Progko-Blog

Es wird also mal Zeit für den zweiten Teil, auf den schon sehr viele Leute gewartet haben. Die Frage ist nur, womit ich anfangen sollte. Die Demonstration einer verdeckten Überwachungssoftware? API-Hooking? Native-API Hooks? Exploits? Manipulation von Datenpaketen? API-Hooks auf Treiberlevel in Windows 7 sind auch lustig, zumal diese eine digitale Signatur erfordern. Die verdeckte Installation von Ring0-Treibern ist ebenfalls ein Fall für sich. Was hätten wir denn noch. Installation verdeckter Updates über einen Updateserver. Hm. Ausnutzung offensichtlicher “Browserfehler”.  Man könnte auch mal darstellen, dass viele Antivirenprogramme nicht so viel taugen. Dazu reicht ein einfacher Compiler aus. Verwendung eines Debuggers (Softice gibt es ja nicht mehr), C++ Kurs, keine Ahnung.

Was ich nicht tun möchte  ist  über Dinge zu schreiben, die sowieso jedes Script-Kiddie kennt. Beispielsweise Buffer-Overflows unter Linux-Systemen. Der einzig interessante Teil hier wäre die Demonstration zur Entwicklung eines Kernelmoduls im Userland oder etwas tiefer.

Ich glaube, wir beginnen damit, ob ein PC überhaupt noch sicher sein kann. Vielleicht könnte man auch mal einen Abstecher machen zu  den neuen Windows 7 Funktionen mit denen man zB alle Useraktivitäten aufzeichnet. Praktisch, so muss man die Software nicht mehr aufspielen.

Polymorpher Bytecode ist auch interessant, die Simulation eines virtuellen PCs sozusagen um jede Form von Analyse einer Software zunichte zu machen.

Mal sehen was die Zeit bringt. Mein Blog ist noch recht unbekannt – solange das so ist, werde ich mir ein wenig Zeit lassen.

Dienstprogramme, Verzeichnisdienste, Schloss anklicken, das eigene PW eingeben, oben in der Menüleiste Edit, dann Root-Account freigeben, fertig.

CmsTutorials.de: Silverstripe: Loginfehler, Umleitung nach /security/security/… http://bit.ly/apZsgr

Es reicht. Heutzutage sind PCs nicht mehr sicher. Wenn man an dieser Stelle nicht mit Technologien aufwartet, die richtig viel Geld kosten – dann kann man seine Privatsphäre an den Nagel hängen.

“Aber ich habe doch nichts angestellt, es ist mir egal!” – jaja, das hört man immer. Darum geht es nicht. Es geht um die Privatsphäre. Oha, der Leser mag das Wort nicht leiden, sollte dieser mal darüber nachdenken WARUM er das Wort nicht mag, bevor er sich dazu entschliessen sollte, diese zukünftige Serie nicht lesen zu wollen.

Wir werden uns hier zukünftig mit allen Möglichkeiten beschäftigen,

- die jemand hat um ein System abzuhören oder zu infiltrieren.

- die wir haben, um uns dagegen zu schützen. Übrigends, den Trick mit der Installation von Abhörsoftware über Updates werde ich ebenfalls erklären.

Es reicht mir jetzt.

cd /etc/init.d

apache2 start

fertig

Das mag jetzt ein paar Leute in gewisser Weise schockieren.

Nur weil ein System mit NMAP als sicher eingestuft wird, die Ports also von außen alle “zu” sind weil man einen Standard-Router mit Firewall angeschlossen hat, bedeutet dies leider nicht, dass es spitzfindige Möglichkeiten gibt, trotzdem Datenpakete durch den Router zu schleusen und in das Intranet zu schicken.

Im Intranet kann dann ein Programm auf solche Signale reagieren und Prozesse auslösen, zB Backdoor-Programme starten oder beenden  – je nachdem welche Pakete es schaffen, im Intranet verteilt zu werden.

Noch einmal, damit Sie es verstehen: Sie wissen, es gibt Portscanner die Ihnen versichern, der Router sei sicher. Suchen Sie im Internet einmal nach “Online Portscanner”, um festzustellen ob Ihr Router wenigstens diese Hürde übersteht.

Es gibt Router, die als Nebenfunktion eine Firewall besitzen. Dort wird nicht viel über Sicherheit gesagt – schon einmal aufgefallen? Es gibt ein Problem, denn Sie haben von Ihrem Router keinen Quellcode, Sie müssen sich auf die Features verlassen.

Fehler.

Das ist leider ein großer Fehler, deswegen schreibe ich am Feiertag darüber – denn wenn ein Netzwerk angegriffen und Pakete ein Netzwerk durchlaufen können, ist dies einen Artikel wert.

Nehmen wir mal an, Sie haben zwei Router. Einer davon ist gut, der andere ist schlecht. Sie setzen den schlechten Router zuerst an das Internet und schalten den “guten” Router dahinter. Wow, zwei mal NAT – na wenn das nicht sicher ist!!!

Fehler.

Der schwacher Router mit der schwachen Firewall nimmt die Pakete an, die sich durch die Firewall schleusen und transformiert / korrigiert diese so, dass sie den zweiten Router richtig erreichen können. Dieser ist dann der Ansicht, dass die Prüfsummen richtig sind und der Sequenzzähler scheint ja auch zu stimmen (wenn SPI aktiviert ist), die ersten Hürden sind genommen.

Genau wie bei der Anwendung starker Kryptogra{ph|f}ie muss die stärkste Hürde zuerst vorgeschaltet werden – zB bei der Mehrfachverschlüsselung ist Serpent, Twofish und ZULETZT AES angesagt, sofern man nur diese Möglichkeiten besitzt. Im Netzwerk muss die stärkste Firewall zuerst vorgeschaltet werden!

Es scheint wohl so, dass es bestimmte Routerpakete gibt, die vollautomatisch die Firewalls der Standardrouter umgehen  und die Datenpakete in die Intranets schicken können. Ich habe dazu den “schwachen” Router angeschlossen, dahinter eine “richtige Hardware-Firewall” die anschließend alles gelogged hat. Die Screenshots davon sind an sicherer Stelle, falls jemand behaupten sollte dies würde nicht funktionieren.

Aus Sicherheitsgründen möchte ich nicht weiter in die Details eingehen. Ein Router, der zB gewissen Attacken in einem bestimmten Netz völlig zu unterlegen scheint, ist der DIR-301 von DLink  gewesen.  Vielleicht sind auch die Einstellungen dort falsch gewesen, jedenfalls war kein Port-Forwarding und kein DMZ aktiviert. Eine nachgeschaltete, wie schon erwähnt “echte” Firewall hat die ganzen IPs gelogged, Screenshots haben wir erstellt – denn glauben kann man dies nur schwer.

Ein anderes Experiment mit einem Netgear-Router in ähnlicher Preislage verlief schon etwas besser. 99.99% der Pakete werden blockiert. Nicht schlecht,  aber keine 100%. Viel zu gefährlich, wozu hat man denn eine Firewall?

Ein anderer netter Trick ist folgender. Ein Rechner versucht, an der vorgeschalteten Firewall vorbei zu kommen (die ihm eine IP zuteilt, das Surfen aber verhindert) indem dieser sich eine IP des Routers zuteilen lässt, der sich HINTER unserer Firewall befindet.  Wie dies genau funktioniert, weiss ich noch nicht – jedenfalls befindet sich eine Software auf einem Vista-Rechner (Premium) die versucht, die erste Firewall zu umgehen und auf den zweiten Router zuzugreifen. Unsere “echte” Firewall reagiert darauf und sperrt die Client-IP des “Saboteurs” sofort und wenn es nötig ist auch den Router.

Hier ein Beispiel, wie es ein Vista-Rechner geschafft hat, sich einen DNS-Server außerhalb des Subnetzes zu angeln:

http://wp.progko.de/wp-content/uploads/2009/12/dnsklau1.jpg

Meine “richtige” Firewall hat dies bemerkt und als Dank den ganzen Router gesperrt. Absolut richtig.

Irgendwo in meinem zu sichernden Netz befindet sich also eine Information, dass es noch einen anderen DNS Server gibt.

Die Erlaubnis, einen  DNS Server zu nutzen gab es in sofern, dass die Firewall DNS Requests für angemeldete User erlaubt hat.  Dass dabei der DNS Server hinter der Firewall benutzt wird, davon war nicht die Rede.

Wir könnten einen DNS-Proxy benutzen, aber das ist zu einfach. Außerdem haben wir ja wieder den Zugriff auf den DNS Server, egal ob durch die Firewall oder durch einen Application-Level DNS Proxy (das ist ein Proxy-Server, den man nicht bemerkt – man muss nichts einstellen und er funktioniert trotzdem und von außen ist es nicht feststellbar – ja, loggen können die auch).

Wenn möglich, stellen Sie den DNS Server in den Interface-Settings zum DHCP Server so ein, dass die richtigen DNS Server bei der IP-Vergabe der Clients richtig übertragen werden. Am besten ist ein eigener, kleiner DNS Server der sich dann über einen DNS-Proxy mit einem öffentlichen DNS Server verbindet – oder dem des Routers. DNS ist ein Verbindungsport wie jeder andere auch, der nicht einfach so im Intranet geöffnet werden darf. Ein Exploit kann diesen Port sonst nutzen, um uneingeschränkt Daten zu transportieren. Ein DNS-Server mit DNS-Proxy ist zum Schutze des Netzwerks Pflicht. Ein Client macht eine DNS-Anfrage im Intranet an einen dortigen DNS-Server, der dann über ein anderes Netzwerkkabel über die Firewall mit einem (dortigen) DNS-Proxy verbunden ist, damit eine Socket-Verbindung nicht möglich gemacht werden kann. Etwas kompliziert.

Man muss hier einiges beachten, das ist nur mal ein kleiner Auszug.

Eine normale Firewall wäre uU möglicherweise dazu nicht in der Lage. Der Saboteur-PC gibt sich eine IP aus dem Netzwerk des ersten Routers und versucht somit, Router II zu umgehen indem DNS-Requests oder andere Dinge in das falsche Subnetz gebroadcastet oder gesendet werden.

Normale Router für den Hausgebrauch mit integrierter Firewall – wenn Sie diese Dinge in Ihrer Firma einsetzen – gute Nacht!

Um sich vor den Angriffen im Internet zu schützen, benötigt man erstklassige Hardware. Der Feind sitzt aber auch im System – zB kann man durch gefälschte Windows-Updates (das ist eine lange Geschichte) einen Rechner überwachen lassen. Sie müssen ja immer die neuesten Updates haben, gelle??? NEU NEU NEU! Das wird Ihnen angezüchtet, den unerfahrenen Anwendern und Administratoren. Fragen Sie mal Leute, die seit 20 Jahren im Geschäft sind. Never change a running system. Dafür gibt es gute Gründe.

Wenn Sie selbst etwas experimentieren wollen, benötigen Sie folgende Tools:

NMAP Portscanner (die Firewalls zeigen “zu” an, das muss aber nicht bedeuten dass Ihre Firewall funktioniert, dies sollte aber Minimum sein). Wenn Sie kein NMAP besitzen, suchen Sie nach einem “Online Portscanner” im Netz. Ports wie 21, 80, 113, 135, 135-140 müssen mindestens geschlossen sein. Spezial-Pakete werden Ihre Firewall dennoch möglicherweise wie in unserem Test umgehen.

Nessus – das ist schon etwas komplizierter, mittlerweile gibt es andere Werkzeuge, Klassiker sollte man aber dennoch einmal erwähnen. Nessus benötigt einen Server und einen Client, der Client startet den “Angriff” und der Server führt ihn aus, schickt das Ergebnis an den Client zurück.

Wireshark – ein beliebtes Tool – damit können Sie den Traffic aufzeichnen. Da gibt es nur ein Problem: Wie können Sie den Traffic von den Angriffen richtig unterscheiden und ist Ihre Hardware überhaupt in der Lage, diese Spezial-Pakete anzunehmen?

Wenn Sie seltsamen Traffic auf Ihrem Router haben und die Lampe (falls für Traffic  vorhanden) ständig blinkt, obwohl Sie nicht im Internet unterwegs sind – dann versucht jemand mit allen Tricks, Ihr Netzwerk anzugreifen.

(PS: Wenn Sie mehr Sicherheit wünschen, meine E-Mail steht im Impressum)

Ich wünsche ein schockierendes, neues Jahr.

Der Feind im Internet ist mittlerweile überall, innen sowie außen.  Denken Sie an meine Worte und lassen Sie Ihre Firma nicht ausspionieren.

Boris

CmsTutorials.de: Was ist ein Border-Box-Modell? http://www.cmstutorials.de/2009/12/22/was-ist-ein-border-box-modell/

Ich habe festgestellt, dass die GUI Anwendung für die Updates unter OpenSuse recht dubiose Fehlermeldungen generiert (11.1+) und teilweise auch den Bildschirm vollkleistert, der einen kompletten Logout erforderlich machen.

Am besten ist die Shellconsole, als Root folgendes benutzen

zypper update

Das sieht dann zB so aus

Daten des Repositorys laden…
Installierte Pakete lesen…

Die folgenden Pakete werden aktualisiert:
libfluidsynth1 libtwolame0 libvlc2 libvlccore2 libx264-80 MozillaFirefox
MozillaFirefox-translations-common mozilla-xulrunner191
mozilla-xulrunner191-gnomevfs mozilla-xulrunner191-translations-common vlc vlc-noX
vlc-qt

Gesamtgröße des Downloads: 18,0 M. Nach der Operation werden zusätzlich 599,0 K belegt.
Fortfahren? [JA/nein]:

Abrufen: vlc-noX-1.0.4-0.pm.8.5.x86_64.rpm [fertig (1,8 M/s)]
Installiere: vlc-noX-1.0.4-0.pm.8.5 [fertig]
Additional rpm output:

Paket vlc-qt-1.0.4-0.pm.8.5.x86_64 wird abgerufen (12/13), 658,0 K (2,0 M installiert)
Abrufen: vlc-qt-1.0.4-0.pm.8.5.x86_64.rpm [fertig]
Installiere: vlc-qt-1.0.4-0.pm.8.5 [fertig]

Paket vlc-1.0.4-0.pm.8.5.x86_64 wird abgerufen (13/13), 493,0 K (1,6 M installiert)
Abrufen: vlc-1.0.4-0.pm.8.5.x86_64.rpm [fertig]
Installiere: vlc-1.0.4-0.pm.8.5 [fertig]

Um die vorcompilierten Binärpakete von Centos zu aktualisieren, reicht im einfachsten Falle

yum update

aus, um diesen Prozess durchzuführen. Allerdings sollte man vorher prüfen, ob die Anwendungen ( yum check-update )  Modifikationen an Einstellungen oder Strukturen erforderlich machen, die dazu führen könnten dass der Betrieb eines Servers gestört werden könnte.

Um einen FreeBSD 7 Server upzudaten, bei dem sinnvollerweise alle Ports compiliert installiert worden sind (um alle Special-Features jeder Anwendung voll einsetzen  zu können) kann man folgendes machen. Vorher ist ein Backup aller Datenbanken und sonstiger Daten auf einen anderen Server zwingend notwendig.

Es kann bei Updates auch zu Problemen kommen. Unsere Technik von X-ITEC (www.x-itec.net) hilft Ihnen hier gerne zur Not kostengünstig weiter.

Ports updaten

portsnap fetch update

ich schaue was neu ist

pkg_version -v|grep needs

apache-2.2.13                       <   needs updating (port has 2.2.14_5)
apr-ipv6-gdbm-db42-1.3.8.1.3.9      <   needs updating (port has 1.3.8.1.3.9_1)
bash-4.0.33_2                       <   needs updating (port has 4.0.35)
ca_root_nss-3.11.9_2                <   needs updating (port has 3.12.4)
cups-client-1.3.10_4                <   needs updating (port has 1.4.2_1)
cups-image-1.3.10_4                 <   needs updating (port has 1.4.2_1)
curl-7.19.6_1                       <   needs updating (port has 7.19.7)

…

Ich lese zwingend /usr/ports/UPDATING um festzustellen, ob ich nach oder vor den Updates etwas tun muss

Update durchühren

portupgrade -a

Das sieht dann so aus

—>  Session started at: Sat, 12 Dec 2009 18:21:49 +0100
[Rebuilding the pkgdb <format:bdb_btree> in /var/db/pkg ...
- 218 packages found (-0 +218)
...
...200.................. done]

[Updating the portsdb <format:bdb_btree> i
n /usr/ports ... - 20936 port entries found .........1000.........2000..
.......3000.........4000
.........5000.........6000.........7000.........8000.........9000......
...10000.........11000.........12000.........13000.........14000....
.....15000.........16000.........17000.........18000.........19000...
......20000......... .....  done]
—>  Upgrade of emulators/linux_base-fc4 started at: Sat, 12 Dec 2009 18:23:44 +0100

…

===>   Compressing manual pages for rpm-3.0.6_14
===>   Running ldconfig
/sbin/ldconfig -m /usr/local/lib
===>   Registering installation for rpm-3.0.6_14
===>   Returning to build of linux_base-fc-4_15
===>  Patching for linux_base-fc-4_15
===>  Configuring for linux_base-fc-4_15
===>  Building for linux_base-fc-4_15
—>  Backing up the old version
[Updating the pkgdb <format:bdb_btree> in /var/db/pkg ... - 220 packages found (-0 +2) .. done]
—>  Uninstalling the old version

…

Alles wird aktualisiert.

Boris Köster