computec.ch

Das Pentesting Experten System

Marc Ruef - marc.ruef@computec.ch — Mo, 26 Jul 2010 10:39:00 GMT

Seit meinem Eintritt in den Bereich der Netzwerksicherheit haben mich Vulnerability Scanner zur automatisierten Identifikation von Sicherheitsl�cken fasziniert. Erste Gehversuche mit einer eigenen Implementierung habe ich im Jahr 2000 mit dem Dante Projekt umgesetzt. Der auf modularen Shell-Skripten basierende Security Scanner sollte �ber eine Weboberfl�che bedienbar und deshalb durch jedermann benutzbar sein.

Rund vier Jahre sp�ter habe ich mit einer konkreten Implementierung f�r das Attack Tool Kit (ATK) begonnen. Dieses sollte noch einen Schritt weitergehen und neben dem Identifizieren von Schwachstellen eben jene auch gleich Ausnutzbar machen. Dies geschah in jener Zeit, als das MetaSploit Framework (MSF) entwickelt und damit der Begriff [more ...]

Anatomie (m)eines Blogs

Marc Ruef - marc.ruef@computec.ch — Mo, 12 Jul 2010 07:11:00 GMT

Obwohl ich mich als sehr neugierigen Menschen bezeichne, pflege ich relativ langsam in der Adaption neuer Technologien zu sein. Dies h�ngt weniger mit dem fehlenden Verst�ndnis f�r M�glichkeiten zusammen. Viel mehr stehe ich neuen Mechanismen naturbedingt kritisch gegenueber, denn viele von ihnen k�nnen ihre N�tzlichkeit erst mit einer gewissen technologischen Reife (z.B. Full-HD) bzw. einer sozialen Etablierung (z.B. Twitter) entfalten.

So kommt es dann auch, dass ich relativ sp�t den Weg zu Blogs (zu Beginn noch Weblogs genannt) gefunden habe. Erst im Jahr 2005 habe ich mit der Einf�hrung der dynamischen Webseite angefangen - der Wechsel folgte von HTML zu PHP - [more ...]

Infiltration eines Netzwerks

Marc Ruef - marc.ruef@computec.ch — Mo, 28 Jun 2010 09:49:00 GMT

Ein krimineller Angriff auf ein Computersystem umfasst unterschiedliche Phasen. Will man die Nennung dieser m�glichst reduzieren, so kann man sich auf (1) Auswertung, (2) Angriff, (3) Kompromittierung, (4) Rechteausweitung und (5) Backdooring einigen. Eine �berproportional hohe Anzahl an Fachpublikationen besch�ftigt sich mit dem Einbrechen in Computersysteme, also mit den Phasen 1 bis 3. Auch im Rahmen von professionellen Sicherheits�berpr�fungen wird anhand dieser in erster Linie die Machbarkeit eines Angriffs bewiesen und anhand dem Erfolg dieser die Durchf�hrbarkeit der restlichen zwei Phasen abgeleitet.

Nur in den wenigsten F�llen werden die H�rden, wie sie mit einer Rechteausweitung und einem Backdooring verbunden sind, ber�cksichtigt. Doch [more ...]

Warum Skript-Kiddies keine Hacker sind

Marc Ruef - marc.ruef@computec.ch — Mo, 14 Jun 2010 09:47:00 GMT

Ende der 90er Jahre ist ein wilder Streit um und in der Hacker-Kultur entbrannt. Es ging dabei nicht um technische Hintergr�nde, sondern um die soziokulturelle Wahrnehmung einer anarchistischen Subkultur. Die Begriffe Hacker und Cracker werden je nach sozialem Kontext anders verstanden. F�r die Tagesmedien war jeder ein Hacker, der sich mit zwielichtigem Wissen und Vorgehen innerhalb technischer Mechanismen einen Vorteil verschafft bzw. anderen einen Nachteil beschert. F�r die klassischen Hacker der alten Generation, die vorzugsweise aus Programmierern und Unix-Gurus bestand, waren dies jedoch die niedertr�chtigen Cracker. Ihr geliebter "Ehrentitel" wurde - so haben sie es jedenfalls wahrgenommen - durch die ignorante [more ...]

Nur ein Weg f�hrt in den Server-Raum

Marc Ruef - marc.ruef@computec.ch — Mo, 31 Mai 2010 08:00:00 GMT

Die wenigsten Menschen haben oder werden jemals einen Server-Raum einer Bank betreten. Der Zugang zu diesen R�umlichkeiten ist in der Regel ausschliesslich ausgew�hltem Personal vorbehalten, das durch eine Reihe von Sicherheitsmassnahmen bez�glich der Befugnis des Zugangs �berpr�ft wird. Nachfolgend m�chte ich davon berichten, wie ein solcher Server-Raum normalerweise abgesichert wird.

Ein jedes gr�ssere Unternehmen, besonders wenn es Wert auf (physische) Sicherheit legt, setzt einen Pf�rtner ein. Dieser ist f�r den Empfang der G�ste zust�ndig. Meistens am �ffentlichen Eingang positioniert begr�sst er die Besucher, koordiniert das Treffen mit Mitarbeitern und gew�hrt allgemeine Zug�nge zu den �ffentlichen Bereichen.

In der Regel meldet man sich beim [more ...]

Potentielle, existente, ausnutzbare oder ausgenutzte Schwachstellen

Marc Ruef - marc.ruef@computec.ch — Mo, 17 Mai 2010 09:05:00 GMT

Ich arbeite nun schon �ber einem Jahrzehnt im Bereich der Computersicherheit, habe schon hunderte von Audit-Projekten durchgef�hrt, zehntausende von Hosts angegriffen und hunderttausende von Ports gescannt. Alle diese Projekte waren anders. Und doch hatten viele von ihnen etwas gemein: Der Kunde wusste oftmals nicht, was er genau m�chte. Sehr generisch und dennoch knapp formuliert definiert sich das Ziel einer Sicherheits�berpr�fung meistens wie folgt: "Es sollen Schwachstellen aufgedeckt werden." Doch Schwachstellen sind nicht gleich Schwachstellen und Aufdecken ist nicht gleich Aufdecken.

So gilt es beispielsweise zu unterscheiden, ob man nun potentielle, existente, ausnutzbare oder ausgenutzte Schwachstellen ausmachen m�chte. Jenachdem ist hierzu ein g�nzlich [more ...]

Industrialisierung des Auditing-Bereichs

Marc Ruef - marc.ruef@computec.ch — Mo, 03 Mai 2010 09:37:00 GMT

Ich habe eine starke Abneigung gegen Gruppendruck. Wird ein solcher auf mich ausge�bt, reagiere ich uneingeschr�nkt in der gegenteiligen Art und Weise. Diesem "gegen den Strom schwimmen" habe ich wohl zu verdanken, dass ich nie lange geraucht habe. Ich habe �ber 15 Jahre in einer Rockband gespielt und war stetig von Rauchern umgeben. Und dies war der Hauptgrund f�r mich, Nichtraucher zu bleiben (abgesehen vom vielen Passivrauchen; vor allem an den Konzerten).

Diese Marotte meinerseits f�hrt jedoch auch den Effekt mit sich, dass ich gehypte Sachen oftmals gar nicht oder erst sp�t geniessen kann. So zum Beispiel bei der Fernsehserie Lost (2004). [more ...]

Der Cyberstalker

Marc Ruef - marc.ruef@computec.ch — Mo, 26 Apr 2010 09:24:00 GMT

Stalking ist kein Ph�nomen der Neuzeit. Es gibt es wahrscheinlich schon so lange, wie es den Menschen gibt. Doch im Informationszeitalter ist das Verfolgen von Menschen noch viel einfacher geworden. Ich m�chte ein kleines Szenario, das nicht mal so abwegig ist, skizzieren.

Nehmen wir an, ich fahre in einem �ffentlichen Verkerhsmittel. Gegen�ber von mir sitzt eine h�bsche junge Dame. Sie nimmt mich nicht wirklich wahr. Ich m�chte mich ihr eigentlich n�hern, bin jedoch zu scheu daf�r. Pl�tzlich klingelt ihr Handy und sie beginnt ein Gespr�ch mit ihrer Freundin. Ich schnappe per Zufall den Namen Sonja - wohl der Name einer anderen Freundin [more ...]

Zu wenige IP-Adressen

Marc Ruef - marc.ruef@computec.ch — Mo, 19 Apr 2010 08:55:00 GMT

TCP/IP ist eigentlich eine ganz simple Sache. Wenn man sich die unterschiedlichen Mechanismen im Einzelnen anschaut, dann sind sie ganz einfach gehalten. Die Komplexit�t des Themengebiets generiert sich erst durch die Vielzahl der jeweiligen Technologien, ihrer schieren Unendlichkeit an Eigenarten und ihr verflochtenes Zusammenspiel miteinander. Angewandtes TCP/IP ist halt dann doch sehr vielschichtig und komplex.

Viele Leute, die das erste Mal in Kontakt mit TCP/IP kommen, tun dies �ber IP-Adressen. Die eindeutigen, oftmals in der dotted-decimal Schreibweise dargestellten Nummern (z.B. 192.168.0.1) werden gebraucht, damit in einem Netzwerk verbundene Systeme miteinander kommunizieren k�nnen. Nicht umsonst werden IP-Adressen gerne als "Telefonnummern" von vernetzten Hosts [more ...]

Was ein Security Consultant nicht kann

Marc Ruef - marc.ruef@computec.ch — Mo, 12 Apr 2010 08:55:00 GMT

Security Consulting im IT-Bereich ist ein weitl�ufiges Gebiet. Es umfasst technische, konzeptionelle und organisatorische Aspekte. Und diese k�nnen wiederum in Netzwerke, Betriebssysteme, Applikationen, etc. aufgeteilt werden. Irgendwie muss ein Security Consultant alles wissen oder wenigstens wissen, worum es bei einem Thema im weitesten geht. Keine leichte Aufgabe.

Ohne Licht g�be es aber auch keinen Schatten und so gibt es immerwieder Dinge, die ein Consultant einfach nicht wissen kann. Ein Consultant ber�t einen Kunden und gibt im Hinweise, wie man ein Problem l�sen k�nnte bzw. wie es andere vor ihm gel�st haben. Dies setzt jedoch voraus, dass sich der Consultant des Problems bewusst [more ...]