Die wohl bekannteste Live CD im Bereich IT Security ist wahrscheinlich BackTrack von Max Moser. Es gibt aber noch andere interessante Live CD's. Hier ein Überblick:

Backtrack LiveCD

• Penetration/Hacking Based

Owasp LiveCD

• Application Pentest Based

Helix LiveCD

• File System & Memory Forensics Based
  

HeX LiveCD

• Network Security Monitoring & Network Based Forensics Based

Die HeX LiveCD wurde in Dubai vorgestellt und stellt ein mächtiges Werkzeuge bei der Analyse von Netzwerk Dumps dar.

Am 24./25. Juni 2008 führt Compass Security zum zweiten Mal den Web 2.0 / AJAX Security Kurs in Rapperswil SG durch! Für diesen Zweck wurde das E-Lab des Glocken-Shop um AJAX Cases erweitert. Eine Ausschreibung des Kurses finden Sie in der folgenden PDF Dokumentation. Die Anmeldung erfolgt über die Webseite von Compass.

Diese Woche hat Microsoft ein PDF veröffentlicht, das in einer übersichtlichen Tabelle darstellt, welche Feature Unterschiede es zwischen Win XP SP3 und Vista SP1 gibt. Das PDF ist interessant für Personen, welche auf einen Blick auch Security Unterschiede erkennen wollen.

Das PDF kann man von Microsoft laden

Lokale Kopie: Windows_Feature_Comparison.pdf

Compass Security hat kürzlich eine Liste von nützlichen Firefox Plugins erstellt, die wir bei unser täglichen Arbeit einsetzen. Die Plugins werden vor allem im Bereich Web App Security Testing verwendet.

PDF Plugin Doku by Compass Security AG

Heute morgen um 07:00 Uhr ist Ivan Buetler in einem Live Interview von SR DRS 4 zum Thema Internet Bedrohungen der Bundesverwaltung befragt worden. Das vollständige Interview liegt in diesem Blog als MP3 Datei (3 MB) bereit.

Kürzlich ist auf Informationweek ein Artikel publiziert worden der besagt, dass Spammer das Captcha System von Yahoo Mail geknackt hätten. Ein Captcha ist ein verschleiertes Bild, das man bei einem Login oder ähnlich angeben muss und von dem man ausgeht, dass es durch Menschen einfach gelesen werden kann. Viele Registrierungs Anwendungen setzen auf Captcha Technologie.

Sumeet Prasad von SecurityLabs macht in seinem Blog eine Analyse von Anti-Captcha Spamming Techniken, das ich sehr lesenswert fand.

Heute war ich bei der HSR in Rapperswil und habe unter der Leitung von Peter Heinzmann eine tägige Schulung in Informatik Sicherheit 2 geleitet. Während den Labors haben die Studenten über OpenVPN auf das E-Labor von Compass zugegriffen. Nach anfänglichen Schwierigkeiten hat es dann sehr gut geklappt - die Performance und Verfügbarkeit war sehr gut. Es haben bis zu 15 Studenten gleichzeitig via OpenVPN das E-Lab benutzt.

Den Studenten stand für das E-Lab folgendes PDF mit den Aufgabenstellungen zur Verfügung. Ziel von Compass ist es, das E-Labor für IT Security Interessierte von Aussen zur Verfügung zu stellen. Für den Zugriff braucht es OpenVPN und ein Soft Client Certificate von Compass.

Auch dieses Jahr durfte ich an der HSLU (Hochschule Luzern) im Rahmen des Master Studiengangs MAS IS 12 (Master of Advanced Studies in Information Security) das Thema Web Application Security vorstellen. Das erste Mal habe ich vollständig auf das Mitbringen der Demo Infrastruktur mit dem Glocken-Shop verzichtet und auf das neue E-Lab von Compass Security vertraut. Der Test ist geglückt! Ich hatte keine einzige Panne während den Live Hacking Demonstrationen. Für den Zugang zum Compass Labor benötigt man OpenVPN und ein gültiges Soft Client Certificate. Anschliessend steht das gesamte Labor von Compass von "remote" zur Verfügung.

Während den Lektionen habe ich folgende Labor Cases gezeigt:

• Username Enumeration Attack
• Authorization Bypass Attack
• Cross Site Scripting
• XSS Shell
• Second Order Injection
• Cross Site Request Forgery
• SQL Injection Login & UNION
• URL Redirection Attack
• Reverse Proxy Man-in-the-Middle
• AJAX Analyse mit Firebug
• AJAX DWR Migration Security Impact

Ich denke grundsätzlich haben die Studenten positiv auf den Unterricht reagiert. Manch einem war es vielleicht etwas zu technisch oder zu wenig relevant für die eigene Arbeit. Mir hat es Spass gemacht, da ich mit guten Fragen konfrontiert wurde und selbst von den Teilnehmern profitieren konnte. Vielen Dank!

Ich wünsche den Teilnehmern des MAS IS 12 eine gute Prüfung!

Gemäss SecurityFocus und ISC Storm Center sind im Moment (Stand 15. Mai 2008) vermehrt SSH Brute Force Attacken aktiv. Die University of California in Berkeley hat über 200 Internet Hosts identifiziert, welche seit dem 31. Mai "scannen". Der Angriff implementiert eine Dictionary Attacke mit known Username und Passworte. SSH Konfiguration mit Pulic/Private Key Authentication only sind nicht betroffen. Bei verwundbaren SSH Servern wird ein IRC Dienst durch den Angreifer installiert.

Das Thema "SSH Brute-Force Attacks" wurde kürzlich in einem sehr guten PDF-Artikel vorgestellt mit der Conclusion, dass es viele default SSH Server gibt, welche durchaus interessant für Hacker sind.

Empfehlung Compass:
Alle gegenüber dem Internet aktiven Services müssen besonders behutsam konfiguriert, überwacht und gepatched werden. Die Installation mit Default Einstellungen ohne Nachdenken ist nicht empfohlen.

Braucht die U.S. Military ein Botnet? China wird gemäss China_Military_Report_08.pdf zurzeit als die grösste Cyber Bedrohung für USA betrachtet.

"A colonel in the U.S. Air Force argued in a recent opinion piece that the United States needs to build its own collection of computers able to digitally "carpet bomb" enemies with a denial-of-service attack."

Full Story auf SecurityFocus.
Mehr Infos auf Wired

Compass Security hat seit ca. 4 Wochen eine eigene IPv6 Machine in der DMZ. Wir haben herausgefunden, dass mit Teredo oder 6to4 Hosts "hinter" NAT Devices scannbar sind, zumindest wenn gewisse Rahmenbedingungen erfüllt sind.

IPv6 ist im Vormarsch. Gemäss Blog von Google kann man Google Search auch über einen IPV6 Host benützen.

Link zu Google Blog

Das CERT hat eine sehr gute Anleitung für die sichere Konfiguration von Browsern (IE, Firefox, Safari) herausgegeben. Diese helfen zu verstehen, welche Einstellungen man machen muss, um bestmöglich geschützt zu sein.

Link zum CERT

Jeder der seit dem 18. Februar 2008 den Firefox 2 mit dem vietnamesischen Language Pack installiert hat, hat mehr installiert als er sich wünscht. Die Verbreitung von Viren und Trojanern über oft genutzte Download Server ist aus Hacker-Sicht extrem effektiv. Lesen Sie mehr über dieses Missgeschick bei Mozilla.

Link zu Mozilla

Link zu Wired News

Am 6. Mai 2008 ist erneut die Request Smuggling Schwachstelle beim Apache Webserver diagnostiziert worden. Betroffen sind vor allem Apache Server, die als Reverse Proxy oder Entry Server fungieren. Durch das Request Smuggling versucht der Angreifer eine zweite HTTP Nachricht in einen einzigen HTTP Request zu verpacken.

Beispiel eines Request Smuggling Requests:
1 POST http://SITE/foobar.html HTTP/1.1
2 Host: SITE
3 Connection: Keep-Alive
4 Content-Type: application/x-www-form-urlencoded
5 Content-Length: 0
6 Content-Length: 44
7 [CRLF]
8 GET /poison.html HTTP/1.1
9 Host: SITE
10 Bla: [space after the "Bla:", but no CRLF]
11 GET http://SITE/page_to_poison.html HTTP/1.1
12 Host: SITE
13 Connection: Keep-Alive
14 [CRLF]

Eine sehr gute Beschreibung von Request Smuggling findet man bei OWASP.

Gemäss Bugtraq Advisory sind folgende Apache NICHT betroffen.

Apache Software Foundation Apache 2.1.6
Apache Software Foundation Apache 2.0.55
Apache Software Foundation Apache 1.3.34

Ich habe kürzlich das Bedürfnis gehabt, zwei Instanzen von Firefox gleichzeitig bei meinem Windows PC zu haben. Zum einen wollte ich mit Firefox 2 (ff2) auf Seiten zugreifen und gleichzeitig sehen, wie diese mit Firefox 3 (ff3) aussieht, ohne davor die ff2 Instanz schliessen zu müssen.

Der Trick besteht darin, dass man über Firefox Profile Manager zwei unterschiedliche Profile anlegt und mit dem Argument "-no-remote" mehrere Profile laden kann.

Details zum Theman findet man über das folgende PDF.

Als regelmässiger Leser von IT Security News bin ich in englischen Berichten schon mehrfach über den Begriff "Rickrolling" gestossen. An der letzten ToorCon Seattle Konferenz hat Dan Kaminsky ca. 300 mal die Leute einem "Rickrolling" unterzogen. Gestern ist mir der Begriff "Rickrolling" wieder begegnet, als die XSS Schwachstelle via Morsezeichen bekannt wurde. Was ist Rickrolling?

In der einfachsten Form ist Rickrolling eine Verschleierung eines URL derart, dass wenn man auf die URL klickt oder diese anwählt auf ein Musikstück von Rick Astley mit dem Namen "Never Gonna Give You Up" gelangt. Wenn immer Security Leute zeigen wollen, wie man gewisse Internet Resourcen verschleiert, wird man auf dieses Musikstück gelenkt. In den USA seien schätzungsweise 18. Mio Personen bereits gerickrolled worden 8-).

Seien Sie also auf der Hut, wenn Sie am nächsten Compass Event gerickrolled werden.

Seit ich das Buch "Applied Cryptography" von Bruce Schneier gelesen habe weiss ich, dass in der Kryptographie ein System auch dann sicher sein muss, wenn die Internas bekanntwerden. So sollte beispielsweise ein Verschlüsselungsalgorithmus auch dann sicher sein, wenn seine Spezifikation öffentlich werden. Falls die Sicherheit darauf basiert, dass niemand die Internas kennt, sprechen wir von "Security by Obscurity".

Heute hat mich eine belustigende Nachricht erreicht die beschreibt, wie man in den UK mit einem iPhone kostenlos AT&T WLAN Hotspots benutzen kann. Ein Geek hat nach dem Bekanntwerden von Gratis WLAN für iPhone versucht, mit dem PC und dem Fake-UserAgent des iPhone zu verbinden. Natürlich mit Erfolg! Lesen Sie die Details auf http://www.macrumors.com/2008/04/30/free-atandt-wi-fi-access-for-iphones/

Ein Vorteil von Web 2.0 / AJAX ist die verbesserte Performance in Web Anwendungen. Als Beispiel sei hier Google Maps genannt, weil die grossen Kartendaten nicht einmalig, sondern abhängig vom Benutzer ständig nachgeladen werden. Dadurch wird die Applikation "flüssig" und schnell. Bei ungünstiger Programmierung kann AJAX auch zum Flaschenhals werden. Wie findet man die Performance Probleme?

Compass Security würde das Firefox Plugin "Firebug" verwenden, um eine erste Analyse vorzunehmen. Basierend auf Firebug steht seit Kurzem ein auf Performance Analysen verfeinertes Plugin YSlow zur Verfügung, das sich sehr gut für das Suchen des Flaschenhals eignet. Lesen Sie den weiterführenden Artikel zum Thema "Performance Analysis in Web 2.0 Applications".