Archiv

Archiv für die Kategorie ‘Pentesting’

CVE-2014-0160 und Debian mit Parallels Plesk Fail! *Update*

11. April 2014 2 Kommentare

heartbleedNach wie vor in aller Munde eine kurze Meldung zum Thema Heartbleed, Debian und Plesk.
Mit dem neuen Debian libssl Paket kommt laut Changelog auch die Nachricht, dass betroffene Dienste neu gestartet werden sollten, so das Changelog von Debian:

* Enable checking for services that may need to be restarted
* Update list of services to possibly restart

So kommt nach der Installation eine schoene Box in der ein paar Dienste aufgelistet werden und ein voreiliger Admin wiegt sich danach in Sicherheit, jedoch vorsicht ist angesagt, denn es werden nicht alle Dienste neu gestartet, Paradebeispiel hierfuer ist Debian mit Plesk und Nginx Combo.
Seit Plesk 11.x kommt Nginx als Caching Proxy fuer statische Inhalte mit auf die Server (zumindest in der Standardconfig). Debian startet aber Nginx nicht neu nach dem Update und von daher bleibt die Luecke bestehen, daher unbedingt nach dem Einspielen des Updates pruefen ob auch wirklich alle Dienste sicher sind, die Windowsmethode neustart ist hier durchaus angebracht.

Wieso ich hier ausdruecklich Plesk schreibe? Weil ich weiss das Plesk sich eigenen Paketen bedient und auch die Verwaltung des Startens von Nginx uebernimmt, ich weiss nicht ob sich der Fehler auf Debian Systemen ohne Plesk ebenfalls reproduzieren laesst.

UPDATE: thekingofroots hat das Szenario ohne Plesk durchgespielt und teilt mit, dass Debian Nginx neu startet nach dem libssl Update, danke dafuer.
Es scheint also der direkte Zusammenhang gegeben zu sein zwischen Plesk installiert Nginx und Debian startet diesen nicht neu nach libssl Updates.

CVE-2014-0160 aka Eure geleakten SSL Private Keys *Update*

8. April 2014 4 Kommentare

heartbleedSie ist in aller Munde, die aktuelle Sicherheitsluecke in SSL via TLS Heartbeat durch welche es moeglich ist an die Private Keys von SSL Zertifikaten zu gelangen und somit komplett das System aushebeln koennen.
(Anmerkung: Neben den Private Keys laesst sich theoretisch der komplette Inhalt des Ramsspeichers auslesen, denn es handelt sich bei dem Problem um einen Memleak oder auch Information Disclosure)

Bei der Luecke handelt es sich um einen Fehler der OpenSSL Implementationen der Versionen:

OpenSSL 1.0.1 bis 1.0.1f (inklusive) sind Verwundbar, dies gilt jedoch nur wenn TLS Heartbeat aktiviert ist, bei Debiansystemen ist dies Beispielsweise Standard, mein Server spricht kein TLS Heartbeat und war zu keiner Zeit gefaehrdet.
OpenSSL 1.0.1g, OpenSSL 1.0.0, OpenSSL 0.9.8 hingegen jedoch nicht, dank Jared Stafford gibt es ein passendes Python Script um eigene Server zu ueberpruefen, ob die Sicherheitsluecke bei der eigenen Maschine greift.
Fuer den Fall das die Maschine verwundbar ist, oder war, ist es nicht ausreichend einfach OpenSSL zu updaten und sich sicher zu fuehlen, es muss davon ausgegangen werden, dass die Keys bereits geleaked sind, die Luecke besteht bereits seit ueber 3 Jahren, daher kann ich an dieser Stelle nur dringend empfehlen die SSL Zertifikate auf den betreffenden Servern zu revoken und neue zu erstellen, inkl NEUEM Private Key! Mehr…

Das Ende einer Aera: Full Disclosure stellt den Service ein *Update*

19. März 2014 Keine Kommentare

disclosureJa es mag klingen wie ein schlechter Scherz oder wie eine mittelmaessige Katastrophe, aber sie tritt ein.
John Cartwright schreibt heute auf der FD Mailingliste das der Service eingestellt worden ist und spricht klare, wahre und zugleich traurige Worte.
Es scheint den Gruendern und Betreibern der ML nicht mehr moeglich sein diese aufrecht zu erhalten und damit geht eine Aera zuende.
OpenWall stellt ein Archiv zur Verfuegung und versprechen aktuell das dieses auch online gehalten wird, leider fehlt aber noch ein Betreiber der alten ML und wir koennen hoffen das sich dieser noch findet.
Alternative ML waeren Bugtraq und oss-security@lists.openwall.com, jedoch erreichen beide nicht annaehernd das Format das Full Disclosure hat, damit zu den Abschiedsworten von John: Mehr…

Emergency Selfdestruction von LUKS (unter Gentoo)

8. Januar 2014 Keine Kommentare
cryptsetup

(c) kali.org

Neues Jahr, neuer Blogspot.
Fuer die Paranoiden Verschluessler unter uns haben die Jungs von Kali Linux einen alten Cryptsetup Patch ausgegraben, das Original stammt von Juergen Pabel. Mittels diesem Patch ist es moeglich einen Selbstzerstoerungsmechnismus fuer seine LUKS Devices anzulegen, dieser wird bei der Eingabe des Passworts getriggert. Wird nun statt dem Passwort welches zur Entschluesslung genutzt wird das Notfall Passwort eingegeben, wird nicht entschluesselt sondern alle Keyslots werden geloescht und somit ist eine Entschluesslung der Devices nicht moeglich. Mehr…

EC-Council ECSA & LPT

eccouncilJetzt ist es bald soweit, es geht wieder nach Rotenburg fuer mich ins naechste EC Council Bootcamp, nachdem ich dort bereits den Certified Ethical Hacker absolviert habe nun die 2. Stufe zum „Certified Security Analyst“ und „Licensed Penetration Tester“.

20 Module sollen es werden:

 

  • Methoden fuer Penetrationstests
  • Kunden und Vertraege
  • Planung und Scheduling von Penetrationstests
  • Sammlung von Informationen
  • Schwachstellenanalyse
  • Interne / externe Netzwerk-Penetrationstests
  • Penetrationstests – Router / Firewalls
  • Penetrationstests – gestohlene Laptops, PDAs und Mobiltelefone
  • Penetrationstests – physische Sicherheit Mehr…

Spass mit NFC und Mifare Classic

16. Mai 2013 20 Kommentare

1337Sicherlich kein neues Thema, aber meine aktuelle Spielwiese: Near Field Communication und Mifare Classic 1k Chips.
Im Zuge meines Jobs als Pentester und IT Security Agent in meiner Firma kam natuerlich das Thema Zutrittskontrolle und Co auf den Tisch, unter anderem setzen wir bei uns ein Zahlungssystem ein welches von einem grossen Schweizer Konzern verwaltet wird, um Heissgetraenke aus Bohnenextrakt zu bezahlen.
Jeder Mitarbeiter der moechte bekommt einen Chip welcher mit einem Betrag aufgeladen werden kann, bei uns waeren das 5 Euro, 10, 20, 50. Moechte man nun ein Heissgetraenk haben, macht man sich auf den Weg zum Bohnenpadspendeautomat und erhaelt fuer 20 Cent ein Pad.
Unsere Firma ist so gut, das sie uns den Differenzbetrag den die Pads wirklich kosten zusteuert, nichts desto trotz war natuerlich meine Neugier geweckt, was sind das fuer Chips?

Mit einem Android Handy und NFC Tag Info war schnell klar es handelt sich um NFC Chips mit MiFare Classic 1k, einer Verschluesselung die seit einigen Jahren gebrochen ist und dennoch weltweit massiv genutzt wird, Quellen zu Folge basieren ca. 80% der eingesetzten Zahlungssysteme auf dieser alten Technologie. Mehr…

Metasploit Hostdaten aendern kurz notiert

27. März 2013 Keine Kommentare

Eigentlich ist diese kleine Info kaum einen Blogeintrag wert, aber dennoch moechte ich es kurz notieren, in meiner Funktion als Pentester bin ich auf ein Problem beim Katalogisieren meiner Hosts gekommen welche ich zu testen hatte, die Grundlagen hierfuer sollten bekannt sein, aber ich schneide Sie schnell kurz und knapp an denn die Dokus sind weitreichend die man im Netz findet.
Mein MSF laeuft unter Kali Linux und hier ist soweit alles vorkonfiguriert so das man eigentlich nur schnell die PGSQL Datenbank starten muss und dann kann es eigentlich schon fast losgehen.
Mittels ‚db_nmap -A $HOST1 $HOST2…‘ habe ich meine zu pruefenden Hosts katalogisiert bin jedoch darauf gestossen das bei allen Hosts welche vor allem Debian System sind das „os_sp“ fehlt, hier wollte ich gerne die Debian Version stehen haben auch wenn es eigentlich kein SP als solches ist und dies eigentlich nur unter die Windows Welt gehoert. Mehr…

File Changes mit AuditD ueberwachen

6. Februar 2013 2 Kommentare

auditdWieder einmal das alte Spiel, ein Kunde aus unserem Haus hat einen Hacker auf dem System und benoetigt Hilfe um die Einbruchsspuren zu beseitigen und vor allem um die Luecken zu stopfen.
Wie so oft bot sich mit das uebliche Bild, eine veraltete Debian Installation, mod_php in einer ebenfalls veralteten Version und eine endlose Liste von Typo3 und Joomla Installationen auf dem System welche es hier jedem Angreifer leicht machen sich eine Backdoor zu installieren.
Bei dem Kunden wurden wild .htaccess Files veraendert und der Verdacht lag nah wie das passiert, Shell geoeffnet und schlecht gesetzte Permissions ausgenutzt und das Fehlen von php-cgi.
Nachdem die veraenderten Files bereinigt wurden, die Installation und Verzeichnisrechte angepasst und php-cgi auf einem sauberen, aktuelle Debian laufen sollten ja nur noch Files in verwundbaren Webs veraendert werden koennen und nicht fast Systemweit auf der Maschine.
Auftrag erledigt, Supporter und Kunde gluecklich! Mehr…

Browser Artifact Recovery Forensic Framework

18. Januar 2013 Keine Kommentare

barffMit dem Browser Artifact Recovery Forensic Framework kurz BARFF erhaelt man ein recht interessantes Tool welches fuer forensische Analysen von SQLite Files genutzt werden kann, die SQLite Files welche hier aufgeschluesselt werden koennen sind von Firefox, Chrom(e|ium), Skype oder Google Drive und erlauben es dem Forensiker einblicke in das Verhalten des Users zu erhalten von dem die Datenbanken angelegt worden sind.
Geschrieben wurde Barff in Python 2.7 und ist nach ersten Tests unter Python 3.x nicht lauffaehig, was das Ganze jedoch in keinster Weise schlechter macht. Man sollte jedoch beachten das dieses Projekt noch recht jung ist und sicherlich noch an Features hinzugewinnen wird. Mehr…

Inception: IEEE 1394 SBP-2 DMA Exploiting kostenfrei

11. Januar 2013 6 Kommentare

Die beiden Kits Forensic Disk Decryptor von Elcomsoft oder Kit Forensic von Passware haben es bereits vorgemacht und nun kommt Inception, ein kostenfreies Tool fuerinception IEEE 1394 SBP-2 DMA Exploiting.

Wer nun noch nicht weiss worum es sich hierbei handelt, durch das SBP-2 DMA Exploiting ist es moeglich mit phsyiskalischem Zugriff auf einen Rechner nicht nur alle Passwoerter zurueckzusetzen sondern auch Zugriff auf verschluesselte Partitionen zu erhalten welche Beispielsweise mit  Truecrypt oder Bitlocker verschluesselt wurden.
Dies wird ermoeglicht da Zugriff auf die im Speicher befindlichen Passwoerter oder Keys durch deratige Angriffe ermoeglicht wird.

Inception kann hierzu ueber Firewire, Thunderbolt, ExpressCard, PC Card oder jedes andere PCI/PCIE Interface Mehr…