Blogging vom BackTrack Day 2011 – Tag 1


Heute und morgen am 6.11. ist es wieder soweit: BackTrack Day 0x7DB (2011 in Hexadezimal). Backtrack Linux ist eine Linux-Distribution zum durchführen von Penetrationstests und der Backtrack Day die dazugehörige zweitägige Fachkonferenz. Das Konferenzprogramm ist auf Penetrationstester und Sicherheitsexperten ausgerichtet, passt also gut zu dem, was ich gerade im Rahmen des Netzwerksicherheitslabors an der TU-Dortmund anstelle. Ich versuche euch einen kleinen Einblick in das zu geben, was wir auf dem Backtrack Day erlebt haben. Alles ist nur meine subjektive Meinung.

9:59 Uhr:Der Raum ist nicht annähernd zu 100% gefüllt, der Beamer läuft und ist vorbereitet und die Bestelllisten für die mittägliche Pizza sind schon recht voll. Kein Zeichen dafür, dass es schnell losgehen wird. Dieses Jahr ist das Motto „Das sind nicht die Hacker die ihr sucht“. Jetzt folgt ein Jahresrückblick auf die IT-Security 2011. Die Happy Ninjas haben die Exploit-DB und Backtrack webseiten gecrackt und die Schwachstelle über die dies möglich war, selbst in der Exploit-DB gepostet. Jetzt kommt natürlich auch etwas unumgängliches über SONY, geohot und was Anonymous damit zutun hat. Auch einen kurzen Überblick gibt es, über den HBGary Hack und was das mit Wikileaks zutun hat. Das meiste ist jedem bekannt, der sich für Sicherheit interessiert, interessant ist es trotzdem.

LulSec wird als Modeerscheinung vorgestellt und auch die Fusion mit AntiSec wird als totaler Quatsch dargestellt. Jetzt geht es um Cyberwar und Spionage und den großen dicken Knopf für Barack Obama. Internet: An/Aus. Ägypten hatte genau so einen ja. Das wars auch schon mit dem Jahresrückblick. Jetzt kommt KMDave wieder, es geht um die Vorstellung des Vortragsplans.

Endlich wird erklärt, was die Social Night ist. Es ist also ein Vortrag mit anschließender Diskussion und, wie unerwartet, Bier. Kaffee, Wasser und Club Mate gibt’s kostenlos. Geil. Videoaufnahmen gibt es auch, nicht so toll. Das passte jetzt sehr gut, nachdem sich alle über kostenloses Club Mate freuen. Glücklicherweise werden nur die Vortragenden später in den Videos auftauchen. Gesponsort wird der Backtrack Day von Fink-Security (Club Mate!), Integralis und EDAG. Integralis sucht junge Pentester, klingt interessant.

 10:42 Uhr Jetzt spricht Christian Ammann zu Runtime Packern unter Windows. Es geht hier darum, wie man ein Programm um ein weiteres ergänzen kann, dass quasi huckepack mitgeliefert wird. Sein Programm soll bei einem Runtime Packer im Arbeitsspeicher entpackt werden, damit die Erkennung durch Antiviren-Software erschwert wird.

Im Rückblick auf die 16-Bit Welt erklärt Christian die A-, B- und C-Busse und Segment-Register. Jetzt wird das Programmformat COM eingeführt und wie es konkret im Arbeitsspeicher aussieht (hier anhand eines Hello World Programms in Assembler). Weiter geht es mit dem EXE Programmformat für MS-DOS und wie es ausgeführt wird.

Darauf geht es um 32 Bit Programme. Hier gibt es keinen direkten Zugriff mehr auf die Interrupts, stattdessen gibt es jetzt DDLs. Register werden auch nicht mehr verwendet, sondern Parameter auf den Stack geschrieben. Noch ein Programmformat, dieses mal das neuere Portable Executable (PE) Format. Der PE-Header wird ausführlich vorgestellt und wozu der MS-DOS Stub im PE-Format gut ist, sowie ausführliche Informationen zum Optional Header (und warum der nicht optional ist), sowie dem Section Header.

Endlich geht es um Runtime Packer, jetzt wissen wir auf jedenfall alle notwendigen Grundlagen (und ein paar die ich garnicht so genau wissen wollte, aber man weiss ja nie wozu die mal gut sind). Die output.exe enthält unsere böse target.exe (komprimiert und verschlüsselt) und entpackt, entschlüsselt und startet diese dann. Verschlüsselung hat Christian mit XOR implementiert, output.exe muss target.exe selbst bruteforcen, was fünf Sekunden dauern soll. Nette Idee, die als Nebeneffekte Virenscanner ausbremst. Gefällt mir. Jetzt kommt die Demo, Christian ist schon eine Minute über seiner Zeit, aber das muss man gesehen haben.

Okay, Frage aus dem Publikum, das alles reicht nicht um target.exe vor heuristischen Virenscanner zu verstecken. Man soll target.exe als ASCII tarnen, ist Christians Tip. Jetzt endlich die Demo, wir sind gespannt. Test.exe wird in Notepad.exe gepackt und gestartet. Test.exe tut nichts, scheinbar, man sieht keinen Unterschied, bis auf die Ladezeit von notepad.exe. Trotzdem ein guter Beitrag.

11:38 Uhr Wlan-Router Horror Stories von WIBI, 5m7X und Gnoxter, der Vortrag, auf den ich mich seit Wochen freue. Es geht um die WLAN-Router die im SOHO-Bereich eingesetzt werden, also kleine Endkunden Router. Hoffentlich sagt er gleich was konkretes, meine Finger werden langsam feucht (nicht!) und meine Pupillen weiten sich (nicht!).

Okay, also grundsätzlich: WLAN-Keys niemals auf MAC Adresse basierend erzeugen, das ist nix neues. Jetzt wird kurz der Worst-Case von WLAN-Sicherheit vorgestellt. WLAN-Hacking ist angeblich in Holland legal. Jetzt werden lustige Sicherheitstips der NSA vorgestellt. Einer davon ist, eine statische MAC-Adressen Whiteliste zu führen.

Weiter geht’s mit Marktanteilen von ISPs in Deutschland. Telekom hat um die 54%, ich hätte weniger vermutet. Und 27,6% der WLAN AccessPoints sind von AVM, das ist gut zu wissen. Jetzt geht’s um einen AP von 1&1. Der WPA-Schlüssel besteht aus den letzten sechs Ziffern der MAC-Adresse des internen Interfaces. An die kommt man mittels 802.11F (Roaming). Fakeauth mit Aircrack und schon broadcastet der AP seine interne MAC.

Weiter geht’s mit der Telekom. Die Stimmung steigt, jetzt geht’s um Speedports W700V und W500V, beide von Arcadyan Devices. Alle Geräte, die die Telekom jemals vertrieben hat sind laut 5m7x anfällig. Die letzten Teile der SSID sind Teile der MAC. Der Default-Key Algorithmus basiert auf der MAC und der Seriennummer. Wir haben nur 1000 Kombinationen auf allen Geräten, die wir mit einer Wörterliste cracken können. Problem ist noch: Wir brauchen einen Client. Bei 100-1000 Keys geht’s in 5 Minuten mit dem Custom-Tool speedpwn.

Jetzt kommt eine Demo mit dem Speedport W700V, die nebenbei laufen soll. Ein Beispiel hat er mitgebracht, dass das in 787 Versuchen und 3:29 Minuten schafft. Jetzt geht’s weiter mit Arcor und Vodafone und der Easybox (ebenso von Arcadyan). Auch hier basiert der Key auf der MAC und der Seriennummer. Die Seriennummer basiert allerdings auf der MAC. Und dieser sehr intelligente Algorithmus ist zum Patent angemeldet. Und wird weiterhin verwendet, trotz Dementi durch Vodafone in einer Golem Meldung vom 20.08.2011. Es wird auch ein neues Paper für den 28C3 mit einem neuen Exploit angekündigt.

Weiter geht’s mit der Telekom Austria und wie man dort auf den öffentlich zugänglichen SSH-Server der Router zugreifen kann. Jetzt geht’s mit Wardriving weiter. Was braucht man um eine Menge Spaß zu haben?

  • Lenovo Thinkpad
  • 2 Alfa Controller
  • 2 Omni-Antennen
  • Eine GPS-Maus

Ein Autonetzteil und ein Fahrplan helfen. Ein Fahrer ist auch von Vorteil. Nete zusätzliche Tools sind Giskismet und Kismon (Google Maps live!). Gezeigt wird eine Karte von WPA-AccessPoints in Fulda und wieviele davon anfällig sind. Sieht nach circa 75% aus.

„Was wenn wir böse Blackhats wären?“

Kostenloses Internet, DNS Server ändern, VPN/SSH und Man-in-the-Middle werden genannt. Natürlich auch Spaß mit TR-069 oder böse Firmware. Samsung Router haben sogar eine Babyfon Funktion. Jetzt spricht er noch kurz über die „WLAN-Kanone“ und 24 Db Grid-Antennen. Endlich, es geht ums Reversing mit IDA pro und Firmware (mittels JTAG download). Gepackt ist die Firmware mit ZIP und verschobenem Header. Klingt gut machbar, was er da beschreibt, vielleicht was zutun für über die Feiertage.

12:35 Uhr Ups, zu spät zum Vortrag gekommen. Es geht um Metasploit Updates, glaube ich. Doch, stimmt. Aber die Unterhaltung mit den Teilnehmern ist einfach zu interessant.

Es wird die Post Exploitation Phase erklärt und wie wichtig Metasploit das nimmt. Der Vortrag wird von einem Mitarbeiter der Integralis gehalten. Metasploit ist ein riesen Framework. Jetzt wird über die Geschichte von Metasploit gesprochen, gerade ab Version 3. Auf das neue kostenlose GUI Metasploit Community Edition wird besonders eingegangen. Metasploit 4 unterstützt nur noch PostgreSQL. OpenVAS und mehr sind auch integrierbar. Jetzt kommen mehrere Folien ,die so auch aus dem Vertrieb der Rapid7 (kommerzielle Entwicklung von Metasploit) stammen könnten. Informativ sind sie auf jedenfall. Metasploit ist schlecht dokumentiert, wird uns anhand eines Wüsten Bilds gezeigt.

Michael hat darum ein Buch drüber geschrieben, das hier auch anschaubar ist, darum geht es jetzt. Klingt gut, es soll laut ihm auch über den Tellerrand schauen und ist für Praktiker. Aus dem Buch ist ein viertägiger Workshop entstanden.

13:58 Uhr Pizza, Pizza und wieder Pizza. Überall nur Pizza. Ob das typisch für uns, „die Hacker Community“ ist (Zitat Keynote BackTrack Day 0x7DA)? Interessantes Gespräch mit den Mitarbeitern des neuen CERT von ThyssenKrupp geführt. Einige Leute laufen mit T-Shirts mit Jobangeboten rum. Gute Idee, aber schon sehr direkt, gefällt mir. SofortÜberweisung steht vorne auf diesen T-Shirts und die Jungs machen einen echt sympathischen Eindruck.

13:59 Uhr Es geht weiter, mit Anti-Forensik, vorgetragen durch  TOX1C. Also darum, wie man sich vor dem Forensiker schützt oder seine Anwesenheit verschleiert. Er stellt die Imagetypen bei Forensikern vor. Zum einen RAW (wie von dd erzeugt) und AFF. Nun soll es darum gehen, wie man sich vor nicht-Profis schützt. Oder wie der Referent sagt: „Den Typ in den Wahnsinn treiben“.

Er beginnt mit Data Destruction, also dem sicheren Löschen von Daten durch Überschreibung. Hoffentlich kommt noch etwas zu SSDs in diesem Kontext. Zumindest wird erwähnt, dass Wiping Tools bei RAID-Systemen unzuverlässig sind. Eine Evaluierung von Wiping Tools folgt. Besonders gut haben der Evidence Eliminator und Cyber Scrub abgeschlossen.

File System Attack (FS zerstören) empfiehlt TOX1C nur für eine In-Depth Anti-Forensics Strategie. Durch Carving soll eine Wiederherstellung möglich sein. Data Fabrication definiert er als unbekannte Dateien in großen Zahlen zu erstellen.

Endlich geht es um Verschlüsselung und wie die das Data Destruction Probleme löst. Und ohne fehlenden Encryption Key wird es recht schwer. Wie man dann doch an den Key kommt, will er später erklären. Nachtrach: Folter, Social Engineering oder direkt Live mitschneiden. Eine der Methoden ist in Deutschland illegal, wem fällt sie auf?

Weitere Möglichkeit ist Transmogrification, also die Signatur des Headers einer EXE-Datei zu ändern, zum Beispiel zu einer DOC-Datei. Ein gutes Ablenkungsmanöver soll sein, Malware selbst zu installieren. Alles bis auf Verschlüsselung ist nur zum gewinnen von Zeit sinnvoll. Er empfiehlt, Malware zu installieren. Von Data Hiding wird abgeraten, einzig Steganographie soll funktionieren, das auch Al Qaida benutzt.

Live Response ist, Beweise am lebenden System zu sichern, Stichwort Memory Acquisition. Dabei wird ein neuer Treiber in den Kernel geladen, damit keine API-Calls ausgeführt werden müssen. Es gewinnt immer der bei Memory Acquisition, der entweder mehr Rechte hat, oder seinen Code früher laden kann.

Jetzt gibt’s eine Demo. Memoryze wird mittels eines Metasploit AUX Modules gekillt. Ein Proof-of-Concept Modul für den Windows-Kernel gibt es auch, dann läuft Memoryze garnicht mehr.

15:01 Uhr Interessanter wird’s mit Forensik vor Gericht. Ich höre nur aus der Sicht zu: Wie geht er vor und gibt es Schwachstellen? Der Vortrag wird gehalten von Dr.-Ing Markus a Campo. Gutachten sind laut Referent nur Aussagen. Im Strafrecht geht es um Wahrheitsfindung, im Zivilrecht darum, wer Recht hat. Als Gutachter muss man jede Tätigkeit selbst ausführen. Außerdem darf man nur Fragestellungen im Beweisbeschluss beantworten.

Jetzt kommt etwas zum theoretischen Aufbau von Gerichtsgutachten, der Saal schläft fast ein. Liegt vermutlich am Sauerstoffpegel, der typisch für Informatiker niedrig liegt. Beweise vor Gericht müssen mit doppelten Hashes gesichert werden. Der Referent druckt direkt eine Liste von Hashes aus und übergibt sie den Parteien. Jetzt kommen einige Beispiel Fälle.

Fall 1, hier geht es um private Nutzung von PCs. Er benutzt dd für Festplatten Images. Fall 2, hohe Telefonkosten. Hat es dort einen Hackerangriff gegeben? Auch hier spielt die Timeline eine große Rolle. Fall 3, ein etwas ungewöhnlicher Fall, das selbstständige Beweisverfahren. Verdacht auf unerlaubte Kopie von Inhalten von Mitbewerbern. Fall 4, ein gehackter Webshop. Einige wachen sporadisch wieder auf aus ihrem Schlaf. Der Referent erklärt, wie er 100 Gigabyte an Logfiles analysieren konnte. Er empfiehlt als Forensik-Tool autopsy.

Frage aus dem Publikum: Welche Anforderungen muss man als Gutachter erfüllen? Es gibt scheinbar keine Beschränkungen, aber nur öffentlich gestellte und vereidigte Gutachter können als gerichtliche Gutachter benutzt werden.

16:02 Uhr Carlos fängt mit seinem Vortrag „Mama, woher kommen die Exploits?“ an. Ihm gefällt Assembler und es geht um die Gründe und Ursprünge von Schwachstellen. Er zeigt uns ein cooles Problem von Stackfault. Es geht los mit Fuzzing. „Fuzzing is like violence. If it doenst solve your problems, you are not using enough of it.“ Zwei Probleme gibt es. Das erste ist herauszufinden, ob ein Crash exploitable ist. Das zweite ist, einzelne Crashes zu finden. Auch können Programme weiterlaufen, wenn etwas anderes als memory corruption passiert.

Jetzt kommt eine Demo mit Fuzzing gegen den Freefloat FTP Server. Er benutzt den Fuzzer Sulley, denn „Python ist cool. Einfach so.“ Seinen FTP-Server hat er in 10 Sekunden geknackt. Jetzt geht es mit Reverse Engineering weiter. Sehr kompliziert, aber die ultimative Lösung. Viele Grafiken, leider zuwenig Detailinformationen und Erklärungen. Macht nichts, jetzt geht’s ums Exploit schreiben.

Er empfiehlt uns, Python zu lernen. Carlos erheitert die Anwesenden durch seine aus TV-Serien entlehnten Hintergründe seiner Präsentation. Er weist auf Mona.py vom Corelan Team und Metasploit hin.

 

Nach Carlos Vortrag sind wir dann gegangen, nachdem wir heute um kurz nach 5 los sind, um pünktlich zu sein. Morgen kommt der Metasploit Workshop, der sicher noch interessanter wird.

Ein Kommentar

Kai 11/22/2011 Antworten

Netter Artikel. 🙂

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.