Autor Thema: Sicherheitskonferenz Black Hat / DeepSec /Defcon etc.  (Gelesen 35824 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Rückkehr der Bootsektor-Viren
« Antwort #15 am: 08 Januar, 2008, 11:27 »
Der Entwickler der Anti-Rootkit-Software GMER hat einen Schädling entdeckt, der sich im Master-Boot-Record (MBR) der Festplatte einnistet und Rootkit-Techniken verwendet, um sich im Windows-System zu verstecken. Die Forscher des Sicherheitsunternehmens Prevx haben den Schädling auf mehreren kompromittierten Webseiten entdeckt, die Sicherheitslücken in veralteter Software ausnutzen, um Schadsoftware einzuschleusen.

Das bislang namenlose MBR-Rootkit basiert auf dem frei verfügbaren Code von BootRoot, einer Machbarkeitsstudie des Sicherheitsdienstleisters eEye. Forscher des Unternehmens hatten auf der Blackhat-USA-Konferenz 2005 demonstriert, wie sich ein Schädling in den MBR einnisten, beim Starten des Systems Treiber manipulieren und so den Kernel von Windows NT und darauffolgenden Windows-Systemen unterwandern kann.

Der jetzt entdeckte Schädling kopiert laut der Beschreibung von GMER zunächst den originalen Bootsektor auf den Sektor 62 der Festplatte, kopiert sich selbst in den MBR und schreibt weitere Daten in die Sektoren 60 und 61 der Festplatte. Den Rootkit-Treiber schreibt der Schädling auf freie Sektoren, üblicherweise die letzten Sektoren auf der Festplatte. Der Code im MBR ist anschließend verantwortlich, den Rootkit-Treiber zu laden.

Nach einem Neustart klinkt sich der Code im MBR in den Interrupt 13h ein und erhält dadurch die Kontrolle über geladene Daten und kann sich in den Windows-Kernel einklinken und ihn so patchen, dass dieser den Rootkit-Treiber lädt. Der Rootkit-Treiber klinkt sich wiederum in die Systemfunktionen IRP_MJ_READ und IRP_MJ_WRITE des Treibers disk.sys ein und leitet Leseanfragen für den Bootsektor auf den originalen Code im Sektor 62 um. Außerdem baut der Treiber Verbindungen ins Internet auf.

Das MBR-Rootkit läuft unter Windows Vista nur eingeschränkt: Sofern die Benutzerkontensteuerung aktiviert ist, kann es sich nicht einnisten. Außerdem soll der Code zum Suchen der zu patchenden Stelle im Kernel unter Vista fehlerhaft sein. Unter Windows XP soll es jedoch funktionieren.

Aufspüren lässt sich das Rootkit mit einer sogenannten Cross-Reference, bei der man die Ergebnisse einer Windows-Funktion nach dem Lesen des Bootsektors mit den Ergebnissen eines Direktzugriffs unter Umgehung der Windows-Funktionen vergleicht. Das Entfernen gestaltet sich offenbar auch recht einfach. Mit dem Windows-Werkzeug fixmbr kann man den Schadcode überschreiben und so unschädlich machen.

Zu DOS-Zeiten waren Bootsektor-Viren keine Seltenheit, mit dem Aufkommen von Windows NT sowie der Verbreitung von Windows XP auch bei Privatanwendern verloren sie jedoch an Bedeutung. Die alten MBR-Schädlinge sind unter den aktuellen Betriebssystemen in der Regel auch nicht lauffähig. Vor Kurzem sorgte dennoch ein Medion-Notebook, das mit einem alten DOS-MBR-Virus von der ALDI-Handelskette ausgeliefert wurde, für Aufsehen. Die jetzt hauptsächlich auf kompromittierten italienischen Webseiten entdeckten MBR-Rootkits stellen jedoch eine neue Gefahr dar, für die die Antivirenhersteller zügig Erkennungs- und Entfernungsmechanismen entwickeln müssen.

Siehe dazu auch:

    * Stealth MBR rootkit, Meldung von GMER
    * Master Boot Record Rootkit is here and ITW, Blog-Eintrag von Prevx
    * MBR Rootkit: follow up, Blog-Eintrag von Prevx
    * Download der Quellen zu BootRoot von eEye

Quelle und Links : http://www.heise.de/security/news/meldung/101445/Rueckkehr-der-Bootsektor-Viren

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline Jürgen

  • der Löter
  • User a.D.
  • ****
  • Beiträge: 4999
  • white LED trough prism - WTF is cyan?
Re: Rückkehr der Bootsektor-Viren
« Antwort #16 am: 08 Januar, 2008, 16:07 »
Sollte auf meiner Maschine bei'm Boot der MBR-Bootmanager von XFDISK nicht erscheinen, wäre ich gewarnt.
Der verweigert nämlich bei jeder Manipulation am MBR die Funktion.
Es würde hier ohnehin zunächst mindestens ein weiteres Bootmenue erscheinen, das von Win2k, mit '98 als Default.
Daher würde ich den Boot sofort abbrechen, MBR von einer vorbereiteten DOS-Diskette mit XFDISK zurückschreiben, feddisch...
So brauche ich das jeweils möglicherweise kompromittierte Windows nicht trotzdem zu starten zu versuchen.
Und Ghost läuft ja auch von 'ner DOS-Floppy ;)
(Vor)letzte Image-Sicherung der Systempartition drüber und peng...

Kurzum, ein unkonventioneller MBR-Bootmanager kann durchaus etwas zusätzliche Sicherheit bringen.
Kein Support per persönlicher Mitteilung!
Fragen gehören in's Forum.

Veränderungen stehen an. Dies ist der bisherige Stand:
28,x°,23.5°,19,2°,13°Ost
,1mØ Multifeed, mit Quattro LNBs; Multiswitches 4x 5/10(+x) - alle ohne Terrestrik und modifiziert für nur ein 12V DC Steckernetzteil (Verbrauch insgesamt 15 Watt)
1mØ mit DiSEqC 1.3/USALS als LNB2 an DVB-S2 STB, aktuell 30°W bis 55°O
1.) FM2A88X Extreme6+, A8-6600K (APU mit 4x 3,9 GHz und Radeon HD8570D), 16GB DDR3 1866, 128GB SSD, 3TB HDD, Win10 x64 Pro 1909 / 10.0.17763.107, Terratec T-Stick Plus (für DAB+), Idle Verbrauch ca. 35 Watt
2.) FM2A75 Pro 4, A8-5600K (APU mit 4x 3,6 GHz und Radeon HD7530D), 8GB DDR3 1600, 128GB SSD, 2TB HDD, Win10 x64 Pro, Idle Verbrauch ca. 45 Watt
3.) Raspberry Pi 512MB u.a. mit Raspbian
4.) GA-MA770-UD3, Phenom II x4 940, 8GB DDR2, Radeon HD6570, 2TiB, USB 3.0, 10 Pro x64 (+ XP Pro 32bit (nur noch offline)), Ubuntu 10.4 64bit, Cinergy S2 USB HD, NOXON DAB+ Stick, MovieBox Plus USB, ...

Samsung LE32B530 + Benq G2412HD @ HDMI 4:2; Tokaï LTL-2202B
XORO HRS-9200 CI+ (DVB-S2); XORO HRT-8720 (DVB-T2 HD)
Empfänger nur für FTA genutzt / ohne Abos
YAMAHA RX-V663 (AV-Receiver); marantz 7MKII; Philips SHP2700 ...
FritzBox 7590 mit VDSL2 50000

Offline KobiP

  • Cubie
  • **
  • Beiträge: 30
Re: Rückkehr der Bootsektor-Viren
« Antwort #17 am: 09 Januar, 2008, 00:37 »
Oder Vista mit aktiviertem UAC :-) Allerdings könnte der schutz u.U. über diesen Weg ausgehebelt werden. Mal schauen!

Cya
Ich gebe keinen Support über PM/ICQ/Email ,bitte stellt eure Fragen ins Board!!

Meine Hardware
HTPC:
Hardware: X2 4200+ 2,2GHz, 2GB RAM, Gigabyte GA-MA78GM-S2H, Radeon HD3450, Pinnacle PCTV 7010iX Dual DVB-S
Software: Vista Home Premium SP1, DVBViewer Pro 4.0.0.0., vPlug 2.1.6

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
SQL-Injection reloaded: Zugriff auf das Betriebssystem
« Antwort #18 am: 17 April, 2009, 14:43 »
Mit SQL-Injection können Angreifer nicht nur die Datenbank manipulieren, sondern vollautomatisch gleich den kompletten Server samt Betriebssystem unter ihre Kontrolle bringen. (Infos dazu auch im heise-Security-Artikel "Giftspritze - SQL-Injection"). Das demonstrierte der IT-Sicherheitsspezialist Bernardo Damele Assumpcao Guimaraes während der Hackerkonferenz Black Hat mit seinem Tool sqlmap. Das von Guimaraes entwickelte Tool beherrscht diverse Angriffsarten für alle drei gängigen SQL-Server – und das sowohl unter Windows als auch unter Linux.

Sqlmap erkennt, ob es sich um einen MySQL, PostgreSQL oder Microsoft SQL Server handelt und wählt automatisch den jeweils passenden Angriffsweg. Laut Guimaraes unterscheiden sich die Methoden fundamental je nach Server, um die diversen Ziele eines Angriffs zu erreichen. Auch sind je nach Ziel verschiedene Nutzerrechte nötig. Laut Guimaraes sind jedoch die meisten Datenbankinstallationen von Haus aus so konfiguriert, dass die sqlmap-Angriffe auch in der Praxis klappen.

Im Unterschied zu bisher bekannten SQL-Injections beschränkt sich sqlmap nicht darauf, Werte aus der Datenbank auszulesen, Tabellen zu verändern oder Inhalte an Tabellen anzuhängen. Das Tool ist vielmehr darauf ausgelegt, weitaus komplexere Angriffe durch sogenannte Stacked Queries zu automatisieren. Die bisher bekannten SQL-Injections sind nur Vorstufe und Grundlage für das, was sqlmap eigentlich beherrscht.

So bringt das Open-Source-Tool Funktionen zum Lesen und Schreiben des Datei-Systems mit. Der Angreifer soll damit beliebige Binär- oder Textdateien vom Angriffsziel auf seinen Rechner übertragen können – vorausgesetzt, er kennt den exakten Dateinamen und Pfad. Sqlmap nutzt hierzu je nach Servertyp unterschiedliche, aber standardisierte SQL-Kommandos, um die Files zu lesen. Anschließend wird die Datei auf dem Datenbankserver in eine vom Tool automatisch angelegte Tabelle kopiert, deren Inhalt dann wieder auf die Maschine des Angreifers geschrieben wird.

Der Schreibzugriff gestaltet sich indes etwas komplexer: Hierzu konvertiert sqlmap das betreffende File erst in eine hexadezimale Zeichenkette, teilt die Kette im Fall von MySQL in maximal 1024 Byte große Teilstücke und kopiert die Teilstücke dann in zwei Schwüngen erst 1024 Byte, dann den Rest in eine Tabelle. Der Tabelleninhalt wird dann in eine Datei ins Temp-Verzeichnis des Datenbankservers kopiert. Das Zerstückeln des Files erklärt der Programmierer damit, dass so eventuell vorhandene Beschränkungen des zum Datenbankserver gehörenden Web-Frontends unterlaufen werden. Erkennt sqlmap einen Microsoft SQL Server, wird das hochzuladende File in 64 Kilobyte große Happen zerteilt – genau die Größe, die das auf Windows-Maschinen vorhandene debug.exe verarbeitet. Denn sqlmap weist debug.exe an, aus den 64-KByte-Files eine einzelne, ausführbare Datei zu bauen.

Diese Funktionen, insbesondere natürlich der Schreibzugriff, sind die Grundlage für den eigentlichen Clou von sqlmap: Vollständiger Remotezugriff per SQL-Injection. Dazu hat Bernardo Damele Assumpcao Guimaraes seinem Werk die Funktion -os-pwn mit auf den Weg gegeben. Wird der Parameter verwendet, versieht sqlmap den zum bekannten Metasploit Framework gehörenden Client meterpreter automatisch mit den vom Angreifer gewünschten Parametern und kopiert den Client über eine Abwandlung des File-Uploads auf den Server. Sqlmap kodiert meterpreter zuerst mit dem Metasploit-eigenen Encoder msfencode, um beim Upload eventuell vorhandene Virenscanner ins Leere laufen zu lassen.

Laut Guimaraes erkennt keiner der gängigen 42 Virenscanner ein File, dass mit einem der 13 Metasploit-Encoder bearbeitet wurde. Dabei sind diese Encoder seit langem hinlänglich bekannt. Nach erfolgtem Upload nutzt sqlmap je nach vorhandenem Betriebssystem entweder sys_exe() oder xp_cmdshell() (MS SQL), um meterpreter zu starten. Schutzmaßnahmen gegen solche Attacken sind hinlänglich bekannt: Der Entwickler der Webanwendung muss sicherstellen, dass keine SQL-Kommandos zum Datenbankserver weitergereicht werden. Es gilt, die betreffenden Kommandos direkt nach der Eingabe ins Webfrontend zu filtern.

Quelle : http://www.heise.de/newsticker/SQL-Injection-reloaded-Zugriff-auf-das-Betriebssystem--/meldung/136340

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Vortrag über Knacken von Geldautomaten abgesagt
« Antwort #19 am: 01 Juli, 2009, 10:58 »
Das Hacken von Bankautomaten sollte der Inhalt des für die kommende Black-Hat-Konferenz geplanten Vortrages "Jackpotting Automated Teller Machines" sein. Aufgrund der Intervention eines nicht genannten Automatenherstellers hat der Netzwerkriese Juniper allerdings den Vortrag seines Mitarbeiters Barnaby Jack zurückgezogen.

Die Schwachstelle in den Automaten habe zu weitreichende Konsequenzen, sodass man dem Hersteller vor der Veröffentlichung eine Chance zum Beseitigen gebe müsse. Zudem seien auch andere Hersteller von dem Problem betroffen, schreibt Juniper in seinem Firmen-Blog.

Barnaby Jack wollte auf der Black Hat im Anschluss seines Vortrages sogar einen Live-Hack eines Automaten vorführen und sich Geld auszahlen lassen. Zweifel an der Sicherheit von Geldautomaten werden zuletzt auch durch Meldungen über Fälle von Vireninfektionen von Diebold-Automaten genährt.

Zurückgezogene Vorträge sind nichts Neues für die Black Hat. Zuletzt verhinderte Apple Mitte 2008 eine Präsentation über Lücken in FileVault. Anfang 2007 wurde ein RFID-Vortrag wegen angeblicher Patentverstöße abgesagt. Für die größte Aufmerksamkeit sorgte aber der Versuch von Cisco, einen Vortrag von Michael Lynn über Sicherheitslücken im Routerbetriebssystem IOS zu stoppen. Lynn hielt zwar seinen Vortrag, musste aber später sämtliche Präsentationsmaterialien löschen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Black Hat ...
« Antwort #20 am: 26 Juli, 2009, 13:36 »
Zwei Mitglieder der HP Web Security Research Group wollen auf der in Las Vegas stattfindenden Black-Hat-Sicherheitskonferenz ein anonymes Peer-to-Peer-Netzwerk im Webbrowser demonstrieren. Solch ein sogenanntes Darknet ist ein virtuelles privates Netzwerk, in dem Anwender ohne Angst vor Ausspähung miteinander kommunizieren und Daten tauschen können.

Laut Billy Hoffman und Matt Wood bedarf es normalerweise der Installation von Software (etwa Freenet) und diverser Konfigurationen, um ein Darknet zu betrieben. Mit der Lösung von Hoffman und Wood soll ein Webbrowser genügen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
HP-Forscher zeigen Details des Browser-Darknet
« Antwort #21 am: 29 Juli, 2009, 12:45 »
Einen Tag vor der offiziellen Präsentation auf der Sicherheitskonferenz Blackhat gewährten die HP-Forscher Billy Hoffman und Matt Wood heise Security einen ersten Blick auf ihre Browser-basierte Darknet-Software namens Veiled (engl. verschleiert). Solch ein Darknet ist ein virtuelles privates Netzwerk, in dem Anwender ohne Angst vor Ausspähung miteinander kommunizieren und Daten tauschen können.

Veiled kommt im Vergleich zu anderen Darknets wie Freenet oder Gnutella TOR ohne Installation einer Client-Software aus und besteht nur aus HTML- und JavaScript-Code, der komplett vom Browser abgearbeitet wird. Einzige Voraussetzung: Der Browser muss vollständig kompatibel zu HTML5 sein. Laut Hoffman läuft die Software daher problemlos unter Firefox und Safari (auch auf dem iPhone) und mit Einschränkungen sogar unter dem Internet Explorer 8. Kommt der IE zum Einsatz, fehlen allerdings Funktionen wie die gezielte Steuerung des lokalen Festplattenplatzes, der vom Darknet belegt werden kann. Googles Chrome soll erst in der kommenden Version 3.0 ebenfalls HTML5-tauglich sein.

Auf die Frage, warum sie eine weitere Darknet-Variante entwickelt haben, antworten Hoffman und Wood im Einklang: "Weil wir demonstrieren wollten, dass ein Browser nicht nur stupide Webseiten anzeigen kann. Außerdem sind wir davon überzeugt, dass Darknets wesentlich weiter verbreitet wären, wenn die Einstiegshürden wie Download, Installation und Konfiguration der Client-Software nicht existierten."

Hoffman weist zwar daraufhin, dass Darknets zumeist zum illegalen Datenaustausch genutzt werden. Er sieht dank Browser-Darknet aber auch die Chance, dass legale Anwendungen Verbreitung finden. So könne er sich eine Darknet-basierte Version der Whistleblower-Site Wikileaks vorstellen, die aufgrund des Aufbaus weniger anfällig gegen rechtliche Konsequenzen wäre als die klassische, auf Webservern aufbauende Version.

Veiled wird gestartet, in dem der Anwender eine bestimmte, vom Darknet-Betreiber erstellte PHP-Datei von einem Web-Server aufruft. Die Datei dient quasi als Router zwischen allen Darknet-Clients. Die Kommunikation zwischen den Clients wird per RSA verschlüsselt. Um die Sicherheit zu erhöhen, kann man die PHP-Datei auf mehrere Webserver verteilen. Beim ersten Aufruf teilt der ursprüngliche Server den Clients die übrigen Adressen mit, so dass sich der Browser im Falle eines Ausfall an einen der Backup-Supernodes wenden kann.

Wie bei anderen Darknets auch gibt es keinen zentralen Speicherort für die unter den Darknet-Nutzern ausgetauschten Dateien. Vielmehr gibt jeder Anwender eine frei definierbare Menge an Plattenplatz frei, die Darknet-Software verteilt alle vorhandenen Files dann stückchenweise auf die verfügbaren Platten. Ein ähnliches Konzept will auch Opera in der kommenden Version seines Browsers mit Opera Unite implementieren.

Im Fall von Veiled steht der Plattenplatz indes nur so lange zur Verfügung, wie die Browser-Session andauert. Um Datenverluste durch Engpässe zu vermeiden, belegt Veiled automatisch nur einen Bruchteil des kumulierten Speicherplatzes.

Neben dem Datenaustausch beherrscht Veiled noch einen Gruppen- und einen Privatchat (jeweils AES-codiert), eine Web-in-Web-Funktion (HTML-Files, die auf im Darknet gespeicherte Files verweisen) und eine Distributed-Computing-Funktion (alle Clients arbeiten gemeinsam eine Aufgabe ab, wie zum Beispiel das Berechnen von Hash-Werten). Alle Funktionen sind vollständig in JavaScript implementiert.

Hoffman und Wood wollen ihren Browser-Darknet-Prototypen jedoch nie veröffentlichen. Es soll weder eine kommerzielle, noch eine Open-Source-Variante geben. Letzterem stünden die HP-internen, länglichen Prozesse im Weg, meinte Hoffman gegenüber heise Security. Schließlich müssten etliche Fragen zum geistigen Eigentum gründlich geklärt werden. Die HP-Forscher wollen in ihrer demnächst von der Konferenzwebseite herunterladbaren Präsentation jedoch genügend Hinweise zu den jeweiligen von ihnen geschaffenen Problemlösungen geben, so dass andere Programmierer Veiled leicht nachbauen können.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Black Hat: PIN an der Steckdose abgreifen
« Antwort #22 am: 30 Juli, 2009, 11:33 »
Auf der Sicherheitskonferenz Black Hat, die derzeit in Las Vegas stattfindet, haben die italienischen Sicherheitsforscher Andrea Barisani und Daniele Bianco einen PS/2 Protocol Keyboard Sniffer vorgestellt. Dieser kann die Tastenanschläge von PS/2-Tastaturen aus der Masseleitung im Stromnetz auslesen. Nach Angaben von Barisiani war das Team damit in der Lage, die PINs von Geldautomaten in Italien ohne Kamera oder andere Methoden nur via Steckdose auszulesen. Damit zeigen die beiden eine weitere Skimming-Quelle auf.

Als Skimming wird ein Man-in-the-Middle-Angriff bezeichnet, bei dem von Kredit- oder Bankkarten sowohl die Magnetstreifeninformationen wie auch die PIN ausgespäht werden. Ein verbreiteter Weg ist das Anbringen zusätzlicher Hardware auf dem Kartenschlitz des Bankautomaten zum Abgreifen der Magnetstreifendaten, die PIN wird häufig beim Eintippen gefilmt.

Die Sicherheitsforscher demonstrierten auch das Ausspähen von Keyboard-Eingaben, indem sie mit einem Lasermikrophon die Vibrationen von Notebooks mitlasen und diese anschließend mittels einer stochastischen Analyse einer Wahrscheinlichkeitsauswertung unterzogen.

Die Beiträge der Black Hat stehen zwei Wochen nach der Veranstaltung online im Archiv zur Verfügung.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Black Hat: Neue SSL-Attacken demonstriert
« Antwort #23 am: 30 Juli, 2009, 12:08 »
Erneut hat der IT-Sicherheitsexperte Moxie Marlinspike eine gefährliche Schwachstelle bei SSL-Zertifikaten offengelegt: Während seiner Präsentation im Rahmen der Blackhat-Konferenz am Mittwoch in Las Vegas demonstrierte Marlinspike, wie leicht er sich ein gültiges Zertifikat für eine fremde Domain wie zum Beispiel www.paypal.com von einer Zertifizierungsstellen ausstellen lassen konnte. Der Trick: Marlinspike fügte beim Beantragen des Zertifikats im Namensfeld (CN, Common Name) ein Nullzeichen (\0) zwischen den gewünschten Domainnamen und den Namen der eigenen, bereits in seinem Besitz befindlichen Domain thoughtcrime.org ein.

Einige Zertifikatsstellen interpretieren die so entstehenden URLs wie www.paypal.com�.thoughtcrime.org so, dass sie nur den hinteren Teil des Domainnamens auslesen und den Rest als Subdomain betrachten. Da der Prozess vollkommen automatisch abläuft, geht dem per WHOIS-Abfrage ermittelten Besitzer der Domain thoughtcrime.org das Zertifikat zu. Laut Marlinspike lassen sich so auch verschiedene Zieldomains wie www.ebay.com gruppieren, indem sie in Klammern und durch Pipe-Zeichen getrennt vor das Nullzeichen gepackt werden.

Liest ein Browser oder eine andere Anwendung mit SSL-Stack das frisierte Zertifikat ein, interpretiert die Software das Nullzeichen als Stopzeichen und ignoriert alle folgenden. Auf diese Art kann ein Angreifer per Man-in-the-Middle-Attacke vorgaukeln, www.paypal.com zu sein und das dazu passende Zertifikat präsentieren. Selbst ein Wildcard-Zertifikat soll sich durch den Trick erstellen lassen, indem kein Domainname sondern ein Stern (*\0.thoughtcrime.org) dem Nullzeichen vorangeht.

Laut Marlinspike ist momentan einzig Firefox 3.5 in der Lage, den Schwindel zu entdecken und die Zertifikate als ungültig abzustempeln. Für die Version 3.0 ist ein Update geplant, wie Marlinspikes Kollege Dan Kaminsky erklärt. Der durch den DNS-Bug bekannt gewordene Kaminsky hat zufällig die gleiche Entdeckung gemacht wie Marlinspike und die Firefox-Macher informiert. Microsoft ist noch dabei, den Internet Explorer gegen die Attacke abzusichern.

Opera und Safari ignorieren das Nullzeichen und fügen die beiden Domains einfach zusammen. Der Hacker gibt jedoch zu bedenken, dass die eventuell kommenden Softwareupdates in einer kompromittierten Umgebung ihren Weg niemals auf den PC des Anwenders finden, da sich der automatische Updatemechanismus ebenfalls per sslsniff aushebeln lässt. Einzig das Patchen des Internet Explorer ist dank des bis heute nicht angreifbaren Windows Update sicher.

Marlinspike will die Funktion, ein Nullzeichen-Zertifikat automatisch während der Man-in-the-Middle-Attacke auszuliefern, in die kommende Version seines seit mehreren Jahren weiterentwickelten Tools sslsniff integrieren.

Siehe dazu auch:

    * Black Hat: Neue Angriffsmethoden auf SSL vorgestellt

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Cracker nehmen Hacker-Promis ins Visier
« Antwort #24 am: 30 Juli, 2009, 19:13 »
Am Vorabend der IT-Sicherheitskonferenz Blackhat veröffentlichten Cracker ein umfangreiches Textdokument in Form des Untergrund-Magazins Zero for Owned (ZF0), in dem sich massenhaft E-Mails, Chatprotokolle, Passworte und anderen private Informationen von prominenten Mitgliedern der Security-Szene befinden. Die Cracker haben die Daten offenbar durch Einbrüche in die Webserver von Kevin Mitnick, Dan Kaminsky und Julien Tinners erbeutet. Sie brüsten sich damit, auf diese Weise alleine 75.000 Klartextpasswörter erbeutet zu haben, die großen Teils aus den Datenbanken der auf den betroffenen Servern laufenden Forensysteme stammen.

Auf der inzwischen offline genommenen Site von Dan Kaminsky, der im vergangenen Jahr durch die Entdeckung eines Fehlers im DNS-System auch außerhalb der Hacker-Szene bekannt wurde, haben die Cracker die Motivation hinter ihrem Treiben erläutert: Sie kritisieren die Promi-Hacker dafür, dass sie Sicherheitsprobleme in den Medien aufgeblasen haben, um ihre eigenen Karrieren zu fördern. Kaminsky werfen sie vor, stets nur nach medial verwertbaren Bugs zu suchen, und der einstmals für seine Hacks verhaftete Mitnick wird dafür kritisiert, dass er nur noch vom Ruhm längst vergangener Tage zehrt. Gleichzeitig fehle es den Opfern selbst aber an Fachwissen, was nun durch die Hacks belegt werden sollte. Außerdem greifen die Verfasser von ZF0 die enge Zusammenarbeit zwischen den White-Hat-Hackern und der Industrie an und verdammen das verantwortungsvolle Offenlegen von gefundenen Sicherheitslücken (responsible disclosure).

Laut Kaminsky fiel den Crackern lediglich privates beziehungsweise irrelevantes Material in die Hände, jedoch keine Informationen, die zu neuen Angriffen oder Exploits führen können. Auf Nachfrage von Journalisten erklärte er, dass der Hack gefährlicher aussieht, als er de facto ist ("It is just drama"). "Ich verstehe nicht, was an meinem Liebesleben so spannend sein soll. Ich hätte kein Problem mit dem Hack, wenn es wenigstens um technische Details ginge", so Kaminsky weiter. Per Twitter schrieb er wenige Stunden nach dem Hack: "Unschön, aber was solls. Wer sich in eine Schlacht begibt, kann darin umkommen."

Unklar ist noch, wie die Cracker in die Server einsteigen konnten. Im Fall von Kaminsky waren es anscheinend zu kurze – das Root-Kennwort war angeblich lediglich fünf Zeichen lang – und zudem einfach zu erratende Passworte und eine nicht näher beschriebene Zero-Day-Lücke in einer Server-Komponente. Gerüchten zufolge könnte es sich um ein Sicherheitsloch in OpenSSH handeln, allerdings bestehen erhebliche Zweifel an dessen Existenz. Der Server von Kevin Mitnick wurde laut einem Artikel des Register geknackt, weil die Angreifer den Host des Shared-Hosting-Providers übernehmen konnten und somit auch Mitnicks Site unter ihre Kontrolle bekamen. Gegenüber The Register sagte Mitnick in Richtung von Dan Kaminsky, dass er selbst niemals sensible Dokumente auf einen aus dem Internet zugänglichen Rechner legen würde und dass andere offenbar der "Illusion der Unangreifbarkeit" erlegen seien.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Hacker nehmen Extended-Validation-Zertifikate aufs Korn
« Antwort #25 am: 31 Juli, 2009, 12:42 »
Die Sicherheitsspezialisten Alexander Sotirov und Mike Zusman zeigten auf der am Donnerstag zu Ende gegangenen Sicherheitskonferenz Blackhat verschiedene Möglichkeiten, mit EV-SSL-Zertifikaten gesicherte Verbindungen via Man-in-the-Middle anzugreifen.

Extended-Validation-SSL-Zertifikate sollen Webseitenbetreibern und- nutzern mehr Sicherheit bieten als herkömmliche SSL-Zertifikate (auch DV-SSL-Zertifikate genannt, Domain Validated). Kern des Verfahrens ist eine strengere Vergabepraxis von Zertifikaten. Eine simple Online-Registrierung – inzwischen Standard bei der Vergabe herkömmlicher SSL-Zertifikate – genügt nicht mehr. Damit will man ausschließen, dass Angreifer sich dubiose Zertifikate wie www.paypal.com.domainname.com ausstellen lassen können. Zudem ist die Überprüfung der Identität des Zertfikatsantragsstellers durch die Zertifizierungsstelle strenger. Außerdem dürfen EV-SSL-Zertifikate ab 2010 nicht mehr mit MD5- oder RSA-1024Bit-Hashwerten signiert werden. Unterstützt der benutzte Browser EV-SSL, wird die URL der aufgrufenen Seite in der Adressleiste grün eingefärbt.

Die nun von Sotirov und Zusman vorgestellten Attacken setzen voraus, dass der Angreifer sich ein herkömmliches DV-SSL-Zertifikat besorgt hat, das mit der anzugreifenden Domain verbunden ist. Wie so etwas funkioniert, haben Moxie Marlinspike und Dan Kaminsky tags zuvor ebenfalls auf der Blackhat demonstriert. Außerdem soll es laut Zusman auch durch diverse Bugs in den Webanwendungen einiger Zertifizierungsstellen möglich sein, an gültige Zertifikate für beliebige Domains zu kommen. Mehr Details zu diesen Schwächen will Zusman jedoch erst auf der heute beginnenden Konferenz Defcon verraten.

Für eine Attacke muss sich der Angreifer per Man-in-the-Middle in die Verbindung klinken, wozu er beispielsweise einen eigenen WLAN-Access-Point benutzen kann oder im LAN Rechner per ARP-Spoofing über sich umleitet. Ein von Sotirov und Zusman entwickelter Proxy vollzieht dann den eigentlichen Angriff. Versucht der Browser die Verbindung zu einer EV-SSL-gesicherten Domain aufzubauen, liefert der Proxy ein für diese Domain gültiges DV-Zertifikat unter. Den Hackern zufolge ignorieren sämtliche Browser diesen Wechsel und zeigen weiterhin die grüne Adresszeile an. In der Folge kann der Angreifer den gesamten Verkehr mitlesen. Demonstrieren konnten die Hacker den Angriff jedoch nicht, da über das latent instabile Konferenz-WLAN keine Internetverbindung zustande kam.

Des Weiteren erläuterten Sotirov und Zusman, wie ihr Proxy JavaScript-Code in eine Webseite eines EV-SSL-gesicherten Servers beim Aufruf durch einen Anwender injizieren kann. Das klappt, wenn die Seite Inhalte von weiteren Seiten einbindet, die nur per DV-Zertifikat geschützten sind, etwa https://www.googleanalytics.com. Mit dem passenden Zertifikat kann man die gültige Seite vortäuschen und den Code ausliefern. Trotz der Mischung von EV-SSL-Seiten und DV-SSL-Seiten meckert der Browser nicht und zeigt weiterhin den grünen Balken.

Sotirov und Zusaman haben auch Vorschläge parat, wie sich diese Angriffe abwehren lassen. Sie schlagen zum einen vor, EV-Verbindungen nicht mit https zu kennzeichnen, sondern beispielsweise mit httpev. Damit könnte der Browser die unterschiedlichen Datenströme sauber trennen und ein Angriff auf den Mix aus EV und DV würde auffallen. Außerdem müssten die Browser-Hersteller ihren Produkten verbieten, verschiedene Zertifikate für die gleiche Domain innerhalb ein und derselben Session zu akzeptieren.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Black Hat : Gratis parken in den Metropolen der Welt
« Antwort #26 am: 31 Juli, 2009, 18:23 »
Ein Vortrag auf der Hacker-Konferenz "Black Hat" hat offenbart, dass die Parkuhren in zahlreichen großen Städten weltweit relativ leicht manipuliert werden können.

Wie der Sicherheits-Experte Joe Grand laut einem Bericht des 'Wired' ausführte, benötigte er nur drei Tage, um das Sicherheits-System der Systeme in San Francisco zu analysieren und zu umgehen. Die Parkuhren arbeiten mit Smartcards, die über ein Prepaid-Geschäftsmodell vertrieben werden.

"Das ganze war technisch nicht besonders kompliziert, und die Tatsache, dass ich es in drei Tagen hinbekommen habe, bedeutet, dass andere Leute es vermutlich auch schon geschafft haben und Vorteile daraus ziehen", sagte Grand. Es ist also davon auszugehen, dass schon eine Reihe von Hackern weltweit kostenlos parken.

Der Sicherheitsexperte hatte die zuständige Verkehrsbehörde in San Francisco im Vorfeld nicht über seine Erkenntnisse informiert. Er wollte vermeiden, dass diese versuchen könnte, seinen Vortrag mit einer gerichtlichen Verfügung zu unterbinden. Dies ist in den letzten Jahren bereits mehreren Referenten auf Hacker-Konferenzen so ergangen.

San Francisco hatte das Projekt zur Installation neuer Parkuhren im Jahr 2003 gestartet. 35 Millionen Dollar wurden investiert. Das neue System sollte zukünftig verhindern, dass der Stadt durch Diebstähle hohe Einnahmen entgehen. Schätzungen zufolge ging durch geknackte Parkuhren oder Unterschlagung von Geldern seitens der städtischen Angestellten, die die einfachen Münzautomaten leerten, pro Jahr rund 3 Millionen Dollar verloren.

Die neuen Parkuhren sind nun Hybrid-Systeme: Die Abrechnung erfolgt entweder per Smartcard oder Münzen, wobei die Geräte aber vernetzt sind und eine genaue Kontrolle über die Einnahmen zulassen. Hergestellt werden sie von der US-Firma J.J. MacKay, die die gleichen Modelle auch nach Florida, Massachusetts, New York, Kanada, Hong Kong und verschiedene einzelne Kommunen verkauft.

Das Sicherheits-System in den Smartcards ist nach Angaben Grands aber recht schwach. Nicht einmal eine digitale Signatur schützt sie vor Manipulationen. So ist es nach seinen Angaben möglich, den enthaltenen Geldbetrag immer wieder aufzuladen oder die Software sogar so zu manipulieren, dass von der ursprünglichen Summe gar nichts abgezogen wird.

Quelle : http://winfuture.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Sicherheitsexperten warnen vor BIOS-Rootkit
« Antwort #27 am: 01 August, 2009, 15:42 »
Auf der diesjährigen Black Hat-Konferenz haben sich Alfredo Ortega und Anibal Sacco von Core Security Technologies in ihrer Präsentation mit der Software Computrace LoJack for Laptops von AbsoluteSoftware auseinandergesetzt. Die Software, die in rund 60 Prozent aller neuen Notebooks schon im BIOS integriert sein soll, arbeite mit Rootkit-Techniken – was die Experten nicht verblüfft und was sie auch nicht kritisieren, schließlich soll die Software ja Diebe überführen und müsse deshalb solche Techniken anwenden.

Für bedenklich halten sie indes, dass sich die Software selbst so gut wie nicht vor Manipulationen schützt. Die IP-Adressen und URLs, die sie verwendet, seien im BIOS hartkodiert und würden bei der Installation an alle möglichen Stellen verteilt. Die ließen sich auf andere Adressen umbiegen. Da Antivirus-Produkte die Software als gutartig einstufe, stellt sie ein ideales Sprungbrett für Manipulationen dar. Die Experten forderten, dass zumindest die Kommunikation zur heimatlichen Basis mit digitalen Signaturen abzusichern sein. Der Hersteller ist informiert.

Zur Funktionsweise der Software siehe auch Verdeckter Ermittler, Eine Software-Firma spürt gestohlene Notebooks

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Dan Kaminsky - Persönliche Daten im Netz
« Antwort #28 am: 01 August, 2009, 19:00 »
Bisher unbekannte Angreifer konnten sich Zugriff auf die persönlichen Datensätze von Dan Kaminsky und weiteren Sicherheitsexperten verschaffen. Diese sollen bereits im Netz kursieren.

Bei Konferenzen wie der Black Hat finden sich zahlreiche Sicherheitsexperten aus der ganzen Welt ein. Unter anderem war Dan Kaminsky, bekannt für die Entdeckung einer kritischen Schwachstelle im Domain-Name-System (DNS), anwesend. Am Vortag der Konferenz sollen sich namentlich nicht bekannte Cracker Zugang zu Systemen von Kaminsky und weiteren Sicherheitsexperten verschafft und diese vollständig übernommen haben. Diese Tat führte am Ende zu einem Dokument mit mehr als 29.000 Zeilen, welches derweil im Netz verteilt wird.

Darin wurden unter anderem vollständige E-Mail-Unterhaltungen, Chat-Logs und Passwörter festgehalten. Obendrein stieß der Eindringling auch auf vertrauliche Zugangsdaten zum Backend von Kaminskys Webseite. Als Reaktion auf das Bekanntwerden dieser Meldung wurde die Seite auf schnellstem Wege offline genommen. Zum Zeitpunkt dieses Artikels ist die Internetseite nach wie vor nicht zugänglich. Alles in allem sollen mehrere Sicherheitsexperten diversen Angriffen zum Opfer gefallen sein.  Unter den Betroffenen soll sich auch Kevin Mitnick befinden.

Mitnick ist selbst im Bereich der IT-Sicherheit tätig. Gegenüber dem Nachrichtenportal theregister teilte er mit, dass er nicht verstehen kann, wieso persönliche oder vertrauliche Daten auf einem über das Internet zugänglichen Rechner gespeichert werden. Somit liegt die Befürchtung nahe, dass aktuelle Untersuchungen zu bisher unbekannten Sicherheitslücken an die Öffentlichkeit dringen könnten. Kaminsky beschwichtigte derartige Vermutungen und teilte mit, dass dem nicht so sei.

Hinsichtlich der Ursachen, welche die Einbrüche ermöglicht haben, ist bislang nichts bekannt. Black Hat, Black Hat Conference, Black Hat Konferenz, Dan Kaminsky, Kaminsky, hacker, crackerErsten Einschätzungen zufolge soll Kaminsky zu schwache Passwörter verwendet haben. Sollte dem tatsächlich so sein, so wäre die Blamage für den Sicherheitsexperten verhältnismäßig groß. Abgesehen davon wird auch eine kritische Zero-Day-Lücke in einer der Server-Komponenten oder eine Schwachstelle in OpenSSH in Erwägung gezogen.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Black Hat : Apple-Tastaturen können mitlauschen
« Antwort #29 am: 02 August, 2009, 19:14 »
Apple-Tastaturen lassen sich offenbar sehr leicht zu Keyloggern umprogrammieren. K. Chen zeigte in einem Vortrag auf der Sicherheitskonferenz BlackHat, dass neuere USB-Keyboards aus Cuppertino – auch die der MacBooks – einen frei programmierbaren Microcontroller enthalten, mit dem sich allerhand Schabernack treiben lässt. Zu Demonstrationszwecken stattete er eine Tastatur mir einem simplen Keylogger aus, der die zuletzt eingegebenen Zeichen speicherte und nach mehrfachem Drücken der Eingabetaste wiederholte. Zum Umprogrammieren der Firmware benötigte er lediglich den Debugger gdb sowie Apples HIDFirmwareUpdaterTool.

Die Neuinstallation des Systems würde eine solche Manipulation unbeschadet überstehen; laut Chen lässt sich die Umprogrammierung aber durch Flashen der Original-Firmware des Keyboards rückgängig machen. Apple bietet sie als Update für Tastaturprobleme zum Download an. Es sei jedoch auch möglich, eine Apple-Tastatur mit schädlicher Firmware völlig unbrauchbar zu machen. Die Mikrocontroller verfügen allerdings nur über 8 KByte Flash-Speicher und 256 Byte RAM, was einem Keylogger enge Grenzen setzt.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )