>WU< Wilhelm Uhlenberg

Transkript

1 Bestehen Sicherheitskonzepte auch wenn die Programme ausgeführt werden/wurden? Dynamische Speicherzugriffe und deren Auswirkungen bei Anwendungen >WU< Ist Sicherheit augenscheinlich? Uns kann nichts passieren, weil alles über sichere Verbindungen, verschlüsselt und mit starken Passworten geschützt ist TRUE == FALSE? (SOMETIMES / MAYBE) Wilhelm Uhlenberg wu@sv-uhlenberg.de Agenda Ablauftechnisches, Fahrplan Einführung ins Thema (Nur für Windows-Systeme) Neuralgische Zonen. Ausprägungen, Motivation Definitionen zur Memory-Map. Aufteilung Belegungs- Freigabestrategien Erzeugungs-Methoden Problembewusstsein Beispiele offener Applikationen 4/5 tatsächliche Online-Leichen Ursachen, mögliche Gründe und Erkenntnisse Anregungen Fazit, Fragen und Quellenverweise >WU< 2 1

2 Wie sieht der Schatz aus? Welcher Schatz ist gemeint Vier bis sechs wesentliche Bereiche: Physikalischer Hauptspeicher-Inhalt Virtueller Speicher einzelner Applikationen (inklusive Auslagerungsseiten in pagefile.sys) Slack space aus dynamischen Puffern oder Resten des Speichers im Adressraum des >WU< Programms Bei Labtops und Energiesparmodellen der eingefrorene Schlafbereich (hiberfile.sys) Crash-Dump-File (memory.dmp), wenn gefüllt. VMware, VirtualPC, Xen Kontainerdateien (passiv) 3 Wie komme ich da ran? Unabhängige Hardwarelösungen Device Mapping-Register Verfahren (PoC Devices, PCI-Tribble) Spezifikation des Firewire (IEEE 1394) erlaubt Client-Devices den DMA Zugriff aufs RAM. Was wenn Client ein Rechner (Talon) ist? AutoRun-enabled Medien (USB Stick, CD, DVD, Floppy, ZIP) USB-Devices deklariert sich z.b. als HHID (Human Interface Device) Software Onboard: DEBUGGER (auch schon DOS-Beigabe Debug.exe) >WU< Onboard: CDA (Crash Dump-Erzeuger und Analysierer) Onboard: Device Treiber (auch untergeschobene) Zusatz: z.b. DD for Win, WinHex, X-Ways Forensics, Encore, Rootkits, Trojanische Pferde, Acitivity/Keylogger (Schadsoftware, Cross-Site-Scripting) ACHTUNG: bei zufälligen Funden von USB-Sticks (Banknähe, Post, Geldautomat, Tankstellen, Schulen, Behörden usw.) 4 2

3 IT-Symposium 2007 Input, Anregungen aus dem Plenum ausdrücklich gewünscht Motivation: Sinne schärfen Forensik Antiforensik (braucht man für Forensik eine Leiche?) Untersuchungsgegenstand & Gretchenfrage Soll man ein System AUS-schalten? + Schaden kann sich nicht mehr vergrößern - Entstehungshistorie im RAM lässt sich nicht vollständig ermitteln - Ist eventuell Über -Lebenswichtig Wie aber, wenn ja? (shutdown, power off,..) Soll man ein System EIN-schalten? Soll man ein System laufen lassen? Was mach ich mit dem Netzwerk? >WU< In 99% aller Fälle NEINNEINNEIN Eventuell (Zielrichtung entscheidend) 5 Präparationen (wenn man s ahnt) Gretchenfrage, Teil 1 Vorbereitung für Crashdump Durch rechte Strg / Ctrl -Taste halten und zweimal Pause/Untbr./ScrLock wird sofort ein CrashDump erzeugt. 6 3

4 IT-Symposium 2007 Kleine Anatomiekunde (1) >WU< Slack Space Programme nutzen einen virtuellen Adressraum Aber der Übergang in den physikalischen Speicherbereich beruht auf Kacheln/Pages, die am Ende meist NIE voll ausgenutzt werden. 7 Kleine Anatomiekunde (2) Mögliches Ergebnis in Konkurrenz 8 4

5 IT-Symposium 2007 Kleine Anatomiekunde (3) Windows Internals (Signaturkenntnis) 9 An den Haaren herbei gezogen? Habe ich ein Problem? > WU 2007 < Wo stehen benutzte Notebooks unbeaufsichtigt? (DECUSForum?) Outlook, CiscoVPN Client, Wiso-MeinGeld, FTP transfer zur Web-Site, Https-Zugang zur Fritz!box, Web- oder andere Logins über IE. Nutze ich etwas davon? Kommunikation ist Teil des Lebens Kommunikationsinhalte tragen Risiken Informationen, die ich nicht haben wollte (auch das SlackSpace-Problem) Social Engineering, Neugier >WU< > WU 2007 < The USB-Way (15 von 20 Sticks, wurden trotz Arbeitsanweisungen in die Firmencomputer gesteckt!) Anweisungen lösen keine Probleme 10 5

6 Gelebte Praxis (1) Daten werden über zuvor reservierten Pufferspeicher ausgetauscht. >WU< Kritische Applikationen und Systembereiche lsass.exe, der lokale Sicherheitsdienst steuert die Richtlinien für User. ( lsass = Local Security Authority Subsystem ) Die csrss.exe (Client Server Runtime Process) oder smss.exe (Windows Session Manager Process) gehören zu Windows. Sie sind jeweils ein so genanntes Sub-System. Aber Achtung: Der Wurm "W32.NIMDA.E@mm" kopiert sich als csrss.exe in Form einer Variablen in die entsprechende Datei! Die svchost.exe ist ein Systemprozess. Mit ihrer Hilfe werden dll-dateien ausgeführt. Die svchost.exe taucht öfter in Ihrem Task-Manager auf! Das ist kein Fehler, der Task-Manager ist nur nicht in der Lage Prozessnamen zu zeigen. Alternativen ProcessExplorer von sysinternals.com oder > tasklist 11 Gelebte Praxis (2) Kenntnis der Entstehung Schöpfungsgeschichte Adam = System? 12 6

7 Gelebte Praxis (3) Wie es aussieht C:\Dokumente und Einstellungen\XYZUser>tasklist/svc Abbildname PID Dienste ========================= ===== ============================================= System Idle Process 0 Nicht verfügbar System 4 Nicht verfügbar smss.exe 1076 Nicht verfügbar csrss.exe 1208 Nicht verfügbar winlogon.exe 1236 Nicht verfügbar services.exe 1280 Eventlog, PlugPlay lsass.exe 1292 PolicyAgent, ProtectedStorage, SamSs ati2evxx.exe 1472 Ati HotKey Poller svchost.exe 1500 DcomLaunch, TermService svchost.exe 1580 RpcSs svchost.exe 1772 AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, helpsvc, HidServ, Irmon, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv, Themes, TrkWks, W32Time, winmgmt, wscsvc, wuauserv, WZCSVC svchost.exe 1848 Dnscache svchost.exe 300 LmHosts, SSDPSRV, upnphost, WebClient spoolsv.exe 732 Spooler scardsvr.exe 780 SCardSvr schedul2.exe 488 AcrSch2Svc svchost.exe 504 ASChannel.. 13 Was machen die Schurken? Wichtigkeit vortäuschen und tarnen 14 7

8 IT-Symposium 2007 Risikofalle RAM(1)? Beispiel: Outlook; Verfahren übertragbar Die gemappten Seiten des Primary Memory einer Applikation/ Programmes/ Processes geben oft entschlüsselte, zwischengespeicherte Inhalte preis. 15 Risikofalle RAM(2)? 16 8

9 WU 2007 < WU 2007 < IT-Symposium 2007 Risikofalle RAM(3) Was nutzen wir bewusst oder unbewusst (kleine Auswahl) lsass kann im RAM die Passworte der Freigaben enthalten (in UNICODE) Outlook enthält nach der -Postfachabfrage Puffer der POP3 Konten im ASCII Format im RAM. > IExplorer ( ) enthält Puffer wo auch bei die Passworte (z.b. DSL Boxen und Zugangskennworte) im ASCII Code vorliegen. Buhl-Data MeinGeld (WISO) trotz Datentresor(!) PINs, TANs Zugangskennwort in residenten Puffern in ASCII lesbar, wenn die Umsätze abgefragt wurden. > WS_FTP, SmartFTP und andere FTP-Clients enthalten nach erstmaligen Verbindungsaufbau Puffersektionen, die die FTP-Server Passworte in ASCII behalten >WU< Cisco VPN Client Subsystem (cvpnd.exe und vpngui.exe) hat in den Profildaten einer vorkonfigurierten VPN-Verbindung das Authentifizierungs- Passwort eingelesen, welches in ASCII im RAM abgegriffen werden kann. Bestimmt noch viele andere nicht genannte mit KONZEPTFEHLER! WhiteShark, AirSnort u.ä. Netzwerkmitschnitte fangen ebenso unverschlüsselte Pufferinhalte in Klarschrift ab (z.b. POP3 Accounts) - aber VPN oder HBCI nicht so einfach! 17 Was zeigt die Praxis? Die selektive Wahrheit... (?) Nicht das was wir sehen ist das was wir haben! - und umgekehrt manchmal auch - Gefahrenquellen durch systemimmanente Schwächen/ Features z.b. UNICODE; white space; case sensitivity, beautiness, fonts (lsass - 1sass oder lsass - 1sass, win1ogon), transaction sequence, exception handling, timeout recovery,. Nicht mehr Benötigtes wird oft vernachlässigt oder vergessen. Paged pool und non paged pool enthalten ebenfalls externe Daten über die Lebensdauer der Applikationen hinaus. >WU< Memory-Mapped Files sind ein beliebtes Angriffsziel. Kontraintuitives Verhalten untergräbt die maschinelle Konsistenz. 18 9

10 Was zeigt die Praxis noch? Mühsames Geschäft... (?) Wer weiß alles was möglich ist? Den Lückenforschern immer einen Schritt hinterher? Wer kennt alle Details? >WU < Sollte man bei forensischen Untersuchungen tatsächlich die Black-Box Ergebnisse, Logs, Traces mitliefern? Pflicht oder Angriffsfläche (Analyse)Tools eventuell strafrechtlich bedenklich, aber der Innenminister scheint hier privilegiert. Nachteil gegenüber den Böswilligen? JA! 19 Bewusstseinbildung Was bedenke ich meist nicht Passive (Inaktive) Programme, DLLs, SharedMemory files hinterlassen Fragmente mit sensiblen Daten. Datentransferpuffer werden in 2**n Portionen bereitgestellt und sind immer prophylaktisch zu groß. (Wenn nicht, crashed es oft). Ähnliches gilt bei ARRAY-Übergaben in Funktionen oder Methoden. Sehr selten wird nach Freigabe ungenutzter Resourcen ein kontextfreier Initialzustand erzeugt. (Garbage collection???) Defaults bei den meisten Windows-Varianten sorgen für einfache/schnelle Nutzbarkeit zu Lasten der Vertraulichkeit. Kernstrukturen lassen sich manipulieren, insbesondere wenn Administrations-Rechte vorhanden sind. >WU< Dateien können außerhalb der belegten Grenzen vertrauliche Daten anderer enthalten (Clusterproblem, slack space) Manipulierte API Ketten, SYSCALL proxying (Hooks), DKOM Persönliche Vorstellungskraft und alles Unbekannte 20 10

11 Gründe Bei vielen läuft der PC immer mit allen Rechten und Default Settings Oft komplett ohne Passwortverriegelung. Bequem und einfach ist Trumpf! (z.b. AutoRun) Zusammenhänge oft unbekannt Es gibt Reproduzierbares und zusätzlich noch Zufälliges Muss der Fachmann vorbeugenden Schutz einbauen? Kosten >WU< Sicherheit und Schutz ist eine kostenpflichtige Wahloption (nicht vollumfänglich eingebaut, teilweise bewusst brachliegend) Geizige müssen Ihre eigene Zeit investieren (kontinuierlich) Reiche auch! Eitelkeiten Menschliche Schwingungen sorgen für unbewusste Inkonsistenzen Neugier und Missgunst 21 Anregungen Forensische Untersuchung: Tools einsetzen, die anerkannt nichts verändern und eine so genannte Blackbox Funktion beinhalten! Immer auf Kopien arbeiten. Notfalls zuvor anfertigen. Memory-Dump ist meistens zu empfehlen (Ausnahme Backtrace im Netzwerk). Kennt jemand etwas besseres? Eigene Nutzung: Immer bei Normalnutzung mit eingeschränkten Rechten! Neugier zügeln und Gehirn einschalten, bevor ein Datenträger oder ein Gerät mit einem Rechner in Verbindung gebracht wird. >WU< Nur die externen Verbindungsdienste/Protokolle und Hardware(n) aktivieren, die für die momentane Arbeit tatsächlich benötigt werden. Beispiel WLAN, Bluetooth, Mikrophon, IR, GSM, USB, Firewire Wenn machbar, nach außen sichere Plattform ohne interne Vernetzung nutzen. DSL Zugang möglichst nicht immer Online lassen (Problem Telefonie) 22 11

12 F a z i t Schätze sollte man nach bewehrter Methode sehr gut verstecken und immer gut hüten! IT-Forensik schöpft zunehmend einen Teil seines Nektars mit Hilfsprogrammen aus dem residenten Pool an Möglichkeiten. Nutzer sollten eventuell an Hilfsprogramme denken, die ungewollten (manchmal kompromittierenden) Datenmüll entfernt. >WU< Vortragsauszug erhältlich auf -Anfrage: wu@sv-uhlenberg.de Danke für die Zeit - Mit der räumlichen sowie geistigen Distanz zu Problemen nimmt der Enthusiasmus zur Fehleinschätzung zu - Referenzen / Quellen X-Ways Software Technology AG, X-Ways Forensics oder WinHex Wikipedia und FrankN.com - Der Windows Task-Manager und seine Prozesse Mauriusz Burdach, Physical Memory Forensics (June 2006) PHRACK MAGAZINE has been providing the hacker community with information on operating systems. Spiegel bei der Uni Stuttgart Viele Hilfen und Erklärungen. Forum On Risks To The Public In Computers And Related Systems Virtuelle Speichertechnik, Danny Görsch, Semesterarbeit SS2002 >WU< SYNerity IT Forensik Teil 1 und 2, Eduard Blenkers Social Engineering, the USB Way, Steve Stasiukonis Smith Fred, Bace Rebecca. A guide to forensic testimony. Addison Wesley; Venema Wietse. Forensic discovery. Available from: Gunhild Lütge: Amoklauf der Maschinen. Die Zeit. 2. April 1993, S Garner George. Forensic acquisition utilities. Available from: Schuster Andreas. PTfinder version released, March 2006b. Available from: [ ]. Searching for processes and threads in Microsoft Windows memory dumps Andreas Schuster, Deutsche Telekom AG, Friedrich-Ebert-Allee 140, D Bonn, Germany 24 12