Erneuter Ruf nach mehr Überwachung

Der Tag fängt echt gut an, wenn man so einem Schwachsinn lesen darf. Da fordert ein IT-Bundesbeauftragter ( nie gehört vorher ), daß den Webhostingprovidern doch erlaubt werden solle, Datenflüße bis zu 6 Monate aufzuheben. „Die Daten würden ja gebraucht, um Angriffe zu analysieren und abzuwehren.“ so der Tenor.

Ich kann aus unserer Firma sagen : „Blödsinn!“ 99% der geglückten Angriffe auf Webanwendungen werden durch nicht aktuell gehaltene Software verursacht. Dabei sind das in 90% der Fälle PHP Anwendungen, die vom Webseitenbesitzer aus diversen Gründen nicht aktualisiert werden. Der Rest sind Angriffe durch gekaperte Zugangsdaten für Mailkonten/gekaperte PCs in Firmen. Lustigerweise ist dort die Ursache #1 auch nicht aktuelle Software. (#2 ist: Ich klicke auf alles was mir per Email gesendet wird)

Diese Angriffe kann man nicht abwehren, indem man auf 6 Monate alte Daten zurückgreift.

Vor zwei Wochen hat der NSA Oberhacker auch deutlich gesagt, daß die NSA nicht auf ZeroDay Lücken setzt, also Exploits für Schwachstellen in Programmen, sondern ganz traditionell systemimmanente Schwachstellen benutzt, also Personen und Konstruktionsfehler in Firewalls und Netzwerken. Natürlich glaubt ihm das keiner, ich auch nicht, aber die Begründung ist einleuchtend. Zerodays werden i.d.R. sehr schnell geschlossen, weswegen auf lange Sicht, die andere Strategie erfolgreicher sein wird, weil man sich damit längerfristig in fremden Netzwerken bewegen kann. Wenn es Anzeichen gibt, daß ein Zeroday ausgenutzt wurde, gerät die IT Abteilung normalerweise in den Panikmodus und durchsucht das gesamte Netzwerk, überdenkt Schutzlücken und scheucht alle auf. Das ist genau das Gegenteil, was ein Geheimdienst haben möchte.

Ergo, wer sein Netzwerk schützen will, muß seine Prozeduren, Implementierungen und Organisation auf den Prüfstand stellen.

Quelle: Neuer Vorstoß zur Vorratsdatenspeicherung gegen Hacker und Cyberangriffe geplant

Einflußnahme

“A day or two before we were going to give the speech, a couple of backbench MPs called the office. They said Microsoft had called them, saying that – if we went ahead with the speech on open standards, open architecture and open source – they would cut spending or maybe close altogether on research and development centres in the constituencies of the MPs they called up,” Silva said in a speech to the CDO Summit event in London, on Wednesday 29 October 2014.“

MP= Mitglieder des Paralments aka. Abgeordnete

Quelle: http://www.computerweekly.com/news/2240234078/Government-open-standards-the-curious-case-of-Microsoft-and-the-minister

Anmerkung:

Ich habe sehr lange überlegt, ob ich das posten sollte oder nicht. Leider gehört dies auch zu unserer Welt und deswegen darf es nicht unbeachtet bleiben. Für alle die nicht so gut Englisch verstehen: Microsoft hat einige „Hinterbänkler“ Abgeordnete im britischen Parlament angerufen und Ihnen in Aussicht gestellt, daß Inventionen in Ihre Wahlbezirke abnehmen, wenn Sie sich in einer Wahl für offene Standards aussprechen.

 

wie man zu einem Advisory bei Fulldisclosure kommt

Eigentlich wollte ich nur mal meinen langjährigen, treuen Freund den Netgear DSLRouter RP614v3 einen kleinen Besuch per CURL abstatten, weil in seinem Bekanntenkreis eine Sicherheitslücke gefunden wurde. Die Lücke im N300 FW Router von Netgear konnte ich zwar nicht finden, aber dafür fiel mir was komisches auf.  Wenn ich „curl -i “ benutzte, statt „curl -I“ ( großes i ), bekam ich von meinem Router eine Webseite angezeigt, statt einer 403 Umleitung auf die Loginseite, und dies, obwohl ich per Konsole gar nicht angemeldet war.

Eigentlich sollte „curl -i“ die ganzen Headerinformationen der HTTP Antwort mit ausgeben, aber irgendwas war noch anders. Etwas, das den Router verwirrte. Nach einigen Analysen kam ich dann drauf, curl sendet bei -I einen HEAD Request, vor dem eigentlich GET, und dieser wurde korrekt umgeleitet auf die Loginseite.

# curl -I "http://192.168.1.1/contents1.html"
HTTP/1.0 403 Forbidden

„curl -i“ machte das komischerweise nicht, es sendete gleich den GET Request aus.

# curl -i "http://192.168.1.1/contents1.html"
HTTP/1.0 200 OK
Server: Embedded HTTPD v1.00, 1999(c) Delta Networks Inc.
Content-length: 7158
Accept-ranges: bytes
Content-type: text/html

Ein Exploit war gefunden.

Es stellte sich die Fragen, was kann man damit alles machen  und viel wichtiger, hatte den Exploit schon wer anders gefunden ?

Die erste Frage war leicht zu beantworten: Alles 🙂 Die gesamte Sicherheit des Browserinterfaces lag darin begründet, daß Browser immer ein HEAD vorrausschicken und dann erst ein GET, wenn die Seite nicht mehr aus dem Cache kommen sollte.

Sendete man das GET gleich, kommt man an alle Infos, Formular usw. direkt dran.

Type : Authentication Bypass

Genau so einen Bug hatte auch der N300 FW von Netgear, nur war der Bypass dort anders geartet. Dort hatte die Anwendung ein Loch, hier die Implementierung im Embedded httpd.

Um es kurz zu machen, wer einen RP614v3 egal welcher Firmware im Netz hat, muß damit leben, daß der Router nicht mehr unter der alleinigen Kontrolle des Besitzers ist. Dazu kommt noch ein schöner ROOT Exploit in der Telnetsession, den aber vor Jahren schon jemand anders dokumentiert hatte.

Fulldisclosure

Im Oktober 2015 habe ich Netgear über die Schwachstelle informiert. Keine Reaktion. Wie andere Securityresearcher auch schon erleiden mußten, ist Netgear wenig sensibel für Kontaktaufnahmen, was meint, sie geben sich nicht die größte Mühe erreichbar zu sein. Normalerweise sind deren Produkte sicher genug, daß sie keiner erreichen muß, aber wenn, ist das eine Odysee . Die habe ich mir nicht gegeben. Es war ohnehin extrem fraglich, ob es dafür einen Fix geben würde, da das Produkt schon weiter über 10 Jahre alt war.

Gestern ging die Nachricht dann an die Liste raus. Wer es nachlesen will : http://seclists.org/fulldisclosure/2016/Feb/35

Kleiner Teaser: Im März läuft der nächste FD Timer aus und zu dem gibts eine schöne Story und ein bisschen Backgroundinfos.

Vor Chromodo wird gewarnt

Heute ist ja mal wieder richtig was los in den Medien.

Comodo, die eigentlich SSL-Zertifikate gegen Geld signieren, haben wohl eine „Security“ Suite an den Kunden gebracht in der ein Browser namens „Chromodo“ enthalten ist. Vermutlich ein Chromiumableger.

Nachdem sich das mal jemand angesehen hat, fanden sich natürlich Sicherheitslücken. Kann man hier nachlesen. Der Gag ist allerdings, Comodo hat zwar reagiert, aber lediglich einen Beispielexploit verhindert, die Schwachstellen sind noch alle drin 🙂  Sowas tut echt weh!

Schon wieder: Abschaffung des Bargelds angedroht

Wie schon in 2013 berichtet, droht (auf lange Sicht) schon wieder die Abschaffung des Bargelds.

Diesmal in Form einer Obergrenze für das Bezahlen mit Bargeld. Das dies keinen Sinn macht, muß man nicht lange beweisen, die Bankster, Cyberkriminellen und TooBigToFailZocker ziehen Millionen auf unbarem Wege ab, da Bargeld zu benutzen wäre ohnehin unsinnig. Viel zu schwer zu schleppen 😉

Was wären die Konsequenzen ohne Bargeld ?

Das Sie, genau SIE, unter der perfekten Fuchtel stehen. Sobald jemand legal, illegal oder fehlerhafterweise Ihr Konto sperrt, geht nichts mehr. Sie könnten im Laden nicht mal Brot kaufen gehen, weil Sie keine Reserven mehr anlegen können, auf die nur Sie und ein Einbrecher Zugriff haben. In der Theorie könnte es Ihnen keiner mehr klauen, die ganzen „Haste-mal-nen-Euro“ Bettler wären arbeitslos, die normalen Bettler übrigens auch, aber der Nachteil von jetzt auf gleich unverschuldet mittellos zu sein, der kann durch nichts aufgewogen werden.

Ein Beispiel aus der Praxis: ein früherer Kunde eines Ex-Arbeitgebers meldete uns mal, daß die Steuerfahnung seine Konten eingeforen hat, weswegen seine Rechnungen jetzt von ihm von Hand bezahlt werden müßten. Das Finanzamt hatte seine gesamten Mittel zu Unrecht eingefroren, wie sich später rausstellte, aber für das FA gilt: Erst alles sichern, dann prüfen, ob was dran ist, weil wenn was dran ist, wärs weg, wenn wir warten.

Mit der Mentalität würde man auch gegen Sie vorgehen, und das muß nicht einmal das Finanzamt sein, daß könnte genauso gut der Jobcenter werden, das nächste Amtsgericht, daß eine ungerechtfertigte Mahnung vollstrecken soll usw. usw. . Gründe gibt es viele, Werte ( weil Geld wärs ja nicht mehr ) zu sichern.

Wenn Sie auch zum Kreis der Mittellosen zählen wollen, tun Sie nichts. Wenn Sie für Bargeld sind, reden Sie darüber und fordern Sie von Ihren politisch aktivierten mit dem Blödsinn aufzuhören.

F5 Firewalls ?

Wer täglich die Warnung des Cert liest, wird die Firma F5 mit Ihren Firewalllösungen kennen, ob wir Sie mögen sollten, ist eine andere Sache. Jedenfalls sind die in letzter Zeit Dauergäste in den Emails des Cert.

Heute konnte ich in einer Meldung zu einem lokalen Kernelprivilegienescalation Problem folgendes lesen:

Version 1 (2015-04-30 14:38)
Neues Advisory
Version 2 (2015-05-04 11:00)
Für die Distributionen Fedora 20, 21 und 22 stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit. Die Updates für Fedora 20 und 21 befinden sich im Status ‚testing‘, das Update für Fedora 22 im Status ’stable‘.
Version 3 (2015-05-06 09:32)
Canonical stellt für die Distributionen Ubuntu 12.04 LTS inkl. Trusty HWE, Ubuntu 14.04 LTS inkl. Utopic HWE, Ubuntu 14.10 und Ubuntu (vivid) Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 4 (2016-02-01 10:49)
F5 Networks informiert über die betroffenen Produkte und Versionen. Unter anderem ist BIG-IP Protocol Security Module (PSM) in den Versionen 10.1.0 – 10.2.4 und 11.0.0 – 11.4.1 verwundbar. Um Angriffe zu vermeiden, sollten nur vertrauenswürdige Administratoren Zugang zu der erweiterten Shell haben. Im Appliance-Modus kann die Schwachstelle nicht ausgenutzt werden, da Benutzer in diesem Modus keinen Zugriff auf die erweiterte Shell haben.
Quelle:
DFN-CERT Services GmbH

Da ich natürlich zuerst lese, um was es geht und welche Plattform betroffen ist, fiel mit nicht sofort auf, daß es sich um Kernel 4.0.1 handelte, da entgegen sonst üblichen Emails der Kernel gar nicht genannt wurde. (Das DNF Cert schickt manchmal Emailteaser für Ihr Webangebot rum, für den Fall egal.)

Wenn man nun genauer hinschaut, muß man schon etwas stutzen, da Version 1 der Meldung vom 30.4. 2015 ist und erst heute, am 1.2.2016 F5 merkt, daß sie auch betroffen sind. Von einer Firma aus dem Securitybereich, erwarte ich mir mehr, wenn jede Linuxdesktopdistribution schneller ist, als meine Firewalllösung.

Vielleicht mag der eine oder andere ja mal einen Kommentar dazu abgeben.

Wie schnell sollte eine Unternehmensfirewall reagieren ?

Was ist das maximal Grenze, die noch akzeptabel ist, klar sofort die Norm sein sollte.