| Online | Gäste: 13
Mitglieder: 1, Nixi
Auf dieser Seite: 1
Mitglieder: 2684, neuestes ist freedomfighter |
| Neueste 5 Downloads |  Sophos A bis Z der Computersicherheit
Sophos, Allgemein (Dokumente), 20. Jul 08 : 12:10
Dieses Büchlein wird von Sophos zu Werbezwecken verdient. Es stellt in einem ersten Teil die Bedrohungen von A bis Z, wie man sie im Internet antrifft, vor. In gleicherweise werden im zweiten Teil Schutzmassnahmen erwähnt. Kurz und bündig wird so der Leser an die Materie herangeführt. Technische Details und weiterführende Diskussionen fehlen, so dass es wirklich nur als seichte Unterhaltung und Einführung gedacht ist.
eBay Hack (S.M.)
S.M. (aka. SevenUp), Social Hacking (Dokumente), 20. Jul 08 : 12:03
Dieses nicht unumstrittene Dokument bespricht Schritt für Schritt, wie ein technisch gestütztes Phishing per HTML-Email und PHP-Skript durchgeführt werden kann, um Login-Informationen für eBay abzufangen. Der Beitrag weist einige technische Fehler auf und ist zu grossen Teilen veraltet. Aus diesem Grund wird ihm primär nur noch historisches Interesse entgegengebracht.
Angriff und Verteidigung in Computernetzen
Alexander Koch, Allgemein (Dokumente), 20. Jul 08 : 11:57
Die leider etwas karge Präsentation beleuchtet verschiedene Gesetzesartikel, die auf Computerangriffe und Strike-Back-Verfahren angewendet werden können. Dabei werden sowohl die deutsche als auch die schweizerische Rechtssprechung berücksichtigt. Ein interessanter Beitrag, der die Gefahren von automatisierten Schutzmechanismen auf einer nicht-technischen Ebene zu verdeutlichen in der Lage ist.
Cross-Site Scripting (Compass)
Ivan Bütler, Webserver (Dokumente), 20. Jul 08 : 11:49
In diesem einfachen Artikel werden die Grundlagen von Cross Site Scripting-Attacken aufgezeigt. Dabei werden sowohl serverseitige als auch clientseitige Varianten besprochen und zudem darauf hingewiesen, dass sich dies mit jeglicher Art von Scripting (JavaScript, VBscript, etc.) durchsetzen lässt. Die Einfachheit des Papiers macht es vor allem für Einsteiger leicht zu lesen.
Internet Networking - Measuring Distance and Bandwidth between Hosts
Werner König, Netzwerke (Dokumente), 01. Apr 08 : 21:43
In dieser Seminararbeit werden diverse Algorithmen zur Berechnung von Bandbreiten bestimmter Verbindungen zwischen Hosts besprochen. Es werden Troughput, Pathchar und vor allem Packet Pair beschrieben sowie ihre Vor- und Nachteile dargestellt. Ein interessantes Gebiet, welches ausserhalb akademischer Bereiche fast keine Beachtung findet.
Zeige alle Downloads (902 Total) |
| Schon gewusst, dass... | ...die amerikanische Firma Okena und ihr Intrusion Prevention System (Abk. IPS) StormWatch von Cisco aufgekauft und in Cisco Secure Agent (Abk. CSA) umbenannt wurde?
Zeige alle Trivias (244 Total) |
| An diesem Tag... |  1984: Der CHaos Computer Club stellt den BTX-Hack vor
2003: Das DVD-Forum hat die HD-DVD als voraussichtlichen HDTV-Nachfolger HD-DVD verabschiedet
Zeige alle Einträge (712 Total) |
| Buchtipp | 
Network Intrusion Detection
von Stephen Northcutt und Judy Novak |
| | Sie sind zur Zeit nicht angemeldet und haben deshalb nur Gast-Privilegien. Einige Funktionen (z.B. Postings, Kommentare, Bewertungen, Statistiken) sind deshalb deaktiviert. Zudem ist für Gäste in einigen Bereichen Werbung geschaltet.
Melden Sie sich an und loggen Sie sich ein, um Zugriff auf sämtliche Bereiche zu erhalten. |
| Spam kann ziemlich peinlich sein (Montag, 17. November 2008 - 09:17:31) |
 [Marc's Blog] Der wohl grösste Trend der letzten Jahre - neben Citrix - war/ist die Virtualisierung von Systemen mittels Vmware: Auf physikalischen Hosts werden mehrere virtuelle Gast-Systeme betrieben, wodurch sich in erster Linie Kosten für Installation, Hardware und Backup einsparen lassen. Die Prüfung solcher Vmware-Umgebungen rückt damit zwangsweise in den Mittelpunkt des Interesses vieler Unternehmen. Gerade weil durch Virtualisierung oftmals klassische Grundsätze (z.B. Segmentierung in Netzen) absichtlich oder fahrlässig untergraben werden.
So war ich dann auch bei einem grösseren Telekommunikationsunternehmen zugegen, um die in den letzten Jahren explosionsartig angewachsene Vmware-Infrastruktur zu untersuchen. Dabei untersuche ich als erstes den Host (das Muttersystem) selbst, um typische und spezifische Fehler in diesem ausmachen zu können. Fehlende Patches und fehlerhafte Konfigurationen sind auch da die zu erwartenden Probleme.
Zusätzlich werden die Gast-Systeme angeschaut. Auch bei diesen wird das typische Vulnerability Scanning auf der Netzwerkeben durchgesetzt, denn schliesslich sollen diese aus Sicht der Sicherheit genau gleich wie physikalische Systeme behandelt werden. Zudem wird aber oft der in Citrix-Umgebungen bekannte Breakout-Tests vollzogen: Bei diesem geht es darum als legitimen Benutzer aus den vorgegebenen lokalen Rechten auszubrechen und gar im Netzwerk erweiterte Möglichkeiten zu erlangen.
Wie bei den meisten umfassenden Assessments führe ich mit den zuständigen Personen diverse Interviews. Anhand eigens angefertigter Checklisten werden Zuständigkeiten, Motive, Umsetzungen und latente Ängste diskutiert. Dies erlaubt ein Benchmarking auf einer zusätzlichen Ebene, die von allen Kunden, vor allem auf der Management-Ebene, sehr geschätzt wird.
Der für Vmware Operations zuständige Administrator setzte sich sodann zu mir ans Pult, um mit mir den Fragenkatalog durchzugehen. Angeregt diskutierten wir über die Möglichkeiten und Bedrohungen, die durch das Nutzen von Vmware erschlossen werden. Es ist für mich immerwieder interessant die Gedanken der Leute zu hören, die effektiv an der Front sind. Die Bedürfnisse sind oftmals ganz unterschiedlich und doch immerwieder gleich.
Als wir so diskutierten meldete sich mein Mailclient. Thunderbird blendete unten rechts die Kurzmeldung ein, dass eine neue Mailnachricht gekommen sei. Dabei wird standardmässig Betreff und Text der Nachricht angezeigt, um dem Benutzer einen schnellen Überblick gewähren zu können.
Dabei handelte es sich um ein Spam-Mail, welches jedoch sehr gut aufgesetzt war. So wurde ich effektiv mit "Hallo Marc" angesprochen. Der weitere Text war jedoch alles andere als erfreulich. So wies mich mein vermeintlicher Freund darauf hin, dass er seine kleine Tochter heimlich beim sexuellen Umgang mit seinem Hund gefilmt hätte. Oh mein Gott! Nun war ich nicht sicher, ob mein Gesprächspartner, der ebenfalls gebannt auf den Bildschirm schaute, die Nachricht ebenfalls als Spam erkennen sollte. Wie dem auch sei, es war mir einfach nur peinlich.
Bitte liebe Spam-Versender: Schickt mir doch keine solchen Nachrichten mehr! Ich weiss, es ist ja lieb gemeint von Euch. Mein Sexleben funktioniert bisher auch ohne Viagra ganz gut (drei Mal hintereinander reicht), meine Herzensdamen finden meine Penislänge soweit wirklich in Ordnung (20 cm finden viele gar erschreckend), ich will meine Nachbarin nicht nackt sehen (sie ist über 60 Jahre alt), Sex mit Tieren gefällt mir nicht (da bin ich mir ganz sicher) und ich brauche keine neue Gartenbestuhlung (ich habe gar keinen Garten) sowie ebenfalls kein Swissair-Besteck (ich esse mit den Händen).
|
| Intransparente Scanner und False Positives (Montag, 10. November 2008 - 09:26:17) |
[Marc's Blog] Kurz nachdem ich im Data Becker-Verlag als Co-Autor das Buch Hacking Intern veröffentlicht hatte, habe ich mit der Übersetzung des Buchs Network Intrusion Detection von Stephen Northcutt und Judy Novak aus dem Englischen begonnen. Ich mochte das Buch, welches ich selbst vor meiner Übersetzungsarbeit mindestens drei Mal durchgelesen habe (zwei Mal auf Deutsch und einmal auf Englisch), wirklich sehr.
Dabei kann ich mich noch sehr gut daran erinnern, wie die Autoren ausdrücklich darauf hinwiesen, dass gerade im Bereich der elektronischen Erkennung die Transparenz eine ungemein wichtige Rolle spielt. Ein entsprechendes Intrusion Detection-System kann nur dann effektiv und effizient betrieben werden, wenn dessen Funktionsweise offengelegt ist: Indem die jeweiligen Rules/Pattern verstanden oder gar angepasst werden, kann eine umfassende Lösung erreicht werden. Blackbox-Systeme, bei denen man keines der beiden Dinge machen kann, widersprechen dem eigentlichen Ziel der Sicherheitsüberwachung.
Dieses Paradigma aus der elektronischen Einbruchserkennung kann und muss genauso auf den Bereich der Sicherheitsüberprüfungen übernommen werden. Auch hier ist man, will man gewisse Dinge möglichst effektiv analysieren, auf unterschiedliche Software-Produkte angewiesen. Durch Scanner wie nmap oder Nessus können eine Vielzahl an Informationen automatisiert zusammengetragen und ausgewertet werden.
Bei unseren webbasierten Tests ziehen wir ebenfalls N-Stealth zurate. Hierbei handelt es sich um einen Web-Scanner, der ursprünglich durch den Brasilianer Felipe Moniz geschrieben wurde. Die neueste Version der Software kommt mit einigen herausragenden Funktionalitäten daher. So wird ein umfassendes Crawling des Webservers vorgenommen und auf der Basis dieses Mappings die einzelnen Test-Module dem Zielsystem angepasst (z.B. dynamische Allokation von zu prüfenden Objekten). Ich bin sehr zufrieden mit dem Produkt, welches natürlich noch punktuell verbessert werden kann. Schlussendlich bietet es aber etwas, was man sich schon vor 10 Jahren sehnlichst herbeigewünscht hat.
In einem meiner Penetration Tests wies ich sodann üblicherweise die unliebsam unterstützten HTTP-Methoden des Webservers aus. Darunter gehören klassische Methoden wie HEAD, POST, PUT, DELETE, OPTIONS, TRACE und TRACK. Aber auch Erweiterungen aus WebDAV, zum Beispiel PROPFIND und MOVE, konnte ich nebenbei im Rahmen des N-Stealth Scans als unterstützt ausmachen. Dies, und andere, weitaus kritischere Probleme, teilte ich dem Kunden mit. Mit der Abgabe unseres Reports war er sogleich darum bemüht, die eben genannten Probleme zu beheben.
Nach der Umsetzung bat er mich, wenigstens kurz zu prüfen, ob nun die HTTP-Methoden korrekt gesetzt sind. Da ein solcher Re-Check eigentlich jeweils Teil eines neuen Projekts ists und nicht in der initialen Prüfung enthalten ist, habe ich nur kurz im Hintergrund N-Stealth angeworfen und auf die Resultate gewartet. Noch immer wurden mir PROPFIND & co. als "supported" ausgewiesen. In einem kurzen Mail wies ich den Kunden darauf hin, dass er das Problem wohl noch nicht richtig adressiert hätte.
In seiner Antwort bat er um konkrete Hilfestellung, wie die Konfigurationseinstellungen unter Apache auszusehen hätten. HTTP-Methoden können dabei sowohl innerhalb einer .htaccess-Datei als auch in der httpd.conf deaktiviert werden. Ebenso wies er mich darauf hin, dass in seinen manuellen Tests mittels Telnet die beanstandeten Methoden nur noch ein 403 Forbidden liefern würden. Also machte ich mich daran, nachdem ich die Konfigurationsmöglichkeiten dokumentiert hatte, die Unterstützung der HTTP-Methoden manuell zu verifizieren.
Zu meinem Erstaunen lieferten, abgesehen von einer speziellen Form von OPTIONS, alle kritischen Methoden nur noch ein 403 Forbidden zurück. Das System war also eigentlich gehärtet. Aber wieso meldete mir N-Stealth noch immer, dass sie unterstützt seien? Um der Sache auf den Grund zu gehen, habe ich einen erneuten Scan initiiert und diesen mittels Wireshark mitgeschnitten. Ich wollte sehen, ob die Anfragen der Scanning-Software irgendwie anders waren, weder meine manuellen Zugriffe.
Zu meinem Erstaunen wurden die exakt gleichen Anfragen verwendet, die zu den exakt gleichen Resultaten - nämlich dem gewünschten Forbidden - führen sollten. Es schien, als hätte N-Stalker irgendein Problem bei der Auswertung von HTTPS-Webservern. Da die Test-Prozeduren weder im Detail einsehbar noch im Report umfassend dokumentiert waren, musste ich also zuerst langwierig eine Netzwerkanalyse einspannen, um dem Mysterium auf den Grund zu gehen. Ich schrieb sofort ein Email an die Entwickler und informierte meinen Kunden über die unschöne Ungenauigkeit.
Uneingeschrenkte Transparenz bleibt sehr wichtig, um Software und ihre Funktionsweise verstehen zu können. Letzteres ist unabdingbar, um im Sicherheitsbereich intelligent agieren zu können. Und irgendwie führt mich diese ganze Geschichte zu einem meiner alten Grundsätze, den ich ursprünglich eher selbstironisch postuliert hatte, zurück:
"Traue nie einer Software, die Du nicht selber in schlechtem Stil programmiert hast."
|
| Dritte Auflage von "Kunst des Penetration Testing" in Arbeit (Dienstag, 4. November 2008 - 15:08:50) |
 [Webseite] Es freut mich mitteilen zu können, dass es von meinem letzten Buch Die Kunst des Penetration Testing eine dritte Auflage geben wird. Im Gegensatz zur zweiten Auflage, die "lediglich" einen unveränderten Nachdruck dargeboten hat, wird die dritte Auflage eine umfangreiche Überarbeitung sowie Erweiterung der Inhalte aufweisen.
Um die Qualität des Buchs stetig steigern zu können, bin ich zu Dank verpflichtet, wenn mich meine Leser auf technische und sprachliche Fehler hinweisen sowie Wünsche bezüglich der Erweiterung der Inhalte zukommen lassen können. Gerne werde ich versuchen die Anpassungen geschickt einzubringen, so dass Mitte 2009 die Neuauflage auf den Markt kommen kann. Ich bedanke mich bei den vielen Lesern, die sich mit meinen Zeilen herumschlagen und dadurch helfen, meine Arbeit noch besser zu machen!
|
|
