselt. Um nun den Key auslesen zu können werden die RAM Bausteine mittels komprimierter Luft gekühlt um diese zu entnehmen. Normalerweise würden die Daten auf den RAM-Bausteinen innert Sekunden bis Minuten verloren gehen – unterkühlt jedoch bleibt genug Zeit um diese in ein System zur forensischen Memoryanalyse einzubauen.
Um nun die Harddiskverschlüsselung zu umgehen kann der Dieb in aller Ruhe den Laptop stehlen und in sein Labor mitnehmen. Solange die RAM Bausteine unter Strom stehen gehen die Daten nicht verloren. Erst vor dem Umbau in den Memoryanalyzer müssen sie gekühlt werden. Einmal im Analyzer kann der Verschlüsselungskey ausgelesen werden und auf die verschlüsselte Harddisk angewandt werden.
Betroffen sind sicherlich Windows Vistas Bitlocker, Apples FileVault, dm-crypt und TrueCrypt. Schützen kann man sich durch Ausschalten des Computers (nicht suspend oder hibernate oder gar screenlock). Allerdings frage ich mich, wie lange das Ausschalten wirklich sicher ist … 😉
Filed under: crypto, ram | 2 Comments
Schlagwörter: bitlocker, cooling, dm-crypt, encryption, filevault, harddisk, ram, truecrypt
Das FBI und das Departement of Homeland Security (DHS) kommen zum Schluss, dass die Selbstmordattentäter vermehrt weiblich sind. Im Artikel werde zwar Vorfälle in Bagdad und Pakistan beschrieben, dennoch fürchten die Amerikaner solche Vorfälle in ihrem „Homeland“.
Die Konsequenzen daraus sind schon absehbar: Schwangere Frauen werden auf Flugzeugen verboten – die Brut könnte eine Bombe sein. Der abgeschwächte Movieplot wäre, dass Frauen vermehrt und gründlicher durchsucht werden.
Ich habe sowieso das Gefühl, dass sich die Sicherheitsrichtlinien an amerikanischen Flughäfen nach den aktuellen Kinofilmen richtet und nicht nach sicherheitstechnischen Aspekten. Wieso würde sonst jemand auf die Idee kommen, Nagelknipser zu beschneiden aber Brennstoffzellen in der Cabin zuzulassen?
Filed under: dhs, fbi, movieplot, Uncategorized | Leave a Comment
Schlagwörter: dhs, fbi, movieplot
Nicht via Calljacking, sondern direkt angreifbar sind die CISCO Telefone nach dem aktuellen Advisory von CISCO.
Bis eine neue Firmware zur Verfügung steht sollten alle aktiven Dienste auf dem Telefon deaktiviert werden – dies beinhaltet sämtliche Möglichkeiten der Remote Administration.
Filed under: Uncategorized | Leave a Comment
Schlagwörter: cisco, exploit, remote, sip, voip
Voice over IP Calljacking
Alles soll über IP transportiert werden, nicht nur der eigentliche Internetverkehr sondern auch Telefonie und das Fernsehsignal. Durch die Konvergenz der Dienste werden auch Gerätschaften angeboten, welche alles in einem vereinen. Beispielsweise vereint die Li-vebox von orange Internet, Telefonie und Fernsehvergnügen in einem Gerät – nebst Wi-reless Accesspoint und Bluetooth – alles in einem Router.
Kombiniert man die Funktionalität mit den aktuellen Crosssite Request Forgery (XSRF) Attacken im Iinternet, welche gezielt nach verwundbaren Routern suchen und dort para-menter anpassen, kann mal sich das Angriffsszenario selbst ausmalen.
Falls nicht bietet gnucitizen ein Beispiel wie der VOIP-Router von British Telecom (BT) dazu genutzt werden kann, ungewollte Telefonanrufe zu tätigen.
Eventuell sollte ich mir mein privates Projekt nochmals durch den Kopf gehen lassen ….
Filed under: exploit, javascript, sip, voip, web | Leave a Comment
Schlagwörter: router, sip, voip, web, xsrf
Das Departement of Homeland Security (DHS) der Vereinigten Staaten von Amerika ist seit dem 11. September 2001 verantwortlich für die Sicherheit der USA. Als Teil davon verschicken sie täglich einen Report über kritische Belange der Infrastruktur. Open Source ist im Sinne der Verfügbarkeit zu verstehen, d.h. es wird lediglich Informationen publiziert, welche auch frei verfügbar ist. Der heutige Report beispielsweise ist 15-seitig und enthält beispielsweise die Warnung des Internal Revenue System (IRS aka Finanzamt) über die Steuerrabattbetrüger.
Essentiel jedoch ist, dass diese E-Mails täglich an viele sicherheitsrelevante Infrastrukturen und Personen verschickt werden. Jeder kann sich jedoch bei diesem Newsletter anmelden. Am 2. Oktober 2007 passierte etwas Interessantes – als Folge der E-mail von Alex Greene, welcher seinen Job wechselte:
Subject: RE: DHS_Daily_Report_2007-10-02
From: „Alex Greene“
To: „NICCReports“Hi,
Effective October 15th I am switching jobs and would like to receive the DHS daily report at my new e-mail address;
xxxxxxxxxx
Thanks,
Alex
Diese E-Mail wurde an sämtliche Empfänger gesandt – die Mailingliste war nicht moderiert! Auf dieser Webseite kann der gesamte E-Mail Verkehr begutachtet werden – interessante Wendung (oder besser Endung) nimmt der Austausch sobald sich ein Iraner meldet …
Filed under: email | Leave a Comment
Schlagwörter: dhs, email
Was bedeutet „Hacker Safe“?
Angefangen hat es damit, dass die Onlineshopseite geeks.com Anfang 2008 die Kunden informiert hat, dass Zahlungsdaten Anfang Dezember 2007 kompromittiert wurden. Dies bedeutet, dass die Möglichkeit besteht, dass unautorisierte Personen im Besitz von Namen, Geburtsdaten und Kreditkarteninfos der Kunden von geeks.com sind.
Das Spezielle daran ist, dass die Webseite von geeks.com an diesem Tag als „Hacker Safe“ eingestuft wurde – einer Dienstleistung von scanalert.com. ScanAlert prüft Webseiten ihrer Kunden täglich auf Sicherheitslücken – doch wie konnte die Webseite trotzdem gehackt werden? Offenbar war eine XSS (Cross Site Scripting) Lücke dafür verantwort-lich. ScanAlert jedoch distanziert sich von XSS Lücken – damit könne man keine Websei-te hacken:
“Joseph Pierini, director of enterprise services for the ScanAlert „Hacker Safe“ program, maintains that XSS vulnerabilities can’t be used to hack a server.” (Link)
Interessante Ansicht – noch interessanter wenn man die Analyse von XSSed.com betrachtet, welche 62 weitere „Hacker Safe“ Webseiten mit einer XSS Lücke auflistet.
Für Onlineshops welche Kreditkartenzahlungen durchführen ist die PCI Compliance Pflicht – unter diesem Label wird schliesslich das „Hacker Safe“ Label auch vertrieben. Unabhängig davon, dass die Dienstleistung von ScanAlert nicht viel kostet, der Webseitenbetreiber verlässt sich auf das Label. Hacker Safe ist Hacker Safe – auch wenn der Hack via XSS im Browser durchgeführt wird – meine Kreditkarte ist trotzdem kompromittiert. Die erkennung einer XSS Lücke ist schliesslich kein Kunststück – das „programmieren“ einer Webseite jedoch anscheinend schon – ich sage dazu nur: Rapid Application Development 😉
Filed under: javascript, pci, phishing, web | Leave a Comment
Schlagwörter: label, pci compliance, web
Webinduzierte Malware
Mit dem Beginn der Vernetzung deer Computer fing auch die Vernetzung der Malware an. Gegen Viren und Würmer gibt es aktuell gute Gegenmassnahmen, sei es als Antivirensoftware auf dem Client oder auf dem E-Mail Gateway. In diesem Sinne wird der Angreifer gezwungen neue Wege ins Unternehmensnetz zu suchen. Dieser neue Weg geht via Web – oder genauer über den Browser des Benutzers. Die davon ausgehende Gefahr ist aktuell weit grösser als man sich vorstellt. Einerseits liegt der Grund darin, dass dies meinst unbemerkt passiert und andererseits klare Symptome – wie beispielsweise ein langsamer Browser – auf das Betriebsystem oder die Browsersoftware abgeschoben werden.
Der Angriff findet dabei direkt über den Browser statt – in den meisten Fällen via JavaScript. Ein reduziertes Surfen durch den Benutzer auf bekannten Seiten nützt nichts was die Sicherheit anbelangt – via XSS Lücke kann auch die „sichere“ bekannte Webseite zur Gefahr werden lassen. Ein solcher Angriff kann relativ viel auf dem PC anrichten. Mittels JavaScript Feng Shui von Alex Sotirov kann schön der Heap des Browsers zeschossen werden und beispielsweise ein Keylogger installiert werden. Ein Ausschalten von JavaScript oder die Nutzung von NoScript vereitelt die meinsten Angriffe, deaktiviert jedoch die schönen Web 2.0 Anwendungen.
Der differenzierte Ansatz zum Vollständigen Deaktivieren des Internets ( 😉 ) ist die Nutzung eines Malware Scanning Web Proxies. Eine URL Blocklist reicht in diesem Falle schon lange nicht mehr, da die WebMalware irgendwo im Web gelagert werden kann – Rootserver mit guter Internetanbindung sind dazu prädestiniert. Inwiefern jedoch ein Malware Proxy (oder korrekterweise Anti-Malwareproxy) alle oder ein Subset der Attacken verhindern kann wird sich in Zukunft zeigen.
Filed under: exploit, javascript, web | Leave a Comment
Schlagwörter: exploit, javascript, malware, web, webware, xsrf, xss, xware
Hack of the year?
Dan Egerstad scheint es geschafft zu haben: Den Hack des Jahres! Schauen wir uns einmal im Detail an, was er gemacht hat.
Er hat auf gehosteten Server (sehr wahrscheinlich Dedicated Servers) TOR installiert. TOR wird benutzt um im Internet anonym zu surfen – d.h. die Requests des Webbrowsers werden mehr oder weniger zufällig über unbekannte TOR Proxies geschleust. Somit kann der Webseitenbetreiber nicht mehr auf den Surfer zurückschliessen.
Was mir nun neu ist, ist die Tatsache, das TOR ursprünglich von der U.S. Navy genutzt wurde. Dies hat zur Folge, dass das TOR-Netzwerk auch nach seiner GPLisierung immernoch durch staatliche Organisationen genutzt werden kann und offenbar auch genutzt wird.
Nun scheinen sich die TOR-Surfer sehr sicher zu sein was das Netzwerk anbelangt und lesen ihre E-Mails via unverschlüsselter Verbindung. Hätten diese https genutzt hätte auch Dans TOR-Endpunkt die Verbindung nicht nicht mitlesen können.
Ich kann es nicht genug erwähnen: Nach dem GMail Cookie Disaster und nach diesem Hack nochmal in aller Deutlichkeit:
Benutzt https im Internet wenn Passwörter übertragen werden! IMMER!
Wenn es bei einem Provider nicht geht, wechselt den Provider.
Filed under: gmail, https, tor | Leave a Comment
Schlagwörter: gmai, hack, https, ngo, tor
security matters 