Hey! Bezoek

Ik ben niet zo'n enorme beveiligingsnerd. Hackeraspiraties heb ik bijvoorbeeld nooit gehad. Daar ben ik ook bij lange na niet slim genoeg voor.

Bewust van de risico's op internet ben ik me wel. In tegenstelling tot een (groot?) deel van de internetpopulatie verkeer ik niet in de veronderstelling dat ik een gezellige wandeling door het dorpspark van Sunnyville maak als ik online ben. Eerder voel ik me alsof in een jungle rondsluip waar ik elk moment besprongen kan worden door een onbekend en gevaarlijk dier.

Ook al ben ik dan geen security fetisjist, als je websites maakt denk je vanzelfsprekend na over de beveiligingsaspecten van je websites. Over Cross Site Scripting (XSS) had ik bijvoorbeeld al voldoende gelezen. En over geschreven in een stukje over script injectie in startpagina klonen zoals Startertjes. Het concept van Cross Site Request Forgery (CSRF) was daarentegen helemaal nieuw voor mij. Hoewel de aanvalsvector al meerdere jaren bekend is.

Cross Site Request Forgery heeft wel wat weg van XSS. Maar in tegenstelling tot XSS, waar een aanvaller kwaadwillende code injecteert in een website, is Cross Site Request Forgery gebaseerd op het vertrouwen dat een website heeft in een gebruiker. De aanvalscode lift als het ware mee op de identiteit van het slachtoffer om iets voor elkaar te krijgen.

Ter illustratie, als een persoon aangelogd is in GMail, is het mogelijk om hem / haar uit te loggen door een webpagina of een html emailtje voorbij te laten komen waarin de code http://mail.google.com/mail/?logout&hl=en verwerkt zit. Bijvoorbeeld als de inhoud van het source attribuut van een plaatje. Met andere woorden, het oproepen van een webpagina met daarin de code


<img alt="" src="http://mail.google.com/mail/?logout&hl=en" />


faciliteert een automatische en onvrijwillige logout als je op dat moment aanlogd was in Google's webmail client. Geloof je het niet? Log voor de lol even in op GMail en open een ander tabje of venster met deze testlink. Nog steeds aangelogd in GMail? Dat dacht ik al ...

En dat hatelijke rode kruisje dat Internet Explorer weergeeft als een afbeelding niet geladen kan worden, verbergen we natuurlijk gewoon door er een display: none stijldeclaratie aan te hangen. Geen haan die er naar kraait ...

Ai. De demo is dan wel onschuldig, maar de potentiële impact is niet te onderschatten. Ik zal voortaan zeker geen spannende websites meer bezoeken zonder eerst minimaal de browser cache door de shredder te halen en alle sessieinfo weg te gooien.

Klinkt het nog allemaal een beetje wazig? Misschien werkt het verhelderend als je het CSRF artikel van 0x000000 Hacker WebZine leest.

Zoekmachines zijn een prima hulpmiddel om snel van alles en nog wat aan de weet te komen. Ook in gevallen waarin informatie beter onder de pet had kunnen blijven, zijn zoekmachines veelal openhartig.

Via een artikel op Computerworld (Using Google to attack databases) klikte ik door naar de Google Hacking Database. In de Google Hacking Database vind je lange lijsten met zoekmachine queries. Queries die bij uitstek geschikt zijn om bijvoorbeeld een webserver te profilen. Of om folders met gevoelige informatie te vinden. Of om websites met een lekke PHPMyAdmin interface naar MySQL op het spoor te komen.

Rank je eindelijk een keertje goed ... is het vanwege een ernstige kwetsbaarheid van een webapplicatie of een misconfiguratie van je webserver ... De ironie!

Gemak(zucht) dient de mens. Vandaar dat ik in het verleden nogal eens zondigde en met teveel rechten op mijn laptop werkte. En als je eenmaal gewend bent dat je alles mag op een computertje, lever je die verworvenheden niet zonder mokken in.

Met de aanschaf van een verse schootcomputer heb ik echter besloten mijn leven te beteren. Niks geen king of the hill status meer als dat niet strict noodzakelijk is. Dan maar wat minder gebruikersgemak en mijn rechten on the fly verhogen via uitvoeren als. Werkt dat niet? Niet zaniken, gewoon de moeite nemen om opnieuw aan te loggen als Onze Lieve Heer, klikkerdeklik installeren die hap en weer terug naar de zandbak.

Waarom ben ik overstag gegaan? Niet omdat ik nare ervaringen heb met de boze computer- en internetwereld bij het werken onder een beheeraccount. Dankzij m'n aan paranoia grenzende voorzichtigheid ben ik verstoken gebleven van creepy crawly beestjes in mijn pc. Maar het is goed beschouwd zooooooo slap om te kiezen voor de weg van de minste weerstand. Vandaar dat ik afstand neem van mijn dwalingen.

Je merkt wel dat sommige software niet is gebouwd met een gebruiker met beperkte rechten in het achterhoofd. Neem nou die Security Suite van McAfee. Ik weet niet of ik voor dit product gekozen zou hebben als deze software niet meegeleverd was bij mijn laptop. Maar goed. Het staat nou eenmaal op die harddisk. En zo'n slechte naam heeft McAfee nou ook weer niet.

Niet alleen heb ik beheerdersrechten nodig om een aantal updates te installeren. McAfee maakt ook gebruik van een onzalige combinatie van Internet Explorer en ActiveX om de update uit te voeren. Pas nadat ik het beveiligingsnivo van Internet Explorer sterk verlaagd had, protesteerde McAfee niet meer en voerde de update uit.

Hmmmm .... eigenlijk kan dit maar één ding betekenen. McAfee gaat er blijkbaar standaard van uit dat de doorsnee thuisgebruiker met beheerdersrechten werkt en daarnaast Internet Explorer op een comateus beveiligingsniveau heeft draaien.

Da's een goed uitgangspunt als bouwer van beveiligingsprogrammatuur. not!

Samenvatting van alert van govcert (waarschuwingsdienst)

Er zijn enkele zeer ernstige kwetsbaarheden gevonden in Apple QuickTime.

Kwaadwillenden fabriceren speciale e-mails of webpagina's waarmee ze de kwetsbaarheid in QuickTime kunnen misbruiken en de controle over uw computer kunnen nemen.

Als u QuickTime versie 7.0.4 of eerder op uw computer heeft is uw computer kwetsbaar. Let erop dat uw computer ook kwetsbaar is als u QuickTime wel heeft maar eigenlijk nooit gebruikt.


Schrik! (nou ja, niet echt) Versie 7.0.4 heb ik ook draaien. Maar geen paniek. Gelukkig bevat QuickTime een handige interne internet updatefunctie waarmee het proggie in een handomdraai weer spik en span is en vrij van nare luchtjes. Middels een vink wordt zelfs de mogelijkheid geboden om automatisch nieuwe versies binnen te sleuren. Prima.

En dan zakt me de broek weer spontaan op de enkels als QuickTime doodleuk meldt dat mijn 7.0.4 versie update to date is. Hoe kan je nou ooit vertrouwen krijgen in een automatische update als je op dit soort fratsen wordt getrakteerd? Niet dus.

Het is diep triest: websites die er gelikt uitzien worden door bezoekers al snel (lees: veel te snel) als betrouwbaar ervaren. Op nu.nl valt te lezen:


Volgens McAfee is 97 procent van alle internetters "een muisklik" verwijderd van besmetting van hun computer door programma's die bijvoorbeeld ongevraagd surfgegevens bijhouden en doorsturen aan derden. "Wat blijkt, is dat juist gevaarlijke sites er heel goed in slagen een gevoel van veiligheid over te brengen", zei Chris Dixon van McAfee.


En dus wordt er vervolgens geklikt op alles wat los en vast zit. Ik kan er er ook wel weer wat bij voorstellen. Nee, dat neem ik terug. Eigenlijk kan ik me er helemaal niet inkomen, in dat click happy gedrag. Want klinkt het onderstaande u realistisch in de oren?

Kinderlokker in maatpak vraagt: Dag mevrouw, mag ik uw dochtertje even meenemen? Ik wil haar zo graag op een ijsje trakteren.
Moeder antwoordt: Maar natuurlijk, vriendelijke meneer in het nette pak. Dat zal ze leuk vinden. Liefje, loop jij maar even met die aardige meneer mee voor een ijsco. Pas je wel op voor die vieze stinkzwerver op de hoek van de straat!

Vertrouw niet te veel op de input van gebruikers. Altijd valideren die handel, voordat je besluit die input iets te laten doen. Deze waarschuwing gaat op voor computerprogrammatuur. De talrijke Windows exploits die gebruik maken van een overflow in een ongecontroleerde geheugenbuffer spreken voor zichzelf. En geldt evenzeer voor webformulieren die praten met een achterliggende database. Anders is het risico van SQL injectie levensgroot.

Maar zoals gisteren in een Volkskrant artikel te lezen was, geldt het principe van inputvalidatie ook voor RFID chips. Volgens onderzoekers Melanie Rieback en Andrew Tanenbaum van de VU Amsterdam is het namelijk mogelijk om RFID chips te injecteren met kwaadaardige code. Terwijl men er tot nu toe uitging dat dit, door de beperkte geheugenopslagcapiciteit van RFID chips, niet mogelijk was.

Voorbeeld:
Een RFID chip wordt uitgelezen door een scanner. In plaats van een regulier antwoord te geven reageert de chip met

[regulier antwoord ] ;shutdown--

En vertelt hiermee de RFID lezer dat hij zichzelf uit moet schakelen.

Oké, heren RFID systeemleveranciers! Tijd om die programmatuur te herschrijven. Meer lezen?

http://www.rfidvirus.org/papers/percom.06.pdf
http://www.scurvydawg.com
http://www.chi-publishing.com/index.php?newsID=734

Dat Microsoft Word de neiging heeft nogal wat (potentieel ongewenste) meta-informatie met een document op te slaan weet iedereen. Toch??? Hoe zorg je er dan voor dat je jouw document aan de wereld kunt tonen, zonder dat er allerlei extra info op straat komt te liggen.

De regenjassen en zwarte hoeden van de NSA weten raad. In Redacting with Confidence: How to Safely Publish Sanitized Reports Converted From Word to PDF wordt stap voor stap uit de doeken gedaan hoe een Word bestand gestripped kan worden van alle potentieel gevoelige (meta)info om vervolgens te worden geconverteerd naar pdf.

Zelf print ik gewoon naar pdf (met stukje opensource software: PDF Creator), hetgeen als het goed is alle eventueel aanwezige metatroep uitgumt.

Lees dan dat stappenplan (let op voordat u klikkerdeklikt: alarm)

[via digg]

Het was gisteren dan wel de maandelijke Microsoft patch dag, maar behalve dat er problemen zijn met 1 van de updates worden niet alle lekken worden gedicht.

Een drag and drop kwetsbaarheid in Internet Explorer die al een klein half jaar bekend is, wordt door Microsoft niet via de patch dag verholpen. Niet ernstig genoeg om via patch dag te fixen oordeelt Microsoft. Wellicht dat het lek in de volgende service packs voor Windows XP en Windows 2003 Server wordt aangepakt. Windows 2000 blijft in de kou staan.

Een stukje achtergrondinfo over de sleur en pleur kwetsbaarheid in kwestie en de mogelijke workarounds lees je via SecuriTeam.

Een lek in Firefox 1.5 wordt bekendgemaakt (ik vroeg me vorige week al af waarom de opwaardering naar versie 1.5.01 nodig was). En iedereen buitelt weer over elkaar heen op de fora. Veelal opmerkingen in de trant van Zie je wel, net zo erg als Internet Explorer. Wat mij betreft: een hoop geloei in de ruimte.

De enige klacht die wat mij betreft hout snijdt is dat er na het verschijnen van nieuwe versies soms probleempjes zijn met incompatible extensies. Voor een aantal extensies geldt dat ondersteuning niet al te lang op zich laat wachten. Maar het wekt toch enige ergernis op als je favoriete extensie (tijdelijk) niet meer functioneel is vanwege een update.

Over patchen gesproken, Microsoft is ook weer door de bocht met een WMF gat in oudere versies van IE. (advisory)

En als je hiermee denkt klaar te zijn. Niet helemaal. De Java Runtime Environment heeft je aandacht nodig.

In mijn baantje als systeembeheerder word ik nogal eens woest aangestaard als een medewerker een website wil bezoeken en op een pagina wordt getrakteerd die niet wil laden of hartstikke kreupel is. De functionaliteit van de browser, Internet Explorer, wordt standaard nogal afgeknepen. Lees: actieve content in de vorm van ActiveX, meta tag redirects en scripting staat standaard UIT! Hiermee wordt de brakke browser ongevoelig voor het grootste deel van de bedreigingen. Als het nodig is geef ik natuurlijk websites vrij door ze in de vertrouwde zone van Internet Explorer op te nemen. De policy-wijziging wordt uitgerold over het domein. En voila: de website is toegankelijk ... meer lezen ...

Het achtergrondmuziekje wordt na verloop van tijd steeds meer jaren 80 pr0n, maar desondanks is deze demo van een aanval op IIS met behulp van Knoppix zeker de moeite van het bekijken waard.
demo checken

Ai. We hebben weer eens een ouderwets linke kwetsbaarheid in Internet Explorer aan de hand. De javascript window() functie kan voor problemen zorgen in IE 5.5 en IE6. De bug was allang bekend (mei 2005), zoals gebruikelijk heeft Microsoft geen actie ondernomen en nu is de pleuris uitgebroken. Want waar de kwetsbaarheid initieel de browser doet crashen is het Britse beveiligingsburo Computer Terrorism erin geslaagd de bug verder uit te buiten. In plaats van het veroorzaken van een dood browservenster komt plots het uitvoeren van willekeurige code binnen handbereik. Wat nou opwaarderen van de risicoklassificatie? Op de website van Computer Terrrorism vindt je een goede technische uitleg van de kwetsbaarheid (zelfs ik kan het volgen) en een Proof of Concept. Totdat Microsoft met een oplossing komt is het uitschakelen van javascript de enige manier om niet ten prooi te vallen aan deze exploit.