Marco Schurtenberger, ehemaliger Compass Mitarbeiter war im Sommer 2008 für 3 Monate in Shanghai und hat dort einen Sprachaufenthalt gemacht. Lesen Sie unseren Bericht zu seinen Erfahrungen - Surfen im Internet. Die Info's sind aus erster Hand.

http://www.csnc.ch/ [NEWS]
http://www.csnc.ch/misc/files/publications/ChineseWall_V1.2.pdf


Freundliche Grüsse
Ivan Buetler

Manchmal während einem Pentest fragt man sich, welche Web-Domains auf der gleichen IP betrieben werden. Dies ist dann weiter interessant um via DNS Info Gathering an weitere Hosts zu gelangen. Das folgende Tool unterstützt das Suchen von Domains auf der gleichen IP.

Happy Testing
http://onsamehost.com/

Ivan

Letzte Woche wurde ich auf die Solaris sadmind Remote Vulnerability aufmerksam gemacht. Eine Vulnerability ohne Exploit ist halb so schlimm....doch nun ist der Exploit erschienen. Solaris Administratoren: Bitte patchen!

http://packetstormsecurity.org/0810-exploits/sadmind-root.c

Ivan

Gestern Donnerstag 23. Oktober hat Microsoft ein Emergency Update via WindowsUpdate bereitgestellt, weil es bereits Anzeichen von einem Wurm gibt, der die Schwachstelle ausnützt. Bei meinem Test Vista ist das Update ebenfalls reingepoppt.



Update ist empfohlen

Ivan

Sie haben Zugang zu einem Windows System. Was nun? Was sind die nächsten Schritte? Welche Kommandos sollte man absetzen um mehr über das System zu erfahren? Auf dem folgenden Link gibt es eine gute Anleitung über mögliche Befehle. Nützt auch bei der normalen Sysadmin Tätigkeit unter Windows!

http://synjunkie.blogspot.com/2008/03/basic-dos-foo.html

Gruss Ivan

Es gibt sehr gute Online Malware Analyse Tools. Wenn man diese austestet, dann hat man hauptsächlich EXE oder EXE-ähnliche Dateien (Samples) via Browser hochgeladen und den Report abgewartet. Wenn man jedoch "nur" ein Tcpdump (Sniffing File) im PCAP Format hat, dann musste man manuell das EXE extrahieren und zusammenbasteln. Gemäss CWSandbox kann nun aber dieser Malware Analyse Dienst auch PCAP Files verarbeiten. Siehe das Blog von TAO.

http://taosecurity.blogspot.com/2008/10/cwsandbox-offers-pcaps.html


Ivan

An der diesjährigen Blackhat 2008 in Las Vegas war das Wort "Splunk" in aller Munde. Dabei handelt es sich um eine OpenSource Log Management Lösung, die geniale Graphiken der Events erstellt. Jan Monsch war auch an der Entwicklerkonferenz von Splunk und hat mich darüber in Kenntnis gesetzt. Splunk war ein echter Hype an der BH. However - hab Splunk wieder ein bisschen vergessen in der Zwischenzeit, doch heute morgen bin ich auf folgendes Blog gestossen wo jemand versucht, Windows Events via Splunk auszuwerten. Ich denke mir, dass dieser Blog sehr interessant für Sie sein kann, wenn Sie sich mit Syslog, SyslogNT und Monitoring beschäftigen.

Blog zur Usage von Splunk mit Windows Events.

Ivan

Was muss man beachten, wenn man ein "richtiger" Hacker ist? Es gibt ein RFC das beschreibt, auf was man alles achten muss. Zudem habe ich mir überlegt, inwieweit Compass den RFC erfüllt. Das zweite Dokument enthält COMPASS: Zeilen wo ich eine Bemerkung mache zum einzelnen Punkt.

Original Hacker RFC
Compass Hacker RFC


Gruss Ivan

An der diesjährigen BlackHat 2008 in Las Vegas gab es ein Seminar zum Thema Oracle Hacking. Nun ist das PDF der Schulung öffentlich gemacht worden und ich denke, es deckt viele Test Cases von Compass ab und hat auch eine gute Struktur und Übersicht. Das PDF empfehle ich zum Lesen. Themen sind:

• mod_plsql und XML DB HTTP
• Invoker versus Definer Rights
• SQL Injection Intro mit Bezug zur Programmier Sprache
• PL/SQL Hacking
• DB Privilege Escalation

Link: Packetstorm PDF

Ein für mich neues, cooles PDF ist auf Packetstorm erschienen das zeigt, wie man unter Oracle mit dem Recht "CREATE ANY DIRECTORY" einfach SYSDBA werden kann. Eine klassische Privilege Escalation Schwachstelle.

"That is how to escalate from CREATE ANY DIRECTORY to SYSDBA and has been found to be reliable. This process relies on the fact that the Oracle DB allows DIRECTORY access to the password file location and allows UTL_FILE to overwrite the password file"

Remedy:
In addition to general DB hardening the analyst should REVOKE PUBLIC EXECUTE on
UTL_FILE, and REVOKE CREATE ANY DIRECTORY from all but SYSDBA.
Only SYSDBAs should be creating directories.

Link zum PDF: http://packetstormsecurity.org/papers/database/create_any_directory_to_sysdba.pdf

Sicherlich haben Sie auch vom Projekt von zwei EPFL Cracks gehört, welche durch Funk Sniffing die Tastaturanschläge von einer PS/2 Tastatur aufzeichnen. Nette Videos, by the way. Auf alle Fälle finde ich das beachtlich und erinnert mich an die Demo vom Compass Event 2007, wo die Crypto auch einen ähnlichen Sniffer, allerdings für das VGA Signal vorgestellt hat.

Ich habe mit den beiden Autoren Kontakt aufgenommen und dabei auch über Wargames etc. gesprochen. Möglicherweise ergibt sich daraus ein Hack&Learn an der EPFL in Lausanne. Wäre doch cool?

Grüsse
Ivan

Video EPFL Keystroke Sniffing

Unter folgendem Link hat sich jemand viel Arbeit mit der klaren Darstellung von DNS Spoofing und den an der BlackHat 2008 vorgestellten Problemen von Dan Kaminsky gemacht. Meiner Meinung eine gelungene Zusammenfassung.

Ivan

The co-founder of IT security company Kaspersky Labs said Linux and Mac users will be "easy targets" for hackers and malware writers over the next few years. "Modern operating systems are flawed by design," Kaspersky said, "including OpenBSD". "Mac and Linux are not as secure as [users] think; criminals pay no attention to them at the moment, but they will be vulnerable -- easy targets. "The problem is that customers design the operating systems (either within open source communities or via market demand) and they choose flexibility over security."

Bemerkung Ivan: Dann müssen wir uns nicht mehr fragen, ob es auf einem Linux/Unix auch ein Anti-Viren Tool braucht....

Ivan

Ein Oracle Security Analyst hat heute auf Packetstorm ein sehr gutes Paper über aktives Ausnützen von Sicherheitslücken in der Oracle DB publiziert. Das Paper ist ein MUST READ für Oracle Security Verantwortliche!!!!

http://packetstormsecurity.org/papers/database/oracle-assault.pdf

INSERT INTO ADMINS(DATE_CREATED, USER_NAME, PASSWORD) VALUES('24-AUG-08',  'SYSOP2', 'p07hf6523aseix'|| HR.GET_DBA_F)--')

Gruss Ivan

Daniel Stirnimann hat am letzten Compass Event 2008 über Teredo und IPv6 gesprochen. Das Thema ist heiss; dachte ich mir, als ich heute die Heise Nachricht las über fehlerhafte Implementierungen von IPv6, das eine Man-in-the-Middle Attacke erlaubt (allerdings muss der Angreifer im selben LAN sein).




Link von Heise
http://www.heise.de/newsticker/Fehlerhafte-IPv6-Implementierungen-ermoeglichen-Man-in-the-Middle-Angriffe--/meldung/117030


Ivan

Auf der Seite von ISC2 gibt es eine kostenlose Tauschbörse für IT Security Awareness Programme. Es hat ein paar lustige darunter!

Beispiel
http://cyberexchange.isc2.org/search.aspx?page=1&q=&ResPerPage=50

Gruss Ivan

Heute Abend ist mir ein Artikel aufgefallen wo behauptet wird, dass der chinesische VoIP Client von Skype Aufzeichnungen der Gespräche macht, wenn gewisse Schlüsselwörter gesagt werden.

"A Chinese messaging and voice-over-IP client that uses the Skype protocol logs chat conversations based on certain keywords and other criteria"

Core Messages

• Although some have mooted that Skype is equipped with a backdoor for intelligence, and that TOM-Skype in particular contained a Trojan Horse for the Chinese government, the company publicly denied these suspicions
• These text messages, along with millions of records containing personal information, are stored on insecure publicly-accessible web servers together with the encryption key required to decrypt the data. 
• The captured messages contain specific keywords relating to sensitive political topics such as Taiwan independence, the Falun Gong, and political opposition to the Communist Party of China
  

Das PDF der Untersuchung befindet sich hier:


Wow - aber es war ja zu vermuten.

Heute haben wir bei Compass den zweiten JavaScript und AJAX Kurs bei Atif von Skybow gehabt. Atif ist ein sehr guter Teacher, der diverse Themen rund um JavaScript in Beispielen den Compass Leuten beigebracht hat.

Eine für uns neue Technik lautet "Hanging Get". Es geht darum, gewisse Instant Messanging Anwendungen mit Web Technologien zu realisieren. Der Server kann mit Hanging GET jederzeit eine Antwort zum Client schicken und nicht nur aufgrund von einem einzelnen Request. Dies macht die Anwendung more responsive, wenn beispielsweise ein User einen Eintrag in sein Chat schreibt.

Die Suche im Internet nach "Hanging Get" verrät noch weitere Tricks und Links. Wie beispielsweise folgender Link, der auf die Unterschiede zwischen Ajax und Hanging Get, auch Comet Prinzip genannt, erläutert.

Das Problem beim Comet (Hanging Get) besteht darin, dass es Timeouts gibt und die Anzahl der Verbindungen seitens Client limitiert ist. Man kann jedoch den Hanging Get mit JavaScript realisieren und bei Timouts im Hintergrund automatisch einen neuen Hanging Get realisieren.

Gute Info für alle Advanced Web Programmierer.

Ivan

The PCI Security Standards Council (PCI SSC), a global, open industry standards body providing management of the Payment Card Industry Data Security Standard (PCI DSS), PIN Entry Device (PED) Security Requirements and the Payment Application Data Security Standard (PA-DSS), announces general availability of version 1.2 of the PCI DSS. 

Version 1.2 is effective immediately and version 1.1 of the standard will sunset on Dec. 31, 2008.  The updated standard and supporting documentation is available on the Council’s Web site.

Compass befindet sich zurzeit in der Akkreditierungsphase; welche jedoch aufgrund der Finanzkrise zurzeit unterbrochen ist.


Ivan

Dan Kaminsky hat eine Stimme, die man sich sehr gut einprägen kann. An der BlackHat 2008 hat er zu den DNS Problemen gesprochen.

Es gibt nun ein Dan Speak Cheat, wo man Dan's Sprüche hören kann. Sehr witzig, finde ich.

http://www.0x000000.com/?i=310

Ivan

A CNN-owned website called iReport.com, which publishes reports written by ordinary citizens, said Friday it will give the U.S. Securities and Exchange Commission information about the author of an item that claimed Apple CEO Steve Jobs had suffered a heart attack.

The early morning report, which Apple Inc. spokesman Steve Dowling said was not true, sent shares plummeting to their lowest point in a year. The stock recovered around the time the post was removed from iReport.com, but ended the day off three per cent at US$97.07 amid a broader market slide.

An SEC spokesman declined to comment. Jobs, who survived pancreatic cancer, has remained quiet on the topic of his health despite appearing extremely thin in recent public appearances.

Original Link:
http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=28529&mode=thread&order=0&thold=0

Quantum cryptography is supposed to be unbreakable. But a flaw in a common type of equipment used makes it possible to intercept messages without detection.

Quantum cryptography has been used by some banks to protect data, and even to hide election results in Switzerland last year. But it has been discovered that shining bright light into the sensitive equipment needed makes it possible to hijack communications without a trace.

"It turns the equipment into a puppet-box that an eavesdropper can control," says Vadim Makarov from the Norwegian University of Science and Technology in Trondheim, who uncovered the vulnerability.

Bruce Schneier hat am 29. Oktober geschrieben
=====================================

Basically, the Swiss company ID Quantique convinced the Swiss government to use quantum cryptography to protect vote transmissions during their October 21 election. It was a great publicity stunt, and the news articles were filled with hyperbole: how the "unbreakable" encryption will ensure the integrity of the election, how this will protect the election against hacking, and so on.

Complete idiocy. There are many serious security threats to voting systems, especially paperless touch-screen voting systems, but they're not centered around the transmission of votes from the voting site to the central tabulating office. The software in the voting machines themselves is a much bigger threat, one that quantum cryptography doesn't solve in the least.

Links:

IEEE:
http://www.spectrum.ieee.org/oct07/5634

NEWS:
http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=28538&mode=thread&order=0&thold=0

Schneider:
http://www.schneier.com/blog/archives/2007/10/switzerland_pro.html

Niederländische e-Pässe (Pass mit integrierter Smartcard) können offenbar sehr einfach gefälscht werden. Der Autor brennt mit GPG einen Fake-Pass auf eine leere Smartcard und authentisierte sich am Flughafen Amsterdam als "Elvis Presley"...

http://freeworld.thc.org/thc-epassport/

In his luggage, they found a MacBook Pro, a Dell XPS M1210 laptop, an Asus 900 mini-laptop, three or four hard drives, numerous USB storage devices, some Bluetooth dongles, three iPhones, and four Nokia cell phones (with different SIM cards for different countries).

They also found a lock-picking kit and an HID proximity card spoofer that can be used to snag data stored on physical access cards by swiping it in front of them. The data can then be used to enter locked doors without having to make a forged access card. Mitnick says he used the device in a demonstration about security in his speech in Bogota, but that the customs agents' eyes lit up when they saw it, thinking it was a credit card reader.
...

http://www.cgisecurity.org/2008/10/kevin-mitnick-d.html