Andreas Kurtz

Marc Maiffret, Chief Hacking Officer von eEye Digital Security beschrieb in seinem Vortrag “More Than a Microsoft World” oft unterschätzte Angriffsziele auf Systeme. Das eEye Research Team sieht eine immer größer werdende Anzahl von Exploits aufkommen, die nicht mehr auf das Betriebssystem selbst, sondern auf nutzerorientierte Applikationen zielen. Sind wir doch mal ehrlich: Wer aktualisiert täglich sein iTunes, Adobe Reader, Quicktime, usw.? Selbst Sicherheits-Applikationen von Firmen wie Symantec und McAfee werden genutzt, um in Netzwerke zu gelangen.

In einer anschließenden Live-Demo zeigte Marc genau dieses Problem auf: Neben einer Schwachstelle in der aktuellen JRE von Sun (1.5.10, 1.6.0) über die beliebiger Code zur Ausführung gebracht werden kann, entdeckte das eEye-Team auch eine Privilege Escalation Schwachstelle in Microsofts kürzlich auf den Markt gebrachtem Windows Vista.
Marc bootet Windows Vista (auf aktuellem Patch-Level) in einer virtuellen Maschine und surft darin mit dem Internet Explorer auf eine von ihm präpariete Seite, die einen Exploit in Form eines Java Applet enthält. Folgendes passiert: Rechts unten im Systemtray erscheint zunächst die Meldung, dass die Vista-Firewall deaktiviert wurde. Kurz darauf öffnet sich auf dem Angreifer-Rechner eine Reverse Shell, die Vollzugriff auf die Vista-Maschine erlaubt – Microsoft wurde bereits informiert – bis dafür jedoch ein Patch zur Verfügung steht und eEye-Security Details dieser Schwachstelle bekannt gibt, können erfahrungsgemäß noch Monate vergehen.

Die Techniken, die in dieser Demonstration verwendet wurden, sind alte Bekannte – faszinierend war viel mehr die Tatsache, dass so bald schon eine Privilege Escalation Schwachstelle in Microsofts neuem Betriebssystem gefunden wurde und der primäre Angriff auf die Java Runtime Environment abzielt (auch Sun wurde informiert, ein Patch steht noch aus).

Paradoxerweise stellte Dominik Langrehr gerade einen Tag zuvor Vista’s grundlegende Sicherheitsfunktionen und –verbesserungen in den Vordergrund

Nachdem ich heute morgen die mündliche Prüfung “Medizinische Informatik” entsprechend meiner Erwartungen hinter mich gebracht habe, sitze ich nun im ICE von Frankfurt (Main) nach Leipzig.

Dort ist diese Woche die IT-Defense – ein Sicherheitskongress mit international bekannten Referenten.

Besonders gespannt bin ich auf die Vorträge von Kevin Mitnick (weltweit bekannter Ex-Hacker und Social-Engineering-Experte) und Tobias Klein, der am Donnerstag seinen generischen Rootkit-Profiler zur Erkennung von Linux-Kernel-Rootkits vorstellen wird.

Aber: Heute Abend entspann ich erst mal im Pool und an der Hotelbar Bilder folgen…vielleicht!

Heute Abend bin ich durch Zufall auf ein Angebot gestoßen, das ich euch nicht vorenthalten möchte http://www.musicovery.com (ich war verwundert, dass man nie zuvor etwas darüber gelesen hat).
Wie der Name schon vermuten lässt, geht es hier um einen Dienst, der anhand einstellbarer Kriterien nach Musik sucht – legal, schnell, kostengünstig und mit hoher Trefferrate.

Ein paar Regler erfassen die aktuelle Gemütslage des Benutzers: Neben Geschwindigkeit und Rhythmik lässt sich die Stimmung von energiereich bis ruhig noch genauer spezifizieren. Sogar der Zeitraum und die Musikrichtung lassen sich angeben.

Nach einfacher Auswahl dieser Optionen generiert musicovery automatisch einen gerichteten azyklischen Graphen an Liedern, der dann direkt durchlaufen wird und die Musik in Echtzeit streamt. Neben einer kostenlosen sog. “LoFi”-Variante zum Testen gibt es eine “HiFi”-Version, in der die Lieder mit 128kBit/s codiert werden und in guter Tonqualität eintreffen. Abonnieren lässt sich die HiFi-Variante ganz einfach beispielsweise per SMS.

Überzeugt euch selbst davon: Kurz die Stimmung anklicken und schon ertönt genau das Lied, das man sich gerade vorgestellt hat

Gestern konfrontierte mich ein Kunde mit dem Problem, dass in seiner laufenden Typo3-Installation die Extension tt_news nicht mehr richtig arbeite. Beim Versuch einen neuen Newseintrag zu erstellen erscheint die Fehlermeldung “Internal Server Error” (erschwert wurde die Ursachenforschung durch Abwesenheit von Error-Logs).

Letztendlich stellte sich aber heraus, dass die Webserver des ISP, der die Typo3-Installation betreibt, auf die PHP-Version 5.2.0 aktualisiert wurden und die tt_news-Extension damit nicht mehr funktioniert. Die Entwickler der Typo3-Erweiterung liefern keinen Patch, da das Problem seine Ursache im PHP-Kern habe. Tatsächlich liegt das Problem in der Funktion array2xml der Datei typo3_src-4.0.2/t3lib/class.t3lib_div.php. Hier wird die PHP-Funktion strcspn verwendet, um die Anzahl der nicht übereinstimmenden Zeichen zu ermitteln. Die Typo3-Entwickler verwenden diese Funktion gelegentlich in einer Art, wie sie nicht dokumentiert ist – nämlich mit einem leeren ersten Parameter. So ist es wohl richtig, dass die PHP-Entwickler im Error-Handling nachbessern müssen, so dass die C-Bibliothek im Hintergrund nicht zu einem Internal Server Error im Webserver führt. Fakt ist aber auch, dass die Typo3-Entwickler keine undokumentierten Funktionen nutzen sollten.

Lange rede – kurzer Sinn: So funktioniert das tt_news-Plugin wieder:

Öffnet die Datei typo3_src-4.0.2/t3lib/class.t3lib_div.php und sucht ab Zeile 2078 nach folgendem Code:

[php]
} else { // Just a value:// Look for binary chars:
[/php]

anschließend muss die folgende Zeile gelöscht werden:

[php]if (strcspn($v,$binaryChars) != strlen($v)) { // Go for base64 encoding if the initial segment NOT matching any binary char has the same length as the whole string!

[/php]Zur Erklärung: Der Parameter $v wird manchmal leer übergeben, was die Funktion strcspn nicht abfängt.

Anschließend muss folgende Zeile an der eben gelöschten Stelle eingesetzt werden:

[php]$vLen = strlen($v); // check for length, because PHP 5.2.0 crashes when first argument of strcspn is empty
if ($vLen && strcspn($v,$binaryChars) != $vLen) { // Go for base64 encoding if the initial segment NOT matching any binary char has the same length as the whole string!
[/php]

Hier wird einfach über die Methode strlen geprüft, ob der Parameter $v einen Wert enthält und nur im positiven Fall fortgefahren.

Bei Zugang zu einer SSH-Shell lässt sich der Patch auch einfach über die Bash einspielen. Dazu den Patch hier downloaden; anschließend in das o.g. Verzeichnis mit der Datei class.t3lib_div.php navigieren und über folgenden Befehl patchen:

[code]patch -b class.t3lib_div.php t3lib_div-PHP52.diff

[/code](Die Option -b erstellt zur Sicherheit ein Backup der Datei und speichert diese als class.t3lib_div.php.orig ab).

Heute bin ich auf ein sehr nützliches Tool gestoßen, um SQL-Injection-Schwachstellen in Webanwendungen automatisiert ausnutzen zu können. Voraussetzung ist ein Microsoft SQL-Server im Backend.

Neben Fingerprinting der Datenbank und Brutefore-Angriffen auf den “sa”-Benutzer wird auch eine xp_cmdshell erstellt, falls diese gelöscht wurde. Zudem besteht die Möglichkeit automatisch Binärdateien (z.B. netcat) über HTTP-GET/POST-Methoden hochzuladen.

Eine sehr ausgefeilte Möglichkeit ist ein anschließender TCP/UDP-Portscan vom betroffenen Server aus, um einen Port in der Firewall zu entdecken über den eine Reverse Shell geöffnet werden kann. Alternativ bestehet auch die Möglichkeit eine “Pseudo-Shell” zu nutzen, die über DNS getunnelt wird.

• Live-Demo
• Homepage

Das vergangene Wochenende verbrachten wir bei strahlendem Sonnenschein in Berlin. Bei 16° Celsius Anfang Dezember kommt dann schon mal Weihnachtsstimmung auf…

Neben einer Sightseeing- und Shopping-Tour, standen natürlich auch etliche Weihnachtsmärkte und ein Besuch im Theater auf dem Programm. Zu sehen gab es einen Auftritt der “Blue Man Group”. Abgesehen davon, dass die Zuschauer stark in das Programm mit einbezogen werden und man die ganze Zeit darauf hofft, nicht auf die Bühne geschleppt zu werden, um von den Blue Men auf die Schippe genommen zu werden, kann man von einer rund um gelungenen Show sprechen.

Nach einem kurzen Zwischenstopp in Krumbach bin ich mittlerweile wieder in Köln angekommen: Diese Woche zu einem Forensik Training.

Diese Woche bin ich mit cirosec auf einem Training, das sich mit dem Hacking von Web-Anwendungen beschäftigt. Gerade hier in Köln gewinnt der Begriff der DOM-Manipulation immer mehr an Bedeutung

Nachdem ich Köln bisher nur aus dem Hauptbahnhof kannte und sich unser Hotel direkt in der Innenstadt befindet, nutzte ich heute Abend die Gelegenheit, um die Stadt etwas kennenzulernen. Schon jetzt gibt es hier fünf Weihnachtsmärkte – der sechste eröffnet nächste Woche. Das Foto hier sollte eigentlich der Kölner Dom bei Nacht sein. Meine Kamera lieferte leider nur ein komplett schwarzes Bild, das aber immerhin noch so viel Informationen in sich trug, dass man die Konturen nach einer Bearbeitung nun erkennen kann.

Morgen Abend gehts wieder zurück nach Heilbronn.

Heute findet weltweit der zweite World Usability Day (WUD) – der “Tag der Benutzerfreundlichkeit” statt – dieses Jahr unter dem Motto “Making life easy!”. Ein wahrer Grund zu feiern!

Am WUD referieren Designer, Ingenieure, Wissenschaftler und Wirtschaftsvertreter über die Benutzerfreundlichkeit von Produkten und präsentieren innovative Konzepte. Wer schon mal unter Zeitdruck versucht hat die roten Fahrkartenautomaten der Deutschen Bahn mit EC-Karte zu bedienen, wird diesem Event erwartungsvoll gegenüberstehen. Fraglich bleibt, ob es wirklich Impulse an die Industrie geben wird.
Der 36-stündige World Usability Day 2005 startete zum Frühstück in Neuseeland und endete auf der DUX 2005 Konferenz an der Westküste der USA. Dazwischen lagen über 115 Veranstaltungen in 35 Staaten.

Bei Interesse gibt es weitere Informationen hier.

Wie auch in den vergangenen Jahren, hatte ich dieser Tage wieder den Auftrag das Titelbild des in Kürze erscheinenden Winterprogramms des Skiclub-Ichenhausen zu gestalten. In gewohnter Weise mit viel “blauem Himmel”, wie von der Vorstandschaft gewünscht

Die neue Saison kann beginnen!

Der Skiclub feiert dieses Jahr sein 25jähriges bestehen – herzlichen Glückwunsch dazu!