Autor Thema: Sicherheitskonferenz Black Hat / DeepSec /Defcon etc.  (Gelesen 35822 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Nicht zuletzt durch Sony BMGs fragwürdigen Kopierschutz sind Rootkits und deren Techniken mittlerweile hinreichend bekannt. Dass es neben Rootkits für Unix- und Windows-Systeme auch solche für Datenbanken gibt, ist allerdings nur wenigen geläufig. Alexander Kornbrust von Red Database Security hat bereits im April 2005 eine erste Demonstration eines Datenbank-Rootkits vorgestellt, durch das nicht mehr alle Nutzer und Prozesse einer Datenbank angezeigt werden.

Das Besondere dieser Rootkits liegt in der Unabhängigkeit vom Betriebssystem, da sie sich nur in der Datenbank einnisten; und die kann, wie etwa Oracle, unter Windows, Solaris und Linux laufen. Zudem sind Datenbanken mittlerweile mit so vielen Funktionen ausgestattet, dass sie fast schon ein eigenes Betriebssystem darstellen – allerdings ohne deren Sicherheitsfunktionen. Meist ist über besondere Schnittstellen auch der Zugriff auf die Resourcen des darunterliegenden Betriebssystems möglich.

Mittlerweile arbeitet Kornbrust an Version 2.0 seiner Rootkit-Demonstration, die er auf der kommenden Black-Hat-Konferenz in Las Vegas vorstellen will. Mit den Standardtools zur Administration soll die Tarnkappe nur noch schwer zu entdecken sein. Auch mit den herkömmlichen Security-Tools sei den Datenbank-Rootkits schwer zu Leibe zu rücken, da sie nur die üblichen Betriebssysteme oder Netzwerke analysieren könnten.

Kornbrust versteht sein Tool aber nicht als Hackingwerkzeug, sondern als Werkzeug zur Demonstration von Fehlkonfigurationen und Schwachstellen in bekannten Datenbankprodukten. Gerade weil Oracle und Microsofts SQL-Server immer größere Verbreitung finden, sei damit zu rechnen, dass diese bald vermehrt Angriffen ausgesetzt seien. Ende des vergangenen Jahres tauchte auch schon der erste so genannte Oracle-Wurm auf. Dem Voyager genannten Demonstrationscode fehlte allerdings eine eigene Verbreitungsroutine.

Ein kleine Serie auf heise Security beschäftigt sich mit Rootkits unter Windows. Nachdem der erste Teil die grundlegenden Techniken erläuterte, stellt Windows Rootkits 2005, Teil 2 eine innovative Konzeptstudie vor, die Speicherzugriffe auf Hardware-Ebene kontrolliert und damit unsichtbar für Security-Scanner ist.

Quelle und Links : http://www.heise.de/security/news/meldung/68748
« Letzte Änderung: 22 August, 2010, 10:01 von SiLæncer »

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Black Hat ...
« Antwort #1 am: 31 Januar, 2006, 18:38 »
Black Hat Konferenz: Können Programme, die sich selbsttätig ausbreiten, auch nützlich sein?

Auf der Konferenz " Black Hat Federal " in Arlington im US-Bundesstaat Virginia holt ein Forscher ein altes Streitthema wieder aus der Versenkung hervor. David Aitel, Forschungsleiter der Sicherheitsfirma Immunity schlägt vor, Wurm-artige Programme in lokalen Netzwerken einzusetzen, die nach Sicherheitslücken auf den Computern eines Unternehmens suchen sollen.

Diese Programme, die Aitel als "Nematoden" bezeichnet , sollen sich selbsttätig von Rechner zu Rechner fortpflanzen, jedoch von einem zentralen Server kontrolliert werden. Sie sollen also um Erlaubnis fragen, bevor sie zum nächsten Rechner weiter ziehen. Auf einem Rechner angekommen, sollen sie nach bekannten Schwachstellen suchen und diese an den Kontroll-Server melden.

Im Gegensatz zu schädlichen Würmern sollen die Nematoden auf ein lokales Netzwerk beschränkt sein, jedoch die Grenzen von Sub-Netzen überwinden können. Aitel meint, diese Methode sei effektiver und preisgünstiger als der Einsatz spezieller Netzwerksensoren, für die auch erhebliche Lizenzkosten anfielen, abhängig von der Größe des Netzwerks.

Kritiker sehen vor allem die Gefahr, dass derartige Programme außer Kontrolle geraten könnten. Außerdem berücksichtige Aitels Vorschlag zwar die Steuerung der Ausbreitung, nicht jedoch den möglichen Einfluss selbstreplizierender Programme auf die Stabilität der Computer.

Bereits 1994 hatte der Virenforscher Vesselin Bontchev das Potenzial "guter Viren" grundsätzlich bejaht - alle Versuche der praktischen Umsetzung, die seitdem stattgefunden haben, müssen jedoch als gescheitert angesehen werden. So wurde im Jahr 2003 der Wurm " Welchia " von Unbekannten in Umlauf gebracht, der wohl eigentlich den "Blaster"-Wurm ( Lovsan ) bekämpfen sollte. Welchia war jedoch bei seiner eigenen Ausbreitung so aggressiv, dass er mehr Probleme schuf als er lösen konnte.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/130945/index.html

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Black Hat ...
« Antwort #2 am: 07 März, 2006, 10:55 »
Bereits seit September 2004 liefert Microsoft den so genannten Fingerprint Reader, ein Authentifizierungs-Gerät für PCs, aus. Werbung für den Einsatz des Produkts in sicherheitsrelevanten Bereichen hat das Unternehmen dabei nie gemacht. Ein Sicherheitsexperte des finnischen Militärs hat sich angeschaut warum dies so ist.

Obwohl der Fingerprint Reader nicht autorisierte Personen davon abhalten kann, sich am PC einzuloggen, hat Microsoft dieses Produkt nie für sicherheitsrelevante Bereiche empfohlen, stattdessen sollten Anwender dieses Feature nur als Komfortelement ansehen und nutzen - um sich nicht Dutzende von Passwörtern merken zu müssen und schnell auf Web-Seiten einloggen zu können. Ja, Microsoft warnt sogar ausdrücklich in dem "How To Guide" zum Fingerprint Reader (siehe Ausschnitt rechts) davor, den Fingerprint Reader für sicherheitsrelevante Bereiche zu benutzen.

Dem ist nun der Mikko Kiviharju, Forscher bei den Finnish Defense Forces, nachgegangen. Auf der Black Hat Europe präsentiert der Wissenschaftler seine Ergebnisse . Die Kernaussage: Der Fingerprint Reader von Microsoft verschlüsselt den Fingerabdruck nicht.

Da das Fingerprint Image unverschlüsselt vom Fingerprint Reader an den PC übertragen wird, kann es dementsprechend leicht entwendet werden. Beispielsweise mit einem Sniffer, so Kiviharju. Um den Fingerabdruck weiter zu verwenden, ist den Ausführungen von Kiviharju zufolge dann aber wieder wesentlich mehr technischen Wissen erforderlich.

Was den Forscher und einige Kollegen noch mehr verwundert hat: Ihren Analysen zufolge, hätte Microsoft die Verschlüsselung mit einigen wenigen Änderungen an der Firmware des Produkts aktivieren könnte. "Das hat einige der Experten, die mich kontaktiert haben, ebenfalls sehr verblüfft“, erklärte Kiviharju. "Es ist ein ziemlich anständiges Produkt, aber irgendwie hat Microsoft es geschafft, es zu vermasseln."

Microsoft hat die Technologie für den Fingerprint Reader von der in Redwood City, Kalifornien, ansässigen Firma Digital Persona Inc. lizenziert. Digital Persona stellt ein ähnliches Produkt her - namens U.are.U 4000 -, das die Fingerprint Images allerdings verschlüsselt.

Der Ansicht eines Sicherheitsspezialist zufolge könnte die Einstellung für die Verschlüsselung auch Teil der Lizenzbedingungen sein. Indem eine Versionen des Produkts geschaffen wurde, das nicht auf die Sicherheit fokussiert ist, könnten Microsoft und Digital Persona sicherstellen, dass die Produkte der beiden Firmen nicht gegeneinander konkurrieren, so Russ Cooper, Senior Information Security Analyst bei Cybertrust.

Microsoft war auf Anfragen des IDG News Service kein Kommentar zu entlocken. Digital Persona wollte die Entscheidung von Microsoft, das Feature abzuschalten, nicht kommentieren.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Black Hat ...
« Antwort #3 am: 21 März, 2006, 14:57 »
Aufgrund seiner Einfachheit und Flexibilität hat der kostenlose Voice-over-IP-Dienst Skype recht weite Verbreitung gefunden – nicht zuletzt, weil Skype-Clients auch ohne Umkonfiguration der Firewall von außen erreichbar sind. Sicherheitsspezialisten stellen sich ob solcher Fähigkeiten allerdings die Nackenhaare auf. Da der Hersteller das proprietäre Skype-Protokoll und die genaue Funktionsweise des Clients nicht offengelegt hat, bleibt die Frage, was Skype sonst noch so alles kann und welche Risiken der Einsatz etwa im Unternehmensfeld birgt. Insbesondere wird gerne darüber spekuliert, ob Skype irgendeine Backdoor enthält.

Seit längerem gibt es Versuche, die Arbeitsweise von Skype zu analysieren und zu dokumentieren. Erste Ergebnisse (PDF-Datei) lieferte bereits 2004 die Universität Columbia, die aber hauptsächlich den Netzwerkverkehr untersuchte. Philippe Biondi und Fabrice Desclaux von EADS haben kürzlich auf der Black-Hat-Konferenz nachgelegt und die genauere Arbeitsweise des Clients veröffentlicht.

Sie fanden heraus, dass der Hersteller immensen Aufwand betreibt, um das Reverse Engineering seiner Software zu verhindern. So erkennt der Client beispielsweise, ob er in einem Debugger (etwa SoftIce) läuft und ändert sein Laufzeitverhalten, indem er andere Register und Speicherbereiche nutzt. Teile des Codes sind sogar verschlüsselt und werden erst zur Laufzeit ausgepackt. Die Präsentation "Silver Needle in the Skype" der beiden EADS-Wissenschaftler zeigt aber, wie man Skype austricksen kann, um es trotzdem zu analysieren.

Darüber hinaus ist es den beiden Forscher gelungen, die Art der Datenverschlüsselung, die Berechung des Schlüssels sowie die Authentifizierung von Skype herauszufinden. Ein Teil ihres Vortrags zeigt sogar die prinzipielle Möglichkeit auf, manipulierte Supernodes ins Netz zu bringen, um VoIP-Verkehr umzuleiten und zu belauschen.

Eine abschließende Bewertung geben Biondi und Desclaux nicht ab. Bedenklich sei aber, dass man Skype nicht gut vor Attacken schützen könne, da der Verkehr verschlüsselt ist. Zudem würde jedem Skype-Gesprächspartner eine Vertrauensstellung zugebilligt, die so nicht immer sinnvoll sei. Immerhin loben sie das clevere Design und die gute Implementierung der kryptographischen Funktionen. Ob Skype ein Backdoor enthält, konnten sie allerdings auch nicht beantworten.

Siehe dazu auch:

    * Silver Needle in the Skype (PDF), Vortrag von Philippe Biondi und Fabrice Desclaux


Quelle und Links : http://www.heise.de/security/news/meldung/71094

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Neuer Angriffstyp mit Bildern
« Antwort #4 am: 10 Juli, 2006, 17:24 »
Malware wird in unauffälligen Bilddateien oder PDF-Dateien versteckt, die im Browser angezeigt werden.

Bei bisherigen Ansätzen zum Einschleusen von schädlichem Programm-Code mit Hilfe von Bilddateien gibt es in aller Regel kein Bild, das angezeigt werden könnte. Vielmehr führt der Versuch des Öffnens bei anfälligen Programmen zum Absturz, wodurch der Code im Speicher ausgeführt wird. Die Forscher der zu Verisign gehörenden Sicherheitsheitsfirma Idefense haben jetzt einen Weg gefunden, Code in normalen Bilddateien zu verstecken.
 

Die bislang bekannten Angriffe, etwa der WMF-Exploit , nutzen Sicherheitslücken in Grafikmodulen, indem sie präparierte Dateien verwenden, die auf Grund von Merkmalen wie der Dateiendung als Bild geöffnet werden. Es handelt sich jedoch im Grunde gar nicht um Bilder. Durch einen Pufferüberlauf im Speicher stürzt die Anwendung ab und hinterlässt ausführbaren Programm-Code aus der vermeintlichen Bilddatei im Speicher.

Die von Greg McManus, leitender Sicherheitsforscher bei Idefense, entdeckte Angriffsmethode hingegen verwendet größere Bilddateien, in denen der schädliche Code versteckt wird. Die sichtbaren Bildinhalte bleiben weitgehend erhalten und das Bild wird (zum Beispiel im Web-Browser) scheinbar ganz normal angezeigt. Wie der enthaltene Code dann zur Ausführung gelangen soll, will McManus Anfang August auf der Black Hat Konferenz in Las Vegas demonstrieren.

Sollte sich erweisen, dass die von Idefense entdeckte Angriffsmethode auf breiter Front einsetzbar ist, ohne dass erst noch neue Sicherheitslücken in bestimmten Programmen gefunden werden müssen, kommt viel Arbeit auf die Entwickler von Sicherheitssoftware zu. Sie müssen dann Wege finden, wie schädlicher Code bereits in dem aus dem Internet kommenden Datenstrom entdeckt werden kann, bevor eine solche Datei in einem Programm geöffnet wird. Das ist zwar technisch möglich, kann jedoch die normale Nutzung des Internets ausbremsen.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline Jürgen

  • der Löter
  • User a.D.
  • ****
  • Beiträge: 4999
  • white LED trough prism - WTF is cyan?
Re: Neuer Angriffstyp mit Bildern
« Antwort #5 am: 11 Juli, 2006, 03:21 »
Das lässt Böses ahnen...
Wie ich hier festgestellt habe, wird Spam-Mail häufig so getarnt, dass im HTML- oder plaintext-code nur Fülltext steht, während die eigentliche Botschaft z.B. in einem base64-codierten GIF steckt. So entgeht's den meisten Spam-Filtern von Providern.
In den Mailern von MS wird dann meist automatisch in der Vorschau oder bei'm Öffnen (nur) das Bild gezeigt.
Es ist zu erwarten, dass beides bald zusammen auftritt...

Also sollte die Vorschau generell deaktiviert sein, unerwartete Mail nur als Quelltext  angesehen. Wenn dann nur Mist zu lesen ist, interessiert das Bild auch nicht, Peng!

Bitte nicht vergessen, auch Mailer nutzen eine Browser-Engine zur Darstellung.
Kein Support per persönlicher Mitteilung!
Fragen gehören in's Forum.

Veränderungen stehen an. Dies ist der bisherige Stand:
28,x°,23.5°,19,2°,13°Ost
,1mØ Multifeed, mit Quattro LNBs; Multiswitches 4x 5/10(+x) - alle ohne Terrestrik und modifiziert für nur ein 12V DC Steckernetzteil (Verbrauch insgesamt 15 Watt)
1mØ mit DiSEqC 1.3/USALS als LNB2 an DVB-S2 STB, aktuell 30°W bis 55°O
1.) FM2A88X Extreme6+, A8-6600K (APU mit 4x 3,9 GHz und Radeon HD8570D), 16GB DDR3 1866, 128GB SSD, 3TB HDD, Win10 x64 Pro 1909 / 10.0.17763.107, Terratec T-Stick Plus (für DAB+), Idle Verbrauch ca. 35 Watt
2.) FM2A75 Pro 4, A8-5600K (APU mit 4x 3,6 GHz und Radeon HD7530D), 8GB DDR3 1600, 128GB SSD, 2TB HDD, Win10 x64 Pro, Idle Verbrauch ca. 45 Watt
3.) Raspberry Pi 512MB u.a. mit Raspbian
4.) GA-MA770-UD3, Phenom II x4 940, 8GB DDR2, Radeon HD6570, 2TiB, USB 3.0, 10 Pro x64 (+ XP Pro 32bit (nur noch offline)), Ubuntu 10.4 64bit, Cinergy S2 USB HD, NOXON DAB+ Stick, MovieBox Plus USB, ...

Samsung LE32B530 + Benq G2412HD @ HDMI 4:2; Tokaï LTL-2202B
XORO HRS-9200 CI+ (DVB-S2); XORO HRT-8720 (DVB-T2 HD)
Empfänger nur für FTA genutzt / ohne Abos
YAMAHA RX-V663 (AV-Receiver); marantz 7MKII; Philips SHP2700 ...
FritzBox 7590 mit VDSL2 50000

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Re: Neuer Angriffstyp mit Bildern
« Antwort #6 am: 11 Juli, 2006, 10:36 »
Zitat
auch Mailer nutzen eine Browser-Engine zur Darstellung.

Jo ...und wer z.B. Outlook nutzt ist dann auch gleich wieder beim IE....mehr muss man dazu wohl nicht sagen....

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Exploit für DHCP-Anfälligkeit (MS06-036) veröffentlicht
« Antwort #7 am: 26 Juli, 2006, 10:25 »
Eine bekannte Sicherheitsanfälligkeit im DHCP-Client von Windows kann ausgenutzt werden um Schädlinge einzuschleusen.

Am 11. Juli veröffentlichte Microsoft unter anderem das Security Bulletin MS06-036 , das eine Sicherheitslücke im DHCP-Client-Dienst von Windows behandelt. Inzwischen ist ein Demo-Exploit aufgetaucht, der zeigt, wie die Anfälligkeit ausgenutzt werden kann.

Der als "Geschenk" zur in Kürze beginnenden Sicherheitskonferenz Black Hat 2006 etikettierte Exploit-Code ist nach Angaben seines Programmierers im Beipackzettel nur unter Windows 2000 getestet worden. Der Angriffs-Code nutzt einen Speicherüberlauf in der Programmierschnittstelle (API) des DHCP-Client-Dienstes, indem er einen sehr langen Domain-Namen verwendet. Gelingt der Angriff, startet der anfällige Rechner ständig neu.

DHCP (Dynamic Host Configuration Protocol) wird in Netzwerken genutzt, um einem Computer eine IP-Adresse aus einem Adressen-Pool zuzuweisen. Der Computer sendet auf der Suche nach einem DHCP-Server eine Nachricht an alle Rechner (Broadcast). Jeder Rechner könnte im Prinzip darauf antworten und sich als DHCP-Server ausgeben. So kann auch ein Angreifer mit einer speziell konstruierten Antwort darauf reagieren und einen anfälligen PC übernehmen. Dazu könnte zum Beispiel ein Wurm programmiert werden, der auf DHCP-Anfragen reagiert.

Die Wahrscheinlichkeit eines solchen Angriffs steigt vor allem in mehr oder weniger öffentlichen Netzwerken, etwa bei Konferenzen. Auch und gerade drahtlose Netzwerke (WLAN) eignen sich für einen solchen Angriff. Von der Sicherheitslücke betroffen sind laut Microsoft Windows 2000, Windows XP (auch mit Service Pack 2) und Windows Server 2003 (auch mit Service Pack 1), nicht jedoch Window 98 und ME. Wenn Sie das Sicherheits-Update 914388 noch nicht installiert haben, wird es Zeit dies nachzuholen.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline spoke1

  • Alle angenehmen Dinge des Lebens sind entweder illegal, unmoralisch, teuer oder machen dick!
  • Premium-Cubie
  • ****
  • Beiträge: 2718
  • kaffeine Fan
    • skynetR32 Mod HP
Polnische Hackerin knackt Windows Vista
« Antwort #8 am: 06 August, 2006, 11:26 »


Die polnische Hackerin Joanna Rutkowska hat Windows Vista noch vor dessen Lancierung geknackt. Auf einer Hacker-Konferenz demonstrierte sie Microsoft die Verwundbarkeit des neuen Betriebssystems.

Beim alljährlichen Hackermeeting «Black Hat» in Las Vegas hatte Microsoft das neue Betriebssystem Windows Vista rund 3000 Hackern und IT-Sicherheitsexperten vorgestellet. Im Gegenzug für ein grosszügiges Sponsoring des Anlasses, sollten die Teilnehmer des Kongresses Sicherheitslücken in Vista finden und aufzeigen, wie «Bild Online» berichtet.

Geknackt hat Vista die polnische Hackerin Joanna Rutkowska. Sie demonstrierte vor den Teilnehmern, wie es trotz Schutzfunktion möglich ist, Tarnprogramme für Hacker unter Windows Vista zu installieren. Microsoft behauptete,d iese sogenannten «Root-Kits» künftig zuverlässig aussperren zu können.


Quelle: http://www.20min.ch/news/kreuz_und_quer/story/20122302
Produktiv:
ASRock K8S8X, Athlon64 3000+, 1GB Infineon Ram, WinFast A340 8X AGP, Samsung HD160 GB SATA2,
Technisat SkyStar 2, Stab HH100 Rotor und 5° & 19,2° Ost fest
BS: Mandriva-Linux (mdv) 2010.2 PP, kde 3.5.12, kaffeine 0.8.8, skynetR32

Bastelsrechner:
ASRock N570 SLI, Athlon64 X2 6000+ 4GB Geil Ram, EVGA GeForce G 210 Passiv (1GB DDR3, VGA, DVI, HDMI), Samsung HD 500GB SATA2, TT-budget S2-3200 PCI
BS: immer nur Pinguin freundliche

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Vista Firewall kann ausgetrickst werden
« Antwort #9 am: 06 März, 2007, 18:42 »
Die neue Zwei-Wege-Firewall von Windows Vista ist offenbar auch nicht so unüberwindlich, wie sich Microsoft das gedacht hat. Selbst mit eingeschränkten Benutzerrechten kann sich Malware einen Weg nach draußen schaffen.

Der Antivirus-Hersteller Symantec wird nicht müde an Microsofts neuem Betriebssystem herum zu mäkeln. Besonders dessen neue Sicherheitsfunktionen werden hart rangenommen, bis sich eine Lücke auftut. Nach den Zweifeln an der Benutzerkontensteuerung ist nun die Vista Firewall in die Schusslinie geraten.

Programme, ob schädlich oder nicht, werden von der Vista Firewall erstmal daran gehindert eine Verbindung ins Internet aufzubauen. Für Programme, die das dürfen sollen, kann der Benutzer in der jeweils erscheinenden Dialogbox eine Genehmigung erteilen, so wie das auch von anderen Personal Firewalls bekannt ist.

Dieser Dialog ist laut Symantec aber auch über eine Programmierschnittstelle (API) ansprechbar. So kann Malware den Klick auf die Freigabeschaltfläche auch in Software realisieren, gerade so als ob ein Benutzer darauf geklickt hätte - auch mehrfach. Das ist zwar kein Problem, das es nicht auch bei anderen Firewall-Programmen geben kann, Microsoft hätte jedoch als Hersteller eines neuen Betriebssystems die Chance gehabt diese Umgehungsstraße zu sperren.

Diese Schwachstelle in der Schädlingsabwehr ähnelt der in der Benutzerkontensteuerung, wo ein Klick auf einen Bestätigungsknopf laut Symantec ebenfalls in Software nachgebildet werden könnte. Diese und andere gefundene Schwächen in Vistas Schutzsystem hat Ollie Whitehouse von Symantec in der letzten Woche auf der Sicherheitskonferenz "Black Hat Federal" dargestellt.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline _Immer_Intl_

  • ±Eine einfache Kombination!±
  • Premium-Cubie
  • ****
  • Beiträge: 786
  • Tripping.The.Rift!
Re: Vista Firewall kann ausgetrickst werden
« Antwort #10 am: 08 März, 2007, 08:41 »
m$ hat nix dazu gelernt.

Leute, lasst die Finger von Gurk-ware wie Vi$ta!
Diverse Satschüsseln DVB-Receiver und -Karten...

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Black Hat ...
« Antwort #11 am: 04 Juli, 2007, 12:16 »
Unsichtbar oder nur fast unsichtbar? An der Frage, ob sich ein Virtual Machine Based Rootkit (VMBR) wirklich vollständig der Entdeckung durch Schutzprogramme entziehen kann, entspinnt sich derzeit das Geklüngel um einen Wettkampf zwischen Sicherheitsexperten. Die Rootkit-Expertin Joanna Rutkowska hat bereits 2006 eine Version ihres Rootkit-Prototyp Blue Pill vorgestellt, der das laufende Betriebssystem in eine virtuelle Umgebung verschob – in ihrer Demonstration führte sie das mit einem Vista-Kernel vor. Damit solle das Hypervisor-Rootkit aus dem System heraus nicht mehr erkannt werden können, Rootkit-Detektoren und Virenscanner würden an der Nase herumgeführt.

Die Spezialisten Thomas Ptacek von Matasano Security, Nate Lawson von Root Labs und Peter Ferrie von Symantec wollen daran nicht so recht glauben und führen diverse Punkte an, wie ein Programm auch ein Virtualisierungs-Rootkit entdecken könne. So müsse das Rootkit ein unmodifiziertes System emulieren, was beispielweise das Manipulieren des Time Stamp Clock Registers (TSC) erforderlich mache. Andernfalls könne ein Rootkit-Detektor gestohlene CPU-Zyklen bemerken, meint Nate Lawson. Zudem müsse man auch alle bekannten Fehler des Systems emulieren. Darüber hinaus müsse das Betriebssystem auf VT-unterstützer Hardware auch in der Lage sein, seinen eigenen Hypervisor zu starten, obwohl schon das Rootkit als Hypervisor arbeitet.

Um ihre Annahmen zu beweisen, haben sie Rutkowska zu einem Wettbewerb auf einer der nächsten Black-Hat-Konferenzen herausgefordert. Zwei Laptops werden zur Verfügung gestellt, wovon sie eines mit ihrem Rootkit ausstatten darf. Die Herausforderer untersuchen dann mit ihrer Software die Laptops und versuchen herauszufinden, welches der Laptops mit Blue Pill präpariert ist. Rutkowska ist dem Wettbewerb nicht gänzlich abgeneigt, will aber die Regeln erheblich modifizieren – der Fairness halber, wie sie sagt. So sei die Zahl der zur Verfügung gestellten Laptops auf fünf zu erhöhen, da sonst schon durch einfaches Raten die Wahrscheinlich eines richtigen Tipps bei fünfzig Prozent liege. Auf jedem Gerät soll Blue Pill installiert werden, allerdings beim Start nicht jedes Betriebssystem wirklich verschoben werden. Sichergestellt soll nur werden, dass mindestens eine Maschine mit Blue Pill läuft und mindestens eine nicht. Daneben stellt sie noch einige weitere Forderungen in ihrem Blog.

Zudem sei Blue Pill derzeit noch ein Prototyp, dessen Funktionen noch limitiert seien. Um Blue Pill zu einem professionellem Rootkit auszubauen, das den Wettbewerb gewinnen könne, seien erhebliche Entwicklungsarbeiten nötig: 6 Monate Vollzeit mit zwei Entwicklern. Man sei bereit, diese Arbeit auf sich zu nehmen, allerdings müsse dieser Aufwand irgendwie kompensiert werden: Bei einem von Rutkowsa angenommenen Stundensatz von 200 US-Dollar pro Stunde kämen da schnell mehrere Hunderttausend Dollar zusammen. Ein bisschen piekst Rutkowska in Richtung Thomas Ptacek: Wenn sich er und seine Kollegen so sicher seien, ein Patentrezept gegen Virtualisierungs-Rootkits gefunden zu haben, dann könne es nicht schwer sein, Sponsoren zu finden, die den Wettkampf unter diesen Bedingungen finanzieren würden.

Siehe dazu auch:

    * Joanna: We Can Detect BluePill. Let Us Prove It!, Blogeintrag von Matasano Security
    * We're ready for the Ptacek's challenge!, Blogeintrag von Joanna Rutkowska
    * Reale Löcher in virtuellen Maschinen , Meldung auf heise Security
    * Attacks on Virtual Machine Emulators, Analyse von Pete Ferrie

Quelle und Links : http://www.heise.de/newsticker/meldung/92176

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Black Hat ...
« Antwort #12 am: 02 August, 2007, 18:33 »
Die Rootkits-Spezialistin Joanna Rutkowska hat den Quellcode einer komplett neu geschriebenen Version des Virtualisierungs-Rootkits Blue Pill frei zugänglich gemacht. Bereits auf der Black-Hat-Konferenz in Las Vegas 2006 stellt sie einen Prototypen des Rootkits vor. Das neue Blue Pill wurde nicht nur überarbeitet, sondern bietet neue Funktionen und setzt laut Beschreibung nun auf die Virtualisierungsunterstützung moderner Prozessoren (HVM, hardware virtualized machines).

(New) Blue Pill soll damit in der Lage sein, ein laufendes Windows in eine virtuelle Umgebung zu verschieben – ganz ohne Neustart und für den Anwender unsichtbar. Damit ist es so aus dem System heraus mit bisher bekannten Methoden nicht aufzuspüren. Blue Pill unterstützt dabei AMDs Virtualisierungslösung SVM/Pacifica, um Windows während des Betriebs einen Hypervisor unterzuschieben. Intels Lösung VT-x kann Blue Pill noch nicht nutzen.

Dafür soll Blue Pill einige Funktionen bieten, die seine Erkennenung durch Rootkit-Detektoren erschweren sollen. Unter anderem soll es in der Lage sein, auch verschachtelte Hypervisors zu unterstützen, sowie die Abfrage des Time Stamp Clock Registers (TSCR) zu manipulieren (RDTSC cheating), um zu verhindern, dass ein Spürhund gestohlene CPU-Zyklen entdeckt. Offenbar haben Rutkowsa und der Mitautor von Blue Pill, Alexander Tereshkin, damit auf die Kritik von Thomas Ptacek von Matasano Security, Nate Lawson von Root Labs und Peter Ferrie von Symantec reagiert: Sie wollen nicht so recht glauben, dass Blue Pill unentdeckbar ist und hatten Rutkowsa zu einem Wettkampf herausgefordert – dem sie allerdings geschickt aus dem Wege ging.

Allerdings gibt es in der nun veröffentlichten Version trotzdem ein paar Einschränkungen: Virtual PC 2007 stürzt ab, wenn es in Blue Pill läuft – womit Ptacek, Lawson und Ferrie einen ersten Treffer erzielen könnten. Zudem soll die Manipulation des Time Stamp Registers (RDTSC cheating) noch sehr einfach implementiert sein. Die derzeit zum Download angebotene Version lässt sich offenbar nur unter Windows mit dem Driver Development Kit (NTDDK) übersetzen.

Siehe dazu auch:

    * Blue Pill Projekt, Homepage von Blue Pill
    * Hasch mich, ich bin ein Rootkit, Meldung auf heise Security


Quelle und Links : http://www.heise.de/security/news/meldung/93753

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Webmail-Konten per WLAN gehackt
« Antwort #13 am: 06 August, 2007, 12:45 »
Dass das ungesicherte Abrufen von Mails über einen unverschlüsselten WLAN-Hotspot keine gute Idee ist, ist seit längerem bekannt. Durch die fehlende Verschlüsselung kann ein Angreifer etwa die Anmeldedaten für Webmail-Konten oder das POP3-Konto mitlesen. Das ganze geht aber noch einfacher, wie Robert Graham von Errata Security auf der Black-Hat-Konferenz vorgeführt hat. Um etwa ein Gmail-Konto zu kapern, genügt es, die Cookies während einer Verbindung des Opfers mitzulesen und für die spätere Anmeldung zu benutzen. Dazu muss man also nicht einmal mehr Loginname und Passwort ausspähen.

Zum Cookie-Klau setzte Graham das eigens dafür geschriebene Tool Ferret ein, dass unter anderem Cookies sammelt. Mit dem Tool Hamster importierte er die Kekse in die eigene Keksdose seines Browsers, um anschließend auf die E-Mails zuzugreifen. Ferret kann darüberhinaus noch einiges mehr an Daten im WLAN sammeln. Ein auf der Black-Hat-Konferenz gehaltener Vortrag (PowerPoint) gibt darüber einen Überblick.

Version 1.0 von Ferret steht auf den Seiten von Errata zum Download bereit, Hamster soll demnächst auf den Seiten zur Verfügung stehen. Schutz vor dem Ausspähen am Hotspot bieten nur verschlüsselte Verbindungen. Dazu nutzt man entweder die Sicherheitsfunktionen der jeweiligen Anwendung oder greift auf die Hilfe eines Dienstleisters zurück.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Widgets - Attacke durch die kleinen Helferlein
« Antwort #14 am: 06 August, 2007, 13:26 »
Widgets können nicht nur das Wetter anzeigen oder Nachrichten aus dem Web fischen. Sie können auch als vollwertige Angreifertools ausgenutzt werden.

Viele Anwender und auch Programmierer sehen in Widgets nur Tools, die hübsche Bilder anzeigen sollen.“ So äußerte sich Iftach Ian Amit von der Sicherheitsfirma Finjan auf der Sicherheitskonferenz Defcon 2007 über Widgets, wie sie von Windows Vista und Mac OS X ab Werk zu finden sind. Dabei übersehen die Programmierer und die User jedoch, dass Widgets vollwertige Anwendungen sind, die sich kompromittieren lassen – oder nur zum Zweck der Datenspionage programmiert wurden.

Amit und sein Kollege Aviv Raff demonstrierten anhand zahlreicher Beispiele, wie gefährlich schlecht programmierte oder per se schädliche Widgets sein können. So zeigten sie anhand eines vermeintlichen Hotelreservierungsapplets, wie sich ein bösartiges iGoogle-Applet benutzen lässt, um den Rechner des nichtsahnenden Applet-Nutzers fernzusteuern. Bis vor wenigen Tagen war das laut Amit auch mit Microsofts Online-Dienst live.com möglich. Microsoft hat die Lücke jedoch rechtzeitig vor der Defcon geschlossen.

Nach wie vor angreifbar ist eines der vorinstallierten Widgets aus der Sidebar von Windows Vista. Da der Bug noch nicht behoben wurde, wollte Amit jedoch nicht zeigen, um welches Widget es sich handelt. Auch Yahoo ist dabei, Fehler in seinem Adressbuch-Widget zu beseitigen. Aviv Raff demonstrierte, wie ein Angreifer das Widget nutzen kann, um beliebigen Code auf dem Rechner des Opfers auszuführen.

Die Sicherheitsexperten hatten auch Ratschläge, wie sich Anwender vor solchen Attacken schützen können: Entweder komplett auf Widgets verzichten oder nur Widgets aus vertrauenswürdigen Quellen herunterladen. Yahoo hat inzwischen begonnen, Widgets digital zu signieren und so sicherzustellen, dass sich kein bösartiger Programmcode darin befindet.

Quelle : www.tecchannel.de
« Letzte Änderung: 06 August, 2007, 13:35 von SiLæncer »

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )