Boris Koch » IT-Security & Datenschutz Boris Koch - Social Media & IT-Security Mon, 13 May 2013 18:16:31 +0000 de-DE hourly 1 http://wordpress.org/?v= iPhone Dieben auf der Spur | Gestohlenes iPhone auffinden incl. Anleitung /2012/02/09/iphone-dieben-auf-der-spur-gestohlenes-iphone-auffinden-incl-anleitung/ /2012/02/09/iphone-dieben-auf-der-spur-gestohlenes-iphone-auffinden-incl-anleitung/#comments Thu, 09 Feb 2012 20:24:32 +0000 Boris Koch /?p=1938

Anleitung: iPhone Dieben auf der Spur und wie man ein gestohlenes iPhone wieder auffinden kann. In diesem Artikel möchte ich einige nützliche Dinge und Vorgehensweisen zum Thema Smartphone-Sicherheit beschreiben.

So praktisch wie heutzutage auch Smartphones sind, umso größer ist auch die Gefahr bei einem Verlust des Geräts. Wenn früher ein Handy verloren oder gestohlen wurde, so  machten sich die Besitzer lediglich um den Verlust des Geräts und der persönlichen Kontakte im Adressbuch Gedanken.

Heutzutage lagern auf sog. Smartphones (wie z.B. dem Apple iPhone) ganz andere Schätze. Man findet auf solch teuren Gerätschaften (neben dem Adressbuch und den persönlichen SMS) überwiegend private eMails, Social Network Anwendungen, persönliche Fotos & Videos und vieles mehr.

Wenn das iPhone erstmal verloren ist oder ggf. gestohlen wurde, ist das Kind schon “fast” in den Brunnen gefallen … Es sei denn, man trifft im “Vorfeld”  eine Vorsorge und nutzt gewisse technische Schutzmaßnahmen.

Die nachfolgend beschriebenen Apps können bei einem Verlust des iPhones sehr nützlich sein und zur Fahndung weiter beitragen. Bei einigen Apps ist jedoch ein sog. Jailbreak die Voraussetzung.

Los gehts:

IGotYa für das iPhone

Die iPhone-App IGotYa (Was so viel bedeutet wie: “Ich hab’ dich!”) ist eine der besten Apps in Bezug auf Diebstahlschutz, darum möchte ich sie als erstes vorstellen. IGotYa schießt automatisch ein Foto (mit der Frontkamera des iPhone 4 oder 4S von jedem Dieb der das iPhone entsperren will und einen falschen Code eingibt. Anschließend wird das Foto zusammen mit den genauen Angaben darüber, wo es aufgenommen wurde, per E-Mail an den rechtmäßigen Besitzer geschickt. Der Nachteil dieser App: Es gibt sie bisher nur für iPhones, die per so genanntes Jailbreak geknackt wurden.

Screenshots von iGotYa:
Zu sehen sind hier die Einstellungen die in der App iGotYa vorgenommen wurden. Zum einen die hinterlegte eMail Adresse, an die das Foto gesendet werden soll, sowie der aktuelle GPS Standort an dem das Foto aufgenommen wurde.

Screenshot: Folgende Mail versendet  iGotYa an den rechtmäßigen iPhone Besitzer
Hier im Bild sehr gut zu erkennen: Der Dieb incl. dessen aktuelle Position. Schön ist auch der Zeitstempel, den man aus der besagten Mail entnehmen kann.

Video über iGotYa:

Click here to view the embedded video.

Alles in allem eine sehr praktische iPhone App. Gerade das Foto macht es den Fahndern weit aus einfacher, auf den möglichen Dieb zu schließen. Quelle: Link zu IGotYa


iProtect für das iPhone

Das App iProtect bietet ein ganz besonderes Feature. Und zwar das SIM-Karten Lock. Einmal aktiviert, bewirkt dieser, dass alle Apps gesichert sind, sobald die SIM Karte des iPhones gewechselt wird. Nutzt ein Dieb also ein geklautes und mit “iProtect” gesichertes iPhone mit seiner eigenen SIM-Karte, hat er zumindest keinen Zugriff auf die Apps und persönliche Daten wie Kontakte, SMS und E-Mails. Aber es geht noch weiter: “iProtect” kann im Falle einer gewechselten SIM-Karte eine “stille SMS” an eine vorher definierte Nummer senden. Dessen Inhalt: Die Rufnummer der neuen SIM-Karte die eingelegt wurde. So hat man sehr  gute Chancen, den Inhaber der neuen Rufnummer ausfindig zu machen.

Screenshots von iProtect:
Nachfolgend die Einstellungen von iProtect auf dem iPhone. Bei einem Wechsel der SIM-Karte wird dessen Rufnummer an eine vorher selbst definierte Rufnummer per SMS gesendet. So kann man schnell auf den möglichen Dieb oder neuen Besitzer schließen.

Video über iProtect:

Click here to view the embedded video.

iProtect schützt nicht nur das iPhone, sondern sendet dem Besitzer auch die Informationen per SMS über die neu eingelegte SIM-Karte. Quelle: Link zu iProtect


„Mein iPhone suchen“

Wenn du Dein iPhone, iPad, iPod touch oder Mac verlierst, kannst du es mit der App „Mein iPhone suchen” auf einem anderen iOS Gerät finden und deine Daten schützen. Installiere dazu einfache das kostenlose App „Mein iPhone suchen“ und melde dich dann mit Deiner Apple ID an. Die App zeigt dir auf einer Karte, wo dein Gerät ist. Du kannst dann eine Nachricht auf das Gerät senden, einen Signalton abspielen lassen, Dein Gerät aus der Ferne sperren oder die Daten darauf löschen.

Screenshots von “Mein iPhone suchen”:
Sieh auf einer Karte, wo sich Dein iPhone befindet, blende eine Nachricht auf dem Display ein oder spiel zwei Minuten lang einen Signalton in voller Lautstärke ab (auch wenn dein Gerät stumm geschaltet ist). Auch möglich:  Sperr dein Gerät per Fernzugriff und lösch alle persönlichen Daten aus der Ferne.

Video über “Mein iPhone suchen”:

Click here to view the embedded video.

Kostenlos und praktisch. Aus dem Hause Apple. Quelle: Link zu “Mein iPhone suchen


Google Latitude für das iPhone

Mit Google Latitude kannst Du Deinen Standort automatisch freigeben, auch wenn die App geschlossen oder das Handy-Display gesperrt ist. Für die automatische Aktualisierung ist ein iPhone 3GS oder iPhone 4 mit iOS 4 oder höher erforderlich.


Screenshots von Google Latitude:

Du kannst Latitude auch von Deinem Computer aus nutzen. Unter google.com/latitude kannst Du sehen, wo Dein iPhone sind gerade befindet, und optionale Anwendungen wie den Google Standortverlauf zur Anzeige Deines Standortverlaufs im Dashboard aktivieren.

Video über Google Latitude:

Click here to view the embedded video.

Google Latitude ist nicht nur für Social Media perfekt, um Deinen Freunden zu zeigen wo Du dich gerade aufhälst. Google Latitude kann auch zum Diebstahlschutz mit beitragen. Quelle: Link zu Google Latitude.


iPhone spezifische Daten sichern

Wichtig ist es natürlich im Vorfeld folgende Daten zu sichern, bzw. sich zu notieren. Die Seriennummer, Modell, IMEI-Nummer etc. Mit diesen Infos lässt sich das iPhone genau identifizieren und später ausmachen.

Screenshots: Wichtige Identifikationen des iPhone anzeigen
Die wichtigsten Daten des iPhones auf einen Blick. Seriennummer, Modell, IMEI-Nummer.

Video Anleitung: Wichtige iPhone Identifikationen

Click here to view the embedded video.

Diese Daten sollte man sich zuvor schriftlich notieren und an einem sicheren Ort verwahren.


Weitere Vorgehensweise (Tipps von mir)

  1. Die SIM-Karte sollte sofort über die Servicehotline des jeweiligen Providers gesperrt werden, nachdem man die Beweise via IGotYa und iProtect erhalten hat. Über die Hotline kann das Gerät dann auch kostenpflichtig geortet werden. Das ist natürlich nicht ganz billig, aber immer noch günstiger als ein neues iPhone.
  2. Wenn das iPhone gestohlen worden ist, sollte man als Eigentümer sofort eine Strafanzeige bei der Polizei erstatten. Man bekommt dann eine Bescheinigung von der Polizei, die die Ordnungsnummer enthält. Über einen Anruf bei der jeweiligen Kunden-Hotline (Mobilfunk-Provider) kann man die persönlichen Daten und die Ordnungsnummer weiterleiten und somit eine weitere Fahndung nach dem iPhone einleiten.
  3. Man kann auch die IP des Rechners, auf den das iPhone das nächste Mal „gesynt“ wird, ermitteln. Auch anhand dieser Daten kann die Polizei feststellen, wer das Gerät zuletzt nutzt hat undund wo es sich derzeit befindet.
  4. Sehr wichtig: Der Besitzer eines iPhones sollte (im Vorfeld) über das Menü „Einstellungen“, dem Untermenü „Allgemein“ die Option „Info“ aufrufen. Hier erhält man alle Infos zum Thema: Seriennummer, Modell, IMEI und ICCIO. (siehe oben beschrieben). Unbedingt im Vorfeld notieren!
  5. Zur weiteren Sicherheit sollte man (im Vorfeld) rechtzeitig meine im Blogbeitrag genannten Mittel installieren und einrichten, um so bei einem möglichen Verlust oder Diebstahl die besten Beweise in der Tasche zu haben.

inloveWar dieser Artikel hilfreich? Empfehle ihn doch weiter! Auch über Eure Kommentare freue ich mich. Beste Grüße, Boris Koch

]]>
/2012/02/09/iphone-dieben-auf-der-spur-gestohlenes-iphone-auffinden-incl-anleitung/feed/ 3
Bericht über mich im PC-Magazin zum Thema Google Hacking /2011/09/07/bericht-uber-mich-im-pc-magazin-zum-thema-google-hacking/ /2011/09/07/bericht-uber-mich-im-pc-magazin-zum-thema-google-hacking/#comments Wed, 07 Sep 2011 15:43:27 +0000 Boris Koch /?p=1821

Ich habe mich sehr gefreut, dass ich in der aktuellen Ausgabe des PC-Magazin 10/2011  über das Thema Google Hacking berichten konnte. Ich hatte auch die Möglichkeit, das aktuelle Sicherheitsproblem in Bezug auf NAS Festplatten anzusprechen. – In meinem Blogbeitrag findet Ihr alle Infos und den direkten Link zum besagten Artikel. Parallel kann dieser auch wahlweise als .pdf heruntergeladen werden …

Bericht Google Hacking Boris KochDas Thema Google Hacking ist schon etwas in die Jahre gekommen und im Web findet man mittlerweile auch schon zahlreiche Artikel über Google Hacking. Um so spannender war es plötzlich, eine E-Mail vom Redakteur Wolf Hosbach (PC-Magazin) im Postfach zu haben. Dieser schrieb mir, dass er via Wikipedia auf mich gestoßen sein und somit unweigerlich auf einen meiner Artikel in diesem Blog. “Google Hacking, Datenpannen und Deep Web” taufte ich Damals die Überschrift des sehr ausführlichen Blogbeitrag.

Genau um diesen Artikel ging es auch in der E-Mail. Man bot mir an das Thema im PC-Magazin mit aufnehmen zu lassen, bzw. meine “Google Hacking Befehl-Liste” als .pdf Datei auf die Heft DVD zu verewigen. Gerne! :lol: Im weiteren Verlauf wurde noch ein Interview mit mir geführt, welches ebenfalls im Bericht zu finden ist.

Vorschau | Interview Boris Koch | Google Hacking

Bericht im PC Magazin - Boris Koch

Den ganzen Artikel lesen / Weitere Infos zum Thema Google Hacking

steilstarter boris koch blog Den Google Hacking Bericht als .pdf lesen

steilstarter boris koch blog Den Google Hacking Bericht direkt auf PC-Magazin lesen

steilstarter boris koch blog Weitere Infos zum Thema Google Hacking (Ein älterer Blogbeitrag von mir)

Mein persönlicher Dank geht an den Redakteur Wolf Hosbach, sowie an das Team des PC-Magazin.
Viel Spaß beim Lesen und viele Grüße. Boris Koch

]]>
/2011/09/07/bericht-uber-mich-im-pc-magazin-zum-thema-google-hacking/feed/ 3
Google Hacking, Datenpannen und Deep Web /2011/01/19/google-hacking-datenpannen-und-deep-web/ /2011/01/19/google-hacking-datenpannen-und-deep-web/#comments Wed, 19 Jan 2011 12:20:58 +0000 Boris Koch /?p=476

Ich werde sehr oft gefragt, wie ich all die Sicherheitslücken und Datenpannen in all den Jahren aufgedeckt habe. Wie ich meine Suche nach Pannen und Lücken im Internet gestalte und wie es um sog. Securityscans bestimmt ist. In diesem etwas ausführlicheren Blogartikel von mir möchte ich den Lesern Einblick in die Welt des Google Hackings, sowie des Deep Webs geben…

Was genau ist Suchmaschinenhacking, bzw. Google Hacking?

Eine der Grundregeln für das Suchmaschinen-Hacking lautet: Mit minimalem Aufwand gewisse Möglichkeiten auffinden, nach frei öffentlichen Dateien und Informationen das Web zu durchsuchen. Gerade für das gezielte Aufspüren von sensiblen Informationen und Schwachstellen in Applikationen, Diensten- oder Konfigurationsschwachstellen hat sich sowohl in der Hacker-Szene als auch in der IT-Sicherheitsindustrie der Begriff “Google-Hacking” etabliert.

Google Hacker Cat

Ich will es mal so umschreiben: Mit der Suchmaschine Google lassen sich nicht nur alltägliche Dinge wie die Wettervorhersage, interessante Videos oder Nachrichten suchen. Viel interessanter ist das sog. “Deep Web” Searching.

Viele Administratoren in Unternehmen oder aber auch Privatanwender haben in ihrem internen Netzwerk diverse Dienste laufen. Das können u.A. FTP Dienste oder aber auch Fax, Mail oder Printdienste sein. In den meisten Fällen sind Unachtsamkeit sowie fehlendes KnowHow die Ursache, die dann das (Daten-) Fass zum Überlaufen bringen und den sog. Googlehackern Tür und Tor offen stehen lassen.

Stellen wir uns einen schlecht konfigurierten Webserver vor, oder eine NAS Festplatte oder einen FTP Dienst, der gleich von Haus aus mitliefert wird. Sollten hier die Berechtigungen auf der Ordnerebene falsch oder gar nicht gesetzt worden sein, so ist dieses schon eine sehr gelungene Einladung zum Herumstöbern des Robots von Google. Denn nicht nur herkömmliche Webseiten werden vom kleinen Google Robot im Netz erfasst, indexiert und später in der Suchmaschine gelistet. Ferner sind es auch die besagten Dienste und Applikationen, die normalerweise nicht für die Öffentlichkeit bestimmt sind und die internes aus dem Firmennetz preisgeben.

Bestes Beispiel hierfür.

Als ich mich vor gut 4-5 Jahren mit dem Google Hacking begonnen habe, da gab es zahlreiche Sicherheitslücken in Videoüberwachungskameras. Sog. IP-Kameras, sowie in PHP Anwendungen und insbesondere in offene Druckern, bzw. in Printservern, die vom Netz (Gogglesuche) aus angesprochen werden konnten. Natürlich nicht einfach so. Es befarf schon einer gewissen Suchtechnik.

So bin ich auf unzählige Überwachungskameras in Unternehmen gestoßen, an Überwachungskameras in der Industrie, in der Forschung, an Universitäten und sogar Fußballstadien und auf der „Intensivstation“ gab es auch noch Kamerasysteme zu bestaunen. Das waren mitunter schon ziemlich schwerwiegende und unverantwortliche Sicherheitslücken, bzw. Konfigurationsfehler, die sich da im Netz reihenweise breit gemacht hatten.

Skurille Datenpannen in Videoüberwachungssystemen (gefunden via Googlehacking)


Interessant waren auch die Drucker, die in der ganzen Welt verteilt (offen) herumstanden und mittels simplen Googlesuchbegriffen aufgefunden und geöffnet werden konnten. Auch ein großer Teil der Drucker hatte Fax und Scan-Einheiten, so dass man sich auch die letzten 100 gesendeten Faxe im .pdf Format samt den dazugehörigen Faxnummern anschauen konnte. Schön waren auch die Scan, die meist eine Ordnerebene höher abgelegt waren. Nicht selten waren in diesen Dokumenten auch Schriftwechsel, bzw. Verträge zu besichtigen.

Der untere Teil des Interneteisbergs – Das Deep Web

Mit dem Begriff „Deep-Web“ versteht man die Tiefen des Internets, in diese man als „Standard Internetnutzer“ a) nur durch Zufall gelang und b) nur durch bestimmte Suche oder einschlägige Websites, die einem die Tür dorthin öffnen. Man kann diese Form des Internets auch als das versteckte Web bezeichnen (Hidden Web oder Invisible Web).

Deep Web Crawler

Im Deep Web werden die über Suchmaschinen zugänglichen Webseiten Visible Web (Sichtbares Web) oder Surface Web (Oberflächenweb) genannt. Das Deep Web besteht zu großen Teilen aus themenspezifischen Datenbanken (Fachdatenbanken) und Webseiten, die erst durch Anfragen dynamisch aus Datenbanken generiert werden. Grob kann das Deep Web unterschieden werden in „Inhalte, die nicht frei zugänglich sind“ und „Inhalte, die nicht von Suchmaschinen indiziert werden“. Die Größe des Deep Web kann nur geschätzt werden – es wird davon ausgegangen, dass es ein Vielfaches des direkt zugänglichen Webs umfasst. Suchmaschinen und ihre Webcrawler werden jedoch ständig weiterentwickelt, daher können Webseiten, die gestern noch zum Deep Web gehörten, heute schon Teil des Oberflächenwebs sein.

Die Entwicklung des Suchmaschinen-Hackings

Suchmaschinen Hacking ist nichts anders, als das gezielte Suchen nach genau solchen Datenbeständen des Deep Webs. Bekannt geworden ist diese indirekte Methode an relevante Daten zu gelangen, ohne direkt auf die IT-Systeme zuzugreifen, durch den amerikanischen Hacker und Sicherheitsspezialisten Johnny Long, der dafür den Begriff “Google Hacking” geprägt, bzw. eine Google Hacking Database entwickelt hat. Reichlich Angriffsmaterial liefert vor allem die unübersichtliche Zahl der in den Unternehmen vorhandenen Webserver. Die einzige Kunst des neugierigen Rechercheurs besteht darin, mit entsprechender Geduld passende Suchanfragen zu produzieren, um die genannten Seiten aufzuspüren.

Ein sehr gutes Werk das ich wärmstens empfehlen kann ist das Buch von Johnny Long (Google Hacking)

Google Hacking Buch

Das Buch - Google Hacking

Dieses ist schon in der 2. Auflage erschienen und komplett in Deutsch gehalten und kann z.B. hier bezogen werden.

Was sind die goldenen Regeln beim Google Hacking?

Wichtig ist zu wissen, wie eine Suchmaschine aufgebaut ist, bzw. wie sie auf gewisse Eingaben im Suchfeld reagiert. Eine Google Hacking Suche kann nur so effizient sein, wie meine Eingabe in die Suchmaske, bzw. meine Suchoperatoren (ich nenne diese übrigens Suchcombos). Man muss zum einen wissen was man genau suchen möchte, parallel muss man hierzu das zu suchende System kennen. Also Dinge wie „Was macht das zu suchende System aus, was ist die Besonderheit an diesen Systemen, wo stecken die Schwachstellen oder die Einzigartigkeiten? Also, erst wenn man das System kennt kann man gezielt auf die Suche gehen. Wenn man das System kennt, dann muss man zusätzlich auch die Google Combos beherrschen. Also genau wissen, wie und wann diese in der Praxis einzusetzen sind.

Ich habe mich auch lange Zeit mit den diversen Suchelementen herumgeschlagen, herumprobiert und vieles gelernt. Erst später, wenn man sich sicher ist zu wissen was man genau tut, fängt es an Spaß zu machen und die ersten großen Erfolge lassen sich verzeichnen. Interessant wird es auch dann, wenn man mehrere Suchparameter zusammenstellt, bzw. koppelt und in diese sog. „Combos“ verwandelt. Das ist wie im Computerspiel „Streetfighter“ von Nintendo … man muss erst mal einen Move lernen und perfekt ausführen können bis man sich dem zweiten Move widmet. Erst wenn man den 2. und 3. Move erlernt hat, entsteht eine einzigartige Combo, die dem System die Goldnuggets entlockt und den Gegner in die Knie zwingt.

hacker samurai

Also hier zunächst die Grund-Moves liebe Samurais:

  • filetype:
    Mit filetype lassen sich bestimmte Dateitypen finden, wie z.B. Textdateien
    Beispiel: filetype:txt
  • Das Plus: Mit + lassen sich alle Webseiten finden, die ein bestimmtes Wort enthalten.
    Beispiel: +FBI +Agent
  • Das Minus: Mit werden nur Seiten gefunden, die ein bestimmtes Wort nicht enthalten.
    Beispiel: -public –user
  • intitle:
    Per Intitle: lässt sich das <title> tag im Quelltext der Webseite durchsuchen. z.B. die index.htm
    Beispiel: intitle:index
  • intext:
    Mit intext: findet man bestimmte Wörter auf einer Webseite.
    Beispiel: intext:Hacker
  • inurl:
    Über inurl: lassen sich Wörter in einer URL festlegen. (z.B. Ordner bin und etc)
    Beispiel: inurl:etc inurl:bin
  • site:
    Mit site: kann man auf bestimmten Domains suchen oder Länder ausschließen.
    Beipsiel: site:com site:de
  • Anführungszeichen “”
    Mit “” lassen sich aufeinander folgende Wörter suchen.
    Beispiel: “index of”

Kommen wir nun zur Trainingseinheit II, den Combos

Das die oben genannten Befehle (Moves) alleine nicht viel bringen, das dürfte wohl nun jedem von Euch klar sein, also müssen wir kombinieren und uns fleissig die Combos bauen.

Beispiel 1:
intitle:”index of” +etc

Über solche Ergebnisse kann man sich nur wundern! Warum gibt es immer noch Systeme auf denen man ohne Probleme sich über Google, die passwd anschauen kann? Für potenzielle Cracker sind solche Umstände ein El Dorado.

Beispiel 2:
inurl:/control/userimage

Hier gelangen wir direkt in das Kontrollcenter diverser Videoüberwachungskameras, in dem wir einen gewissen Begriff in der URL Zeile suchen.

Beliebt ist die Variante, ganze Passwortlisten über Suchmaschinen auszulesen. Beispielsweise bringen folgende Suchanfragen Passwortlisten zutage:

inurl:/_vti_pvt/user.pwd

inurl:/_vti_pvt/administrators.pwd

inurl:/_vti_pvt/service.pwd

Suchparameter wie “inurl:”, die für das Hacking benötigt werden, werden nicht nur von Google, sondern auch von nahezu allen anderen Suchmaschinen unterstützt. Also auch diese Dinge einfach in anderen Suchmaschinen mal testen.

Kurze Beispiele: Interessante Suchbegriffe könnten z.B.  auch diese nachfolgenden Google-Kombinationen sein:

“not for distribution” confidential filetype:pdf

directory filetype:xls inurl:SEO

Per Hand suchen oder einen Crawler die Arbeit übernehmen lassen?

Sicherlich kann man sich die Frage stellen, ob man das alles nicht automatisiert, bzw. mittels einer Software betreiben möchte, bzw. man eine automatische Suche favorisiert. Das funktioniert in der Regel auch und gibt es schon seit ein paar Jahren. Das Zauberwort nennt sich Goolag Scanner. Aber Vorsicht vor dem Budenzauber. Handmade Searching ist weitaus spannender und effektiver.

goolag scanner

Goolag Scanner Start

Dieser besagte Goolag Scanner (Google Hacking Tool) wurde vor einigen Jahren von der berühmt berüchtigten US Hackergruppe mit dem Namen “Cult of the Dead Cow (cDc)” vorgestellt und zum Download im Internet angeboten.

Cult of the Dead Cow

Cult of the Dead Cow Logo

Das Tool scannt gewünschte Internetdomains nach offenen Türchen und Verwundbarkeiten ab. Man kann also sagen, dass es sich hierbei um ein Penetration-Testing Tool handelt. Kennwörter werden nicht geknackt, bzw. das besagte Tool klopft lediglich gewisse “offene” Dienste und Applikationen ab.

Der Goolag Scanner

Goolag Scanner in Aktion

Ein richtiger Hack oder ein Crack stellt der Dienst des Tools (nach meiner Meinung) nicht dar. Es ist mehr ein Crawler und ein technisches Tool zur Fehleranalyse im Bereich Webserver und Dienste.

Ganz aktuell – Das Problem mit den NAS Systemen

Zum Schluss möchte ich noch auf eine ganz aktuelle Sicherheitslage aufmerksam machen. Wenn man rund 4-5 Jahre das Google Hacking betreibt und immer weitere und kompliziertere, in sich verschachtelte, Combos für die Suche entwickelt, so lernt man auch vieles über die Systeme dort draußen im Web kennen. Umso mehr machen mir ganz aktuell sog. NAS Systeme Kopfzerbrechen, bzw. Magenschmerzen in Bezug auf IT-Security.

Kurz angerissen: Was sind NAS Systeme?

Network Attached Storage (NAS) bezeichnet einfach zu verwaltende Dateiserver. Allgemein wird NAS eingesetzt, um ohne hohen Aufwand unabhängige Speicherkapazität in einem Rechnernetz bereitzustellen. Im privaten Bereich finden sich ebenfalls sehr oft NAS Systeme wieder. Wer einmal durch die großen Elektronikmärkte wandert und in der Computerabteilung halt macht (in Höhe der Regale mit den verschiedenen Festplatten) wird auch dort auf diese besagten NAS Festplatten stoßen. Meist schwarze oder graue Gehäuse, in denen eine oder mehrere Festplatten verbaut sind. Zuhause oder in der Firma kann man diesen „Festplattenwürfel“ dann an einen Switch oder Router etc. anschließen via Netzwerkkabel. Somit taucht diese Festplatte (NAS) im Netzwerk auf und die Computer im lokalen Netzwerk können dann diesen Netzwerkspeicherplatz für Sicherheitskopien oder zur Datenablage benutzen etc.

Wo liegt das Problem bei den NAS Systemen genau?

Meine persönlichen Erfahrungen haben gezeigt, dass immer mehr NAS Systeme mit speziell hierfür geschriebener Software auf den Markt kommen. Also einer Weboberfläche, wie wir diese von z.B. Routern her kennen. Über den Webbrowser lässt sich dann meistens mittels der IP das Frontend der NAS Festplatte aufrufen. Das ist aus der Sicht des Nutzers (Admins) eine ganz tolle Sache, denn auf der Konfigurationsoberfläche lassen sich viele spannende Sachen einstellen (leider aber auch verstellen!).

Nachfolgend eine Skizze von mir, wie ich NAS Festplatten im Web ausfindig mache

Google Hacking by Boris Koch

Erinnert Ihr Euch noch an die damalige Zeit, als die WLAN Netze wie Pilze aus der Erde schossen, also als es überall freie und ungesicherte Funknetze gab?!

Wieso gab es diese? a) neue Technik b) mangelndes Sicherheitsbewusstsein c) Unwissenheit bzgl. der Absicherung. d) Plug & Play und es lief, Niemand machte sich über das Thema Verschlüsselung Gedanken. Erst mit steigenden Medienberichten und Blogartikeln handelten auch die Hersteller und liefern nun meistens die Geräte mittels Kennwort aus. Hier ist es aber auch wichtig, nicht das Default Kennwort (also das ab Werk) später so unverändert stehen zu lassen. Es gibt genügend Default Password Databases im Netz die eine megamäßige Sammlung an Herstellerkennwörtern liefert.

Default Online Password List

Online Default Password List

Ich schweife ab. Also um auf den Punkt zu kommen. Ich vergleiche das derzeitige Problem mit den offenen FTP Servern, bzw. den offenen NAS Systemen, mit den offenen WLAN Netzwerken von Damals. Die NAS Festplatten werden (je nach Preis und Ausstattung) mit einem FTP Dienst ausgeliefert. So dass der Kunde auch aus der Ferne (mit fester IP oder DynDNS) auf die heimische Festplatte zugreifen kann. Leider sind die FTP Dienste der NAS schlecht programmiert oder schlecht für den Laien zu konfigurieren. Schnell ist mal das Häkchen FTP gesetzt, ohne sich den Folgen bewusst zu sein, dass nun das gesamte Internet auf die Daten zugreifen kann. Denn standartmäßig lautet der User: Anonymous und das dazugehörige Kennwort: password

Wann passiert der Daten-GAU?

Die Frage ist nicht wann der Datengau passiert, sondern wie oft und in welchem Zeitraum eine Lücke geschlossen wird. Leider sind schon viel zu oft Daten abhandengekommen in solch einer Form, wie soeben von  mir beschrieben.

Man muss sich das in der Praxis wie folgt vorstellen:

Mitarbeiter Peter Mustermann arbeitet in einer Firma an einem Projekt, bzw. an einer neuen Spielekonsole. Peter Mustermann ist für die Programmierung, bzw. für die Webschnittstelle zuständig und kümmert sich somit auch um das Thema Virenschutz, Ports und Firewalls. Herr Mustermann fertigt im Laufe seiner Projekte unzählige Daten und Dokumente an. Angefangen von Word, Excel, Powerpoint Dokumenten, bis hin zu MS VISO Zeichnungen und MS Project Daten. Aufzeichnungen von Meetings, Designstudien, Programmcode etc. Alles schön sortiert in unzähligen von Ordnern. Das alles liegt auf dem Laufwerk des Mitarbeiters Mustermann, bzw. auf dem gut gesicherten Firmenserver. Eines Tages kommt Stress auf, das Projekt muss fertiggestellt werden, die Daten müssen also mit nach Hause, bzw. es muss im (inoffiziellen Homeoffice) weitergearbeitet werden. Aber vielleicht gab es auch garkein Stress, sondern Herr Mustermann war so stolz auf seine Arbeiten, dass er sie einfach als sein Eigen ansah und mit nach Hause nehmen wollte. Zuhause legt Herr Mustermann dann alle seine Daten (die er zuvor mit dem USB Stick kopiert hatte) auf seiner NAS Festplatte ab. Hierzu bieten die meisten NAS Festplatten die Funktion (Copy from USB). Also mach mir eine schöne 1:1 Kopie (Backup) meines USB Sticks auf die NAS Festplatte.

Ich möchte Euch noch etwas mit auf den Weg geben …

Hier findet Ihr ein .pdf Dokument, das zahlreiche (schon fertige) Suchkombinationen enthält. Das solle Anreiz genug sein, sich mit dem Thema Google Hacking einmal selbst auseinander zu setzen, bzw. vorab kleinere Erfolge in diesem Bereich zu erlangen.

PDF Logo
DOWNLOAD

So nun aber viel Erfolg bei der Googlesuche …
Das Kommentarformular ist somit freigeschaltet und ich bin auf Euer Feedback gespannt.

]]>
/2011/01/19/google-hacking-datenpannen-und-deep-web/feed/ 13
Hacking mal anders: Die Kunst des Social Engineering /2010/12/19/hacking-mal-anders-die-kunst-des-social-engineering/ /2010/12/19/hacking-mal-anders-die-kunst-des-social-engineering/#comments Sun, 19 Dec 2010 16:45:04 +0000 Boris Koch /?p=180

Die Grundbasis für eine erfolgreich Wirtschaftsspionage bildet oftmals das Social Engineering , bzw. das Ausnützen von menschlichen Schwachstellen im Unternehmen.

Aber was ist Social Engineering überhaupt und warum ist gerade diese von vielen Hackern eingesetzte Angriff Methode so überaus effektiv? Social Engineering  nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Daten oder Dinge zu gelangen.

Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen falsche Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking.

Der Erfolg vom Social Engineering bzw. Social Hacking lässt sich eigentlich relativ leicht erklären:

Menschen sind manipulierbar und generell das schwächste Glied in einer Kette. Egal ob in der IT oder irgendwo anders – der Mensch selber ist der größte Risikofaktor. Eine Vertrauensbasis ist schnell aufgebaut beziehungsweise vorgetäuscht und so können Menschen relativ leicht manipuliert werden. Ausserdem haben viele Mitarbeiter Angst sich gegen jemanden aufzulehnen, der Ihnen gegenüber vorgibt eine höhere Stellung zu haben.

Somit sind alle Soft- und Hardwaremäßigen Mechanismen zur Abwehr von Hackern und zur Verhinderung von Informationsdiebstahl nutzlos. Jeder Mensch der die Authorität hat diese zu umgehen ist potienziell eine Gefahr für die Sicherheit. Deswegen wird Social Engineering von vielen Sicherheitsbeauftragten als die gefährlichste Form des Informationsdiebstahls angesehen.

Der wohl bekannteste Hacker, der mit Social Engeneering bekannt geworden ist, ist Kevin Mitnick.
(Twitter: @kevinmmitnick)

Kevin Mitnick …

Kevin Mitnick

Kevin Mitnick

… ist ein US-amerikanischer ehemaliger Hacker und heutiger Geschäftsführer einer Sicherheitsfirma.

Als Sicherheits-Experte ist Kevin Mitnick alias „Condor“ und ehemaliges Mitglied der „Roscoe Gang“ am meisten durch Social Engineering bekannt geworden. In seiner Karriere soll er unter anderem mehr als 100-mal in das Netzwerk des Pentagon sowie einige Male in das der NSA eingedrungen sein.

Mitnick selbst hat insbesondere das Eindringen in das NORAD-Netzwerk immer bestritten, ein solcher Hack sei ihm im Zusammenhang mit dem Film WarGames angehängt worden.

Denn Informationen sind mit Social Engineering logisch zusammen zu setzen:
Meistens kommt man nicht direkt an die eigentlichen Informationen, sondern nur an  kleinere Teilschritte. Aber je banaler die Information erscheint, umso wichtiger kann sie sich später herausstellen.

Beispiel:
Man hat von einer Liste den Benutzernamen eines Studenten der FH Hof erlangt. Sollte man jetzt noch sein Geburtsdatum (eigentlich triviale Information) erlangen, so kann man das Email-Passwort selbst erstellen. Man braucht nur die Information, dass die Passwörter aus Namen und Geburtsdatum zusammengestellt sind. Und so erweisen sich selbst unwichtige Informationen als brisante Sicherheitslücken.

Im Buch vom Autor Kevin Mitnick werden viele interessante Fälle zum Thema Social Engineering aufgefasst, die Kevin Mitnick selbst durchgeführt hat.
Kevin Mitnick Book

Amazon
Operation Takedown
Parallel wurde seine Geschichte auch in einem Hollywood Film aufgefasst.

Click here to view the embedded video.

Vollautomatisches Social Engineering
Aktuell hat die Gruppe um Human Hacker (www.social-engineer.org) diverse Berichte und auch Videoanleitung zum eigenen Schutz veröffentlicht.

social engineer

Die Social Engineer Gruppe bietet auf der Website auch eine Software (das sog. social engineering toolkit) zum Download an. Eine Software die fast vollautomatisch das Web nach Social Engineering Möglichkeiten durchstöbert, z.B. anhand von publizierten Daten des Opfers.

]]>
/2010/12/19/hacking-mal-anders-die-kunst-des-social-engineering/feed/ 1