ghcif.de

Sicherlich kein neues Thema, aber meine aktuelle Spielwiese: Near Fiel Communication und Milfare Classic 1k Chips.
Im Zuge meines Jobs als Pentester und IT Security Agent in meiner Firma kam natuerlich das Thema Zutrittskontrolle und Co auf den Tisch, unter anderem setzen wir bei uns ein Zahlungssystem ein welches von einem grossen Schweizer Konzern verwaltet wird, um Heissgetraenke aus Bohnenextrakt zu bezahlen.
Jeder Mitarbeiter der moechte bekommt einen Chip welcher mit einem Betrag aufgeladen werden kann, bei uns waeren das 5 Euro, 10, 20, 50. Moechte man nun ein Heissgetraenk haben, macht man sich auf den Weg zum Bohnenpadspendeautomat und erhaelt fuer 20 Cent ein Pad.
Unsere Firma ist so gut, das sie uns den Differenzbetrag den die Pads wirklich kosten zusteuert, nichts desto trotz war natuerlich meine Neugier geweckt, was sind das fuer Chips?

Mit einem Android Handy und NFC Tag Info war schnell klar es handelt sich um NFC Chips mit MiFare Classic 1k, einer Verschluesselung die seit einigen Jahren gebrochen ist und dennoch weltweit massiv genutzt wird, Quellen zu Folge basieren ca. 80% der eingesetzten Zahlungssysteme auf dieser alten Technologie. Mehr…

Aktuelle mobile Geraete sind in der Masse eigentlich immer in der Lage von Haus aus verschluesselt zu werden, etwas was vielen Strafverfolgungsbehoerden ein Dorn im Auge sein duerfte, da die Verschluesselung beispielsweise von Google oder Apple gut implementiert werden und fuer die Behoerden kaum eine Moeglichkeit besteht diese zu knacken.
Hierfuer sind diverse Umstaende erforderlich um dies moeglich zu machen, ein Beispiel waeren Cold Boot Attacken, hierfuer muss das Device aber eingeschalten sein und die Behoerden schneller sein als der (ehemalige) Besitzer des Devices und einem moeglichen Remote Wipe.

So laufen die Behoerden nun bei Google und Apple regelmaessig die Tueren ein mit der Bitte die Devices doch bitte zu entschluesseln.
Neben einer eigens eingerichteten Queue fuer derartige Anfragen ist Apple nachweislich in der Lage die eigene Verschluesselung aufzubrechen.
Beweise hierfuer liegen in diversen Faellen vor, ein aktueller Fall waere ein verschluesseltes IPhone was im Besitz eines vermeindlichen Drogendealers war, die ATF (Federal Bureau of Alcohol, Tobacco, Firearms and Explosives) beschlagnahmte dessen Geraet und trat an Apple heran, da das Geraet verschluesselt ist. Mehr…

Schon laenger nicht mehr geblogged, da Zeit ein Gut ist welches ich aktuell kaum ueber habe und weil mir einfach das Thema fehlte was denn auch Anklang stossen koennte und wer mich kennt weiss, Lueckenfueller Posts sind nicht meins.
Google Plus User haben vielleicht schon davon gelesen (Link zum Posting), ich habe eine fuer mich neue Art der Betrugsmails erhalten, ich boeser Kerl habe mir angeblich Pornos kostenfrei besorgt, na sowas.
Strafe soll ich nun bezahlen, soweit alles ein alter Hut, was aber neu ist war die Postbank auf welche ich das Geld ueberweisen sollte, als guter und rechtschaffender Buerger dachte ich mir, forwardest Du das ganze doch einmal an die Postbank, also fix auf die Seiten und auch 3 Adressen gefunden, Privatkunden, Geschaeftskunden und Firmenkunden. Ich weiss nicht so genau was der Unterschied zwischen Firmen und Geschaeften ist, aber lassen wir das einmal dahingestellt. Mehr…

Eigentlich ist diese kleine Info kaum einen Blogeintrag wert, aber dennoch moechte ich es kurz notieren, in meiner Funktion als Pentester bin ich auf ein Problem beim Katalogisieren meiner Hosts gekommen welche ich zu testen hatte, die Grundlagen hierfuer sollten bekannt sein, aber ich schneide Sie schnell kurz und knapp an denn die Dokus sind weitreichend die man im Netz findet.
Mein MSF laeuft unter Kali Linux und hier ist soweit alles vorkonfiguriert so das man eigentlich nur schnell die PGSQL Datenbank starten muss und dann kann es eigentlich schon fast losgehen.
Mittels ‘db_nmap -A $HOST1 $HOST2…’ habe ich meine zu pruefenden Hosts katalogisiert bin jedoch darauf gestossen das bei allen Hosts welche vor allem Debian System sind das “os_sp” fehlt, hier wollte ich gerne die Debian Version stehen haben auch wenn es eigentlich kein SP als solches ist und dies eigentlich nur unter die Windows Welt gehoert. Mehr…

Wie es so oft ist, eigentlich wollte ich ja nicht zu Facebook und ich habe mich lange erfolgreich dagegen gewehrt doch 2009 habe ich mich breit schlagen lassen, als Direktkandidat der Piraten war Facebook einfach mehr oder minder notwendig und schon hatte ich einen Account.
Ueber die Zeit sammelt sich natuerlich hier einiges an und vieles moechte man vielleicht doch gar nicht mehr da sehen, ganz egal wie die Privatsphaeren Einstellungen waren also wollte ich alle Inhalte geloescht haben.
Die Fotoalben sind schnell entfernt, doch was macht man mit den Eintraegen auf der TL?
Diese sind ueber die Jahre doch relativ angewachsen und so begann die Suche, ich will Likes loeschen, ich will Posts loeschen.
Nach etlichen Versuchen bin ich am Ende mit 2 Tools an mein Ziel gekommen, einen grossteil der Likes konnte ich mit einem Greasemonkey Script fuer Firefox loswerden, manuell musste ich jedoch trotzdem nachhelfen. Mehr…

So vergeht die Zeit, mittlerweile sind es 15 Jahre seit dem die Webseiten des ghcif public sind und viele Hoehen und Tiefen sind in dieser Zeit durchlaufen worden.
Ich erinnere mich noch wie aus einem Zusammenschluss von 4 Leuten die Webseite mit einem WYSIWYG Editor zusammengeschraubt worden sind, das erste Logo entstand mit PaintShop Pro und wir hatten nur ein Ziel: Rebellion.

Also musste ein Webspacepaket her, Rootserver waren damals noch unbezahlbar, so aber auch der Space der angemietet wurde, 1GB Webspace inkl CGI und 10 oder 15 Domains, ich bin mir nicht mehr sicher, 1GB heute eine Lachnummer, damals in den Zeiten von Modems und ISDN eine grossartige Sache, ein Name musste her und dieser sollte auch gleich zeigen was es heisst zu rebellieren und ueber die Strenge zu schlagen, Deutsch sollte es sein und alles nur nicht normal und so kam es zum German Hack Crack illegal Force.
Ein Webdesign war schnell gefunden und in den klassischen Farben zusammengeschustert, schwarzer Hintergrund und gruene Schrift, so musste es sein: Mehr…

Seit einigen Tagen wird ja eine neue Version von IceCream Sandwich (Android 4.2.2) ausgerollt und natuerlich musste ich einer der ersten sein die das testen, doch dann kam schnell wieder die Ernuechterung.
Da ich mindestens eine Systemapplikation gepatched habe fiel das Update natuerlich auf die Nase und ich musste erst einmal mein Backup bemuehen.
Soweit so gut, jedoch lange sollte die Freude nicht anhalten und der Updateprozess beendete sich mit folgendem Hinweis:

assert failed: apply_patch_check("/system/lib/hw/power.tuna.so", "5452b798b4d319d3af27c55ba9d0ddc4b6fe6422", "e5c07efe10ed6cbc2306a087b31b685db8449564")
(Status 7)
Installation aborted. Mehr…

Vor einigen Tagen erreichte mich ein befreundeter Forensiker, Marko Rogge von Omega Defense mit einer Frage zu Android, wie sagte er?: “Du kennst Dich doch mit Android besser aus als der Standard User?”, Marko ist im Zuge einer forensischen Auswertung aufgefallen das die Android Facebook App recht viele Daten auf das Mobile schaufelt ohne das hier eine Erlaubnis fuer den Sync gegeben wurde, ein reines installieren und einmaliges Anmelden in dieser war ausreichend um neben allen Profilbildern und Kontakten, alle Privatnachrichten und auch Kontaktadressen auf das Geraet zu schaufeln.
Interessant war vor allem die Tatsache, dass scheinbar versteckte Mailadressen auch auf dem Geraet landen, aber wie wir feststellen konnten nicht alle und so begann die Suche was denn hier passiert ist, am Ende stellte sich heraus das es einen Fehler im Design der Privatsphaeren Einstellungen von Facebook gibt, hier lassen sich Mailadressen zwar fuer Freunde freischalten, jedoch im gleichen Atemzug auf der Webseite von der Timeline/Chronik verstecken, schlaue Idee. Mehr…

Wieder einmal das alte Spiel, ein Kunde aus unserem Haus hat einen Hacker auf dem System und benoetigt Hilfe um die Einbruchsspuren zu beseitigen und vor allem um die Luecken zu stopfen.
Wie so oft bot sich mit das uebliche Bild, eine veraltete Debian Installation, mod_php in einer ebenfalls veralteten Version und eine endlose Liste von Typo3 und Joomla Installationen auf dem System welche es hier jedem Angreifer leicht machen sich eine Backdoor zu installieren.
Bei dem Kunden wurden wild .htaccess Files veraendert und der Verdacht lag nah wie das passiert, Shell geoeffnet und schlecht gesetzte Permissions ausgenutzt und das Fehlen von php-cgi.
Nachdem die veraenderten Files bereinigt wurden, die Installation und Verzeichnisrechte angepasst und php-cgi auf einem sauberen, aktuelle Debian laufen sollten ja nur noch Files in verwundbaren Webs veraendert werden koennen und nicht fast Systemweit auf der Maschine.
Auftrag erledigt, Supporter und Kunde gluecklich! Mehr…

Mein Bruder der einigen vielleicht noch bekannt ist aus seiner letzten, mmh nennen wir es Produktion: Die Fake NCC Nachrichten die am Ende noch die Behoerden auf die Bretter gerufen haben nimmt nun beim 99Fire-Film-Award teil und hier kann man seine Einsendung beaeugt werden und bei Gefallen natuerlich den Daumen hoch auf Youtube und den Sharebutton anwerfen.

Jeder Like, jeder Share und jeder Daumen hoch ist einiges Wert, genug geschrieben Augen auf:
https://www.youtube.com/watch?v=-R79hx6msyA