nicht nachweisbarer Angriff

B

BlackMarvel

0
Hallo,

ich habe gerade bei den Sternnews gelesen, dass es ein Programm mit Namen "Zecke" gibt, was sich an der Firewall vorbei unbemerkt ins system schleicht. Hat dazu jemand nähere Infos?
 
naja gut dazu muss man aber erstmal programme laufen haben, die anfällig sind, und die auch im netz kommunizieren...

gut es ist trickreich, das keine logs entstehen... aber das ist ja nicht der fehler der firewall.. sondern vielmehr, des programms, dass sich da ausnutzen lässt...(und für den angreifer, die drecksarbeit macht, und somit keine log einträge macht, die als gefährlich einzustufen sind...)

also nichts wirklich neues oder gar erschreckentes...
 
@sieben

Bitte, bitte schick mir das tool, will auch herumhax0rn :D *joke*

Weis einer wie man sich dagegen schütz? Oder bei welchen Firewall das genau auftriett?

lg Crux
 
Original von Crux
Weis einer wie man sich dagegen schütz? Oder bei welchen Firewall das genau auftriett?
Zum Vergrößern anklicken....

schützen.. hm sicherheitupdates, von deinen programmen machen ,die etwas im netz tun (browser etc.)

das hat doch nichts mit einer bestimmten firewall zu tun... so gesehn bei allen, weil wenn ich z.b. deinen internet browser befehle, mir all deine daten zu schicken, dann steht in deiner firewall log , nur das dein browser was gemacht hat... aber da es ja dem browser vertraut, wird das nicht als möglicher angriff gewertet...

also somit , ist das wie ich finde kein fehler der firewall...
 
Hi Forum,

nun die Gelegenheit endlich auch mal was zu schreiben ;o) ...

Ich war ebenfalls auf der IT-Defense und habe Tobi mit seinem Tool live gesehen. Wie Drager schon richtig zusammengefasst hat ist das mehr ein prinzipielles Problem von Firewalls. Mit seinem Exploit auf einen verwundbaren Dienst hat Tobi den Thread, der für die Anfrage des Browsers zuständig war übernommen und weiter im Kontext des Servers ausgeführt. Das weitere Vorgehen, um im speziellen IPS Systeme zu überlisten war es, den Payload und sein Protokoll in das zum Thread gehörende Protokoll einzubetten.

Das eigentlich besondere an der Attacke war, dass sämtliche zum weiteren vorgehen notwendigen Binaries (z.b. cmd.exe, shellserver ....) vom Client injiziert wurden. Deswegen ist auf dem kompromitierten Host kein Festplattenzugriff notwendig geworden, was für die Forensik natürlich fatale Folgen hat ;o).


Grüßle
Andi


ps: Das Tool behält er für sich (was nicht bedeutet, dass es nicht auch andere ähnliche Programme gibt...) und das ist auch gut so. Gottseidank bin ich kein Risk Assessor :p
 
1. Der Congress wurde u.a. von $verlag gesponsort
2. $Verlag verlegt Werke von Tobias Klein
3. Sind verdammt wenig Informationen über Zecker zu erhalten.

Die Technik Firewalls zu durchtunneln ist keineswegs neu. Selbst LOKI hatte schon eben diese rudimentären Techniken und ist _sehr_ alt.
Desweiteren spielen sich ja wohl BO Angriffe meistens im Speicher ab, nech? Und das einzige was meist bleibt sind ggf. logs über diverse crashs. Zudem ist das eigentliche Konzept der klassischen BufferOverflow Angriffe auch hinlänglich bekannt.

Zweifelsohne ist das Programm ein feines Stück Handwerksarbeit aber man sollte beachten das der Weg keinesfallfs neu ist.
In jedem Fall wird Zecke einer Menge Leute dienlich sein die Ihr Geld mit dem Verkauf von "hardware Firewalls" verdienen :)

mfg
 
Werbung für Firewalls ist das bestimmt nicht .... und im Falle von Tobias meinst
Du sicherlich $Sicherheitsfirma mit einschlägigen Produkten und weniger $Verlag.

Grüße
 
Die conference wurde (u.A.) vonm Dpunkt Verlag gesponsort.
Und Tobias Klein hat 2 Bücher vom DPunkt Verlag verlegen lassen.

1) Buffer Overflows und Format-String-Schwachstellen: Funktionsweise, Exploits und Gegenmaßnahmen.
2) Linux-Sicherheit. Security mit Open-Source-Software - Grundlagen und Praxis .

Und in diesem Artikel:
http://www.tomsnetworking.de/index.php?id=a20050205a&tx_rlmpofficeimport_pi1[page]=2&cHash=14e88f1b25
wird eben auch auf eine mächtigere FW aus dem Hause Zyxel verwiesen.
Wobei die Aussage stark zu wünschen übrig lässt.

Und zudem erscheint auch noch Herr Stefan Strobel als Veranstaltungsleiter und zufällig auch Geschäftsführer der Firma cirosec. Was nicht weiter verwunderlich ist, denn sie ist der 2. Sponsor des congress.

Whatever...it-security sells.

Aber was mich interessieren würde ist: Wurden die genauen Funktionsweisen anhand von Code oder flowcharts (auch für Programmierer befriedigend) detailliert erklärt?

Deine Aussage, da Du ja da warst, wäre willkommen :)

mfg
 
Hi,

die Konferenz wurde nicht vom dpunkt Verlag gesponsort sondern in Zusammenarbeit mit cirosec veranstaltet. Die beiden Bücher von T. Klein kenne ich. Allerdings sehe ich nicht den Zusammenhang, den Du herausstreichen möchtest.

Den Artikel von TH kannte ich bis eben noch nicht, auf der Konferenz wurde jedefalls nicht auf irgendwelche Produkte verwiesen. Wäre auch nicht angebracht gewesen - für eine Werbeveranstaltung war es einfach zu teuer.

Zu deiner Frage: Ein Flowchart (in Form einer wunderbaren(?) Präsentation) wurde gezeigt - Codeschnipsel waren natürlich nicht zu sehen. Das war auch eindeutig nicht Intention der Vorführung, welche wohl nur die grenzen moderner Stateful-Firewalls aufzeigen sollte (was Sie auch geschafft hat).

Wie Du schon selbst bemerkt hattest: Weder die Techniken noch die art Tools sind neu und somit für interessierte Geeks ohne weiteres verwendbar.

Bis auf ein paar unnötige Andeutungen und die auffallenden gelben Namensschildchen hielt sich die Werbung in eigener Sache von cirosec sehr in Grenzen.

mfg


ps: der Artikel auf tomshardware scheint mir doch sehr auf laien ausgerichtet zu sein - Du ziehst deine Schlüsse ja hoffentlich nicht daraus... :o)
 
HI

Du sagtest natürlich, gab es keinen Code. Ich hingegen bin es gewohnt solche Probleme wirklich genau zu besprechen und dazu gehört auch eben code und Technik. Wie kann ich mich denn intensiv mit Sicherheit auseinandersetzen ohne vom Wissen anderer profitieren zu können? Das man solche Programme nicht als Beilage zu PC-Welt packt ist jedem klar. Aber als Profi MUSS ich es genau wissen. Auch als Admin und eben gerade als Admin. Ich zahle keine 900? um mir zeigen zu lassen wie unsicher meine Firewall ist und dann darf ich noch nichtmal code sehen?

Das unterscheidet ganz klar objektive Sec-Infotage von denen die von Firma jeglicher Art finanziert werden, die sich noch zufällig in der IT-Sec Branche aufhalten.

Keine Ahnung worauf das hier hinausläuft und ich will auch die action nicht pauschal schlechtreden. Aber es ist eben in 1. Linie eigennützig und sollte nicht als objektive Veranstaltung zur IT Sicherheit betrachtet werden.

mfg und danke für dein Statement :)
 
Hi,

das sehe ich anders, Codeschnipsel brauch ich nur, wenn ich selbst nicht (gut genug) Programmieren kann. Andernfalls reicht die Idee, da die Umsetzung nicht wirklich schwer ist.
Desweiteren war dies ein Treffen der Sicherheitsbranche und deren Verantwortlichen aus der Wirtschaft. Für einen Großteil dieser Leute wäre eine Analyse auf semantischer Ebene sicherlich zu hoch. Das sind halt nunmal Verantwortliche, die einen Überblick brauchen und dann Aufgaben und Verantwortungen delegieren.
Willst Du mehr in die Tiefen gehen, bieten sich sicherlich andere "Konferenzen" an. Also no chmal - ich denke der Vortrag war einfach dazu da gewissen Leuten zu verdeutlichen, dass eine Firewall allein nicht schützt. Das darf natürlich nicht darüber hinwegtäuschen, dass es sich bei der Demonstration um ein seeehr konstruiertes Szenario gehandelt hat.

Btw: Warscheinlich unterstützt es Dich in deine Vorurteilen, wenn ich dir sage, dass T. Klein auch für cirosec arbeitet... ?

;-)

ps: Ich stimme Dir aber natürlich dabei zu, dass es immer einen schaalen Beigeschmack hinterläßt, wenn eine einschlägie Firma wie cirosec auf diese Art und Weise beiläuftig auf eigene Produkte und Servicelines verweist (was hier, auf der Konferenz aber nicht geschehen war).

mfg
 
Hallo,
also ganz passend zum Thema ist ein Video vom CCC zum Thema Personal Firewalls:
CCC - PF

Da zeigen sie unter anderem einen Proof of Concept Trojaner der Befehle und Daten über den Browser empfängt/sendet.
Desweiteren wird gezeigt wie man die Warnmeldungen einer Personal Firewall sofort mit "Ja" bestätigen kann, ohne das der User ein Warnfenster sieht.
Auch wird erklärt dass man dieses Problem nicht ohne ein neues OS lösen kann, denn die Firewall kann nicht überprüfen ob der Klickt Befehl auf den "Erlaub" Button vom User oder von einem Programm kommt.

Auch werden mög. Schäden durch eine Firewall gezeigt, z.B. das Northen die Passwörter, Pins etc. unverschlüsselt zentral speichert.
 
@tbofh

Ein wenig sicherlich :) Aber ich "kenne" T.Klein, seine Bücher und auch die Firma- insofern war es für mich recht klar.
Aber unter dem Gesichtspunkt eine conference für "Enstcheider" auszurichten hast du absolut REcht. Und gerade deshalb stösst es mir ein wenig auf (schuster, bleib bei deinen Leisten).
Aber niemand ist bisher gekündigt worden weil er eine Maschine von IBM gekauft hat- selbst wenn sie nicht funktioniert :)

In diesem Sinne
mfg
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben