WarDriving - Ergebnisse u. Auswertung
Die Ergebnisse, der vor genau einem Monat durchgeführten Aktion "WarDriving in Wiesbaden", für den Stadtteil Erbenheim sind nun vollständig verfügbar. Insgesamt wurden 1709 WLANs erfasst, welche nach "Channel" und "Encryption" sortiert und ausgewertet wurden. Für die Eigenschaft "Encryption" ergibt sich folgende Statistik:
NONE|===========|191 WEP |==================|307 WPA |=======================|393 WPA2|================================================|818
Es ist deutlich zu erkennen, dass die meisten Netzwerke derzeit als gesichert angesehen werden können; wenngleich noch immer ein großer Teil an WLANs die Möglichkeit für bekannte Angriffe bietet.
Alle Daten können mittels Google Maps grafisch dargestellt werden. Dazu wurde die XML Datei von Kismet in das von Google verwendete KML Format konvertiert. Hinweis: Aufgrund der sehr großen Menge an WLANs wird ein Teil des Contents ausgeblendet. Um weitere Netzwerke zu sehen, empfiehlt es sich auf die sortierten (kleineren) KML Datensätze zurück zu greifen oder auf Satellitenansicht umzustellen, welche ein besonders starkes Zoomen erlaubt.
Die komplette Auswertung findet sich in "Index" unter WarDriving Wiesbaden - Erbenheim.
P.S.: Weitere Datensätze und Hintergrundinformationen werden schrittweise folgen.
Stay tuned!
Information - Wissen - Macht
Ein guter Bekannter hat mir vor wenigen Tagen den zu Link zu einem Projekt von Dragan Espenschied und Alvar C.H. Freude geschickt, welches unter dem Namen "insert_coin" eindrucksvoll zeigt, wie leicht und oftmals wenig beachtet sich gezielt Fehlinformationen verbreiten lassen. Das Ganze ist schon etwas in die Jahre gekommen und stellte eine Diplom-Arbeit dar, zeigt jedoch beeindruckend welche Formen eine Informationskontrolle annehmen kann.
Das Experiment selbst wurde in 5 Abschnitte aufgeteilt:
1. Die Filter-Software
2. Änderungen der Netzwerkarchitektur
3. Manipulationen und Reaktionen
4. Gesammelte E-Mails
5. Filter selbst ausprobieren
Um es kurz zu fassen beruhte das Projekt auf folgenden Schritten: Der gesamte Datenstrom ins Web, ausgehend von den internen Arbeitsplätzen der Merz Akademie in Stuttgart, wurde über einen Proxy geleitet, welcher gezielt Informationen vertauschte. Teils waren es nur einzelne Wörter bis hin zu den Namen von Domains, welche verändert wurden. So wurde beispielsweise die CSU zu NPD und die FDP zu RAF.
Besonders interessant sind die geschilderten Reaktionen der Studenten, welche ich nur als "erschreckend" zusammenfassen kann. Sie zeugen von absolutem Desinteresse sich mit der Materie auseinander zu setzen oder aber von nicht angebrachter Panik, die dank Massenmedien jahrelang verbreitet wurde. So scheint die übliche Lösung aller Probleme: Aus den Augen, aus dem Sinn. Dazu gibt es auch einen Link zu einem Artikel namens Die @-Bombe - Killer-Viren attackieren die Computer-Welt, der in Ausgabe 20/2000 des Spiegel erschien.
HTTP Parameter Pollution
UPDATE: Aufgrund mehrerer Hinweise eines Bekannten, sei hier nochmals betont, dass der Erfolg eines solchen Angriffs auch ganz entscheidend von der Applikation abhängt. Das Beispiel zur Umgehung von ModSecurity bezieht sich auf eine ASP.NET basierte Seite.
Mitte Mai fand in Krakau/Polen die OWASP Application Security Conference statt, an der ich leider nicht persönlich teilnehmen konnte. Bei den zwei Vortragstagen fiel mir ein Artikel besonders auf, der sich um das neue Buzzword HPP drehte.
Zur Begriffserläuterung: OWASP steht für Open Web Application Security Project und bildet das Gerüst um eine Vielzahl an Firmen und Personen, die sich auf das Thema Websecurity spezialisiert haben. Eine der (vergleichsweise) neuen Techniken ist der Angriff namens HTTP Parameter Pollution oder kurz HPP. Unter den vielen Angriffen wie XSS, SQL Injection, XSRF tauchen nun immer weitere, bisher eher wenig beachtete, Methoden auf, die eine Webapplikation gefährden können.
OWASP AppSec Europe 2009 Poland -> HTTP Parameter Pollution (PDF)
Der Vortrag von Luca Carettoni und Stefano di Paola stellt dabei ein Problem in den Vordergrund, das bisher kaum beachtet wurde: Ein Angriff auf die Funktionsweise von HTTP und die Verarbeitung von Parametern durch die Applikation.
Ein Beispiel zum Verständnis:
Eine oftmals benutzte und valide URL:
http://host/cgi-bin/xyz.cgi?uid=name
Und nun der "Angriff":
http://host/cgi-bin/xyz.cgi?uid=name&uid=name2
Der gleiche Parameter wird zweimal mit verschiedenen Werten übergeben. Die Resultate sind dabei sehr unterschiedlich und teilweise fatal. Eine von vielen Gefahren, welche dargestellt werden, ist das erfolgreiche Umgehen von Security Filtern, etwa ModSecurity, mittels HPP. Auch hier wieder ein einfaches Beispiel:
/index.aspx?page=select 1,2,3 from table where id=1
Diese Art von SQL Injection würde ModSecurity sofort unterbinden. Teilt man den String jedoch in zwei Teile auf, scheitert zwar der Filter, aber die Applikation verarbeitet die Zeichenkette dennoch korrekt. Aussehen könnte das Ganze wie folgt:
/index.aspx?page=select 1&page=2,3 from table where id=1 Die Autoren zeigen im Laufe des Vortrages mehrere recht einfache Beispiele, welche die Gefahren durch HPP verdeutlichen sollen. Theoretisch ließen sich mit ausgeklügelten Manipulationen der Parameter ModSecurity, PHPIDS, der XSS Filter des Internet Explorer 8 und weitere Schutzmaßnahmen umgehen.
