Hanz Jenson Alias ????

Vor einer Woche habe ich auf das Full Disclosure Posting zu dem Teamspeak 3 Schwachstellen hingewiesen. Dabei fiel der vom Poster benutzte Name „Hanz Jenson“. Die Redakteure von Heise.de haben etwas genauer hingeschaut, und einen Alias gefunden „ff214370685e536b9ee021c7ff6b7680bfbe6008bc29f87511b6b90256043536“.

Jetzt bleibt nur noch die Frage : Wer versteckt sich hinter diesem Sha256 Hash ?

Sachdienliche Hinweise dazu nimmt jedes Blog, Heise oder mein Briefkasten auf.

Teamspeak bietet weiterhin keinen Patch für die Lücken an, die der FullDisclosure Poster offengelegt hat. Ganz verstehen tue ich die Geheimniskrämerei nicht, denn die Lücken zu posten ist legitim um sie beseitigt zu bekommen. Natürlich wäre eine Vorab Info an TS schön gewesen. Da aber keine konkreten Exploits aufgetaucht sind, hat der Poster IMHO nichts zu befürchten, denn jeder kann zu Hause seine Programme auf Sicherheitslücken hin abchecken.

Es gibt eigentlich nur zwei Gründe wieso er sich nicht outet: Er arbeitet bei TeamSpeak , oder er hat Angst vor unserem schwammigen Hackerparagraphen. Der Hackerparagraph müßte eh mal vom Bundesverfassungsgericht abgeklopft werden, schliesslich ist in dem viel zu viel Gummi enthalten. Das verstößt sicher gegen EU Regulierungen 😉

Update vom 20.8. :

Es steht eine TeamSpeak 3.0.13.3 Downloaddatei für den Server bereit. Intressanterweise gibt den üblichen Anounce zu dieser Version nicht ( TS3 – Latest News ). Dafür aber in der Bugssektion eine rege Diskussion :

http://forum.teamspeak.com/threads/126508-0-day-vulnerabilities-in-server-3-0-13

Kleinere Zitateauswahl:

Exclamation Teamspeak Server crash   => MergedNext exploit for ver 3.0.12.4 — 3.0,13″

„Hotfix for TeamSpeak vulnerabilities [till 3.0.13]
i tested on my server working crash my server, but i added a line iptables, tools send length 315, i drop this packet on iptables and working for me
-A INPUT -p udp -m udp -j DROP –match length –length 300:350“

 

 

 

Systemaktivität mit fatrace monitoren

Dank einem zunächst eher unscheinbaren Hinweis auf Thomas Christlieb’s Blog, bin ich auf fatrace aufmerksam geworden. Danke Thomas.

Mit „fatrace“ läßt sich sehen, was Programme so genau im System treiben. Im Gegensatz zu „strace“, daß mit „strace -f -e open,read,write,close,stat -p PID “ auch die Dateiaktivitäten eines Programms anzeigen kann, sieht man hier alle Programm gleichzeitig arbeiten, ganz ohne das unnötige Beiwerk von „strace“.

Ein Beispiel:

thunderbird(1985): RCO /home/marius/.thunderbird/stmtg0mw.default/Mail/pop3.web.de/popstate.dat
thunderbird(1985): CWO /home/marius/.thunderbird/stmtg0mw.default/Mail/pop3.web.de/popstate-1.dat
thunderbird(1985): WO /home/marius/.thunderbird/stmtg0mw.default/Mail/pop3.web.de/popstate-1.dat
thunderbird(1985): CW /home/marius/.thunderbird/stmtg0mw.default/Mail/pop3.web.de/popstate-1.dat
cinnamon-settin(1773): RO /etc/fstab
cinnamon-settin(1773): C /etc/fstab
systemd-journal(806): O /var/log/journal/7e390913b33b4e5ba8f960a9ba97aeee
systemd-journal(806): RC /var/log/journal/7e390913b33b4e5ba8f960a9ba97aeee

Mit der Option „-f“ kann man die Ausgabe zudem auf einzelne Aktivitäten reduzieren, z.B. mit „-f ow“ auf das Öffnen und Schreiben von Dateien. Mit „-p“ kann man Prozesse ausschliessen und mit „-s“ die Dauer der Aufzeichnung begrenzen.

fatrace ist seit 2011 auf der Welt und wurde von Martin Pitt geschaffen und hat natürlich nichts mit „fat race“ zu tun, sondern mit „File Access TRACE“ 🙂

Was jetzt noch fehlt ist ein komfortables Tool mit Oberfläche, daß auch eine gefilterte Ausgabe erlaubt. Unter AmigaOS wäre das z.B. SnoopDOS  und Window hatte da seinen FileMon. Spontan fällt mir zu fatrace auch sofort ein anderes Anwendungsgebiet ein: NIDS-überwachung.

Wenn man fatrace mit „-f o“ startet könnte man es mit „| grep -E ‚(passwd|group|…andere kritische Pfade)‘ “ auf bestimmte Dateien filtern. Da man zusätzlich noch einen Timestamp einblenden kann, wäre das ausnutzbar um Hackaktivitäten zu finden.

Alternativ kann man Dateien auch mit „inotify“ überwachen. Das wird gern vom Maldet Projekt benutzt um Virenscans bei Dateiänderungen zu machen