| Willkommen 38.107.191.102 | |
| Online | Gäste: 13
Mitglieder: 0
Auf dieser Seite: 1
Mitglieder: 3047, neuestes ist Billy Kalender |
| Neueste 5 Downloads |  Sophos A bis Z der Computersicherheit
Sophos, Allgemein (Dokumente), 20. Jul 08 : 12:10
Dieses Büchlein wird von Sophos zu Werbezwecken verdient. Es stellt in einem ersten Teil die Bedrohungen von A bis Z, wie man sie im Internet antrifft, vor. In gleicherweise werden im zweiten Teil Schutzmassnahmen erwähnt. Kurz und bündig wird so der Leser an die Materie herangeführt. Technische Details und weiterführende Diskussionen fehlen, so dass es wirklich nur als seichte Unterhaltung und Einführung gedacht ist.
eBay Hack (S.M.)
S.M. (aka. SevenUp), Social Hacking (Dokumente), 20. Jul 08 : 12:03
Dieses nicht unumstrittene Dokument bespricht Schritt für Schritt, wie ein technisch gestütztes Phishing per HTML-Email und PHP-Skript durchgeführt werden kann, um Login-Informationen für eBay abzufangen. Der Beitrag weist einige technische Fehler auf und ist zu grossen Teilen veraltet. Aus diesem Grund wird ihm primär nur noch historisches Interesse entgegengebracht.
Angriff und Verteidigung in Computernetzen
Alexander Koch, Allgemein (Dokumente), 20. Jul 08 : 11:57
Die leider etwas karge Präsentation beleuchtet verschiedene Gesetzesartikel, die auf Computerangriffe und Strike-Back-Verfahren angewendet werden können. Dabei werden sowohl die deutsche als auch die schweizerische Rechtssprechung berücksichtigt. Ein interessanter Beitrag, der die Gefahren von automatisierten Schutzmechanismen auf einer nicht-technischen Ebene zu verdeutlichen in der Lage ist.
Cross-Site Scripting (Compass)
Ivan Bütler, Webserver (Dokumente), 20. Jul 08 : 11:49
In diesem einfachen Artikel werden die Grundlagen von Cross Site Scripting-Attacken aufgezeigt. Dabei werden sowohl serverseitige als auch clientseitige Varianten besprochen und zudem darauf hingewiesen, dass sich dies mit jeglicher Art von Scripting (JavaScript, VBscript, etc.) durchsetzen lässt. Die Einfachheit des Papiers macht es vor allem für Einsteiger leicht zu lesen.
Internet Networking - Measuring Distance and Bandwidth between Hosts
Werner König, Netzwerke (Dokumente), 01. Apr 08 : 21:43
In dieser Seminararbeit werden diverse Algorithmen zur Berechnung von Bandbreiten bestimmter Verbindungen zwischen Hosts besprochen. Es werden Troughput, Pathchar und vor allem Packet Pair beschrieben sowie ihre Vor- und Nachteile dargestellt. Ein interessantes Gebiet, welches ausserhalb akademischer Bereiche fast keine Beachtung findet.
Zeige alle Downloads (902 Total) |
| Schon gewusst, dass... | ...der Mail Transfer Agent (MTA) Sendmail für Unix-Systeme aufgrund der Vielzahl der publizierten Sicherheitslücken als "the buggiest daemon on planet earth" galt? Der Microsoft Internet Information Server (MS IIS) ist wohl jene Server-Applikation, die noch am ehesten an diesen Titel herankäme.
Zeige alle Trivias (244 Total) |
| Zitat des Augenblicks (id 190) | "Alles im Leben erscheint mir so verblasst und uninteressant. In solchen Augenblicken taugt die Mathematik besser; man freut sich, dass eine Welt so ganz ausserhalb unserer selbst existiert." - Sofja Kowalewskaja
Zeige alle Zitate (246 Total) |
| An diesem Tag... |  1941: Geburtstag von Dennis Ritchie
1945: Der erste Computer-Bug wird dokumentiert
1979: Geburtstag von Nikki DeLoach
1992: Erstaufführung des Films "Sneakers"
1998: AMR wird veröffentlicht
2003: Ein Cracker des New York Times wird verurteilt
Zeige alle Einträge (711 Total) |
| Buchtipp | 
Computer Networks
von Andrew S. Tanenbaum |
| |
| Das Pentesting Experten System (Montag, 26. Juli 2010 - 10:39:51) |
 [Marc's Blog] Seit meinem Eintritt in den Bereich der Netzwerksicherheit haben mich Vulnerability Scanner zur automatisierten Identifikation von Sicherheitslücken fasziniert. Erste Gehversuche mit einer eigenen Implementierung habe ich im Jahr 2000 mit dem Dante Projekt umgesetzt. Der auf modularen Shell-Skripten basierende Security Scanner sollte über eine Weboberfläche bedienbar und deshalb durch jedermann benutzbar sein.
Rund vier Jahre später habe ich mit einer konkreten Implementierung für das Attack Tool Kit (ATK) begonnen. Dieses sollte noch einen Schritt weitergehen und neben dem Identifizieren von Schwachstellen eben jene auch gleich Ausnutzbar machen. Dies geschah in jener Zeit, als das MetaSploit Framework (MSF) entwickelt und damit der Begriff des Exploiting Frameworks geprägt wurde.
Sowohl Dante als auch das ATK sollten mir bei meiner täglichen Arbeit als Penetration Tester helfen können. Sie sollten mich dabei unterstützen, Sicherheitsüberprüfungen automatisiert durchführen zu lassen. Dadurch sollte sich sowohl die Effizienz als auch die Qualität der Tests erhöhen lassen. Dies ist, natürlich unter Miteinbezug vergleichbarer Lösungen wie Nessus und Qualys, möglich gewesen. Doch nie habe ich mich so richtig wohl mit diesem Flickwerk aus Werkzeugen gefühlt.
Ein ursprünglich mit dem Arbeitstitel ATK.NET angefangenes Projekt sollte die Defizite bestehender Produkte, und dazu zählen selbstverständlich auch meine Ansätze, eliminiert werden. Diese Lösung sollte sowohl die Möglichkeiten eines umfangreichen Vulnerability Scanners, als auch eines intelligenten Fuzzing-Tools sowie eines Exploiting-Frameworks bieten. Eine Analyse sollte sich dabei in unterschiedlicher Genauigkeit (diese hat ebenso Auswirkungen auf die Dauer der Ausführung) als auch in unterschiedlichen und stufenlosen Graden an Automatisierung durchführen lassen (von nahezu manuellen Tests bis hin zu komplett automatisierten Scans).
Insgesamt 10 Jahre meiner Entwicklungszeit wurde in diese Lösung investiert. Davon über 8 Jahre zusammen mit meinen hervorragenden Arbeitskollegen bei scip AG. Durch eine hochgradig modulare Lösung sehen wir uns in der Lage, anhand eines Expertensystems unsere hochgesteckten Ziele zu erreichen. Wir vereinen dabei die Möglichkeiten der unterschiedlichen Lösungsansätze, ohne auf Flexibilität verzichten zu müssen.
Wir unterscheiden dabei zwischen verschiedenen Engines. Die Scan-Engine ist für das (semi-)automatisierte Zusammentragen der potentiellen und ausgemachten Schwachstellen verantwortlich. Dabei wird in einer ersten Phase versucht, den grundlegenden Aufbau eines überprüften Objekts (Netzwerk, System, Dienst, Applikation oder Daten) zu identifizieren. Anhand verschiedener Mechanismen wird versucht die eingesetzten Technologien und die angewandten Konfigurationseinstellungen auszumachen. Da es sich hierbei um dynamische Module handelt, lassen sich damit auch komplett unbekannte Lösungen und Eigenentwicklungen analysieren.
Die durch die Scan-Engine gesammelten und als XML-Dateien bereitgestellten Daten werden durch einen Parser bearbeitet. Im Pre-Parsing wird es möglich, anhand der ermittelten Mechanismen erste statistische Auswertungen vorzutragen. Da das Parsing besonders effizient umgesetzt wird, lässt sich dies in Echtzeit an den Scanning-Prozess knüpfen. Theoretisch kann der Kunde in jedem Augenblick eines Projekts über den aktuellen Stand informiert werden.
Das Pre-Parsing erlaubt jedoch ebenfalls eine erste Moderation der Resultate. Damit kann Einfluss auf den iterativen Prozess des Scannins, aber auch auf die Weiterverarbeitung der gesammelten Daten, ausgeübt werden. Zum Beispiel lassen sich On-The-Fly neue Tests generieren, bekannte False-Positives markieren (Flagging) oder weiterführende Validierungen anstreben.
Durch das effektive Parsing werden die Daten in eine Datenbank geschrieben. Dort lassen sich erste Planspiele anstreben. Durch statistische Auswertungen können Hochrechnungen für die anstehenden Tests getätigt werden. Oder es lassen sich Delta- sowie Trendanalysen, auf der Basis vorangegangener Sicherheitsüberprüfen des gleichen Kunden oder vergleichbarer Kunden, umsetzen.
Werden die Daten in der Datenbank abgelegt, kann eine feste Moderation umgesetzt werden. Dabei erlaubt das System eine durch unterschiedliche Analysten in unabhängiger Weise umgesetzte Moderation. Es können also verschiedene Leute die Einträge kontrollieren, beglaubigen und validieren. Dies müssen nicht zwingend die gleichen Personen sein, die die initialen Scans durchgeführt haben. Damit lässt sich ebenso ein Vieraugenprinzip anwenden, indem potentielle Schwachstellen nur dann als gegeben akzeptiert werden, wenn mindestens zwei Auditoren ihr "Accepted" abgegeben haben.
Die Datenbank fungiert sodann als Expertensystem. Dieses weist die Analysten darauf hin, wie hoch die Chancen für False-Positives (und False-Negatives) sind, wie sich diese erkennen und eliminieren lassen. Durch Schritt-für-Schritt Anleitungen bzw. dynamisch generierte Scan-scripte können sodann weiterführende Tests oder Validierungen durchgeführt werden. Der Tester muss sodann nich zwingend im Detail mit der Zielumgebung und den eingesetzten Technologien vertraut sein, da er sich auf den gesammelten Erfahrungsschatz unseres Unternehmens bzw. der anderen Analysten verlassen kann.
Dieser Prozess des Prüfen, Validieren, Parsen, Moderieren und Dokumentieren kann iterativ und beliebig oft wiederholt werden. Zu jedem Zeitpunkt sind sämtliche Daten vorhanden und können auf Knopfdruck ausgegeben werden (Report, Statistiken, Trends). In der Regel wird ein Ablauf der Form Scan-Moderation-Scan-Moderation-Dokumentation angestrebt. Dadurch kann gewährleistet werden, dass Schwachstellen, die bei den ersten Tests nicht identifiziert werden konnten (da sämtliche Angriffsflächen so noch nicht bewusst waren) doch noch identifiziert werden können.
In der Datenbank werden umfangreiche Informationen zu den jeweiligen Schwachstellen abgelegt. Neben einer Charakterisierung des Problems findet sich ebenfalls mindestens eine Schritt-für-Schritt Anleitung zur Ausnutzung des Problems und verschiedene Gegenmassnahmen (priorisiert nach ihrer Effektivität). Ebenso wird eine umfangreiche Attributisierung durchgesetzt. So werden Phase eines Angriffs (z.B. Auswertung), Angreifertyp (z.B. Skript-Kiddie), Schwachstellenklasse (z.B. Cross Site scripting), betroffenes Objekt (z.B. Webapplikation) und Parent-Bug (die für die Existenz dieser Schwachstelle erforderliche Voraussetzung) festgehalten. Zusätzlich sind Referenzen auf andere Scanner (inklusive Deren Beschreibungen, Einstufungen und Testverfahren), Verwundbarkeitsdatenbanken, Webseiten und Bücher in dieser Wissensdatenbank festgehalten.
Werden sämtliche Daten in der Datenbank eingetragen und moderiert, kann ein Report generiert werden. Durch die umfangreiche Report-Engine wird es möglich, verschiedene Ausgabeformen und Dateiformate zu unterstützen. Dies reicht von klassischen Word-/PDF-Reports mit allen Details über Excel-Dokumente mit den wichtigsten Gegenmassnahmen (Checklisten) bis hin zu XML-Dateien zur automatisierten Weiterverarbeitung (z.B. in einem Bugtracking-System).
Das grundlegende Ziel des Reportings ist dabei, keine der gesammelten und vorhandenen Informationen zu verlieren. In einem Report sind also stets alle Daten enthalten, die von Nutzen sind. Zu jeder gefundenen Schwachstelle werden projektbezogene Informationen, wie die IP-Adresse des Scan-Systems und der Zeitpunkt der Identifikation, bereitgestellt. Damit kann ein Höchstmass an Transparenz und Nachvollziehbarkeit gewährleistet werden. Ganze Tests lassen sich also auch nach Abschluss bis auf die Sekunde genau rekonstruieren.
|
| Kommentare ... | | |
Kernmitglied (Level 10)
Kommentare: 110
seit 12. Feb 05 : 13:55
Antworten
|
Expertensystem wie als teilbereich der KI ?!
http://de.wikipedia.org/wiki/Expertensystem
das wär ja schon extrem schick ;) Ich habe meinen Urlaub mit der Idee einer KI die Pentesting unterstützt verbracht die letzten 2 Wochen ;)
|
|
| |
Kernmitglied (Level 10)
Kommentare: 398
seit 25. Jan 05 : 17:54
Antworten
|
Ja, genau so ;) Falls Du noch gute Ideen oder so hast, dann nur her damit ;)
|
|
|
Sie müssen angemeldet sein, um auf dieser Seite Einträge machen zu können. Bitte melden Sie sich an, oder wenn Sie noch nicht registriert sind, klicken Sie hier |
