Am Swiss Cyber Storm II gibt es ein Wargame mit dem Namen "FastCrack". Hierbei geht es darum auf einem Windows 7 System eine Datei auszulesen. Aus unserer Sicht stellt sich die Frage, wie wir gleichbleibende Wargame Verhältnisse sicherstellen können und haben dazu die Windows 7 Restore Point Funktionalität benützt. Es handelt sich hierbei um eine Art "Snapshot" Technologie wie man dies unter VMWare kennt, wo ein gewisser Stand eingefroren werden kann. Das beiliegende PDF beschreibt das Anlegen von sogenannten "Restore Points" und wie man darauf zurückkommt. Das PDF eignet sich für Windows Interessierte mit technischem Fokus (keine rocket science Information, aber gut zu wissen)

Grüsse
E1

Für Swiss Cyber Storm II haben wir einen Service programmiert, der eine Buffer Overflow Schwachstelle aufweist. Während dem Wargame sollen die Teilnehmer den Service exploiten und Zugang auf das Windows System erlangen.

Wir haben eine Anleitung gemacht wie man ein normales *EXE* als Windows Service einrichtet. Diese Info ist sicherlich auch für andere Techies von Interesse.

PDF: Howto_Create_Windows_Service.pdf

Gruss
E1

Seit der Bekanntmachung von Microsoft für sachdienliche Hinweise der Urheberschaft des Conficker Virus beobachte ich die Conficker Geschichte etwas genauer. Das SRI hat eine ausgezeichnete Analyse erstellt, die ich jedem Techi wärmstens empfehle zu lesen. Es wird auch klar, dass der Virus professionell erstellt wurde und eine globale Wirkung hat. Cyber Crime ist real und nicht nur ein Schreckensgespenst nach Flash Gordon. Die Massen von ungepatchten Microsoft Systemen mit dem Conficker Virus können gemeinsam eine unheimliche Bandbreite entwickeln mit der man jedes Unternehmen respektive deren Internet Leitungen lahmlegen kann.

E1

Das "Microsoft Security Engineering Center" MSEC kündigt ein Analysetool für das Analysieren von abgestürtzten (Crash) Programmen an. Das Tool "!exploitable" arbeitet als Plugin für WinDBG und hilft dem Benutzer einen Programmabsturz besser zu verstehen und zu analysieren. Oftmals stürzen Programme zuerst ab und erst später kann ein Hacker einen funktionierenden Exploit programmieren, der die potenziell vorhandene Sicherheitslücke ausnützt. Mit dem Tool kann man selbständig nach dem Grund des Programmabsturz suchen. Zudem gibt es eine Power Point Präsentation, welche das Tool kurz erläutert.

Grüsse
E1

A list of more than 8,000 user names and passwords for customers of Comcast, one of the United States of America's largest Internet service providers, sat unprotected on the Web for the last two months. Kevin Andreyo, an educational technology specialist in Reading, Pa., and a professor at Wilkes University, came across the list Monday on Scribd, a document-sharing Web site. Mr. Andreyo was reading a recent article in PC World entitled “People Search Engines: They Know Your Dark Secrets - And Tell Anyone", when he was inspired to find out what information about him was online. He searched for his own e-mail address on the search engine Pipl. The list on Scribd was one of four results, and it also included his password, which was a riff on his love for a local sports team. Statistics on Scribd indicated that the list, which was uploaded by someone with the user name vuthanhan2004, had been viewed over 345 times and had been downloaded 27 times.

Wargoogling Reloaded

An der CeBIT haben wir vorgeführt, wieviele Leute ihren PGP Private Key im Internet rumliegen haben. Solche Stories wird es leider in Zukunft immer mehr geben.


Gruss
E1

Aus Sicherheitsgründen "darf" eine aktive Komponenten wie Flash oder Java Applet ausdrücklich nur neue Verbindungen (Socket Verbindungen) zum Host aufbauen, woher es geladen wurde. So kann beispielsweise ein Flash von der Compass Webseite lediglich eine neue Verbindung auf die Compass Webseite initiieren. Die Einhaltung dieser Sicherheitsmassnahme nennt man auch "Same Origin Policy". Das US Cert hat eine Sicherheitslücke in Transparenten Proxies, wie diese oft in Hotels etc. eingesetzt entdeckt, welches diesen Schutz umgeht. Das Problem hierbei ist, dass der transparente Proxy anstatt der realen Destination IP den Host-Header aus dem HTTP Request beachtet. Als User kann man sich mit dem Firefox Plugin NoScript schützen. Bei SSL ist der Angriff ebenfalls nicht möglich.

Siehe auch US-CERT Artikel

und die Notiz beim SANS Internet Storm Center

Grüsse
Ivan

Das Portal PCTipp macht in der Ausgabe vom 10.3.2009 auf das Swiss Cyber Storm II aufmerksam. Dies hat zu einer frappanten Zunahme der registrierten Teilnehmer geführt. Im Moment (Stand 12 März) sind 136 Personen für Swiss Cyber Storm angemeldet.

Ich freue mich sehr auf den Event! An der CeBIT gab es auch sehr viel Feedback zum Swiss Cyber Storm. Wenn möglich organisieren wir für Samstag Abend eine Party!


Swiss Cyber Storm II


Warum können Hacker in Computersysteme eindringen? Wie funktioniert sicheres E-Banking? Was ist ein Botnet? Warum ist die Firewall nicht das Allheilmittel im Kampf gegen Computer-Kriminalität? Wie sicher sind Social Networks wie Facebook oder Xing?

Neben anschaulichen Vorträgen erhalten die Teilnehmer die Möglichkeit, selbst in die Rolle des Hackers zu schlüpfen und bei 25 Wargames ihr Know-how auf die Probe zu stellen. Unter praxisnahen Bedingungen können Experten und Computer¬cracks die Herausforderung „Hack & Learn“ annehmen und im Battle um die ersten Plätze kämpfen. Die Spiele aus Be¬reichen bzw. Plattformen wie Windows, Unix, Netzwerk, Mal¬ware, Web-Anwen¬dungen und Ver¬schlüsselung ba¬sieren auf der Hacking-Lab-Infrastruktur (http://www.hacking-lab.com) von Com¬pass. Getreu dem Motto „Angriff ist die beste Verteidigung“ lernen die Teilnehmer die Methoden der Cyberkriminellen kennen und sie mit ihren eigenen Waffen zu schlagen.

Besuchen Sie die Swiss Cyber Storm II und erlernen auch Sie die Angriffsstrategien der Hacker oder folgen Sie unverbindlich als Zuschauer dem Spiel der Protagonis¬ten. Außerdem stehen Ihnen die Compass-Experten auf der Veranstaltung gerne für ein Interview zur Verfügung.

www.hacking-lab.com

Grüsse
E1