Seit einigen Tagen beobachte ich hier vermehrt Scans meines Blogs von den IP-Adressen 208.66.195.2 und 208.66.195.8, gelegentlich auch von 208.66.195.5 aus. An und für sich nichts ungewöhnliches, allein die Ausdauer und die Anzahl der Zugriffe machten mich ein wenig stutzig. Von den beiden ersten Adressen aus erfolgten jeweils täglich bis zu 800 Zugriffe, mindestens jedoch 500 über den ganzen Tag verteilt. Grund für mich, dieser Sache mal ein wenig auf den Grund zu gehen.

Langwierige Recherchen waren auch gar nicht nötig, ARIN spuckte aus, wem diese Adressen gehören: einer Digital Infinity Ltd mit Sitz in Moskau. Mit diesen Informationen bewaffnet war nun auch recht zügig herauszufinden, was es mit diesen Scans auf sich hat und was dahinter steckt: Psycheclone – ein Bot, der Webseiten nach Mailadressen durchsucht. Aha!

Mein erster Gedanke war: den füttere ich mit Müll bis zum überlaufen. Der 2. Gedanke: Klasse, dann blockiert mir dieses Mistteil hier nur noch mehr den Server und klaut Performance. Also bleibt nur eine Möglichkeit: aussperren. Da davon auszugehen ist, dass ein solcher Bot sich ganz sicher nicht an irgendwelche Einträge in der robots.txt hält und unter Garantie alles ignoriert was irgendwie geeignet sein könnte, ihn auf „friedliche“ Art und Weise auszusperren, bleibt nur der harte Weg über die .htaccess.

Weiterlesen »

Das Buch Security Engineering. A Guide to Building Dependable Distributed Systems. von Ross Anderson ist ab sofort frei verfügbar, wie gulli berichtet.

Der Autor konnte nach Diskussionen mit seinem Verlag das komplette Werk nun auf seiner WebSite zum Download anbieten. Bei gulli vergass man im Artikel leider auf die Seite des Autors zu verlinken, deshalb habe ich ein wenig recherchiert und reiche den Download-Link hier nach:

Buch Security Engineering als PDF-Download.

Marc Ruef, Security Consultant bei einer schweizer Firma, stellt einige interessante Überlegungen zum Thema Security Audits, Netzwerk-Scans und Reverse Engineering an. Er weist auf Unzulänglichkeiten und Unzuverlässigkeiten von netzwerk-basierten Scans hin, erkennt ein Ausbleiben kommerziellen Erfolges host-basierter Audit-Produkte und siniert über die Möglichkeit des Einsatzes von Reverse Engineering Techniken bei der Schwachstellenanalyse von Applikationen. Alles in allem ein informativer Artikel über Trends und Notwendigkeiten im Bereich Security Audits.

„… Eines ist sicher: Netzwerkbasierte Tests haben je länger je mehr als eigenständige Analysetechniken in einem professionellen Projekt ausgedient. Nur unter Zuhilfenahme weiterer Methoden, wie die Quelltext-Analyse oder das klassische Software Reverse Engineering, können mit einem Höchstmass an Effizienz und Zuverlässigkeit bestehende Fehler identifiziert werden. Zur Umsetzung dieser umfassenden Überprüfungen fehlen jedoch noch immer effiziente Werkzeuge, obschon auch in diesem Bereich in den letzten Jahren enorme Fortschitte gemacht wurden(z.B. die neuen Erweiterungen von Datarescue IDA Pro 5.0). Und auch das Wissen bezüglich Assembler-Programmierung und Code-Analysen ist bei den meisten Auditoren gar nicht vorhanden.“

Ich lese sein Blog recht gern, bietet es doch immer wieder einige interessante Ansätze zu weiteren Recherchen für meinen beruflichen Alltag. Seine Beiträge bewegen sich auf hohem Niveau, sind allerdings sicherlich gelegentlich schwere Kost für Otto-Normal-Blogleser. Seis drum, ich verweise an dieser Stelle trotzdem gern mal wieder auf sein Blog.

Soeben lese ich über eine recht interessante Methode, sich unter Windows XP mit Administrator-Rechten auszustatten. Interessant in erster Linie aus einem Grund: Es ist sowas von einfach, dass es fast schon wieder unglaublich ist. Hier eine Step-by-Step Anleitung – einzige Vorraussetzung: Der Benutzer mit eingeschränkten Rechten hat zumindest Zugriff auf den „at“-Befehl.

• Eingabeaufforderung öffnen (Start -> Ausführen -> cmd.exe)
• In dieser Eingabeaufforderung einen Task wie folgt (Uhrzeit anpassen) planen: at 20:00 /intereactive “cmd.exe”
• Abwarten, bis das neue Fenster geöffnet wird
• die erste Eingabeaufforderung schliessen, mit dem Task-Manager (Strg+Shift+Esc) die explorer.exe beenden
• in der noch geöffneten Eingabeaufforderung ins Verzeichnis C:\Windows wechseln und dort explorer.exe starten
• Fertig, ihr seid mit dem Benutzer „SYSTEM“ angemeldet

Ich bin ehrlich gesagt etwas baff, hab auch keine Ahnung, wie alt dieser Exploit schon ist, aber in meinen Augen ist es ein Kinderspiel, in dieser Form zu erweiterten Rechten auf einem Windows XP System zu kommen. Gelesen habe ich eben davon auf haha.nu und es gibt auch ein Demonstrationsvideo dieses Exploits.