Mitte Jahr 2008 hat Martin Suess von Compass Security AG eine Cross-Site Scripting Schwachstelle in SAP NetWeaver / WebDynPro gefunden. Ein manipulierter URL führt zu der Ausführung von JavaScript im Browser. Cross Site Scripting ist die meistverbreitete Web Schwachstelle im Netz. Damit kann man fremde Inhalte darstellen, bösartige Scripte hinterlegen oder Session Hijacking durchführen. Warum haben wir so lange gewartet mit dem Publizieren des Advisory? Die Antwort liegt auf der Hand, wir informieren erst dann, wenn ein Patch oder Gegenmassnahme möglich ist.

Gruss Ivan

Entgegen dem allgemeinen Abwärtstrend in der Wirtschaft stehen die Zeichen bei Compass weiter auf Aufschwung! Daher gehen wir die nächsten Schritte im Rahmen unserer Expansionsstrategie und expandieren nach Deutschland! Mit Marco Di Filippo haben wir einen erfahrenen Manager rekrutieren können, der in Deutschland bereits als Geschäftsführer für eine Compass ähnliche Firma unterwegs war. Er bringt die idealen Fähigkeiten und Marktkenntnisse mit, um professionelle Security Assessments mit Schweizer Qualität auch in Deutschland anbieten zu können.

Marco Di Filippo hat am 1. Dezember 2008 in der Schweiz seine Stelle angetreten und ist noch bis Ende Februar in Rapperswil, um das Service Portfolio, Stärken und Schwächen als auch Vorgehen, Tools und Verfahren kennen zu lernen. Ab März 2009 wird er von Bamberg (Nürnberg) aus arbeiten.

Grüsse aus Rapperswil

News zum Thema: Compass Webseite

Ivan

Wenn man sich mit Malware und Botnets beschäftigt, dann stösst man über kurz oder lang auf die Keywords "Fast Flux" und "Fast Double Flux". Was ist damit gemeint? Ein paar Worte zur Erklärung...

Grundsätzlich arbeiten moderne Botnets mit Zombie Hosts. Das sind virenverseuchte Computer von tausenden Leuten, die wahrscheinlich gar nicht wissen dass der eigene Computer verseucht ist. Während einer Cyber Attacke auf MySpace, Facebook oder Storm Botnet Attacke verbindet sich ein Opfer auf den Zombie Host, der den Verkehr zum "Mothership" weiterleitet. Aus Sicht des Forensiker stehen die IP Adressen des Zombie Host im Log. Diese sind somit exponiert und der erste Anhaltspunkt in der Analyse. Das wissen natürlich auch die Cyber Criminals! Deshalb verbindet sich ein Opfer während des Angriffs ständig auf andere Zombie Hosts. Dies erreicht man über ständig wechselnde A-Records zum selben Hostname. Technisch gesehen werden vom DNS Nameserver für einen Hostname eine grosse Anzahl von verschiedenen IP Adressen mit einer sehr kleinen TTL (time to live) zurückgegeben. Nach rund 30 Sekunden gibt die gleiche Abfrage auf den DNS eine ganz andere Liste von IP Adressen (A-Records) zurück. Somit hat der Hostname eine ständig ändernde IP Adresse.

Damit sind die Zombie Hosts die "Bauern" im Schachspiel und haben eine geringe Wertigkeit, welche die Cyber Criminals gerne aufgeben wenn es dafür Geld, Passworte, Kreditkarten oder ähnliches zu gewinnen gibt.

Der DNS Server bleibt bei Fast Flux ständig konstant. Wenn auch noch der Authorative Nameserver ständig wechselt, und das geschieht über das gleiche Prinzip, spricht man von Fast Double Flux. Um dies zu realisieren muss die verantwortliche Registration Authority der Domain das schnelle Authorative Nameserver Re-Configuration unterstützen, was immer weniger möglich ist.

Auf der Seite http://dnsbl.abuse.ch/fastfluxtracker.php ist ein Online Tracker von FastFlux wo man aktuelle Zombie Hosts und deren Domains erkennen kann. Dies ist ein wichtiges Instrument bei der Analyse von Malware!

Warum das alles? Morgen treffe ich mich mit den Verantwortlichen von abuse.ch für einen Gedankenaustausch. Ich freue mich!

 

Eine Malware hat üblicherweise 2-3 Phasen

a) Ein Dropper Programm entpackt die Malware und startet diese
b) Das Dropper Programm löscht sich selbst
c) Die Malware aus a) wird ausgeführt oder wird in einen anderen Prozess "injected"

All das läuft in Milisekunden ab, sprich schwer zu untersuchen. Es gibt nun ein neues Tool für die Analyse von Malware, das den Löschversuch das Memory, des Prozesses oder sonstige Löschversuche unterbindet. Damit stehen dem SecAnalyst alle Binaries zur Verfügung welche der Trojaner verwendet, inklusive Dropper Programm.

Flypaper arbeitet als Device Treiber und sollte nur in Kombination einer Malware Analyse VMWare installiert werden (wo man Revert to Snapshot) installiert hat. Das Tool arbeitet mit OllyDbg oder HBGary's Responder Product zusammen.

http://www.hbgary.com/download_flypaper.html

Es gibt viele Dienste im Netz, welche Whois, DNS und ähnliches anbieten. Ich bin heute eher zufällig auf www.robtex.com gestossen. Es scheint so, wie wenn die Daten im Cache bei robtex gespeichert sind. Aber das Ding ist sehr schnell!!!

Es hat mich verblüfft, welche Daten in welcher Geschwindigkeit bei Robtext rauskommen. Auf alle Fälle ein Versuch wert wenn ich das nächste Mal etwas über Netze von Targets rausfinden will.

Link: www.robtex.com

Ivan

Heute Mittwoch 14. Januar bin ich von Frau Karin Frei von SR DRS1 für die Aufzeichnung meiner Meinung  zum Thema Social Networks eingeladen worden. Am 29. Januar 2009 zwischen 16 bis 18 Uhr soll dann die Ausstrahlung sein. Unser Gespräch dauerte 37 Minuten, alles wurde aufgezeichnet mit dem Hinweis, das wichtigste würde dann zusammengeschnitten zur Reportage. Ich bin ja mal gespannt wie man meinen Input in den Kontext bringt.



Das Gespräch begann mit Fragen zum Bewusstsein der User zu Facebook, MySpace oder Xing. Danach wurden die Unterschiede zwischen Business- und Private Social Networks erörtert und den Nutzen für die Teilnehmer, aber auch Werber, Marketing Fachleute dargestellt. Natürlich kam auch die Frage, ob diese neuen Medien von HR Abteilungen genutzt werden und ob Compass bei potenziellen Arbeitnehmern Nachforschungen durchführt. Beides habe ich bejaht. Für mich gibt es auch eine demographische Unterteilung, denn pro Land und Branche etablieren sich eigene Socal Networks. Gemäss Wiki hat der amerikanische Geheimdienst Facebook massgeblich finanziell unterstützt und der Wiki Autor sieht darin einen Verlust der Vertraulichkeit. Ich teilte diese Meinung, denn ich denke in USA sind die Fragen zur Privatsphäre anders als in Europa. Es ist ja nicht neu, dass Geheimdienste pseudo Internet Platformen erstellen oder erstellen lassen und die Daten für deren Nutzen auswerten. Wir werden immer mehr zu gläsernen Menschen und hinterlassen überall Spuren im Netz, die sich nur schwer oder überhaupt nicht mehr entfernen lassen. Der Nutzen der User ist aus meiner Sicht gegeben, den Kontakt und die Kommunikation zwischen Menschen. Der Nutzen für die Betreiber ist durch hochqualitative Daten, die man für Mailings etc. auswerten kann ebenfalls gegeben. Aber auch das gezielte Einblenden von Werbung, analog Amazon ist für die Betreiber interessant. So ging die Stunde herum wie im Flug, hab ein paar mal gestottert aber das soll dann rausgefiltert werden.



Bis bald
Ivan

Die SANS, NSA, OWASP, Microsoft und weitere Spezialisten haben eine Liste der 25 meisten Fehler in Software erstellt mit Hinweisen für deren Behebung und Verhinderung. Die Liste ist aus meiner Sicht sehr interessant.

Grüsse
Ivan

http://www.sans.org/top25errors/

Im Rahmen der Vorbereitung für einen Vortrag, den ich im Frühling 2009 bei Swiss IT Leadership Forum in Nizza halten werde, habe ich mich intensiv mit dem Schwarzmarkt bei den Hackern, der Veräusserung von gestohlenen Kreditkarten etc. auseinandergesetzt. Oftmals wird bei der Bezahlung von "Waren" auf LibertyReserve oder WMZ (WebMoney) als Geld Transfer Platform gesetzt. Damit sind Zahlungen mit Internet Währungen möglich, die man anschliessend in der Realwirtschaft umsetzen kann. Aber so einfach wie in manchen Fernsehsendungen ist es nicht, denn Verkäufer und Käufer bewerten sich auf einer Art "Web of Trust". Gerne halte ich die Leser dieses Blogs auf dem Laufenden...

Gutes Neues Jahr 2009.

Ivan