Zu etwas habe ich dann aber doch im letzten Urlaub die Zeit gefunden: Einen Artikel fuer das Linux Magazin zu beginnen. Leider hat mein Studium dabei die Fertigstellung bis in den Januar hinausgezoegert.

Wir geben schon zuviele private Daten jeden Tag im Internet preis. Wie man als Arbeitgeber die Mitarbeiter und die eigene Firma dagegen schützen kann, oder eine andere grosse Gruppe an Personen, indem man eine Proxykaskade mit Squid und Privoxy einrichtet, steht in meinem Artikel Blind Date.

Ausserdem habe ich die Chance bekommen den meiner Ansicht nach kompetentesten VPN-Anbieter auf dem deutschen Markt im Online-Auftritt des Linux Magazins vorzustellen. Wer meinen Blog verfolgt, weiss schon, welchen ich meine: Perfect Privacy.

Gut, dass OpenSSH auch einen sicheren Weg zu unserem Ziel anbietet. Den ssh-agent. Der Agent verwaltet mit einem Passwort geschützte Identitäten, fragt aber nur beim laden dieser auch nach dem Passwort des Schlüssels. Einmal eingegeben, lässt sich der Schlüssel für einen einstellbaren Zeitraum frei verwenden.

Fügt man ein paar Zeilen zur .bashrc hinzu, lassen sich auch alle zukünftig geöffneten Terminals mit dem einmal gestarteten ssh-agent verbinden. Eine Entlastung für den aktiven Linux-Anwender. ssh-agent stellt ein Unix-Socket bereit, über das der SSH-Client sich mit der laufenden Instanz verbinden kann. Die Idee hinter den folgenden Zeilen ist, nur genau einmal ein solches Socket zu öffnen und in allen anderen Fällen das bereits vorhanden zu nutzen. Zur Installation genügt es, diese in der Datei .bashrc zu speichern.

# Setup Environment for ssh-agent
alias sshopen='rm -f "$HOME"/.ssh/`hostname`.agent ; ssh-agent -t 7200 | grep -v echo > "$HOME"/.ssh/`hostname`.agent;  source "$HOME"/.ssh/`hostname`.agent ; ssh-add'
alias sshclose='pkill -u $USER ssh-agent && echo "SSH-Agents killed."; rm -f "$HOME"/.ssh/`hostname`.agent'

if [ -e "$HOME"/.ssh/`hostname`.agent ]; then
source "$HOME"/.ssh/`hostname`.agent ;
fi

Um dieses Verhalten zu erreichen, werden die beiden neuen Befehle sshopen und sshclose definiert.
Sie bewirken genau das, was ihr Name verspricht. sshopen startet einen neuen Agenten, sshclose beendet alle Agenten. Eine kurze Abfrage bindet die Information über den Ort des Unix-Sockets in die Shellumgebung ein. Deutlich zu sehen ist auch, dass die Session des ssh-agent nach 7200 Sekunden (2 Stunden) automatisch endet. Danach muss für einen erneuten passwortfreien Zugriff der Befehl sshopen aufgerufen werden.

9:59 Uhr:Der Raum ist nicht annähernd zu 100% gefüllt, der Beamer läuft und ist vorbereitet und die Bestelllisten für die mittägliche Pizza sind schon recht voll. Kein Zeichen dafür, dass es schnell losgehen wird. Dieses Jahr ist das Motto „Das sind nicht die Hacker die ihr sucht“. Jetzt folgt ein Jahresrückblick auf die IT-Security 2011. Die Happy Ninjas haben die Exploit-DB und Backtrack webseiten gecrackt und die Schwachstelle über die dies möglich war, selbst in der Exploit-DB gepostet. Jetzt kommt natürlich auch etwas unumgängliches über SONY, geohot und was Anonymous damit zutun hat. Auch einen kurzen Überblick gibt es, über den HBGary Hack und was das mit Wikileaks zutun hat. Das meiste ist jedem bekannt, der sich für Sicherheit interessiert, interessant ist es trotzdem.

LulSec wird als Modeerscheinung vorgestellt und auch die Fusion mit AntiSec wird als totaler Quatsch dargestellt. Jetzt geht es um Cyberwar und Spionage und den großen dicken Knopf für Barack Obama. Internet: An/Aus. Ägypten hatte genau so einen ja. Das wars auch schon mit dem Jahresrückblick. Jetzt kommt KMDave wieder, es geht um die Vorstellung des Vortragsplans.

Endlich wird erklärt, was die Social Night ist. Es ist also ein Vortrag mit anschließender Diskussion und, wie unerwartet, Bier. Kaffee, Wasser und Club Mate gibt’s kostenlos. Geil. Videoaufnahmen gibt es auch, nicht so toll. Das passte jetzt sehr gut, nachdem sich alle über kostenloses Club Mate freuen. Glücklicherweise werden nur die Vortragenden später in den Videos auftauchen. Gesponsort wird der Backtrack Day von Fink-Security (Club Mate!), Integralis und EDAG. Integralis sucht junge Pentester, klingt interessant.

 10:42 Uhr Jetzt spricht Christian Ammann zu Runtime Packern unter Windows. Es geht hier darum, wie man ein Programm um ein weiteres ergänzen kann, dass quasi huckepack mitgeliefert wird. Sein Programm soll bei einem Runtime Packer im Arbeitsspeicher entpackt werden, damit die Erkennung durch Antiviren-Software erschwert wird.

Im Rückblick auf die 16-Bit Welt erklärt Christian die A-, B- und C-Busse und Segment-Register. Jetzt wird das Programmformat COM eingeführt und wie es konkret im Arbeitsspeicher aussieht (hier anhand eines Hello World Programms in Assembler). Weiter geht es mit dem EXE Programmformat für MS-DOS und wie es ausgeführt wird.

Darauf geht es um 32 Bit Programme. Hier gibt es keinen direkten Zugriff mehr auf die Interrupts, stattdessen gibt es jetzt DDLs. Register werden auch nicht mehr verwendet, sondern Parameter auf den Stack geschrieben. Noch ein Programmformat, dieses mal das neuere Portable Executable (PE) Format. Der PE-Header wird ausführlich vorgestellt und wozu der MS-DOS Stub im PE-Format gut ist, sowie ausführliche Informationen zum Optional Header (und warum der nicht optional ist), sowie dem Section Header.

Endlich geht es um Runtime Packer, jetzt wissen wir auf jedenfall alle notwendigen Grundlagen (und ein paar die ich garnicht so genau wissen wollte, aber man weiss ja nie wozu die mal gut sind). Die output.exe enthält unsere böse target.exe (komprimiert und verschlüsselt) und entpackt, entschlüsselt und startet diese dann. Verschlüsselung hat Christian mit XOR implementiert, output.exe muss target.exe selbst bruteforcen, was fünf Sekunden dauern soll. Nette Idee, die als Nebeneffekte Virenscanner ausbremst. Gefällt mir. Jetzt kommt die Demo, Christian ist schon eine Minute über seiner Zeit, aber das muss man gesehen haben.

Okay, Frage aus dem Publikum, das alles reicht nicht um target.exe vor heuristischen Virenscanner zu verstecken. Man soll target.exe als ASCII tarnen, ist Christians Tip. Jetzt endlich die Demo, wir sind gespannt. Test.exe wird in Notepad.exe gepackt und gestartet. Test.exe tut nichts, scheinbar, man sieht keinen Unterschied, bis auf die Ladezeit von notepad.exe. Trotzdem ein guter Beitrag.

11:38 Uhr Wlan-Router Horror Stories von WIBI, 5m7X und Gnoxter, der Vortrag, auf den ich mich seit Wochen freue. Es geht um die WLAN-Router die im SOHO-Bereich eingesetzt werden, also kleine Endkunden Router. Hoffentlich sagt er gleich was konkretes, meine Finger werden langsam feucht (nicht!) und meine Pupillen weiten sich (nicht!).

Okay, also grundsätzlich: WLAN-Keys niemals auf MAC Adresse basierend erzeugen, das ist nix neues. Jetzt wird kurz der Worst-Case von WLAN-Sicherheit vorgestellt. WLAN-Hacking ist angeblich in Holland legal. Jetzt werden lustige Sicherheitstips der NSA vorgestellt. Einer davon ist, eine statische MAC-Adressen Whiteliste zu führen.

Weiter geht’s mit Marktanteilen von ISPs in Deutschland. Telekom hat um die 54%, ich hätte weniger vermutet. Und 27,6% der WLAN AccessPoints sind von AVM, das ist gut zu wissen. Jetzt geht’s um einen AP von 1&1. Der WPA-Schlüssel besteht aus den letzten sechs Ziffern der MAC-Adresse des internen Interfaces. An die kommt man mittels 802.11F (Roaming). Fakeauth mit Aircrack und schon broadcastet der AP seine interne MAC.

Weiter geht’s mit der Telekom. Die Stimmung steigt, jetzt geht’s um Speedports W700V und W500V, beide von Arcadyan Devices. Alle Geräte, die die Telekom jemals vertrieben hat sind laut 5m7x anfällig. Die letzten Teile der SSID sind Teile der MAC. Der Default-Key Algorithmus basiert auf der MAC und der Seriennummer. Wir haben nur 1000 Kombinationen auf allen Geräten, die wir mit einer Wörterliste cracken können. Problem ist noch: Wir brauchen einen Client. Bei 100-1000 Keys geht’s in 5 Minuten mit dem Custom-Tool speedpwn.

Jetzt kommt eine Demo mit dem Speedport W700V, die nebenbei laufen soll. Ein Beispiel hat er mitgebracht, dass das in 787 Versuchen und 3:29 Minuten schafft. Jetzt geht’s weiter mit Arcor und Vodafone und der Easybox (ebenso von Arcadyan). Auch hier basiert der Key auf der MAC und der Seriennummer. Die Seriennummer basiert allerdings auf der MAC. Und dieser sehr intelligente Algorithmus ist zum Patent angemeldet. Und wird weiterhin verwendet, trotz Dementi durch Vodafone in einer Golem Meldung vom 20.08.2011. Es wird auch ein neues Paper für den 28C3 mit einem neuen Exploit angekündigt.

Weiter geht’s mit der Telekom Austria und wie man dort auf den öffentlich zugänglichen SSH-Server der Router zugreifen kann. Jetzt geht’s mit Wardriving weiter. Was braucht man um eine Menge Spaß zu haben?

• Lenovo Thinkpad
• 2 Alfa Controller
• 2 Omni-Antennen
• Eine GPS-Maus

Ein Autonetzteil und ein Fahrplan helfen. Ein Fahrer ist auch von Vorteil. Nete zusätzliche Tools sind Giskismet und Kismon (Google Maps live!). Gezeigt wird eine Karte von WPA-AccessPoints in Fulda und wieviele davon anfällig sind. Sieht nach circa 75% aus.

„Was wenn wir böse Blackhats wären?“

Kostenloses Internet, DNS Server ändern, VPN/SSH und Man-in-the-Middle werden genannt. Natürlich auch Spaß mit TR-069 oder böse Firmware. Samsung Router haben sogar eine Babyfon Funktion. Jetzt spricht er noch kurz über die „WLAN-Kanone“ und 24 Db Grid-Antennen. Endlich, es geht ums Reversing mit IDA pro und Firmware (mittels JTAG download). Gepackt ist die Firmware mit ZIP und verschobenem Header. Klingt gut machbar, was er da beschreibt, vielleicht was zutun für über die Feiertage.

12:35 Uhr Ups, zu spät zum Vortrag gekommen. Es geht um Metasploit Updates, glaube ich. Doch, stimmt. Aber die Unterhaltung mit den Teilnehmern ist einfach zu interessant.

Es wird die Post Exploitation Phase erklärt und wie wichtig Metasploit das nimmt. Der Vortrag wird von einem Mitarbeiter der Integralis gehalten. Metasploit ist ein riesen Framework. Jetzt wird über die Geschichte von Metasploit gesprochen, gerade ab Version 3. Auf das neue kostenlose GUI Metasploit Community Edition wird besonders eingegangen. Metasploit 4 unterstützt nur noch PostgreSQL. OpenVAS und mehr sind auch integrierbar. Jetzt kommen mehrere Folien ,die so auch aus dem Vertrieb der Rapid7 (kommerzielle Entwicklung von Metasploit) stammen könnten. Informativ sind sie auf jedenfall. Metasploit ist schlecht dokumentiert, wird uns anhand eines Wüsten Bilds gezeigt.

Michael hat darum ein Buch drüber geschrieben, das hier auch anschaubar ist, darum geht es jetzt. Klingt gut, es soll laut ihm auch über den Tellerrand schauen und ist für Praktiker. Aus dem Buch ist ein viertägiger Workshop entstanden.

13:58 Uhr Pizza, Pizza und wieder Pizza. Überall nur Pizza. Ob das typisch für uns, „die Hacker Community“ ist (Zitat Keynote BackTrack Day 0x7DA)? Interessantes Gespräch mit den Mitarbeitern des neuen CERT von ThyssenKrupp geführt. Einige Leute laufen mit T-Shirts mit Jobangeboten rum. Gute Idee, aber schon sehr direkt, gefällt mir. SofortÜberweisung steht vorne auf diesen T-Shirts und die Jungs machen einen echt sympathischen Eindruck.

13:59 Uhr Es geht weiter, mit Anti-Forensik, vorgetragen durch  TOX1C. Also darum, wie man sich vor dem Forensiker schützt oder seine Anwesenheit verschleiert. Er stellt die Imagetypen bei Forensikern vor. Zum einen RAW (wie von dd erzeugt) und AFF. Nun soll es darum gehen, wie man sich vor nicht-Profis schützt. Oder wie der Referent sagt: „Den Typ in den Wahnsinn treiben“.

Er beginnt mit Data Destruction, also dem sicheren Löschen von Daten durch Überschreibung. Hoffentlich kommt noch etwas zu SSDs in diesem Kontext. Zumindest wird erwähnt, dass Wiping Tools bei RAID-Systemen unzuverlässig sind. Eine Evaluierung von Wiping Tools folgt. Besonders gut haben der Evidence Eliminator und Cyber Scrub abgeschlossen.

File System Attack (FS zerstören) empfiehlt TOX1C nur für eine In-Depth Anti-Forensics Strategie. Durch Carving soll eine Wiederherstellung möglich sein. Data Fabrication definiert er als unbekannte Dateien in großen Zahlen zu erstellen.

Endlich geht es um Verschlüsselung und wie die das Data Destruction Probleme löst. Und ohne fehlenden Encryption Key wird es recht schwer. Wie man dann doch an den Key kommt, will er später erklären. Nachtrach: Folter, Social Engineering oder direkt Live mitschneiden. Eine der Methoden ist in Deutschland illegal, wem fällt sie auf?

Weitere Möglichkeit ist Transmogrification, also die Signatur des Headers einer EXE-Datei zu ändern, zum Beispiel zu einer DOC-Datei. Ein gutes Ablenkungsmanöver soll sein, Malware selbst zu installieren. Alles bis auf Verschlüsselung ist nur zum gewinnen von Zeit sinnvoll. Er empfiehlt, Malware zu installieren. Von Data Hiding wird abgeraten, einzig Steganographie soll funktionieren, das auch Al Qaida benutzt.

Live Response ist, Beweise am lebenden System zu sichern, Stichwort Memory Acquisition. Dabei wird ein neuer Treiber in den Kernel geladen, damit keine API-Calls ausgeführt werden müssen. Es gewinnt immer der bei Memory Acquisition, der entweder mehr Rechte hat, oder seinen Code früher laden kann.

Jetzt gibt’s eine Demo. Memoryze wird mittels eines Metasploit AUX Modules gekillt. Ein Proof-of-Concept Modul für den Windows-Kernel gibt es auch, dann läuft Memoryze garnicht mehr.

15:01 Uhr Interessanter wird’s mit Forensik vor Gericht. Ich höre nur aus der Sicht zu: Wie geht er vor und gibt es Schwachstellen? Der Vortrag wird gehalten von Dr.-Ing Markus a Campo. Gutachten sind laut Referent nur Aussagen. Im Strafrecht geht es um Wahrheitsfindung, im Zivilrecht darum, wer Recht hat. Als Gutachter muss man jede Tätigkeit selbst ausführen. Außerdem darf man nur Fragestellungen im Beweisbeschluss beantworten.

Jetzt kommt etwas zum theoretischen Aufbau von Gerichtsgutachten, der Saal schläft fast ein. Liegt vermutlich am Sauerstoffpegel, der typisch für Informatiker niedrig liegt. Beweise vor Gericht müssen mit doppelten Hashes gesichert werden. Der Referent druckt direkt eine Liste von Hashes aus und übergibt sie den Parteien. Jetzt kommen einige Beispiel Fälle.

Fall 1, hier geht es um private Nutzung von PCs. Er benutzt dd für Festplatten Images. Fall 2, hohe Telefonkosten. Hat es dort einen Hackerangriff gegeben? Auch hier spielt die Timeline eine große Rolle. Fall 3, ein etwas ungewöhnlicher Fall, das selbstständige Beweisverfahren. Verdacht auf unerlaubte Kopie von Inhalten von Mitbewerbern. Fall 4, ein gehackter Webshop. Einige wachen sporadisch wieder auf aus ihrem Schlaf. Der Referent erklärt, wie er 100 Gigabyte an Logfiles analysieren konnte. Er empfiehlt als Forensik-Tool autopsy.

Frage aus dem Publikum: Welche Anforderungen muss man als Gutachter erfüllen? Es gibt scheinbar keine Beschränkungen, aber nur öffentlich gestellte und vereidigte Gutachter können als gerichtliche Gutachter benutzt werden.

16:02 Uhr Carlos fängt mit seinem Vortrag „Mama, woher kommen die Exploits?“ an. Ihm gefällt Assembler und es geht um die Gründe und Ursprünge von Schwachstellen. Er zeigt uns ein cooles Problem von Stackfault. Es geht los mit Fuzzing. „Fuzzing is like violence. If it doenst solve your problems, you are not using enough of it.“ Zwei Probleme gibt es. Das erste ist herauszufinden, ob ein Crash exploitable ist. Das zweite ist, einzelne Crashes zu finden. Auch können Programme weiterlaufen, wenn etwas anderes als memory corruption passiert.

Jetzt kommt eine Demo mit Fuzzing gegen den Freefloat FTP Server. Er benutzt den Fuzzer Sulley, denn „Python ist cool. Einfach so.“ Seinen FTP-Server hat er in 10 Sekunden geknackt. Jetzt geht es mit Reverse Engineering weiter. Sehr kompliziert, aber die ultimative Lösung. Viele Grafiken, leider zuwenig Detailinformationen und Erklärungen. Macht nichts, jetzt geht’s ums Exploit schreiben.

Er empfiehlt uns, Python zu lernen. Carlos erheitert die Anwesenden durch seine aus TV-Serien entlehnten Hintergründe seiner Präsentation. Er weist auf Mona.py vom Corelan Team und Metasploit hin.

Nach Carlos Vortrag sind wir dann gegangen, nachdem wir heute um kurz nach 5 los sind, um pünktlich zu sein. Morgen kommt der Metasploit Workshop, der sicher noch interessanter wird.

Aus Gründen der Zurechenbarkeit teilt man sich dort allerdings eine öffentliche IP-Adresse, was dazu führt, dass keine Ports durch die Adressumsetzung an die RFC1918 VPN interne IP-Adresse weitergeleitet werden. Fast, denn fünf Ports werden auf einigen Servern durchgereicht. Möchte man diese nutzen, heisst es rechnen. Gute eineinhalb DIN A4 Seiten Text beschreiben, wie man sich die Ports mittels dem Remote Port Forward genannten System ausknobeln kann.

Mein erster Gedanke: Das geht auch automatisch!

Das PHP-Skript pptables leistet das automatische berechnen und weiterleiten von Ports, die bei Perfect-Privacy mittels RPF zugewiesen wurden. Das Skript funktioniert unter Linux mit IPTables und nur für OpenVPN.

Download: pptables-entwurf1.tar.gz

Installation

1. Abhängigkeiten installieren

apt-get install php5-cli iptables

2. Archiv nach /etc/pptables entpacken
3. OpenVPN-Konfiguration von Perfect-Privacy um folgenden Eintrag ergänzen

# pptables RPF-Helper
route-up /etc/pptables/openvpn_helper.php

Konfiguration

Das Skript hat vier Konfigurationvariablen.
$debug

• Wert 0 – Minimale Informationen an Syslog senden
• Wert 1 – Wie 0, mit Informationen zu jeder Portweiterleitung (Standard)
• Wert 2 – Wie 1, mit Ausgabe des erzeugten Firewallskripts

$rules

Speicherort des durch das Skript erzeugten Firewallskripts. Der Speicherort muss beschreibbar sein.

$hosts

Speicherort der Portweiterleitungen. Die Datei ist im CSV-Format mit Trennzeichen , zu halten. Beispiel: 192.168.1.254,8080 leitet den ersten Port des Tunnels an den Host 192.168.1.254 Port 8080 UDP und TCP weiter.

$prefix

Speicherort der benutzerdefinierten Regeln, die vor den Portweiterleitungen geladen werden sollen. Hier können die üblichen Verdächtigen (default-deny, MASQUERADE) eingetragen werden.

Ablauf

Das Skript wird nach dem erfolgreichen Herstellen der VPN-Verbindung aufgerufen. Es berechnet die weiter zu leitenden Ports und erstellt ein Firewallskript. Das Firewallskript enthält eine Prämabel die alle Chains löscht. Darauf folgt der benutzerdefinierte Regelteil. Ans Ende werden die erzeugten Regeln angefügt. So ist sichergestellt, dass bei Skriptfehlern der Netzzugang trotz fehlender Portweiterleitungen funktioniert.

Wenn der ausführende Benutzer root ist, wird das erzeugte Firewallskript ausgeführt.

Die Ausgabe erfolgt via Syslog:

Oct 31 14:36:18 firewall pptables[2370]: PerfectPrivacy tun0 int. IP: 10.0.20.38
Oct 31 14:36:18 firewall pptables[2370]: PerfectPrivacy tun0 freie Ports: 40038 41038 42038 43038 44038
Oct 31 14:36:18 firewall pptables[2370]: Port TCP/UDP 10.0.20.38:44038 --> 172.16.1.21:43123
Oct 31 14:36:18 firewall pptables[2370]: Port TCP/UDP 10.0.20.38:43038 --> 172.16.1.23:23235
Oct 31 14:36:18 firewall pptables[2370]: Port TCP/UDP 10.0.20.38:42038 --> 172.16.1.21:22
Oct 31 14:36:19 firewall pptables[2370]: PerfectPrivacy/pptables online!

Die IT ist eine Dienstleistung, zumindest in den meisten Unternehmen macht sie nicht das Kerngeschäft aus. Und Dienstleistungen müssen verwaltet werden.

Hier kommt das IT Service Management (oder IT-Management) ins Spiel. Das Ziel dieses Managements ist es, Prozesse zu entwickeln, damit die Dienste wie erwartet oder vertraglich festgehalten funktionieren. Es geht also nicht darum, wie ein Dienst technisch funktioniert, sondern darum, wie er gemanagt wird. IT-Management hat auch nichts mit Projektmanagement zutun, denn das IT-Management ist ein kontinuierlicher Prozess und kann nicht abgeschlossen sein.

Was wollen wir erreichen?
Mit einem Rahmenwerk für das IT-Management sollen die oben beschriebenen Probleme angegangen werden. Verbessert werden soll also grundsätzlich:

• Effizienz der Dienste
• Qualität des Kundenservices
• Die Systemstabilität
• Kosteneffizienz
• Compliance (rechtliche Rahmenbedingungen einhalten)
• Zurechenbarkeit (Wer macht womit wann was?)
• Interne IT-Vorgänge und Kommunikation

Also generell die Ausrichtung der IT auf die Unternehmensziele. Ziel soll die geplante und kontrollierte Nutzung aller IT-Ressourcen sein.

Was sind denn Dienste?
Die zu verwaltenden Dienste können einzelne technische Anwendungen, wie ein Mailserver sein. Genauso kann aber auch die Gehaltsabrechnung in einem Unternehmen, oder  die Verfügbarkeit des Unternehmensnetzwerkes ein Dienst sein. Ich fasse hier einen Dienst wie folgt auf:

Ein Dienst ist ein System, das aus einer oder mehreren logischen Einheiten besteht und dessen Zweck die Erbringung einer eingrenzbaren Leistung ist.

Damit können sowohl Mailserver, aber auch Webshops im Cluster als Dienst aufgefasst werden. 

Gibt es Standards?

Natürlich gibt es bereits eine Menge an Standards zum IT-Management, zentral hier ist ITIL, die IT Infrastructure Library. ITIL ist ein Standard der britischen Regierung zum Management von Diensten. Alternative Ansätze sind CobIT, die ISO/IEC 20000 (die stark auf ITIL ausgerichtet ist) und das Microsoft Operation Framework. Außerdem gibt es die ISO 9001, eine Sammlung von Richtlinien zum Qualitätsmanagement die seit 1987 existiert. Ein Unternehmen kann sich ISO9001 zertifizieren lassen, aber genau diese Zertifizierung erfordert eine Menge an Papierkram. Im Gegensatz dazu soll ITIL Best-Practise Ansätze liefern. Also weniger Papierkrieg und mehr anwendbare Hilfsmittel.

Um den Ansatz von Pavlovic zu verstehen, muss man sich die Grundsätze der beiden bestehenden Prinzipien vor Augen halten:

Kerckhoffs’ Prinzip: Das System darf keine Geheimhaltung erfordern.
Das führt zum Grundsatz, dass der Angreifer jeden Teil eines kryptographischen Systems kennen darf, jedoch nicht den geheimen Schlüssel. Die Annahme ist, dass ein omnipotenter Angreifer in der Lage ist, den Algorithmus zur Verschlüsselung zu erkennen. Außerdem ist es leichter im Fall eines erfolgreichen Angriffs den Schlüssel zu ändern, als den Algorithmus.

Festungsprinzip: Oder “du kommst hier nicht rein!”
Um die zu schützenden Dinge wird eine Grenze (Burgwall oder Firewall oder Netzwerkeinbruchserkennung) gezogen und verteidigt, außerdem werden die möglichen Aktionen im inneren überwacht (Polizei oder netzinterne Regeln). Der Grundsatz hier ist, dass der Verteidiger alle Angriffsvektoren verteidigen muss, während der Angreifer nur einen Vektor erfolgreich nutzen muss.

Pavlovics Paper versucht hier zu zeigen, dass Sicherheit ein Spiel mit unvollständigen Informationen ist und Informationen über die Algorithmen und Strategien des Gegners einen Vorteil bedeuten. Dieser Vorteil kann genutzt werden um die Gewinnchancen zu erhöhen. Das würde bedeuten, dass Security through Obscurity ein allgemein sehr nützliches Prinzip ist, um die Sicherheit eines Systems zu ergänzen. Soweit zu behaupten, dass Security through Obscurity allein funktioniert, geht Pavlovic verständlicherweise nicht.

Security through Obscurity findet bereits Anwendung in der IT-Sicherheit.

Autoren von Schadsoftware (Viren, Trojaner, Würmer) wissen, dass ihre Software durch Antiviren-Firmen disassembliert wird und schützen die Software mittels Verschlüsselung. Auch unterschiedliches Verhalten, wenn die Software in Einzelschritten durchlaufen wird, ist nicht unüblich.

Das Paper ist sehr interessant geschrieben und gibt einen guten Einblick in die allgemeinen Prinzipien von Sicherheit.

Gerade wenn es um IT-Sicherheit geht, lese ich sehr aufmerksam, was Bruce Schneier dazu zu sagen hat. In einem Blogartikel schreibt er: “Sometimes security through obscurity works“.

Hier sollte nur die Internetverbindung überwacht werden, was mit Smokeping sehr gut möglich ist. Dafür müssen die Pakete einen anderen Router zum Ziel nehmen, als sonst üblich. Wie leitet man also die Pakete eines einzelnen Benutzers auf einem Linux-Server über einen anderen Router um? Ganz einfach:

WLANCLIENT=10.10.10.123
WLANUSER=wlan-monitor
ip route add table 4 default via $WLANCLIENT
ip rule add from all fwmark 4 table 4
iptables -t mangle -A OUTPUT -m owner --uid-owner $WLANUSER -j MARK --set-mark 4

Um die Pakete die im INPUT Chain ankommen müssen wir uns nicht kümmern, da sie vom WLANCLIENT stammen und an den Linux-Server gerichtet sind, finden sie den Weg allein.

Die einfachste Art einen KVM Gast in das eigene Heimnetzwerk zu hängen ist, ihn über eine Netzwerkbrücke einzubinden. So auch hier geschehen. Eine Verbindung sollte per OpenVPN aufgebaut werden, die dieser Gast transparent nutzen kann, um Verbindungen mit dem Internet aufzubauen, wenn nötig.

Die optimale Lösung wäre natürlich, eine weitere Netzwerkbrücke einzurichten, über die das VPN-Interface mit dem Interface des KVM Gasts gebrückt wird. So müsste der Gast nichts vom lokalen Netzwerk wissen. Die Vorraussetzung für eine Netzwerkbrücke ist aber, dass Ethernet-Frames ausgetauscht werden können. Diese Fähigkeit bietet OpenVPN grundsätzlich zwar, aber nicht in der angemieteten Konfiguration. Dort wurde nur geroutet. Was also tun?

Die Lösung bestand darin, den Gast die OpenVPN-Verbindung direkt aufbauen zu lassen.

Das lässt leider dem Gast die Möglichkeit offen, Verbindungen in das lokale Netzwerk zu öffnen, um so zum Beispiel einen Portscan oder anderen Angriff gegen das LAN durchzuführen. Um dieses Problem zu lösen, könnte man iptables Regeln auf dem Host hinzufügen, die den Datenverkehr des Gastes im LAN einschränken. Die dafür notwendigen iptables Regeln könnten so aussehen:

VMHOST=10.0.0.1
VMGAST=10.0.0.2
GW_DNS=10.0.0.254
VPNSER=192.168.10.10
iptables -A FORWARD -s $VMGAST -d $GW_DNS -j ACCEPT
iptables -A FORWARD -s $VMGAST -d $VPNSER -j ACCEPT
iptables -A FORWARD -s $VMGAST -j DROP
iptables -A INPUT -s $VMGAST -j DROP

Die Regeln erlauben es dem Gast nur mit dem Router und dem VPN-Server auszutauschen. Zu beachten ist hier, dass statt die Pakete abzuweisen (REJECT) die Pakete verworfen (DROP) werden, um bei Portscans durch den Gast keine offenen Ports erkennen zu können.

Mit diesen Regeln bleibt aber immer noch die Möglichkeit des Gastes, seine IP-Adresse zu ändern. Um diese Änderung zumindest erkennen zu können, wird die MAC-Adresse des Gasts statisch der IP-Adresse zugeordnet:

arp -i br0 -s 10.0.0.2 -s 00:AB:CD:EF:00:AB

Die Lösung ist leider noch nicht optimal, aber läuft sehr zuverlässig.

Ihr Hacker im Unternehmen (Übungsarbeit, PDF)

Hätte ein Penetrationstest Prozess die Schwachstellen die zur Kompromittierung des Playstation Networks führten frühzeitig entdecken und beseitigen können?

Interesse?
Präsentation “Ihr Hacker im Unternehmen” - Penetrationstests als ITIL basierender Prozess innerhalb des IT-Security Managements (PDF)

Zusammengefasst?
Ein ordentlich organisierter und implementierter Prozess für den Penetrationstest kann der kritischen IT-Infrastruktur eines Unternehmens viel Geld sparen und Ansehensverlust vermeiden helfen. ITIL sieht Penetrationstests nur als extern eingekaufte Lösung vor. Ich möchte einen Vorschlag entwickeln, der auf Basis der BSI-Studie “Durchführungskonzept für Penetrationstests” und den OSSTMM Penetrationstests als Unterprozess in das IT Security Management nach ITIL eingliedert.

Zum einen habe ich bei meinem Arbeitgeber, der Informatik-Rechner-Betriebsgruppe der TU-Dortmund, die Chance bekommen, ein Netzwerksicherheitslabor zu planen und einzurichten. Das beansprucht mich vermutlich auch den Rest des Semesters intensiv. Die Arbeit ist anspruchsvoll, aber unglaublich erfüllend. Der spannende Teil wird aber noch kommen, wenn die Infrastruktur steht und es inhaltlich losgehen kann.

Zum anderen, wurde ich vom C&L Verlag angesprochen, einen Blick über das PF-Kapitel des gerade erschienen OpenBSD Buches von Harris Brakmic (Leseprobe, PDF) zu werfen. OpenBSD ist ein freies Betriebssystem und PF einer der mächtigsten Paketfilter auf diesem Planeten (wenn Sie das für eine Übertreibung halten, siehe weiter unten). Mit dem System arbeite ich produktiv seit 2003 und kann es jedem für Firewalls nur empfehlen.

Ich konnte an einigen Stellen dem Leser durch mathematisches Hintergrundwissen hoffentlich den Zugang erleichtern und einige nicht ganz so bekannte PF-Funktionen näherbringen. Sollten Sie also auch in diesem Buch über die Mengenlehre und Folgenschreibweise stolpern und sich ärgern, kommen Sie vorbei und bringen Sie einen Backstein mit.

raidcrypto Kernel-Repository

Eintrag für die Datei /etc/apt/sources.list:

# Falks Repository
deb http://falkhusemann.de/debian stable-binary/
deb-src http://falkhusemann.de/debian stable-source/

In der FreeX Ausgabe 2’2011 erscheint mein Artikel, der die speziellen Entscheidungen zum Stromsparen und die Repository-Wartung ausführlich erklärt.

Zielgruppe

Die angebotenen Pakete sind ausschließlich für die amd64 Architektur kompiliert und werden vor Veröffentlichung getestet. Die Server, auf denen ein Einsatz lohnenswert ist, sind kleine aus handelsüblicher PC-Hardware bestehende Fileserver mit einem Prozessor und mehreren Festplatten. Anpassungen basieren auf der jeweils stabilen Kernel-Konfiguration des Debian-Projekts und sollen nur so geringfügig sein, dass ein Einsatz im produktiven Betrieb möglich wäre.

Der Kernel wird seit dem 27.09.2009 regelmäßig gewartet.

Tux in Headergrafik von antigone, Festplatten-Icon von naruto-uzumaki.

Erschienen unter dem Titel:
Miniatur-PC – Stromsparender Allzweckserver mit der Seagate FreeAgent Dockstar
(ISSN 1436-7033)

Everything was tested under Debian GNU/Linux “lenny” after execution of thebootstrap script from Jeff Doozan.

Format disk with XFS and mount permanently

After installation with the bootstrap script you only need the XFS filesystem. The corresponding tools can be installed using apt-get install xfsprogs xfsdump. If not already done, format the disk with XFS.

mkfs.xfs /dev/sdX

Then create the necessary entry in the file /etc/fstab using an editor.

/dev/sdX   /mnt    xfs     noatime,logbufs=8,allocsize=128m        0       2

The option allocsize denotes how much diskspace is reserved in advance when writing to the filesystem. An explanation can be found in my blogarticle, hint 1 (german)

Create /etc/rc.local.throughput

Create the file /etc/rc.local.througput with an editor and the following content.

blockdev --setra 16384 /dev/sdX  # set the readahead value to 16MiB
ifconfig eth0 txqueuelen 5000  # buffer 5000 outgoing packets in memory
echo deadline > /sys/block/sdX/queue/scheduler # use alternative I/O-scheduler

After this, make the file executable.

chmod 700 /etc/rc.local.throughput

Now add /etc/rc.local.throughput with an editor to the file /etc/rc.local prior to the line exit 0.

Add to /etc/sysctl.conf

Append to the file /etc/sysctl.conf using an editor.

# % allocation of memory for I/O-Requests, before data is written immediatly to disk
vm.dirty_ratio=8
# % allocation of memory for I/O-Requests, before data is written in the background to disk
vm.dirty_background_ratio=5
# use memory for I/O-Cache first, rather then applications, when possible
vm.vfs_cache_pressure=50
# swap out unused applications, instead of flushing I/O-Cache
vm.swappiness=100
# buffer up to 5000 received packets in memory, to avoid packetloss
net.core.netdev_max_backlog=5000
# disable TCP-Extensions, to save space in TCP-Header
net.ipv4.tcp_sack=0
net.ipv4.tcp_timestamps=0
# reuse sockets faster
net.ipv4.tcp_fin_timeout=10
net.ipv4.tcp_tw_recycle=1

Load new settings

Activate the settings without reboot as follows, or do a reboot.

sysctl -p
/etc/rc.local.throughput

Hints for special applications

samba:

Set “socket options = TCP_NODELAY SO_SNDBUF=65536 SO_RCVBUF=65536 SMBwriteraw SMBreadraw”

Dabei werden die Ressourcen des Opfers aufgebraucht, bis keine weiteren neuen Verbindungen mehr aufgebaut werden können.

Das führt im Fall von Slowloris dazu, dass entweder sehr schnell der Arbeitsspeicher des Webservers vollkommen ausgelastet wird (bei dynamischen Webseiten), oder die Systemgrenze für mögliche HTTP-Verbindungen erreicht wird. In beiden Fällen erscheint der Webserver als Offline.

Kann man das Prinzip der Ressourcensättigung auch leicht auf Mailserver übertragen?

Wie funktioniert Slowloris?

Um zu verstehen, ob eine ähnliche Angriffstaktik auch gegen Mailserver erfolgreich sein kann, ist es notwendig den Angriff mittels Slowloris genau zu verstehen.

Der Angriff findet nicht mittels TCP auf der Transportschicht (wie ein SYN-Flood) statt, es wird sogar eine vollständige TCP-Verbindung hergestellt. Slowloris sendet aber keine vollständige HTTP-Anfrage, sondern ist mit einem SYN-Flood mittels HTTP vergleichbar.

Auch ist Slowloris kein HTTP GET-Flood, der sowohl auf eine Bandbreitensättigung, als auch auf eine Ressourcensättigung zielen kann.

Bei einem Angriff werden in schneller Folge und gleichzeitig viele TCP-Verbindungen zum Webserver geöffnet. Bevor der Webserver die Verbindung schließt, weil keine Anfrage gestellt wird, sendet Slowloris eine leere Anfrage (Header Keep-Alive, RFC2069).

Das Prinzip von Slowloris ist also ein “Keepalive-DoS” gegen Dienste auf der Anwendungsschicht.

Übertragbarkeit auf SMTP

Genau wie HTTP ist auch SMTP ein Protokoll der Anwendungsschicht. Beide Protokolle haben gemeinsam, dass sie verbindungsorientiert sind und TCP nutzen.

Auf der Suche nach Befehlen des SMTP-Protokolls, die mit dem Keep-Alive Kopffeld im HTTP-Protokoll vergleichbar sind, stößt man in der Protokollspezifikation auf zwei mögliche Kandidaten:

• NOOP
• RSET

NOOP

Nach RFC821 bewirkt dieser Befehl nichts, ändert also den Zustand des Zustellungsvorgangs einer E-Mail nicht. Sehr interessant ist auch, dass keine Informationen zu Zeitüberschreitungen gemacht werden, nach denen der SMTP-Dialog durch den Server oder Client abgebrochen werden darf. Diese werden erst in RFC2821, dem vorgesehen Nachfolger von RFC821 besprochen.

Die Zeitüberschreitung muss dabei für jeden vom Client gesendeten Befehl einzeln gemessen werden.

Es sind im Standard zwei bis fünf Minuten vorgesehen, die ein Server warten soll, bevor die Verbindung geschlossen werden darf. Interessant ist hier, dass das senden eines NOOP-Befehls nicht gesondert behandelt wird. So könnte ein Angreifer kurz vor ablaufen der erlaubten Zeit diesen Befehl senden und weiter warten.

RSET

Dieser Befehl dient dazu, den Zustellungsvorgang zu beenden, die Verbindung bleibt dabei offen und es kann ein neuer Zustellversuch gestartet werden. Genau wie beim NOOP-Befehl wird auch der RSET-Befehl nicht mit einer besonders kurzen Zeitgrenze versehen.

Angriffstechnik

Da im Standard kein fester Wert für die Zeitüberschreitung angegeben wird, sondern nur Empfehlungen, muss die tatsächliche Zeit gemessen werden.

Der Angriff würde also zuerst eine Verbindung zum Mailserver öffnen und die Identifikation des Servers abwarten:

220 mx.paketsequenz.de ESMTP

Daraufhin müsste ein Timer die Zeit messen, bis der Server die Verbindung abbaut. Mit diesem Wert kann dann der Angriff gestartet werden und mehrere hundert Verbindungen zum Mailserver aufgebaut werden, die kurz vor ablaufen des Timers einen NOOP-Befehl senden:

NOOP
250 2.0.0 Ok

Wenn der Mailserver mit der notwendigen Nachricht antwortet kann der Timer erneut gestartet werden. Ansonsten wird die Verbindung beendet und neu aufgebaut.

Ein Angriff mit ausreichend parallelen Verbindungen sollte so einen Mailserver lahm legen können, der den NOOP-Befehl unterstützt. Mit dem RSET-Befehl funktioniert es ähnlich.

Abwehr

Eine Abwehr sollte leicht möglich sein, indem die Anzahl der Verbindungen oder die Anzahl der aufeinander folgenden NOOP/RSET-Befehle beschränkt wird.

Weiterlesen

Weitere Informationen zum SMTP-Dialog und wie man ohne ein Mailprogramm (MUA) eine E-Mail verschicken kann auf der SMTP-Seite von Philipp Janda