TC Blog

Paradigmenwechsel

Der Spiegel hat einen netten Artikel zum 25. jährigen Jubiläum des Bildschirmtexts, kurz BTX veröffentlicht.

Darin ist eine interessante Episode aus den Frühzeiten des CCC beschrieben, die den Paradigmenwechsel der Sichtweise auf Angriffe gegen IT-Systeme verdeutlicht. 1984 schrieben die CCC-Gründer Wau Holland und Steffen Wernéry ein kostenpfichtiges Spiel, welches für die Gebühr von 9.90 DM abgerufen werden konnte. Über einen relativ simplen Angriff gelang es ihnen, die 12-stellige BTX-Zugangsnummer der Hambuger Sparkasse abzurufen und riefen mit dieser Nummer das Spiel so oft auf, dass am Ende 134.000 Mark zusammenkamen.
Der Vorstand der Hamburger Sparkasse kommentierte: “Alle Hochachtung vor der Tüchtigkeit dieser Leute.”

Und heute? Dank §202c steht man bei einem solchen Proof-of-Concept nicht nur mir einem, sondern mit beiden Beinen im Gefängnis. Ich mutmaße, dass der heutige Vorstand einer Bank XYZ mit folgenden Worten zu zitieren wäre: “Der Angriff zeigt, dass wir mehr Schutz des BTX Internets brauchen und dafür sorgen, dass diese Straftäter so schnell nicht wieder an einem Computer sitzen werden.”

Just my 2 cents..

/gt

Systems 2008 - Spiel, Spaß, Spannung

Für den diesjährigen Messeauftritt (Eindrücke der Messe werden wir im Oktober dann auch bloggen) haben wir uns ein Schmankerl zum Abend hin geleistet. So ab halb sechs wird eine Nintendo Wii ausgepackt und gemeinsam mit allen, die gerne spielen möchten eine Runde Tennis, Bowling, Mario Kart oder ähnliches gespielt.
Es ist zwar noch ein wenig hin, aber wir haben das Gerät schonmal bestellt Heute ist die Wii angekommen und einer unserer Geschäftsführer, unser Stift und meine Wenigkeit haben uns die ersten Kämpfe um den Titel des besten Wii-Daddlers der Firma geliefert.

Die Wii ist das

RL und GT beim Wii spielen

/gt

Was ist eigentlich Vishing?

Auf der Voipsec Mailingliste hat ein holländischer Student von der Diskussion mit seinem Mentor berichtet, was eigentlich Visihing genau ist.
Insbesondere ging es um die Frage, ob nur beim Einsatz von interactive-voice-response (IVR) Systemen vishing der richtige Begriff wäre, oder z. B. auch beim Aufbau eines gefakten Call-Centers in Indien (die Idee ist irgendwie lustig ).

Ich habe versucht das ganze wie folgt zu definieren:
Vishing kommt von Voice Phishing. Phishing ist aus password fishing zusammengebastelt. Also ist Vishing der Versuch Passwörter, bzw. sensitive Daten über ein Telefonie-System “abzufischen”. Welche Technik dabei zum Einsatz kommt (klassische Telefonie, VoIP jeglicher Couleur, IVR-Systeme, Botnetze die die Anrufe absetzen oder gar indische Call-Center) spielt dabei eine untergeordnete Rolle.

Um den Unterschied zwischen klassischer Telefonie und VoIP klarzustellen könnte man z. B. von VoIPhishing sprechen (was mir außerordentlich gut gefällt) und um den Unterschied zwischen dem Einsatz von IVR-Systemen und realen Personen bei den Anrufen klarzumachen, könnten Begriffe wie passive-vishing und active-vishing hilfreich sein.

/gt

IT-Security 2008 Rückblick

Ich war vom IT-Verlag eingeladen auf der IT-Security 2008 einen Vortrag im Hack-Track zum Thema VoIP-Sicherheit zu halten (der Vortrag kam dem Feedback nach trotz eines defekten Phones in der Demo ganz gut an und war auch gut besucht).

Ich war in erster Linie im Hack-Track zugegen, um den Kollegen ein wenig zuzusehen.
Interessant waren insbesondere die Vorträge zu Oracle-Sicherheit von Red-Database-Security, die ja bereits in der Vergangenheit durch Advisories für Oracle aufgefallen sind.
Sehr gut aufbereitet war auch der Vortrag von Bruce Sams zu Sicherem Software Development Lifecycle. Insbesondere die Flußdiagramme in Power-Point haben den Referenten und das Auditorium erfreut Vielleicht in “Hack-Attack” nicht ganz richtig zugeordnet, aber wie gesagt inhaltlich und von der Präsentation her prima.
Ebenfalls spannend waren Angriffe auf SAP-Systeme von Wikima4. Leider waren recht wenig SAP-spezifische Angriffe, sondern einige auf veraltete Windows-Installationen zu sehen, aber für uns, die wir nicht tief in der SAP Welt stecken auf jeden Fall ein interessanter Blickwinkel auf die Thematik.

Insgesamt wie gesagt interessant, sowohl bzgl. der Inhalte und auch der Kontakte. Sowohl zwischen uns “Dienstleistern”, als auch wie ich mitbekommen habe zwischen den Teilnehmern.

/gt

Path Evasion, Flash Decompiling oder Voting für Fortgeschrittene

Hier haben wir bereits von einem Download-Script auf einer Webseite berichtet, das gegenüber Directory Traversal anfällig war.

Der Freund des Freundes eines Freundes (oder so in der Art) nahm mit seiner Band an einem Contest eines großen Brause-Herstellers teil und bat in einem Forum darum, dass man doch bitte für ihn voten sollte. Das haben auch viele getan. Da die Bitte in einem techniklastigen Forum erging, haben einige einen Flash-Decompiler angeworfen und folgendes entdeckt:
Der Vote ging auf eine URL in Form von /vote/a?34567754345677654356765456765456123123. Der String war nicht in irgendeinerweise einfach so fälschbar, um die Abstimmung zu beeinflussen (rein akademisch betrachtet). Das Decompiling ergab, dass der Aufwand für den String sehr hoch war. Die Basis-Infos (ID der Band, Timestamp, etc) werden mittels AES einem Passwort verschlüsselt, dann noch noch Electronic Code Book Mode und ein PKCS#5-Padding.
Aufgrund dessen konnte ein Proof-of-Concept Script von dem Freund eines Freundes entwickelt werden, um diese sehr komplexe Absicherung in insgesamt ~1 Stunde zu umgehen.

Ein andere fand ein Script, dass den Download von MP3s ermöglicht hat (woher kenne ich das nur?..) und, tadaaaa, auch hier war ein Directory Traversal möglich. Letztlich fand der Freund eines Freundes auch eine include-Datei mit folgendem Inhalt

 $DBNAME = "einedb";
 $DBUSER = "einuser";
 $DBHOST = "xx.xx.xx.xx";
 $DBPASS = "komplexespw";

Der Freund eines Freundes hat sich auf die Datenbank verbunden (MySQL, Port 3306/TCP) und hätte so alle Daten, inkl. den Votes, verändern oder löschen können. Ein Bild der Datenbank verdeutlicht dies (klicken = groß).

Tabellenansicht

Ein spannendes Fallbeispiel, bei dem vieles richtig gemacht wurde und zuviel falsch:

• Richtig: URLs für Votings sollten nicht vorhersehbar sein (es geht aber sicherlich auch einfacher)
• Falsch: Schlechte bzw. keine Benutzer-Validierung in PHP-Scripten
• Falsch: Sensitive Informationen in Flash-Dateien

/gt