Das BSI stellt einige Anleitungen für die Absicherung von SQUID Proxies zur Verfügung. Insbesondere das Dokument "Sicherungsmassnahmen" http://www.bsi.bund.de/literat/studien/squid/squid-phase3.pdf ist sehr nützlich. Dieses Dokument enthält Sicherheitsrichtlinien/Checkliste mit Prüfvorgaben für den SecAnalysten.

Ganze Dokumentation hier:
http://www.bsi.bund.de/literat/studien/squid/

An der Defcon 16 wurde ein Verfahren vorgestellt, mit welchem man das im Internet unter Providern weit verbreitete BGP Protokoll angreifen und eine Man-in-the-Middle Attacke durchführen kann. Das Referat hat zurzeit grosse Aufmerksamkeit in den Medien:

http://feeds.wired.com/~r/wired/politics/security/~3/375709271/revealed-the-in.html

Attacks in the wild are under way against Linux systems with compromised SSH keys, the US Computer Emergency Readiness Team is warning.

The attacks appear to use stolen SSH keys to take hold of a targeted machine and then gain root access by exploiting weaknesses in the kernel. The attacks then install a rootkit known as Phalanx2, which scours the newly infected system for additional SSH keys. There's a viral aspect to this attack. As new SSH keys are stolen, new machines are potentially vulnerable to attack.

Full Story: http://www.theregister.co.uk/2008/08/27/ssh_key_attacks_warning/

Debian Weak Key Tools: http://www.metasploit.com/users/hdm/tools/debian-openssl/

Dies ist bereits schon alter Kaffee, trotzdem ist es mir erst heute aufgefallen, weil ich die letzten 4 Wochen in den USA war an der Blackhat/Defcon.

Es gibt eine neue Search Engine, die durch ehemalige Mitarbeiter von Google ins Leben gerufen wurde. Die neue Seite heist CUIL was vom irischen Wort "Knowledge" abstammt. Man betont CUIL wie "cool".

Seite unter www.cuil.com erreichbar.

Zurzeit ist im Internet das Tool "SurfJack" im Gespräch. Dabei geht es darum, dass man auch ssl geschützte Seiten "übernehmen" kann. Hier ein paar Zeilen, wie es funktioniert.

Zuerst mal die Voraussetzungen:
1) Es gibt die somesecurebank.com, welche das E-Banking ausschliesslich über SSL anbietet und Cookies für die Session benützt.
2) Cookie von somesecurebank.com hat das Secure Flag nicht gesetzt.
2) Ein Opfer besucht gleichzeitig die somesecurebank.com Seite und eine HTTP Seite (z.B. google)

Angriff mit SurfJack:
The following is a scenario of how the attack can take place:
• Victim logs into the secure web service at https://somesecurebank.com/.
• The secure site issues a session cookie as the client logs in.
• While logged in, the victim opens a new browser window and goes to http://www.example.org/
• An attacker sitting on the same network is able to see the clear text traffic to www.example.org.
• The attacker sends back a "301 Moved Permanently" in response to the clear text traffic to www.example.org. The
response contains the header “Location: http://somesecurebank.com/”, which makes it appear that www.example.org is
sending the web browser to somesecurebank.com. Notice that the URL scheme is HTTP not HTTPS.
• The victim's browser starts a new clear text connection to http://somesecurebank.com and sends an HTTP request
containing cookie in the HTTP header in clear text
• The attacker sees this traffic and logs the cookie for later (ab)use.


Was heisst das?
Secure Flag setzen!


Grüsse
Ivan

Nach rund 4 Wochen Funkstille in diesem Blog bin ich nun wieder in der Schweiz. Die letzte Woche besuchte ich mit Martin die BlackHat/Defcon 2008 in Las Vegas Nevada und möchte bei dieser Gelegenheit gerne etwas darüber schreiben.

An der BlackHat gabe es keine wirklich absoluten, rocket science Vorträge und man merkt, dass die Anstrengungen beim Patching, Updating langsam Wirkung zeigen. Bei der DefCon war es dann besser, dort gab es mega gute Vorträge. Vor allem der Vortrag von Paul Craig hat mir gefallen, der auf eindrückliche Weise gezeigt hat, wie man Internet Kiosk Anwendungen hacken kann. Das Ziel ist hierbei aus der geschützten Anwendung auszubrechen um beispielsweise eine CMD Shell zu kriegen.

Für den Angriff gibt es traditionelle Methoden wie Save As Dialoge oder ähnliches, mit welchem Craig bei rund 40% der Kiosk Anwendungen Erfolg hatte. Dann entwickelte er eine Webseite mit dem Namen iKAT (Internet Kiosk Attacking Tool) mit welchem er beinahe zu 100% aus Kiosk Anwendungen ausbrechen kann. Das Tool "eignet" sich auch als Ausbruchstool bei Windows Terminal Server oder Citrix Anwendungen. Dort wo man ein Blacklisting Verfahren einsetzt muss man sich jetzt warm anziehen.