http://www.happy-security.de Aktuelle IT-News und Updates von Happy-Security de http://www.happy-security.de/

---

Wieder gibt es einige Updates am heutigen Tag.
Ich hoffe, dass in nächster Zeit noch einige folgen werden.
_{Neue Challenges in der Hacking-Zone}:
02.09.2010 Lost Password [ Reverse-Engineering ] von Jermuk
04.09.2010 Damn Runes [ Steganographie ] von tehron

]]> 07.09.10. 22:00 +0100 diverse Autoren. Bei Kontaktanfrage: support@happy-security.de http://www.happy-security.de/

---

Und schon sind die Geheimnisse per Knopfdruck abrufbar. Aber ist es wirklich so gefährlich? Im Grunde ist es doch genau das, was wir eigentlich wollten. Der Absender wird stärker authentisiert und die Übermittlung läuft hauptsächlich doch sogar verschlüsselt ab. Die zweifelhafte Sache hierbei ist der Zugriff der deutschen Post auf Inhalte der Briefe. Es ist ja nicht so, dass wir nicht die Möglichkeit hätten, selbst unsere Privatsphäre von unberechtigten Dritten zu schützen. PGP-Verschlüsselung mit einer so ausreichenden Verifizierung auszustatten, dass diese sogar für Behörden und andere Staatliche Anstalten annehmbar wäre, schien doch auch keine schlechte Idee zu sein. Doch wo ist das Problem?

Solange niemand die Gefahren, die durch einen halbprivaten Dienstleister kommen, vor Augen geführt bekommt, so lange schreit auch niemand laut genug auf. 55 Cent pro E-Mail für eine Dienstleistung, die nach einer einmaligen Registrierung eigentlich nicht mehr erbracht wird. Maximal die monatlichen Serverkosten müssen eingeholt werden; und diese werden, sofern nicht von irgendwelchen Marketing-Fuzzies hochgerechnet, auch nicht wirklich überhöht ausfallen. Besonders interessant ist, dass der Ausdruck mit Zustellung durch einen humanoiden Briefzusteller, genauso teuer ist, als würde dieser auf dem elektronischen Weg zugestellt werden.

Ich persönlich habe die schwammige Vorahnung, dass wir in 3-4 Jahren diverse Anfragen oder gar unbedeutende Formularübersendungen generell nur noch mittels verfizifierter de-Mail/ePost-Brief-Sendung an Ämter schicken dürfen. Oder anders gesagt: Verifizierte Absender erhalten eine schnellere Bearbeitung und Anfragen über "normale" E-Mail-Adressen landen erstmal auf dem großen Stapel mit den unzähligen Anderen. Sei es aus Angst Ihre Privatsphäre zu verlieren oder einfach nicht einsehend für so etwas Geld zum Fenster hinauszuwerfen.

Was ist eure Meinung zu dieser Sache?
Habt ihr vor, diesen Dienst in Anspruch zu nehmen?

Forumsdiskussion aufrufen
]]> 16.07.10. 22:30 +0100 diverse Autoren. Bei Kontaktanfrage: support@happy-security.de http://www.happy-security.de/

---

Anfang Juni gab es mehrere Berichte zum Kobil Kartenleser-Hack. Gehackt wurde der Kartenleser "Kaan Tribank" mit Firmware-Version 79.22. Kobil hat mittlerweile eine Stellungnahme herausgegeben zum Heise-Artikel vom 02.06. Kobil hat kurz nach Bekanntwerden des Hacks im April bereits einen Patch veröffentlicht. Es wird empfohlen den Patch einzuspielen bzw. auf die aktuellste Firmware-Version zu aktualisieren.

Der Hack:
Einem Hacker mit dem Pseudonym "Colibri" ist es gelungen die Signaturprüfung im Bootloader des Kartenlesers auszuhebeln. Die Signaturprüfung selbst ist in Ordnung, leider ist die Umsetzung schlecht. Dadurch ist es möglich den Bootloader durch einen manipultierten Bootloader auszutauschen, in dem die Signaturprüfung abgeschaltet ist. Dadurch kann anschließend eine eigene Firmware in den Reader geflasht werden.

Colibri hat ein PDF mit einer recht genauen Beschreibung des Hacks veröffentlicht. Wer sich für Reverse-Engineering interessiert, den dürfte dieses Dokument durchaus interessieren. Des Weiteren hat er ein Demo-Tool entwickelt und zum Download zur Verfügung gestellt, mit dem man den Hack an einem ungepatchten Kartenleser durchführen kann.

Quellen:
Colibri: Smartcard-Reader-Hack
Heise: Kartenleser von Kobil gehackt
Kobil: Kobil Support
Kobil: Kobil Stellungnahme (PDF)

Forumsdiskussion aufrufen
]]> 08.06.10. 19:49 +0100 diverse Autoren. Bei Kontaktanfrage: support@happy-security.de http://www.happy-security.de/

---

Das Mozilla Team hat Firefox in der Version 3.6.3 freigegeben. Der Firefox sollte schon bald über die Update-Funktion aktualisierbar sein. Mit diesem Update wird eine kritische Sicherheitslücke geschlossen, die von einem Exploit bei Pwn2Own von Nils ausgenutzt wurde.

Dabei wurde ein Fehler in der Speicherverwaltung ausgenutzt. Nils fand einen Fall, bei dem durch das verschieben von DOM-Knoten zwischen Dokumenten, der verschobene Konten fälschlicherweise seinen alten Bereich behalten hat. Durch das Auslösen der Garbage Collection zur richtigen Zeit benutzt Firefox dieses freigegebene Objekt, wodurch das einschleusen und ausführen von Code möglich ist.

Quellen
Mozilla Entwickler Center: Firefox 3.6.3 security update now available
Mozilla Security Advisory: MFSA 2010-25: Re-use of freed object due to scope confusion
h-online: Firefox 3.6.3 closes a critical hole

Forumsdiskussion aufrufen
]]> 02.04.10. 15:03 +0100 diverse Autoren. Bei Kontaktanfrage: support@happy-security.de http://www.happy-security.de/

---

Der PDF-Sicherheitsspezialist Didier Stevens hat ein PDF-Dokument entwickelt, dass keine konkrete Schwachstelle ausnutzt, sondern eine Option aus der PDF-Spezifikation. Genutzt wird dafür die Option "Launch Actions/Launch File", die auch im PDF eingebettete Skripte und EXE-Dateien ausführen kann.

Der Adobe Reader fragt vor der Ausführung noch nach, wohingegen der Foxit Reader die Datei ohne Nachfrage ausführt. Stevens stellt zwar kein Exploit zur Ausführung eingebetteten Codes bereit, bis er eine Reaktion der Hersteller hat, jedoch ein PoC-PDF erstellt das zumindest die Eingabeaufforderung startet.

Das Abschalten von JavaScript nützt in diesem Fall nichts, weil es nicht verwendet wird. Jedoch kann man zumindest im Adobe Reader, durch Deaktivierung der Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden." über Einstellungen/Berechtigungen, die Ausführung von Anwendungen unterbunden werden. Damit funktioniert der Exploit im Adobe Reader nicht mehr. Foxit hat hier noch nachbesserungsbedarf.

Ich habe mit Hilfe des OpenOffice.org Plugins für den Import von PDF-Dateien den Code unschädlich machen können, indem ich das importierte PDF einfach wieder in ein neues Dokument exportiert habe. Der Code zum Ausführen einer Datei ist damit nicht mehr vorhanden. Könnte für Leute die OpenOffice.org installiert haben eventuell eine Option sein, wenn man nich extra den Adobe Reader installieren möchte.

Quellen
heise: PDF-Exploit funktioniert ohne konkrete Sicherheitslücke
Didier Stevens Blog: Escape From PDF
Didier Stevens Blog: “Escape From Foxit Reader”
PoC-PDF: launch-action-cmd.zip

Forumsdiskussion aufrufen
]]> 31.03.10. 14:49 +0100 diverse Autoren. Bei Kontaktanfrage: support@happy-security.de http://www.happy-security.de/

---

Microsoft glaubt trotz dem Aufzeigen einer massiven Sicherheitslücke bei Pwn2Own, dass der IE sicher sei. Microsoft schreibt dabei in seinem Blog, dass ASLR und DEP nicht konzipiert seien um gezielten Angriffen ewig standzuhalten, sondern um Angriffe zu verlangsamen und zu erschweren. In dieser Funktion seien ASLR und DEP sehr effektiv.

Dennoch ist Microsoft um die Sicherheit seines Browsers bemüht und wird heute, am Dienstag, den 30.03.2010, voraussichtlich einen außerplanmäßigen Patch für seinen Browser herausgeben. Insgesamt sollen 9 Sicherheitslücken in verschiedenen IE-Versionen behoben werden. Grund für den außerplanmäßigen Patch dürfte ein Zero-Day-Angriff sein, der zunehmend ausgenutzt wird, bei dem sich, außer unter Windows 7, im IE 6 und 7 Schadcode einschleusen und ausführen lässt.

Quellen
gulli: Microsoft: IE trotz Pwn2Own-Hack sicher
Microsofts Blog: Protecting Browsers with Defense In Depth Techniques

Forumsdiskussion aufrufen
]]> 30.03.10. 01:21 +0100 diverse Autoren. Bei Kontaktanfrage: support@happy-security.de http://www.happy-security.de/

---

Am ersten Tag von Pwn2Own hat es gleich mehrere Opfer gegeben. Die Opfer waren 1 Smartphone und 3 Browser. So wurden das iPhone und aktuelle Versionen des Internet Explorer, Safari und Firefox erfolgreich angegriffen. Die Hacker waren damit scheinbar besser vorbereitet, als vor dem Wettbewerb von Organisator Aaron Portnoy vorhergesagt. Er war jedoch dicht dran. Er vermutete, dass Safari und Firefox erst am zweiten Tag fallen würden, bei den anderen beiden hat der richtig gelegen.

Charlie Miller, bereits in den Jahren zuvor mit "Apple-Hacks" erfolgreich, führte einen erfolgreichen Angriff gegen den Safari auf einem voll gepatchten Mac OS 10.6 durch. Er erklärte, dass er den Browser auf eine Webseite umleitete, in die Schadcode eingebettet war. Dadurch ist es ihm gelungen auf dem MacBook eine Shell zu öffnen, über er sämtliche Kommandos ausführen konnte.

Vreugdenhil verwendete bei seinem Angriff zwei Schwachstellen des Internet Explorer. Dabei gelang es ihm, die in Windows 7 implementierten Schutzmechanismen ASLR (Address Space Layout Randomization) und DEP (Data Execution Prevention) zu umgehen, wodurch er Benutzerrechte auf dem kompromittierten System erlangte.

Nils, der auch dieses Jahr nicht seinen vollständigen Namen nennen wollte, nutzte im Firefox eine Schwäche in der Speicherverwaltung, sowie eine fehlerhafte Implementierung von ASLR und DEP aus.

Ralf Philipp Weinmann und Vincenzo Iozzo hackten ein, nicht mit einem Jailbreak versehenes, iPhone. Mit ihrem Exploit haben sie die SMS-Datenbank des iPhones auf einen von ihnen kontrollierten Server geladen. Sie brauchten zwei Wochen für die Entwicklung des Exploits, bei dem der schwierigste Punkt die Umgehung des Verifizierungsprozesses war, der prüfen soll ob es sich um echte Apple-Software handelt. Mit geringen Änderungen können auch andere auf dem iPhone abgelegte Daten, wie Adressbuch oder Fotos, ausgelesen werden.

Wie immer werden die Informationen den Herstellern zur Verfügung gestellt und erst veröffentlicht, wenn diese einen Patch bereitstellen. Man darf gespannt sein, wer hier das Rennen machen wird.

Quellen
heise: Pwn2own-Wettbewerb: Safari, IE8 und Firefox gehackt
gulli: Pwn2Own: Schon vier Opfer am ersten Tag

Forumsdiskussion aufrufen
]]> 26.03.10. 00:21 +0100 diverse Autoren. Bei Kontaktanfrage: support@happy-security.de http://www.happy-security.de/

---

Die neue Version 3.6.2 von Firefox schließt neben einer Reihe von anderen Lecks auch eine schwere Sicherheitslücke, die seit Februrar bekannt ist. Der Exploit erlaubt Angreifern aus der Ferne die Kontrolle über einen PC zu erlangen. Secunia stuft die Schwachstelle als hochkritisch ein. Die Entwicklung des Bugfix ließ deswegen länger auf sich warten, weil ihr Entdecker Evgeny Legerov lieber angegeben hat, statt Details zur Lücke zu nennen. Die Mozilla-Entwickler empfehlen möglichst schnell auf die neue Version zu aktualisieren.

Das Bürger-CERT des BSI hatte zwischenzeitig empfohlen einen "alternativen" Browser zu verwenden. In der Warnung des Bürger-CERT wird jedoch nicht erwähnt, dass der IE ebenfalls eine Lücke enthält, die sogar aktiv ausgenutzt wird. Dabei hatte das BSI vor kurzem erst empfohlen den IE vorerst nicht zu nutzen, da dieser eine aktiv ausgenutzte Lücke enthält. Microsoft hat noch heute keinen Patch für diese Lücke bereitgestellt. Es sieht ein wenig danach aus, als würde die Empfehlung auf einen anderen Browser umzusteigen Methode beim BSI werden. Leider behebt dies nicht das Problem sondern verlagert es vielmehr.

Quellen
Mozilla: Firefox 3.6.2 Released
Mozilla: Bug List
heise: Firefox 3.6.2 schließt schwerwiegende Sicherheitslücke

Forumsdiskussion aufrufen
]]> 23.03.10. 10:31 +0100 diverse Autoren. Bei Kontaktanfrage: support@happy-security.de http://www.happy-security.de/

---

Hier wieder ein paar Neuigkeiten von Happy-Security.
_{Neue Challenges in der Hacking-Zone}:
14.03.2010 Debugging protection [ Reverse-Engineering ] von Vellas

]]> 15.03.10. 22:01 +0100 diverse Autoren. Bei Kontaktanfrage: support@happy-security.de http://www.happy-security.de/

---

Und wieder gibt es ein paar Neuigkeiten auf Happy-Security.
Jeder Besucher darf natürlich selbst auch Artikel oder Hackits einsenden.
_{Neue Challenges in der Hacking-Zone}:
03.03.2010 BufferOverflow [ Reverse-Engineering ] von bsdhell

]]> 07.03.10. 22:01 +0100 diverse Autoren. Bei Kontaktanfrage: support@happy-security.de