LN-Waschpress

Schlagwort: Security

  • NSA gibt Hacker-Tool als Open Source frei

    Der US-amerikanische Geheimdienst NSA hat auf seiner derzeit abgehaltenen Jahreskonferenz RSA Conference 2019 die Freigabe des Hacker-Tools GHIDRA als Open Source bekannt gegeben

    Binärpakete analysieren

    GHIDRA ist ein Java-basiertes Reverse-Engineering-Framework mit einer grafischen Benutzeroberfläche (GUI), das für die Ausführung auf einer Vielzahl von Plattformen wie Linux, Windows und macOS entwickelt wurde. Das Framework enthält eine Reihe mächtiger High-End-Softwareanalyse-Tools, die es Anwendern ermöglichen, kompilierten Code zu analysieren.

    Gut oder böse?

    Offiziell setzt die NSA das selbst entwickelte Software-Reverse-Engineering-Tool bereits seit über einem Jahrzehnt intern ein, um Sicherheitsprobleme in Software zu beheben. Genausogut kann das Werkzeug aber auch dazu dienen, Backdoors in Binärsoftware zu platzieren.

    Keine Backdoor!

    Bei der Vorstellung des Werkzeugs auf der RSA betonte Rob Joyce, Referent für Cybersicherheit bei der NSA, GHIDRA habe keine Backdoor: »Dies ist die letzte Community, in die du etwas mit einer installierten Hintertür freigeben möchtest, für Leute, die nach diesem Zeug suchen, um es auseinanderzunehmen.«

    Keine Backdoor?

    Der britische Sicherheitsforscher Matthew Hickey vom Unternehmen Hacker House fand laut The Register einen zunächst verdächtigen Port, wenn das Tool im Debug-Modus läuft. Dann öffnet es den Port 18001 für das lokale Netzwerk und akzeptiert und führt Remote-Befehle von jeder Maschine aus, die sich verbinden dahin kann. Der Debug-Modus ist standardmäßig aber nicht aktiviert und kann auch auf Verbindungen des Host-Rechners beschränkt werden. Also eher keine Backdoor.

    Reverse-Enginiering-Tools

    Zu den Funktionen gehören Disassemblierung, Montage, Dekompilierung, und Skripting sowie Hunderte von weiteren Funktionen. GHIDRA unterstützt eine Vielzahl von Prozessanweisungen und ausführbaren Formaten und kann sowohl im interaktiven als auch im automatisierten Modus ausgeführt werden. Benutzer können auch ihre eigenen GHIDRA-Plugins oder Skripte mit Java oder Python entwickeln.

    InfoSec-Community hoch erfreut

    Die InfoSec-Community wartete bereits seit der ersten Ankündigung im Januar auf das mächtige Werkzeug zum Aufspüren von Viren und Malware, das nun in Version 9.0 auf der Webseite des Projekts zur Verfügung steht. Bisher standen in dieser Qualität lediglich teure kommerzielle Werkzeuge wie IDA-Pro, Radare, Capstone oder Hopper zur Verfügung.

    GHIDRA soll in nächster Zeit komplett auf GitHub zur Verfügung stehen, eine Installallationsanleitung steht auf der Projektseite bereit.

  • Ubuntu-Fehler: Sperrbildschirm kann umgangen werden

    Ubuntu-Fehler
    Bild: Security | Quelle GotCredit | Lizenz: CC BY-2.0

     

    Hacker können Zugriff auf laufende Anwendungen auf einem Ubuntu-Rechner erhalten, wenn Sie physischen Zugriff auf dessen Festplatte haben. Dieser bereits am 18. Juni gemeldete und erst  jetzt bekannt gewordene Ubuntu-Fehler betrifft alle Versionen seit Ubuntu 14.04 LTS »Trusty Tahr«.

    Vermutlich sind aber auch die Derivate der Ubuntu-Familie (bestätigt für 18.04 MATE) als auch Ableger wie Linux Mint und andere betroffen. Dabei besteht Zugriff auf offene Anwendungen des Anwenders, bevor dieser das Gerät in den Ruhemodus schickt.

    Kritischer Ubuntu-Fehler

    Wenn der Angreifer die Festplatte, auf der sich die Installation befindet, während des Ruhemodus (suspend) entfernt und dann das Gerät aufweckt, gibt es mehrere Möglichkeiten: Der Sperrbildschirm erscheint und die Eingabe eines beliebigen Passworts erlaubt den Zugriff. Wenn das beliebige Passwort nicht angenommen wird, kann der Ausschaltknopf der Hardware betätigt und dadurch der Zugriff erreicht werden. Bleibt der Bildschirm dunkel, kann der Vorgang, beginnend mit dem Ruhemodus des Rechners wiederholt werden.

    Die erste Stellungname eines Canonical-Security-Ingenieurs liest sich nicht gerade beruhigend:

    [su_quote style=“modern-light“ cite=“Marc Deslauriers“]Es ist unwahrscheinlich, dass wir dies beheben werden, da ein Angreifer mit einem physischen Zugriff einfach direkt auf die Festplatte zugreifen oder das Passwort auf der Festplatte ersetzen und den Computer entsperren kann.[/su_quote]

    Auch wenn dies so richtig ist, das Entfernen der Festplatte eines Rechners erfordert lediglich mechanisches Geschick und kein Wissen wie man das Passwort ersetzt. Es ist ein einfach klingender Hack und er funktioniert, indem er einen Fehler in der Art und Weise ausnutzt, wie das System Daten speichert, wenn Ubuntu im Ruhezustand ist.

    Ein weiterer in diesem Zusammenhang aufgetauchter Fehler erlaubt manchmal das Umgehen des Sperrbildschirms durch Anschließen eines HDMI-Monitors, sobald der Sperrbildschirm auftaucht.

    AMD-Microcode zurückgezogen

    Erst gestern wurde ein anderes Sicherheitsproblem bei Ubuntu 14.04 LTS »Trusty Tahr« beseitigt, indem der vorherige unsichere Zustand wieder hergestellt wurde. Der am 20. Juni ausgelieferte AMD-Microcode musste zurückgezogen werden, da er durch eine Regression vereinzelt den Bootvorgang von Rechnern unterbrach und diese somit nutzlos machte.

    Der AMD-Microcode sollte eigentlich den Auswirkungen der Anfang Januar bekannt gewordenen Spectre-Lücke (CVE-2017-5715) entgegenzuwirken. Nun zog Canonical den Microcode zurück, indem das Paket amd64-microcode 3.20180524.1~ubuntu0.14.04.2+really20130710.1 an seine Stelle rückte.