Screenshots als Denial of Service Marc Ruef | 07.06.2006 Ich habe, schon einige Zeit ist es her, in einer Firma als Auditor gearbeitet. Mein damaliger Chef hat sich nicht besonders durch seine Weltoffenheit ausgezeichnet und seinen technischen Mitarbeitern gerne unnötige und unlogische Vorgehensweisen aufgezwungen. Schon damals habe ich bemerkt, dass man einen Menschen niemals dazu zwingen darf, wie er ein Problem lösen soll. Ist er geistig begabt und versteht sein Handwerk, wird er selber seine für ihn am effizientesten auswirkende Vorgehensweise verfolgen. Schon so mancher Kunde, der mir bei einem Penetration Test über die Schulter geschaut hat meinte, dass ich sehr unkonventionell vorzugehen pflege. Dem möchte ich - wenigstens in einigen Teilen - widersprechen. So verfolge ich doch den typischen Ansatz eines Black Hats, der sich mit den gängigen Mitteln und Methoden um ein Reverse Engineering des Zielobjekts bemüht. Bei den meisten Überprüfungen schaue ich mir das Zielobjekt, zum Beispiel eine Web-Anwendung oder eine Citrix-Freigabe, genau an. Dabei bewege ich mich wie ein normaler Endanwender, um ein Gefühl für die Umgebung zu bekommen. Mit der Zeit habe ich dabei ein Gespür dafür entwickelt, welche Verhaltensweisen auf potentielle Angriffsflächen hindeuten. Das Provozieren von Fehlermeldungen ist eine beliebte und wichtige Disziplin. Wer mal mit mir zusammengearbeitet hat weiss, dass ich unendlich vergesslich bin. Aus diesem Grund führe ich bei einer Überprüfung stets Buch darüber, welche Schritte ich nun genau unternommen habe. Dabei ziehe ich meist Screenshots herbei, die ich nach und nach erstelle, um mit ihnen mitunter auch den finalen Report des Tests ein bisschen auflockern zu können. Bei vielen Tests wird mir als Quell-System ein Windows-Rechner bereitgestellt, um die Ausgangslage eines "herkömmlichen Mitarbeiters" zu simulieren. Auf diesem greife ich meist auf WordPad zu, um meine Screenshots zu speichern. Da beim standardmässig genutzten RTF-Format keinerlei gescheite Kompression zum Einsatz kommt, kann eine solche Notiz-Datei durchaus mehrere MByte gross werden. Bei einem der letzten Citrix-Audits waren rund 20 Applikationen freigegeben, die ich auf potentielle Schwachstellen hin untersuchen durfte. Die mit WordPad erstellte Screenshot-Datei wuchs innert eines halben Tages auf über 80 MByte an. Da sich das mir zur Verfügung gestellte Windows NT 4.0 zwischendurch über sein eigenes mangelhaftes Speichermanagement beschwerte, legte ich gegen Mittag einen Neustart ein. Nachdem das System endlich gestartet war und einmal mehr mittels Columbus (http://www.brainware.ch) nach den aktuellsten Software-Paketen informieren wollte, wollte ich meine Notiz-Datei öffnen. Nach einem Doppelklick auf diese wartete ich, und wartete, und wartete, und wartete, ... Selbst nach 20 Minuten war WordPad mit der Interpretation der etwas gross geratenen Screenshot-Datei nicht fertig. Zum Glück war ein richtiges Word installiert, weshalb ich es stattdessen mit diesem versuchte. Leider schien das gegebene Gerät nicht bereit, innert weniger als 24 Stunden das Parsing für das Dokument vorzunehmen. Ich musste damit vorlieb nehmen, die Datei auf meinen Laptop zu kopieren und dort mit ein bisschen mehr Performance das Öffnen der Datei ansetzen zu können. Na ja, Windows NT 4.0 ist halt nicht mehr zeitgemäss, obschon eigentlich das Öffnen einer 80 MByte grossen Datei noch drin liegen müsste. Aber hätte ich nun diesen Umstand im Report als "potentielle lokale Denial of Service-Möglichkeit" dokumentieren müssen?