LinuxTag 2013 Tag 4

Last but not least, gibt es auch die Zusammenfassung von Tag 4 des LinuxTag 2013.

Die Themen an diesem Samstag waren vorwiegend Security und Device Freedom, wobei mich die Security-Tracks mehr interessiert haben, wie man an meinen besuchten Vorträgen sehen kann. Das komplette Vortragsprogramm und weitere Information zum LinuxTag kann man unter http://www.linuxtag.org/2013/

Viel Spaß.

Verteilter Pastebin mit HTML5: DistPaste

Sprecher: Jan-Ole Malchow

In erster Linie ging es um die Neuheiten in HTML5, was man damit anstellen kann und welche Gefahren es birgt. Eine der ersten Aussagen war: "HTML5 Rocks". Warum? Es läuft in allen gängigen Browsern und bietet mit Hilfe von Javascript Zugriff auf Netzwerkstack und Webstorage, jedoch weicht es auch den Zugriff auf Ressourcen über Domaingrenzen hinweg (Cross Origin Resource Sharing, kurz CORS) auf. Somit ist es nun auch möglich komplexe Netzwerkanwendungen zu programmieren, was Jan-Ole mit DistPaste demonstriert hat. DistPaste ist ein verteiltes Pastebin, welches die Text-Snippets nicht auf einem Server ablegt, sondern im Webstorage der Browser, die sich mit der DistPaste-Website verbinden. Die eigentliche Koordination und die Verteilung der Daten auf die einzelnen Clients erfolgt durch einen, in Node.js geschriebenen, Server, die Client-Anwendung wurde in wenigen Zeilen Javascript-Code implementiert.

So schön die Neuheiten auch sind, stellen sich einige Fragen zur Sicherheit, zu denen die Antwort noch aussteht.

  • Woher stammt das Javascript, das auf dem Client ausgeführt wird?
  • Was kann damit alles angestellt werden? (möglichen wären DDoS-Angriffe; Nachladen von schlechtem Code, durch Trojaner; usw)
  • Wem gehören die Daten im Webstorage?
  • Wer ist für die Netzwerkverbindung verantwortlich? (Stichwort: Störerhaftung)

Wer sich dadurch verunsichert fühlt, kann in seinem Browser, Javascript einfach deaktivieren und muss leider auf die Dynamik auf Webseiten verzichten :D

Home Network Horror Stories

Sprecher: Michael Messner

Viele von uns nennen wahrscheinlich eine dieser kleinen, weißen oder auch grauen Boxen ihr Eigen, die meist in der Nähe vom Telefonanschluss verstauben und aus denen Internet fällt, damit wir Blogposts wie diesen lesen können. Die Rede ist von Plasteroutern, die auch Thema dieses Talks waren. Es wurde jedoch nicht gelobt wie toll sie ihren Job erledigen, sondern wie unsicher die Dinger eigentlich sind. Aber was will man auch erwarten, wenn man viele Router im Laden mit dem großen M hinterhergeworfen bekommt und wie kann da noch ein Hersteller auf Sicherheit achten?

Michael hat in seinem Vortrag gezeigt, was mit den Geräten eigentlich nicht stimmt. Es geht damit los, dass die Webserver der Router die Firmware-Revision verraten, das Webinterface wird unverschlüsselt via HTTP ausgeliefert, der Werbserver läuft als root, Passwortänderung ohne Eingabe des aktuellen Passworts und/oder Passwörter werden im Klartext gespeichert.

Weitere Sicherheitsprobleme haben die Webinterfaces, viele sind anfällig für:

  • Cross-site scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Directory Traversal
  • Auth Bypass
  • OS Command Injection

Im Großen und Ganzen, meinte Michael, sind viele Router-Webinterfaces mit den OWASP Top10 Vulnerabilities angreifbar.

Demonstriert hat er einige der Schwachstellen an den Geräten D-Link DIR-300/DIR-600 und Linksys WRT54GL.

Also Augen auf beim Routerkauf, oder man bastelt sich seinen Router aus alter Hardware zusammen und ist selbst für die Sicherheit  verantwortlich.

Anifeatures - Keynote

Sprecher: Benjamin Mako Hill

Antifeatures sind eigentlich der Grund, warum Free and Open Source Software (FOSS) the way to go ist. Beispiele für Antifeatures sind:

  • Sonys Fresh Start "Feature", das sie auf früheren Laptops ausgeliefert hat, eigentlich war es Bloat-Software, damit dieses Fresh Start nicht aufgedrückt bekommt, musste man schlappe 50 $ zahlen
  • Microsoft 7 Starter, erlaubt nur 3 gleichzeitig geöffnete GUI-Programme, möchte man mehr (und jaaaa das möchte man), muss man die nächst größe Windows 7-Variant kaufen
  • Digital Restriction Management (DRM) auf digitalen Medien
  • Chips in Druckerpatronen, damit nur Originalhardware eingesetzt werden kann
  • Copyright-Warnings auf DVDs/BluRays

Unternehmen verkaufen uns Dinge die wir nicht brauchen und verlangen zusätzliches Geld um sogenannte Antifeatures wieder loszuwerden. Wenn das nicht für FOSS spricht!

Totalschaden: Ein gehackter Server auf dem OP-Tisch

Sprecher: Peer Heinlein

Ein Anruf beim Support, "Mein Server wurde gehackt, bringt mir meinen Shop wieder zurück!" und das natürlich so schnell wie möglich. Peer Heinlein hat in seinem Vortrag gezeigt, wie er mit diesem Fall umgegangen ist und welche Funde er gemacht hat.

Wie kam nun der vermeintliche Hacker auf das System? Hier gab /var/log/auth.log Aufschluss, und zwar wurde der SSH-Zugang einer BruteForce-Attacke unterzogen, die zum Erfolg führte. Anschließend platzierte der Angreifer einige verdächtige Perl-Skripte, die am Zeitstempel und anhand verdächtiger UIDs und GIDs erkennbar waren. Nachdem diese gelöscht und der SSH-Zugriff auf wenige IPs beschränkt wurde, war die Webseite des geschädigten auch wieder erreichbar. Bis zum nächsten Anruf.

Wieder hat sich ein Angreifer Zugriff zum System verschafft, diesmal jedoch nicht über SSH. Verdächtige Prozesse waren mit ps oder top nicht auszumachen, nach längerem Suchen, fiel dann aber ein Ordner mit dem Namen "..." auf. Manchmal sind die offensichtlichsten Verstecke die besten, den der Name reiht sich so schön in die Ausgabe von ls -la ein (".", "..", "..."?). Was Peer Heinlein an dieser Stelle noch sagte, man sollte für die Analyse solcher Fälle, weniger bekannte Tools, wie zum Beispiel_ lsof _verwenden. Denn damit hat er herausgefunden, dass eine Anwendung SSH-Verbindungen in die ganze Welt aufbaut. Die o.g. Tools wurden nämlich durch das Rootkit auf dem Server ersetzt und lieferten keine verlässlichen Ausgaben mehr. Ein weiterer Trick der Angreifer sind wohl unauffällige Namen, der Prozess, der die SSH-Verbindungen aufbaute hier "3". Die schlechten Dateien wurden dann auch wieder entfernt und die Website konnte wieder online gehen.

Am besten man gibt die Verwaltung eines solchen Systems in die Hände eines fähigen Admins.

Hacking Contest

Moderation: Kester Habermann und Nils Magnus

Wo wir schon bei gehackten Servern sind.

Es traten an die "Gotischen Systemquaeler" gegen das Team "Legofan". Der Contest teilte sich in drei Runden auf.

  1. Beide Teams mussten, innerhalb von 15 Minuten auf einem Standard-System mit Debian Wheezy, so viele Backdoors mit Bordmitteln einbauen, wie möglich. Auf Leinwänden wurde gezeigt, was die Kontrahenten mit den Systemen anstellten. Leider kann ich das hier nicht beschreiben, da es einfach meinen Horizont überschritten hat. Ich sag nur soviel, lange Perl-Einzeiler, Byte-Mounts und das andocken an system-daemons.
  2. Nun wurden die System getauscht und es mussten die Backdoors der Teams gefunden und unschädlich gemacht werden. Für jede erkannte Hintertür gab's Punkte.
  3. Wieder an den ursprünglichen und nun eventuell sauberen System, zeigten die Teams, welche Backdoors nicht gefunden worden sind und wie sie für den Erhalt von root-Shells ausgenutzt werden können. Remote-Shells waren wertvoller als Local-Shells.

Gewonnen haben die "LegoFan"s, die eigene Zählung ergab nämlich ACHT nicht beseitigte Remote-Shells und ein paar lokale.

Und das war's mit dem LinuxTag 2013, ich freu' mich schon auf nächstes Jahr.