Vorstellung des browserrecon project [update] Marc Ruef | 03.05.2008 Mit dem httprecon project (http://www.computec.ch/projekte/httprecon/) habe ich Ende des letzten Jahres eine komfortable Anwendung bereitgestellt, mit der ein Webserver aktivem HTTP-Fingerprint unterzogen werden kann. Dadurch lässt sich die gegebene Implementierung identifizieren, ohne von leicht manipulierbaren Informationen wie dem Server-Banner abhängig zu sein. Die recon Reihe soll fortwährend erweitert werden. Zur Zeit wird an telnetrecon (http://www.computec.ch/projekte/telnetrecon/) gearbeitet, das eine ähnliche Funktionsweise für Telnet-Server bereitstellen soll (zur Zeit wird der Release Candidate 1 getestet). Damit reihen sich sowohl httprecon als auch telnetrecon in eine lange Tradition von Application Fingerprint-Utilities für Server-Dienste ein. Angriffe auf Server machen jedoch schon lange nicht mehr das Hauptinteresse vieler Angreifer aus. Nicht selten sind es nämlich gerade die schlecht programmierten und gewarteten Client-Anwendungen, die eine flächendeckende Kompromittierung (z.B. zur Errichtung eines Zombie-Netzes) zulassen. Nur spärlich und zaghaft wurde in den letzten Jahren darüber diskutiert, ob und inwiefern sich Client-Applikationen ebenfalls einem Application Fingerprinting unterziehen lassen. Mit dem browsserrecon project (http://www.computec.ch/projekte/browserrecon/) stelle ich nun eine erste umfassende Implementierung vor, die die Erkennung von Webclients (Webbrowser) ermöglicht. Auch hier wird sich nicht mehr nur plump auf die über die User-Agent Zeile mitgeschickte Identifikation verlassen. Viel mehr wird durch eine Kombination verschiedener Fingerprints (z.B. Schreibweise des Accepted-Charset oder Reihenfolge der Header-Zeilen) eine exakte Determinierung angestrebt. Auf der Projektwebseite werden gegenwärtig allgemeine Informationen zum Projekt bereitgestellt. Ebenso ist es möglich, mit dem Online-Scan (http://www.computec.ch/projekte/browserrecon/?s=scan) den eigenen Browser identifizieren zu lassen. Die zugrundeliegende Datenbank ist praktisch noch leer und das Projekt damit noch nicht über ein Alpha-Stadium hinaus. Alle sind herzlichst eingeladen ihre Fingerprints hochzuladen. Es wird gegenwärtig nur eine rudimentäre Moderation der Fingerprints durchgesetzt, weshalb man sich auf die Resultate noch nicht verlassen kann. Die finale Veröffentlichung der Software, vorerst als PHP-Version, wird mit einer umfassenden und geprüften Fingerprint-Datenbank daherkommen. Natürlich nehme ich gerne Feedback zum Projekt entgegen. Dieses kann man entweder als Kommentar dieser Newsmeldung einbringen oder mir per Email zukommen lassen. Da die Tage wieder länger und das Wetter besser wird, werde ich aber wohl lieber draussen sein und deshalb gerne vorerst mit keiner zeitnahen Antwort aufwarten können. Update: Ich habe heute das Moderations-Modul geschrieben. Neu bereitgestellte Fingerprints werden nun also nicht mehr direkt in die Datenbank geschrieben, sondern werden zuerst von mir kontrolliert. Damit soll die Qualität der Daten möglichst hoch gehalten werden.