Workbench

In Dirks Linkdump habe ich heute einen ausgesprochen interessanten Artikel gefunden.

Ich erschieße keine Kanzler. Fuer viele vermutlich zu lang zum lesen, aber es lohnt sich!

Tag der deutschen Einheit - wissen Sie noch, wie die zustande kam? Damals haben sich Millionen nicht um Ausgangssperren, Polizeikontrollen, Mauern und Zäune geschert. Sie haben eine Regierung gestürzt, die sich in Wandlitz vom Volk abkapselte. Dass Sie genau diesen Tag mit Sperrzäunen, Polizeikontrollen, Scharfschützen und einer vom Volk abgesonderten Regierung begehen werden, zeigt einen Humor, den ich Ihnen offen gesagt nicht zugetraut hätte.

Wer mich kennt weiss, dass ich im Grunde weder was von Antiviren-Software noch von Personal Firewalls halte. Ich hatte in all den Jahren noch kein Virus auf einem meiner Rechner oder sonst einen Vorfall, den ein Virenscanner verhindert haette. Und Personal Firewalls sind, im Hinblick auf Sicherheitsgewinn, auch oft mehr ein Aergernis als eine solide Hilfe.

Aber nur weil ich Privat etwas ablehne heisst das ja nicht, dass ich das auch beruflich ignorieren kann/darf. So ist auf meinen Windows-Rechnern auf der Arbeit natuerlich ein Virenscanner sowie eine Personal Firewall installiert. Und auch wenn ich der PF jegliche Schutzfunktion abspreche ist es doch interessant zu sehen, wie die Zeit sich geaendert hat. Heute gibt es beinahe keine Software mehr, die im Rahmen einer Installation, nicht auch gleich eine Verbindung ins Internet aufnehmen moechte. Und im Laufe der Benutzung ist es dann auch mal interessant zu sehen, welche Anwendung immer wieder versucht eine Verbindung auf irgendwelche Server herzustellen. Und das betrifft oft nicht nur Funktionalitaeten zur Pruefung von Updates.

Schoen ist, dass ich bisher keine Software dabei hatte, die zu funktionieren aufgehoert hat, nachdem ich ihr alle Rechte zur Kommunikation genommen habe. Ausser natuerlich Anwendungen, die explizit auf Netztransfer angewiesen sind (ssh, etc.).

In den letzten Tagen/Wochen liest man viel ueber die beliebte App WhatsApp und deren Defizite im Bereich der Sicherheit. Immer wieder wird die Frage gestellt, warum der Hersteller denn da nichts tut, bzw. die bekannten Luecken fixt?

Tja, da sollte man die Gegenfrage stellen "Warum sollten sie die Luecken fixen?". Nicht falsch verstehen! Ich sehe die Probleme mit WhatsApp und wenn ich da Chef waere, dann wuerden die Fehler auch behoben. Und zwar flott. Aber ich bin da nicht der Chef. Und welchen Anreiz sollte der Hersteller haben die Luecke zu fixen?

Im Moment scheint von WhatsApp Inc in diese Richtung aktuell wirklich garnichts getan zu werden und was passiert? Nichts. Es meckern ein paar Leute, die sich auskennen und der Rest der Anwender nutzt die App weiter als waere nichts passiert.

Und wenn man sich mal die Bewertungen im Playstore anschaut, dann ist doch alles klar.

Ich persoenlich darf aktuell nicht gross meckern, da ich die App nicht bezahle. Aber wenn der Hersteller weiter so mit Problemen umgeht, wovon auszugehen ist, dann werde ich die App auch nicht weiter verwenden. Denn dafuer auch noch Geld zu zahlen bin ich nicht bereit.

Dropbox war fuer mich eine der Moeglichkeiten Dateien ueber Rechner- und raeumliche Grenzen hinweg verfuegbar zu haben. Dabei ging es weniger um sensitive Dateien. Einfach Dateien, die ich gerne ueberall verfuegbar haben moechte. Also sowas wie Wallpapers, Scripte und anderen Kram.

Nun hat man in den letzten Wochen ja einiges eher schlechtes ueber Dropbox, bzw. deren Sicherheit und der Sicherheit der Daten, gelesen. Nun war es vor einigen Tagen dann "endlich" soweit. Es war moeglich sich ohne gueltiges Kennwort an jedem Dropbox-Account anzumelden. Damit konnte man dann natuerlich auch alle Daten einsehen.

Ich habe schon laenger kritisch ueber Dropbox nachgedacht. Cloud und so... Aber jetzt werde ich meinen Account loeschen und dann mal schauen wie ich meine Daten synchronisiert bekomme. Das Hindernis hierbei ist, dass ich die Daten sowohl unter Windows, wie auf einem Linux-Client, als auch auf einem Linux-Server benoetige. Und da gibt es wohl nicht so viele Tools.

Also Sony... Den geht es im Moment ja wirklich nicht gut. Nach dem grossen Hack vor etwa einen Monat, wo Sony einiges an Daten verloren hat, kommt es seither immer wieder zu Vorfaellen. Natuerlich ist Sony nach dem ersten Vorfall fuer viele erst mal zum beliebten Ziel geworden. Aber dass es Hackern nun doch so oft gelingt Sony schlecht aussehen zu lassen wundert mich, erst einmal, schon.

Den Verwantwortlichen muss doch klar sein, dass man als so grosses Unternehmen interessant fuer Angriffe ist. Da wuerde ich, in meiner Naivitaet, davon ausgehen, dass man dort einiges oder sogar alles tut um beispielsweise Datendiebstahl zu verhindern. Aber dem scheint ja nicht so. Ich wuesste gerne mal wie es bei denen im Bereich IT-Sicherheit ausschaut.

...geht heute an F5.
Wenn ich auch nach einem Neustart der Appliance beim Versuch auf die Application Security-Policy zuzugreifen folgendes lesen muss,

Policy Locked
«NAME-class_default» policy is currently in read-only mode. It is in use by user «KOLLEGE»

obwohl der Kollege, *natuerlich*, abgemeldet ist (Neustart halt), kommt's mir hoch.

Update: Und ich erhalte einen Preis fuer schlechtes Englisch. Dirk hat natuerlich Recht wenn er sagt, dass es "lose" und nicht "loose" heisst.

Wo ich gerade Marks Beitrag in seinem Blog lese. Er hatte vor einigen Tagen ein Paper veroeffentlicht, in dem er einige Informationen ueber das Android beschreibt. Fuer Neugierige ist das ganz interessant. Ach, mein Name taucht da auch auf.

Die Tage konnte man ja viel ueber Guido Westerwelle lesen. In dem Zusammenhang war mir dann auch seine Werbetour eingefallen, die vor einigen Jahren fuer Aufsehen gesorgt hatte. Und da wurde eine URL immer wieder genannt, die ich mir mal angeschaut habe. Content laesst sich da keiner mehr finden. Aber was man findet ist das da.

Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny9 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g Server at ... Port 80

Also... Current ist das nicht gerade.

Manchmal hat man einfach nicht die Zeit um alles zu tun, woran man Spass hat. Aktuelles Beispiel ist bei mir OllyDbg. Hierbei handelt es sich um einen sogenannten Debugger. Damit hat man die Moeglichkeit Anwendungen zu diagnostizieren. Im Detail laueft das zum Beispiel so, dass man seine Zielanwendung startet und anschliessend OllyDbg an den Prozess "anhaengt". Anschliessend hat man viele Moeglichkeiten um verschiedene Ziele zu erreichen. Mein Ziel war z.B. aus einer internen Anwendung, die zur Zeit entwickelt wird, eigentlich sensitive Informationen auszulesen. Das ist mir auch gelungen. Aber die Verwendung macht so viel Spass, dass ich da gerne wieder mehr Zeit mit verbringen wuerde. Aber das wird in den naechsten Tagen sicher nichts

Oft hat man die Moeglichkeit ueber angebotenen Support zu schimpfen. Die Tage habe ich aber mal einen wirklich guten Support erleben duerfen. Im Zusammenhang mit einem IronPort-System musste ich zweimal den Support kontaktieren und habe beide male schnell und vor allem ausfuehrlich Antwort erhalten. Das hat mich gefreut. Wobei mir jemand sagte, dass IronPort ja nun von Cisco aufgekauft sei und damit abzusehen sei, dass der Support jetzt im Laufe der Zeit eher schlechter werden wird.

Meine ich das nur, oder macht sich das BSI aktuell etwas, sagen wir mal, laecherlich? Ich finde es ja korrekt vor moeglichen Risiken zu warnen. Aber warum scheinen die Warnungen des BSI nach keinem nachvollziehbaren Schema abzulaufen? Es gibt regelmaessig Probleme in Softwareprodukten, bei denen eine Warnung an Anwender durchaus sinnvoll waere. Da hoert man dann aber nichts vom BSI. Jetzt koennte man meinen der Aktionismus des BSI waere halb so wild. Wenn's interessiert, der kuemmert sich. Alle anderen machen weiter wie bisher. Aber so einfach ist es leider nicht. Denn es lesen nicht nur Privatnutzer diese Meldungen. Nein, auch $ENTSCHEIDER bekommen hiervon mit und sind natuerlich sofort sensibilisert. So hatte ich die Tage ein Gespraech mit einem $ENTSCHEIDER, der Aufgrund der BSI-Meldung taetig geworden war. Auf meine Frage, ob er denn z.B. auch den Acrobat Reader im Focus hat, da dort ja auch einige Probleme gefixt wurden, erhielt ich eine recht ernuechternde Antwort. Nein, hier wuerde nichts getan, da es da ja auch keine Warnung des BSI gaebe. Prima, oder?

Was passiert eigentlich bei der naechsten grossen Luecke in Windows XP/VISTA/7? Empfiehlt das BSI dann den Wechsel auf OpenBSD/Linux/OpenSolaris?

Ich liebe, ich nenne es jetzt mal so, Hacking. Die letzten Tage wurde ich gebeten mir noch einmal eine Webanwendung anzuschauen, in der bereits von mir und im Rahmen eines Tests Probleme identifiziert wurden. Ein Problem war unter anderem, dass uebertragene Werte von der Backendanwendung nicht validiert wurden. Kleines Beispiel.

Gehen wir davon aus, dass die genannte Anwendung fuer Autoverkauefer ist, in denen er Fahrzeugtyp, Sonderausstattungsmerkmale und ggf. Rabatte auswaehlen kann. Die Rabattstufen wurden vorgegeben (5%, 10%, 15%) und konnten vom Verkaeufer im Rahmen der Vertragserstellung ausgewaehlt werden (type="checkbox"). Hat der Verkaeufer nun einen Rabatt von 10% ausgewaehlt wurden der Anwendung unter anderem zwei Werte uebergeben. Zum einen der Wert "Rabattauswahl1" mit "J" (fuer Ja, also ausgewaehlt) und "Rabatt1" mit dem Wert "10". Wie oben angedeutet war das Problem nun, dass im Backend die Rueckgabewerte nicht validiert wurden. So war es moeglich den Wert fuer "Rabatt10" zu manipulieren. Ich Detail laeuft das wie folgt ab.
Rabatt in der Anwendung auswaehlen (wir nehmen mal 10%) und dann im Browser die Seite abschicken. Nun faengt man die Seite ab, sie geht also noch nicht Richtung Server, manipuliert seine Werte (machen wir aus der 10 in Rabatt10 einfach mal 70) und uebergibt die Seite dann erst an den Server. Und schon hat man nicht 10% sondern 70% Rabatt, da die Anwendung eben nicht prueft ob der Rueckgabewert korrekt ist.

Fuer das Aendern der Daten nutze ich Tamper Data. Das Plugin haengt sich in den Browser und bietet die Moeglichkeit den abgeschickten Datenstrom abzufangen und zu optimieren.

Gut, das genannten Problem wurde behoben, so dass es mir nicht moeglich war einen ordentlichen Rabatt zu gewaehren. Da ich aber nicht kampflos aufgeben wollte habe ich etwas anderes versucht. In dem von mir getesteten Fall konnte ich aus 5 Rabatten auswaehlen. Was passiert nun, dachte ich bei mir, wenn ich zu den Feldern Rabattauswahl1 bis Rabattauswahl5 noch ein Feld Rabattauswahl6 mit den dazugehorigen Feldern anlege? Ja, was soll ich sagen? Die Anwendung hat zwar alle urspruenglich an den Browser gelieferten Werte auf Korrektheit validiert, hat aber meinen neuen Wert ungeprueft uebernommen, so dass ich mir doch 70% Rabatt gewaehren konnte. Das Resultat war, dass ich eine Menge Spass hatte, wohingegen der betroffene Fachbereich natuerlich wieder maessig erfreut war.

Ich mag ja Defaultwerte. Eben wieder Zugriff auf ein wichtiges Device erhalten, indem ich die Anmeldung als "root mit dem Kennwort "root" hinter mich gebracht habe. Ich denke da sollte man den Hersteller fragen ob das Kennwort geaendert werden darf.

Man lernt ja nie aus. Ein Pentester von Cirosec hat mich heute Morgen auf ein wirklich interessantes Stueck Software aufmerksam gemacht. Kon-Boot. Hier handelt es sich, laut Entwickler, um "an prototype piece of software", mit dessen Hilfe man in der Lage ist sich als privilegierter Benutzer (Administrator/root) an einem Windows/Linux anzumelden. Ich hab mir das eben auch mal angeschaut und bin slightly amazed

Was mir noch im Zusammenhang mit dem Beitrag Exploiting Linux eingefallen war. Es gibt tatsaechlich Leute in der IT, die meinen, dass es keine Sicherheitsluecken bzw. Sicherheitsprobleme gaebe, gaebe es keine "boesen Hacker". seufz