Chaos Communication Congress
Neues aus Hacker-Land
Nichts zu verbergen!
Der 25C3 (25. Chaos Communication Congress) stand unter dem Motto »Nothing to hide« – eine Anspielung auf die Aussage vieler Politiker, dass Neuerungen wie das BKA-Gesetz oder die ebenso umstrittene Vorratsdatenspeicherung niemandem schadet, der nichts zu verbergen hat.
Neben dem Austausch mit Gleichgesinnten, gemeinsam mit Hardware-Hacks verbrachten Nächten und Workshops zu Themen wie »Handschellen überlisten« bietet der Kongress eine Vielzahl an Fachvorträgen. Nachdem bereits am ersten Tag über 4000 (Dauer)Karten verkauft wurden, war der Kongress überaus gut besucht, so dass etliche Zuhörer bei den meisten Vorträgen mit Plätzen auf dem Boden vorlieb nehmen mussten.
Extrem beliebt war beispielsweise die Präsentation des iPhone Dev Teams. Die Mitglieder des virtuellen Teams – die sich beim 25C3 zum ersten Mal persönlich kennen lernten – haben sich zwei Ziele gesetzt: Zum einen wollen sie auch nicht durch Apple freigegebene Anwendungen auf dem iPhone installieren, zum anderen die Netzbetreibersperre (SIM-Lock) entfernen.
Nach eigener Auskunft gelang es dem Team, jeweils spätestens 24 bis 48 Stunden nach Veröffentlichung eines Firmware-Updates durch Apple auch die neuen Versionen zu hacken. Zwar demonstriert ein Video im Blog des Teams, dass sie inzwischen auch die UMTS-Version des iPhones (iPhone 3G) mit einer Software namens yellowsn0w freischalten können. Zum Download steht das Tool jedoch voraussichtlich erst in der Nacht des Jahreswechsels 2008/2009.
Hauptspeicher im Visier
Der amerikanische IT-Experte Jacob Appelbaum erläuterte in seinem Vortrag, dass beliebige RAM-Bausteine ihren Inhalt auch nach Herunterfahren der Maschine noch behalten. Untermauert wurden Appelbaums Aussagen durch das Video einer erfolgreichen Demonstration der Cold Boot Attacke.
Erfolgreich ist die Attacke, da DRAM den Inhalt der Speicherzellen auch ohne Energieversorgung noch einige Zeit weitgehend intakt hält – bis zu 30 Sekunden sind bei Raumtemperatur selbst dann möglich, wenn die Speicherriegel ausgebaut werden. Durch Kühlung der Module – beispielsweise mit einem handelsüblichen Spray zur Staubentfernung und Reinigung von IT-Komponenten – ist die Zeitspanne laut Appelbaum noch deutlich zu verlängern.
Relevant ist eine solche Attacke beispielsweise dann, wenn Festplattenverschlüsselung zum Einsatz kommt oder Web-Server mit RSA-Keys arbeiten. In beiden Fällen legen Betriebssystem und Anwendung im Betrieb die notwendigen Kryptoschlüssel im Hauptspeicher ab. Durch Analyse des Speicherinhalts lassen sich laut Appelbaum gängige Verschlüsselungsprogramme wie Microsofts Bit Locker, die Open-Source-Software TrueCrypt, dm-crypt (Linux) oder Apples File Vault (Mac OS X) aushebeln. Mit Hilfe einer speziellen Software lassen sich die Keys anhand leicht zu erkennender Signaturen auch dann aus dem Dump rekonstruieren, wenn lediglich 30 Prozent der Inhalte intakt sind.
Zur Cold Boot Attacke bringt der Datendieb das laufende System zum Absturz, startet es neu oder baut die Speicherriegel in einen anderen Rechner ein und extrahiert dann den RAM-Inhalt. Die Attacke lässt sich auch remote umsetzen, wenn das System nach dem Absturz per Netzwerkboot (PXE) mit einem Boot-Image versorgt wird, das die Software zum Auslesen des Speichers mitbringt. Den Dump des Hauptspeichers kann das Tool dann per Broadcast an das komplette Intranet schicken. Hierdurch würde das Entdecken des Lauschers erheblich erschwert, da es keine Punkt-zu-Punkt-Verbindung zwischen Opfer und Angreifer gibt.
Storm-Botnet von Hackern gekapert
In ihrem Vortrag erläuterten die Hacker Felix Leder, Georg Wicherski, Mark Schlösser und Tillmann Werner wie sie durch Reverse Engineering des Storm-Bots herausfanden, wie die Bots nach dem über das von eDonkey bekannte Overnet-Protokoll kommunizieren und mit welchen Sicherungsmechanismen der Datenaustausch zwischen den Bots und den Kontrollservern (C&C-Server) von den Botnetz-Betreibern geschützt wird. Jeder frisch installierte Bot hat eine Tabelle mit bereits aktiven Stormnodes an Bord, so dass er weiß, welche Nodes er kontaktieren muss, um seine eigene Routingtabelle zu erweitern.Anschließend sucht der Bot nach dem C&C-Server, der Kommandos zum Versand von Spam, dem Start einer DDos-Attacke oder ein Update der Botsoftware verschicken kann.
Nachdem die im Storm-Netz verwendeten Schutztechniken nicht sonderlich ausgefeilt sind, kann sich ein von den Hackern programmiertes Tool (Stormfucker) gegenüber Storm-infizierten PCs (Zombies) als C&C-Server ausgeben. Auf diese Art kann Stormfucker den verbundenen Zombies auch beliebige ausführbare Dateien unterschieben. Die Hacker demonstrierten dies, indem sie dem in einer virtuellen Maschine laufenden Zombie den Windows-Taschenrechner (calc.exe) schickten und starten ließen. Die Übernahme eines echten »in the wild«-Bots wollten die Hacker aus Furcht vor rechtlichen Konsequenzen nicht zeigen, versicherten jedoch, dass Stormfucker in der Praxis zum Beispiel ein Storm-Desinfektionsprogramm verteilen könnte.
Momentan kann Stormfucker die Zombies von einem PC aus angreifen. Würde auf diese Art versucht, eine große Anzahl von Zombies zu übernehmen, wäre eine selbst verursachte DDoS-Attacke die Folge: Einerseits würde zu viel Datenverkehr auf den vermeintlichen C&C-Server einstürmen, andererseits würden die Botnetz-Betreiber alarmiert und selbst mit einer DDoS-Attacke reagieren. Die Funktion zur rekursiven Bot-Übernahme soll in Zukunft nachgerüstet werden.