scip AG

Labs: Archiv Februar 2011

Inhaltsverzeichnis

• 25.02.2011 – Blog Digest Februar 2011
• 17.02.2011 – Passwortlänge von Security Researcher
• 08.02.2011 – Shmoocon 2011 – ein kurzer Rückblick
• 04.02.2011 – Video zu Nmap NSE Vortrag an Hashdays 2010

► 25.02.2011 – Blog Digest Februar 2011

• Analysis of MBR File System Infector (17.02.2011), f-secure.com
• Analyzing the Compromise – without Going Hungry (21.02.2011), blog.tenablesecurity.com
• Apple iOS Push Notifications: Security Implications, Abuse Scenarios, and Countermeasures (07.02.2011), SANS Institute, blogs.sans.org
• Are you sure SHA-1+salt is enough for passwords? (09.02.2011), f-secure.com
• Blog Post: Breaking up the Romance between Malware and Autorun (09.02.2011), blogs.technet.com
• Browser plugins and security considerations (11.02.2011), Julien Sobrier
• Comic for February 15, 2011 (15.02.2011), dilbert.com
• Controlling the Flow of Information in the 21st Century (08.02.2011), blogs.cisco.com
• Don’t Sacrifice Security on Mobile Devices (22.01.2011), chris, eff.org
• Educating users on the safe use of whole device encryption (29.01.2011), Chester Wisniewski
• Ethics of password cracking/dissemination (24.01.2011), skullsecurity.org
• Feature: Anonymous speaks: the inside story of the HBGary hack (16.02.2011), arstechnica.com
• Feature: Black ops: how HBGary wrote backdoors for the government (19.02.2011), arstechnica.com
• Five Key Design Decisions That Affect Security in Web Applications (10.02.2011), rohitsethi, blogs.sans.org
• How To Outrun A Lion? (17.02.2011), ctrl-alt-del.cc
• HTTP headers fun, (Tue, Feb 15th) (16.02.2011), isc.sans.org
• Ignore the OWASP Top 10 in Favor of Mike’s Top 10 (19.02.2011), deadliestwebattacks.com
• IPv6 Myths (18.02.2011), Earl Carter, blogs.cisco.com
• Kaspersky Antivirus Source code leak (KAV 8 2009) (30.01.2011), unremote.org
• Measuring password re-use empirically (09.02.2011), Joseph Bonneau, lightbluetouchpaper.org
• ModSecurity Advanced Topic of the Week: Passive Vulnerability Scanning Part 1 – OSVDB Checks (23.02.2011), Ryan Barnett
• ModSecurity Advanced Topic of the Week: Real-time Application Profiling (18.02.2011)
• Old programming habits die hard (08.02.2011), Nate Lawson, rdist.root.org
• Probabilities in Random Testing (10.02.2011), regehr
• Shmoocon 2011: Defeating mTANs for profit (29.01.2011), ChrisJohnRiley, blog.c22.cc
• Shmoocon 2011: Printer to Pwnd (29.01.2011), Chris John Riley, blog.c22.cc
• Should Software Evolve? (15.02.2011)
• Societal Security (15.02.2011), schneier.com
• Some common Infosec job roles and related certifications (08.02.2011), resources.infosecinstitute.com
• SSDs prove difficult to securely erase (20.02.2011)
• Stop Exposing Yourself! (08.02.2011), blogs.adobe.com
• The Dead Giveaways of VM-Aware Malware (28.01.2011), Atif Mushtaq
• The Lure of Notoriety for Information Security Experts (23.02.2011), blog.zeltser.com
• The Piano Test for Program Verification (27.01.2011), regehr
• To Improve Mobile Security, Policies Will Need to Change (23.02.2011), blogs.mcafee.com
• Who Verifies the Verifiers? (01.02.2011), regehr
• Why Physical (Network) Security is Important? (18.02.2011), blog.rootshell.be
• Your guide to the seven types of malicious hackers (08.02.2011), Roger A. Grimes, infoworld.com

Marc Ruef | G+ (640 Wörter)

► 17.02.2011 – Passwortlänge von Security Researcher

Wir haben bisher zwei statistische Auswertungen der Passwortlänge unterschiedlicher Benutzerklassen vorgenommen:

• Einerseits waren dies normale Benutzer, bei denen eine geschechtsspezifische Aufteilung erfolgen konnte. (Quelle)
• Zusätzlich wurde nach der Veröffentlichung der Passwörter von carders.cc ein Vergleich von Crackern mit tendenziell illegalem Hintergrund vorgenommen. (Quelle)

Zu Beginn des Monats wurde eine Kompromittierung des US-amerikanischen Sicherheitsunternehmens HBGary durch die Gruppe Anonymous (siehe DDoS-Attacken im Rahmen von Wikileaks) vorgenommen. Dabei wurde ebenfalls die durch den bekannten Analysten Greg Hoglund betriebene Seite rootkit.com kompromittiert. Auf dieser wird ein Forum gehostet, in dem sich Sicherheitsspezialisten über Backdoors und Rootkits austauschen.

Eine Veröffentlichung sämtlicher Daten (z.B. 60’000 Emails des Unternehmens) hatte zur Folge, dass nun ebenfalls die gehashten Passwörter des Forums einsehbar waren. Verschiedene Analysten machten sich daran, diese Passwörter zu knacken. Dies als Datengrundlage wollten wir nutzen, um einen weiterführenden Vergleich der angestrebten Länge von Passwörtern anzugehen. Sodann können wir also an unsere vorangegangenen Analysen anknüpfen und zu normalen Benutzern und Crackern ebenfalls Security Researcher hinzufügen.

Von 71’222 Passwörtern wurden 44’497 geknackt (62.47%). Da nicht alle Passwörter der rootkit.com innerhalb nützlicher Frist geknackt werden konnten, ist die Auswertung nicht abschliessend. Es ist durchaus denkbar, dass ein Mehr an eher langen (und komplexen) Passwörtern verborgen blieb. Zudem wird von verschiedenen Benutzern des Forums berichtet, dass sie bewusst einfache Wegwerfpasswörter verwendet haben.

Auch hier sind statistisch signifikante Abweichungen ersichtlich:

• Researcher pflegen in der Regel mindestens 6-stellige Passwörter zu nutzen (36.67%). Sie setzen damit die typische Minimale Länge gegenüber Benutzern (31.35%) und Cracker (24.35%) noch etwas höher.
• Auch hier ist der typische 2er-Schritt von 6- zu 8-stelligen (23.73%) Passwörter zu bemerken. 5-stellige Passwörter sind eher untervertreten mit 20.93%.
• 8-stellige Passwörter sind bei Researcher weniger wichtig (23.73%) als bei Crackern (32.17%). Gleiches gilt für Passwörter mit einer grösseren Länge.

Dieses Verhalten lässt das Offensichtliche erahnen. Einerseits sind sich Security Researcher sehr wohl den Risiken kurzer Passwörter bewusst. Als Best Practice werden für Webforen jedoch 6-stellige Passwörter verstanden und auf tendeziell längere Passwörter – vor allem mehr als 8 Zeichen – gerne verzichtet. Das Sicherheitsverständnis ist also definitiv höher als bei normalen Benutzern, die Paranoia der Cracker ist jedoch für noch längere Passwörter in diesem Umfeld verantwortlich.

Danksagung

Vielen Dank an dazzlepod.com für das Bereitstellen der Passwortdatenbank und die freundliche Unterstützung.

Marc Ruef | G+ (460 Wörter)

► 08.02.2011 – Shmoocon 2011 – ein kurzer Rückblick

Der Regierungssitz der Vereinigten Staaten, Washington D.C., ist für seine zahlreichen nationalen Sehenswürdigkeiten bekannt. Das Weisse Haus, das Washington Monument und das Capitol sind dabei wahrscheinlich die bekanntesten unter vielen. Neben nationalen Wahrzeichen ist D.C. aber auch die Heimat einer der populärsten US-Hackerconventions, der Shmoocon. Stefan Friedli der scip AG war vor Ort.

Anreise

Die Shmoocon ist für diverse Dinge bekannt und berüchtigt. Erstens: Der Ticketvorverkauf führt aufgrund des riesigen Andrangs in der Regel zu einem Denial of Service aller involvierten Systeme und zu ebenso riesigen Klagewellen derer, die sich via Twitter darüber beschweren, kein Ticket erhalten zu haben. Zweitens: Das Austragungsdatum der Shmoocon scheint eine untrennbare Kopplung mit dem Auftreten massiven Schneefalls in D.C. zu besitzen. Während einige Besucher letztes Jahr noch Tage nach Ende der Konferenz in der Stadt festsassen, stellten sich dieses Jahr die diversen Winterstürme bereits vor Beginn der Veranstaltung ein und erschwerten den Teilnehmern die Anreise. Wer meinen Twitterfeed verfolgt weiss, dass ich von meinem verlängerten Aufwand in Frankfurt nur wenig begeistert war.

Nach erfolgreicher Anreise, den üblichen Einreiseformalitäten und einer eher halsbrecherischen Taxifahrt auf vereisten Strassen endlich am Ziel angekommen, erfolgte der Check-In im Washington Hilton problemlos. Ob man sich hier schon auf die 1600 Hacker aus allen Teilen des Landes sowie von Übersee eingestellt hatte, liess sich aus dem professionell-freundlichen Auftreten des Concierge nicht erahnen. Das Hilton war dieses Jahr zum ersten Mal der Austragungsort für die Shmoocon. Die Jahre zuvor fand die Konferenz im Mariott Hotel, einige Blocks weiter statt. Aus Infrastrukturgründen entschied man sich aber, dieses Jahr das 2010 renovierte Hilton vorzuziehen.

Nach den üblichen Run-Ins mit alten Bekannten rief erstmal die Dusche und allfällige Pläne, sich noch etwas unter des lokale Volk zu mischen fielen der Müdigkeit, die wetterbedingt 18-stündige Transatlantiktrips nun einmal so an sich haben, zum Opfer.

PTS Meeting, EFF Fundraiser, PTS Meeting

Der erste Tag der Shmoocon ist bewusst schlank gehalten: Die Registrierung öffnete erst um 13 Uhr, bis zur Keynote am frühen Abend durch Peiter “Mudge” Zatko (ehem. L0pht, @stake) wurde nur ein Track anstatt der üblichen drei geführt. Dadurch blieb genug Zeit, mit alten Freunden zu Plaudern. Während für die meisten Besucher hier vor allem das Vergnügen im Vordergrund stand, galt es für mich und die anderen Mitglieder des PTS (Penetration Testing Standard) Boards produktiv zu sein. Der Penetration Testing Standard ist ein Projekt diverser Experten, um die Definition und Methodik von Pentests zu verbessern und eine einheitlichen Standard für Kunden und Anbieter gleichermassen zu schaffen. Die Mitglieder des Boards, meine Person inklusive, verfügen allesamt über langjährige Erfahrung im Gebiet. Es überrascht daher wenig, dass die Besprechung der bisherigen Fortschritte sehr produktiv verlief und nach etwas mehr als einer Stunde mit überdurchschnittlich guten Resultaten endete. Mehr zum PTS Projekt werden wir hier im scip Labs Blog vorraussichtlich im Laufe dieses Jahres (Sommer/Herbst) veröffentlichen.
Keynote

Die Keynote der diesjährigen Shmoocon hielt, wie schon erwähnt, Peiter C. Zatko, besser bekannt als Mudge. Mudge, der als Mitglied des Think Tanks L0pht insbesondere durch seine frühe Arbeit im Hinblick auf Buffer Overflows bekannt wurde, arbeitet heute als Programmdirektor für die DARPA. Seine Keynote mit dem Titel “Analytic Framework for Cyber Security” beschäftigte sich daher auch in erster Linie mit den Bestrebungen der Agency im Hinblick auf die Cyber Security der US Regierung. Seine Ausführungen waren dabei durchaus unterhaltsam (wenn auch viele den “alten” Mudge, der nicht für eine Regierungsstelle arbeitet vermissen mögen…) und regen zum Nachdenken an. Money Quote: “If something appears irrational to you, you probably don’t understand the game”.

The Summit on the Hill: EFF Fundraiser Event
Die Electronic Frontier Foundation ist eine wohletablierte Non-Profit Organisation, die sich für die Bügerrechte im Cyberspace stark macht. Aufgrund der sich bietenden Gelegenheit, veranstaltete die EFF abends einen Fundraiser Event und lud dazu zahlreiche Gäste aus der internationalen Security Szene ein. Nach einer kurzen Shuttlefahrt vom Hilton zur Helix Lounge an der Rhode Islang Avenue, kamen wir in den Genuss einer offenen Bar und der erneuten Gelegenheit, sich mit mit alten und neuen Bekanntschaften in angenehmer Atmosphäre zu unterhalten.

Alle Talks von Tag 1

• A Paranoid Schizophrenia-based Model of Data Security – Marsh Ray
• Hacking ‘Smartwater’ Wireless Water Networks – John McNabb
• Gone in 60 Minutes: Stealing Sensitive Data from Thousands of Systems Simultaneously with OpenDLP – Andrew Gavin (Als Video verfügbar)
• Hackers for Charity – Johnny Long (Als Video verfügbar)
• ZigBee Security: Find, Fix, Finish – Ryan Speers and Ricky Melgares (Als Video verfügbar)
• Are you receiving me? Recent issues in wifi privacy – Tara Whalen (Als Video verfügbar)

Alle Talks von Tag 2

Track 1: Build it!

• Defending against Targeted attacks using Duck tape, Popsicle Sticks and Legos – Richard Rushing
• Fun with Flow – Richard Friedberg
• Yet Another Heapspray Detector – Daniel Kovach
• Exploiting the Hard-Working DWARF – James Oakles & Sergey Bratus
• INTERSECT: Combining Commercial/FOSS Tools with Custom Code to Root Out Malware – Matthew Pawloski & Fotios Lindiakos
• Project Ubertooth: Building a Better Bluetooth Adapter – Michael Ossmann (Als Video verfügbar)
• 3D Modelling and Visualization of Real Time Security Events – Dan Klinedinst

Track 2: Break it!

• Printer to PWND: Leveraging Multifunction Printers During Penetration Testing – Deral Heiland “PercX” & Pete Arznamendi “Bokojan”
• TEAM JOCH vs. Android: The Ultimate Showdown – Jon Oberheide & Zach Lanier
• Hop Hacking Hedy – Q, Atlas, Cutaway Smash und Slugs on Toast
• Printers Gone Wild! – Ben Smith
• Attacking 3G and 4G mobile telecommunications networks – Enno Rey & Daniel Mende
• Defeating mTANs for profit – Axelle Apvrille & Kyle Yang (Als Video verfügbar)
• Reverse Engineering Using the Android Emulator – Scott Dunlop

Track 3: Bring it on!

• Computer Search and Seizure – Marcia Hofmann
• Unlocking the Toolkit: Attacking Google Web Toolkit Applications – Ron Gutierrez
• Hard Drive Paperweight: Recovery from a Seized Motor! – Scott Moulton
• Tracking Flaws – Stream Reassembly Issues in Snort IPS – Ashley Thomas
• An Evite from Surbo? Probably an invitation for trouble. – Trent “Surbo” Lo
• ShmooCon Labs Goes to College – G W Ray Davidson III, PhD
• The Getaway: Methods and Defenses for Data Exfiltration – Sean V. Coyne

Specials

• Screening: Get LAMP

Alle Talks von Tag 3

Track 1: Build it!

• Half Baked: Hardware Hacking Mixed with Sweet Software Reverse Engineering – Marc Eisenbarth
• Visual Malware Reversing: How to Stop Reading Assembly and Love the Code -Danny Quist
• Own the Con – The Shmoo Group
• The Past, Present, and Future of “Something You Know” – Rick Redman, Martin Bos, Robert Imhoff, David Schuetz

Track 2: Break it!

• URL Enlargement: Is it for You? – Daniel Crowley (Als Video verfügbar) (Editors Pick)
• Malicious USB Devices: Is that an attack vector in your pocket or are you just happy to see me? – Adrian Crenshaw
• Transparent Botnet Control for Smartphones Over SMS – Georgia Weidman

Track 3: Bring it on!

• USB Autorun attacks against Linux – Jon Larimer (Als Video verfügbar)
• Hacking the Business Capability Stack: Make Corporate Bureaucracy Work for You – Javier Gonzales Sanchez
• Inside the App: All Your Data are Belong to Me – Sarah Edwards

Stefan Friedli | G+ (1499 Wörter)

► 04.02.2011 – Video zu Nmap NSE Vortrag an Hashdays 2010

Letztes Jahr hielt ich einen Talk mit dem Titel Nmap NSE Hacking for IT Security Professionals an den Hashdays in Luzern. In diesem zeigte ich unsere Herangehensweise, um mit Nmap NSE Scripting die Effizienz und Qualität von Penetration Tests zu erhöhen.

Diese Woche wurde durch die Hashdays-Organisatoren der Videomitschnitt des Vortrags auf YouTube veröffentlicht. Das Video dauert rund 35 Minuten und ist in Englisch gehalten. Die genutzten Slides sowie die angekündigten Skripte werden in diesem Labs Post besprochen und zum Download angeboten.

Marc Ruef | G+ (123 Wörter)

Labs Übersicht

• Letzte Beiträge
  • Sicherheitsverantwortlichkeiten und Risikosteuerung
  • Computer Forensik – Ein Überblick
  • Vortrag zu Security Testing an SGRP Veranstaltung
  • Staatstrojaner – Kritik am neuen Bundesgesetz
  • Overview of Microsoft’s security toolkit EMET
  • Blog Digest April 2013
  • Wie statisch sollten Sicherheitsrichtlinien sein?
  • Timing für effiziente unentdeckte Portscans
  • Interpreting a Logfile with Grok
  • Spamhaus DDoS mit DNS Amplification
• Archiv
  • 2013 | 2012 | 2011 | 2010 | 2009 |

• Blog Digest

• Blogroll
  • abuse.ch
  • c22.cc
  • computec.ch
  • darkreading.com
  • infosecisland.com
  • krebsonsecurity
  • metasploit.com
  • schneier.com
  • securiteam.com
  • stfn.ch
  • zeltser.com
  • 5e4n.ch
• Syndication
  • RSS
  • Twitter