| Willkommen 38.107.191.100 | |
| Online | Gäste: 18
Mitglieder: 0
Auf dieser Seite: 3
Mitglieder: 3047, neuestes ist Billy Kalender |
| Neueste 5 Downloads |  Sophos A bis Z der Computersicherheit
Sophos, Allgemein (Dokumente), 20. Jul 08 : 12:10
Dieses Büchlein wird von Sophos zu Werbezwecken verdient. Es stellt in einem ersten Teil die Bedrohungen von A bis Z, wie man sie im Internet antrifft, vor. In gleicherweise werden im zweiten Teil Schutzmassnahmen erwähnt. Kurz und bündig wird so der Leser an die Materie herangeführt. Technische Details und weiterführende Diskussionen fehlen, so dass es wirklich nur als seichte Unterhaltung und Einführung gedacht ist.
eBay Hack (S.M.)
S.M. (aka. SevenUp), Social Hacking (Dokumente), 20. Jul 08 : 12:03
Dieses nicht unumstrittene Dokument bespricht Schritt für Schritt, wie ein technisch gestütztes Phishing per HTML-Email und PHP-Skript durchgeführt werden kann, um Login-Informationen für eBay abzufangen. Der Beitrag weist einige technische Fehler auf und ist zu grossen Teilen veraltet. Aus diesem Grund wird ihm primär nur noch historisches Interesse entgegengebracht.
Angriff und Verteidigung in Computernetzen
Alexander Koch, Allgemein (Dokumente), 20. Jul 08 : 11:57
Die leider etwas karge Präsentation beleuchtet verschiedene Gesetzesartikel, die auf Computerangriffe und Strike-Back-Verfahren angewendet werden können. Dabei werden sowohl die deutsche als auch die schweizerische Rechtssprechung berücksichtigt. Ein interessanter Beitrag, der die Gefahren von automatisierten Schutzmechanismen auf einer nicht-technischen Ebene zu verdeutlichen in der Lage ist.
Cross-Site Scripting (Compass)
Ivan Bütler, Webserver (Dokumente), 20. Jul 08 : 11:49
In diesem einfachen Artikel werden die Grundlagen von Cross Site Scripting-Attacken aufgezeigt. Dabei werden sowohl serverseitige als auch clientseitige Varianten besprochen und zudem darauf hingewiesen, dass sich dies mit jeglicher Art von Scripting (JavaScript, VBscript, etc.) durchsetzen lässt. Die Einfachheit des Papiers macht es vor allem für Einsteiger leicht zu lesen.
Internet Networking - Measuring Distance and Bandwidth between Hosts
Werner König, Netzwerke (Dokumente), 01. Apr 08 : 21:43
In dieser Seminararbeit werden diverse Algorithmen zur Berechnung von Bandbreiten bestimmter Verbindungen zwischen Hosts besprochen. Es werden Troughput, Pathchar und vor allem Packet Pair beschrieben sowie ihre Vor- und Nachteile dargestellt. Ein interessantes Gebiet, welches ausserhalb akademischer Bereiche fast keine Beachtung findet.
Zeige alle Downloads (902 Total) |
| Schon gewusst, dass... | ...die WinNuke-Attacke wohl die bis dato grösste Popularität im Bereich von Denial of Service (DoS) erreichte?
Zeige alle Trivias (244 Total) |
| Zitat des Augenblicks (id 122) | "Männer kommen vom Mars. Frauen von der Venus. Computer aus der Hölle." - unbekannte Quelle
Zeige alle Zitate (246 Total) |
| Buchtipp | 
Unix Network Programming, Volume 2: Interprocess Communications
von W. Richard Stevens |
| |
| Infiltration eines Netzwerks (Montag, 28. Juni 2010 - 09:49:30) |
 [Marc's Blog] Ein krimineller Angriff auf ein Computersystem umfasst unterschiedliche Phasen. Will man die Nennung dieser möglichst reduzieren, so kann man sich auf (1) Auswertung, (2) Angriff, (3) Kompromittierung, (4) Rechteausweitung und (5) Backdooring einigen. Eine überproportional hohe Anzahl an Fachpublikationen beschäftigt sich mit dem Einbrechen in Computersysteme, also mit den Phasen 1 bis 3. Auch im Rahmen von professionellen Sicherheitsüberprüfungen wird anhand dieser in erster Linie die Machbarkeit eines Angriffs bewiesen und anhand dem Erfolg dieser die Durchführbarkeit der restlichen zwei Phasen abgeleitet.
Nur in den wenigsten Fällen werden die Hürden, wie sie mit einer Rechteausweitung und einem Backdooring verbunden sind, berücksichtigt. Doch die meisten Angreifer attackieren Systeme heutzutage nicht mehr nur aus Spass, sondern sie wollen einen Nutzen aus ihren Aktivitäten davontragen. Der Nutzen erschliesst sich aber erst dann, wenn Zugriffe auf Daten und Systemressourcen durchgesetzt werden können. Die Möglichkeiten der Phasen 4 und 5 sind entsprechend massgeblich dafür verantwortlich, welches Ausmass an Erfolg der gesamte Angriffsversuch mit sich zu bringen in der Lage ist.
Gehen wir davon aus, dass jemand in ein Netzwerk einbrechen möchte, um aus diesem Daten zu stehlen. Das Zielunternehmen bietet ein WLAN an, das durch bekannte Angriffstechniken innert weniger Stunden kompromittiert werden kann. Das System des Angreifers wird nach erfolgreicher Anmeldung im WLAN zu einem Teil des bestehenden Netzwerks.
Als erstes wird der Angreifer versuchen herauszufinden, wie das Netzwerk konfiguriert ist. Anhand der DHCP-Einstellungen, die automatisch an sein System propagiert wurden, kann er erste Ableitungen zu IP-Adressierung durchführen. Handelt es sich um ein Klasse C- oder ein Klasse A-Netzwerk, können Rückschlüsse auf die Grösse des Unternehmens und die potentiellen Angriffsziele (im gleichen Netzwerksegment) gemacht werden.
Wird dem eigenen System die IP-Adresse 192.168.2.51 zugeordnet, so kann in einem nächsten Schritt versucht werden herauszufinden, ob die inkrementelle Vergabe der IP-Adressen durch den DHCP-Server den gesamten Adressraum von 1-50 aufbraucht und ob ebenfalls Adressen im Bereich >51 vergeben sind. Die Anzahl aktiver Systeme kann so ermittelt werden. Je nach Tageszeit lässt sich damit erkennen, wieviele Mitarbeiter in etwa zugegen sind (manche von ihnen werden hoffentlich unter Berücksichtigung von Green-IT ihr System über Nacht/Wochenende ausschalten).
Doch um die Belegbarkeit des Adressraums zu ermitteln, muss zuerst die Topologie des Netzwerks verstanden werden. Ebenfalls in den mit DHCP auferlegten Konfigurationseinstellungen kann das Default Gateway, die DNS-Server sowie der DHCP-Server erkannt werden. Das Gateway ist üblicherweise die niederwertigste IP-Adresse im Adressbereich (in diesem Fall 192.168.2.1). Der DHCP-Server nimmt für sich ebenfalls die gleiche IP-Adresse in Anspruch. Die Nameserver findet sich jedoch im Netzwerk 172.16.0.x. Es ist sodann anzunehmen, dass die Server-Systeme in eben dieser DMZ positioniert werden.
Durch das Einsehen der lokalen ARP-Tabelle können die Ethernet-Adressen der schon angesprochenen Systeme ausgemacht werden. Die ersten drei hexadezimalen Werte lassen den Hersteller (Vendor) der Netzwerkkarte ermitteln. Schnell und vor allem passiv (keine weiteren Zugriffe für die Auswertung nötig) lässt sich damit ausmachen, dass das Gateway mit grösster Wahrscheinlichkeit durch ein Cisco-Gerät bereitgestellt wird. Die Namensauflösung lässt eine Cisco PIX/ASA vermuten (wiederum eine indirekte Auswertung). Dadurch kann die zur Filterung eingesetzte Technologie abgeleitet und potentiell verdächtige Aktivitäten zurückgehalten werden.
Anhand der weiterführenden Namensauflösungen der Systeme im gleichen Netzwerksegment lässt sich eine ISS RealSecure-Installation ausmachen. Hierbei handelt es sich um ein kommerzielles Intrusion Detection-System (IDS). Da die ersten langsamen Portscans der Client-Systeme typische Standard-Installationen von Windows XP erkennen liess, wird ebenfalls eine Standard-Installation von RealSecure erwartet. Mit der Durchsicht dieser in einer eigenen Test-Installation kann erkannt werden, welche Aktivitäten voraussichtlich Alarm auslösen werden. Das eigene Verhalten kann damit massgeblich optimiert werden, um unentdeckt weiter vorzugehen.
Da die gegebenen Windows-Systeme kein aktuelles Patch-Level aufweisen, kann mit einem mehr oder weniger bekannten Exploit eine Kompromittierung eines solchen angestrebt werden. Die Auswertung der Konfigurationseinstellungen (die erste Kompromittierung hat lediglich die Rechte des eingeloggten Benutzers vererben lassen), lässt File-Server und versteckte Shares erkennen. Auf diese können nun zugegriffen werden, wobei nach wertvollen Daten sowie technischen Hinweisen zur Umgebung Ausschau gehalten wird.
Die Durchsicht des File-Servers lässt im Ordner \IT-Department\Networking\Diagrams Visio-Dokumente identifizieren, die die Architektur und Topologie des gesamten Firmennetzwerks dokumentieren. Auf einen Blick werden so sämtliche Netzwerkzonen, Übergänge (Router/Firewalls), Server und Systeme erkennbar. Dank dieser "Landkarte" kann man sich nun sehr effizient im Netzwerk bewegen und kann deshalb auf eine Vielzahl an langwierigen Auswertungen (z.B. Erkennen der existenten/erreichbaren Systeme mittels Ping-Suchlauf) verzichten.
Nun kann entweder versucht werden durch ein lokales Exploiting die Rechte auf dem kompromittierten Arbeitsplatzrechner zu erweitern. Dies ist wohl nicht weiter erforderlich, da mit administrativen Rechten nur marginal erweiterte Zugriffe mit zusätzlichem Nutzen angegangen werden können. Eine Rechteausweitung ist eigentlich nur dann angestrebt, wenn die zusätzlichen Privilegien für die gewünschten Zugriffe erforderlich sind (z.B. Zugriff auf Systemkomponenten, Missbrauch einer bestehenden Vertrauensbeziehung im Netzwerk).
Oder man fokussiert sich auf die elementaren und damit wertvollsten Systeme der Zielumgebung. Vor allem Routing-, Security- und zentrale Server-Systeme sind von Interesse. Da diese ein Mehr an Funktionen bereitstellen und Kommunikationen bearbeiten, kann eine Übernahme dieser ein Mehr an Möglichkeiten gewähren (z.B. könnte ein manipulierter Proxy sämtlichen Verkehr auf das eigene System umleiten und durch eine klassische Man-in-the-Middle Attacke den Datenstrom mitlesen lassen). Der weitere Angriff dieser Systeme ist nun jedoch wieder als neu gestartete Iteration der fünf Phasen zu verstehen. Nach dem Angriff ist vor dem Angriff.
|
|
