• You are currently browsing the Projekt: Neurodump blog archives for .

    • PDF-Exploit 2.1 ;-) – ohne Sicherheitslücken

    Auf meiner heutigen Heise-Reise durch die seichten Tiefen des Internets bin ich auf folgenden Artikel gestoßen. Hier der Link dazu. heise.de: PDF-Exploit funktioniert ohne konkrete Sicherheitslücke

    Ist das nicht interessant? Das dort befindliche Archiv habe ich gleich mal heruntergeladen. Das findet sich hier. Ausgeführt und gespannt gewartet. Bei mir öffnete sich die Eingabeaufforderung nicht sofort. Das System zeigte entsprechend eine Warnung und zeigte mir die auszuführende Befehlszeile an. Ich habe eine recht aktuelle Version vom Adobe Acrobat Reader installiert. Nachdem ich das zugelassen habe, klappte es auch. Unter dem FoxIt Reader scheint es an dieser Stelle keine Warnung zu geben. Hier befindet sich die Seite des Autors. Das zeigt sehr einfach, wie anfällig auch Systeme sind, die ein Zweitprodukt verwenden. Der Schutz muss früher beginnen, ein PDF Dokument sollte erst gar nicht ohne Userinteraktion geöffnet werden dürfen. Auf diese Weise vermeidet der Benutzer überhaupt, das seltsame PDF Dokumente plötzlich Schabernack anrichten.

    Written on March 31st, 2010 , Gedachtes, Interessantes, Technik Tags: , , , , , ,
    Wie bringe ich Firewire-Festplatten unter Vista und Windows 7 zum laufen?

    Diese Frage hatte mich eine ganze Zeit beschäftigt und irgendwie habe ich eine ganze Weile keine Lösung gefunden. Die Lösung ist nun da und irgendwie sehr einfach. :-) Was es auch ist, es scheint ein Treiberproblem zu sein. Also anderer Treiber. Woher? Von dem Rechner selbst.

    Im Prinzip öffnet der Benutzer den Geräte-Manager und sucht sein Firewire-Gerät. Meist befindet sich unter dem Eintrag IEEE 1394 Bus-Hostcontroller entsprechend die dort zugeordneten Geräte. Erscheint dort nichts, stimmt generell etwas mit den Treibern nicht,… weil dann sind sie erst gar nicht installiert worden. Der Benutzer sucht den Eintrag “OHCI-konformer 1394-Hostcontroller” und wählt mit der rechten Maustaste “Treibersoftware aktualisieren”. Nun wählt der Benutzer “Auf dem Computer nach Treibersoftware suchen.” anschließend “Aus einer Liste von Gerätetreibern auf dem Computer auswählen”. Nun den neuen Treiber auswählen, nämlich OHCI-konformer 1394-Hostcontroller (alt). Ja, genau, den neuen alten Treiber. Und poff, die Festplatten werden erkennt und können verwendet werden.

    Der Problem soll, zumindest nach einigen Foreneinträgen und Erzählungen gerne unter VIA auftreten. Ob das stimmt kann ich nicht sagen, aber beide meiner Maschinen haben VIA Controller drin.

    Written on March 25th, 2010 , Interessantes, Technik Tags: , , , , , , , ,
    PDF Exploit 2.0

    Vor einigen Tagen hatte ich einen kleinen Artikel zu PDF Exploits geschrieben und heute wurde ich durch heise.de auf ein aktuelles Problem aufmerksam. heise.de hat hier durchaus einen recht lesenswerten Artikel geschrieben, der auf eine Publikation von Hovav Shacham verweist. Dieser Exploit veröffentlicht von jduck ist wirklich sehr bemerkenswert und eine gute Arbeit.

    Somit kann gesagt werden, dass ein Exploit existiert, der die Speicherschutzfunktion unter Windows, die Data Execution Prevention (DEP), aushebelt. Bisher hätte ich nicht gedacht, dass dies geht, aber nun sehe ich: Ja, es geht.

    Damit ist es nur eine Frage der Zeit, bis dies Anwendung in der Verbreitung von Schadsoftware findet. Da auch völlig normale Webseiten Schadcode beinhalten können, so ist es sinnvoll, sensible Systeme vollständig vom Netzwerk zu trennen. Hat man nichts sensibles, kein Online-Banking oder etwas in der Art, so sollte darüber nachgedacht werden, in wie weit es möglich ist, sich vor gängigen Exploits, wie dem PDF Exploit zu schützen. Angemerkt werden muss ebenso, das auch seltene Fremdprodukte angreifbar sind, sei es auch OpenSource Software. Der Griff zu einer anderen Marke bringt unter Umständen nicht viel.

    Angriffe können auch dynamisch erfolgen, so wird nicht umsonst geprüft, welchen Browser der Benutzer mit welchen Erweiterungen nutzt.

    Weitere lesenswerte Dinge zu diesem Thema:

    2010-03-18: The Latest Adobe Exploit and Session Upgrading
    Adobe Acrobat Bundled LibTIFF Integer Overflow
    Understanding DEP as a mitigation technology part 1
    The Geometry of Innocent Flesh on the Bone: Return-into-libc without Function Calls (on the x86) By Hovav Shacham
    Memory Protection Technologies
    Bypassing Windows Hardware-enforced Data Execution Prevention
    Exploits für alle: Metasploit unterstützt nicht nur beim Finden sondern auch beim Ausnutzen von Sicherheitslücken

    Written on March 22nd, 2010 , Interessantes, Technik Tags: , , , , , , , , , , , ,
    Trojanicus infecti maximus, Hex Hex.

    Das ist zwar meine reine persönliche Meinung, aber das unbeabsichtigte Aufsammeln von digitalem Ungeziefer scheint mir immer wieder an der gleichen Stelle zu passieren. Die Windows-Benutzer, die es bisher noch nicht gemacht haben, sollten ihre Datenausführungsverhinderung in der Systemsteuerung aktivieren, um zumindest einen gewissen Teil von Exploits aus dem Wege zu gehen, sollte man ihm zufällig begegnen. Vielleicht denkt der werte Leser nun an dieser Stelle: Ich surfe nicht auf unanständigen Seiten. Gut, aber dennoch fängt sich die Benutzergemeinde viele dieser Tierchen an Stellen ein, die nicht sonderlich viel Haut zeigen.

    Jetzt ist ein gutes Anti-Viren Programm schon mal ein praktikabler Schutz. Eine Firewall wird bei einem Befall von Schadsoftware wenig helfen. Schließlich klickt der Benutzer seine Seite ja an, sie läuft ihm ja nicht zu. Hier und da werden allerdings dennoch durch eine Firewall Programme daran gehindert einfach mal so mit der Außenwelt zu kommunizieren. Teils lässt auch das sich umgehen, aber meist würde das zumindest ein wenig gemeldet werden, je nach Produkt. Falls der Benutzer weiß, was seine Firewall von ihm jetzt möchte, so kann er recht zuverlässig erkennen, ob ein seltsames Programm gerade eine Verbindung aufbauen möchte oder nicht.

    Aber die Hersteller von Schadsoftware schlafen nicht und werden auch erstaunlich schnell besser. Die Produkte haben eine bemerkenswerte Qualität, zumindest einige. Und diese haften sich an den jeweiligen Browser und zack, kommunizieren sie unbemerkt nach draußen. Ja, das ist alt. Aber es klappt recht gut und bringt mich an dieser Stelle auf einen kleinen Aspekt, den man sich als Computerbenutzer zumindest mal durch den Kopf gehen lassen sollte. Schadprogramme können über BHOs entsprechend zu anderen System kommunizieren, sollten sie welche in das System nach der Infektion einbauen. Weiter lässt sich ein System oft über einen Browserexploit infizieren, welches letztendlich ein BHO eines Drittherstellers ist. Und irgendwie passiert das diesem Hersteller ständig.

    BHOs sind Browser Helper Objects (BHO). Das sind Programme, die entsprechend Funktionen des Internet Explorers erweitern. Aber der Version 4.0 des Internet Explorers gibt es solche BHOs. Diese haben direkten Zugriff auf das Document Object Model (DOM). Daher können sie sehen, was gerade im Browser so vor sich geht. Für Spionageprogramme, die schauen wollen, was der Benutzer im Internet so macht, ein guter Platz. Auch Kennwörter und URLs lassen sich über ein BHO abfangen und versenden. Der Zugang zum Browser wird einem BHO nicht eingeschränkt, es kann tun und lassen was er möchte. Der Internet Explorer ist hierbei nicht unsicherer, als der Rest der Browser. Microsoft steckt viel Kraft in dieses Projekt, um es laufend zu verbessern. Allerdings benutzt ihn auch fast jeder Otto-Normal-Benutzer, der Verbreitungsgrad ist auf jeden Fall sehr hoch. Hoch genug, um speziell für dieses Produkt Exploits zu schreiben. Für Firefox und Opera gibt es ähnliches, funktioniert auch sehr zuverlässig. Damit Patchen alle um die Wette.

    Aber wir waren bei den BHOs. Zumindest mir fällt auf, was nicht wirklich repräsentativ ist, das häufig Schadcode mit einem PDF Exploit in das System mit eingebracht werden soll. Ja nach AV Programm und Patchlevel gelingt dies mehr oder weniger gut. Entfernt man entsprechend in der Registry das BHO von Adobe, so kann der Browser keine PDFs mehr im Browserfenster zeigen. Man muss das Dokument downloaden und selbst ausführen, bzw. dazu erst einmal den Reader starten. Aber: Ein wichtiger Punkt zur Systeminfektion ist an dieser Stelle nicht mehr vorhanden und viele Exploits funktionieren dann an dieser Stelle nicht mehr. Gut, es wird neue und bessere geben (es gibt sie auch), aber man grenzt die Trefferwahrscheinlichkeit ein wenig ein. Und der Benutzer behält ein wenig mehr die Kontrolle darüber, was andere Programme nebenher so auf der Maschine machen.

    BHOs werden in der Windows-Registrierung unter dem Schlüssel
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
    registriert. Beispiel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01234ABC-DEF1-1D67-123A-123B7D123ABC}

    Aus der Registrierungsdatenbank können leicht mit RegEdit BHOs entfernt werden. Tools wie Spybot zeigen leicht und schnell an, was alles an BHOs im System existiert. Damit lasst sich auch schnell die ID des BHOs ablesen und es kann los gehen. Auch eine Toolbar wird als BHO eingebunden, ein Blick auf das Bereich kann nützlich sein, möchte man sich sicher sein, etwas was wirklich deinstalliert zu haben.

    Written on March 19th, 2010 , Interessantes, Technik Tags: , , , , , , , , , , , , ,
    Eclipse is running in a JRE, but a JDK is required

    Die Integration von Maven verlangt, das Eclipse mit einem JDK betrieben wird, da eine Anzahl von Maven core plugins jars des JDKs nutzen.

    Aus diesem Grund ist eine kleine Änderung der Konfiguration notwendig, um die Fehlermeldungen entsprechend zu entfernen.

    An dieser Stelle sollte darauf geachtet werden, dass das -vm Parameter auf das lokale JDK verweist. Zusätzlich muss geprüft werden, ob alle installierte JREs auf einer JDK Installation laufen.

    Folgende Fehlermeldungen erscheinen bei diesem Problem:

    Eclipse is running in a JRE, but a JDK is required
    Some Maven plugins may not work when importing projects or updating source folders.

    Hierzu öffne entsprechend Eclipse und klicke auf “Window” –> “Preferences” –> “Java” –> “Installed JREs“. Wurde keine JDK gefunden, so muss diese mit “Add” hinzugefügt werden. Ist keinerlei JDK installiert, so muss diese nachinstalliert werden. Klicke auf “Add” –> “Standard VM” und setzte die entsprechende Pfade und klicke “Finish“. Anschließend sollte geprüft werden, ob alle Einstellungen im JDK soweit in Ordnung in der Liste der installierten JREs und klicke final auf “OK“.

    Weiter muss in der “eclipse.ini” eine Kleinigkeit hinzugefügt werden. Dazu wird diese Datei mit einem Texteditor geöffnet und entsprechend folgendes eingefügt.

    -vm
    Pfad_zur_javaw_auf_der_lokalen_Maschine

    beispielsweise sieht das bei mir folgendermaßen aus (jdk1.6.0_17 Win):

    -vm
    C:\Progra~2\Java\jdk1.6.0_17\jre\bin\javaw

    Hierbei handelt es sich um den Pfad Programme (x86) meines Windows 7 Systems. dir /X gibt entsprechend die Kurznamen zu den Pfaden aus. Hierbei sei beachtet, das Eclipse keine Pfade mit Leerzeichen an dieser Stelle verarbeitet.

    Hinweis: “-vm” ist hierbei die erste Zeile, der Pfad befindet sich in der zweiten Zeile.

    Meine vollständige eclipse.ini sieht folgendermaßen aus:

    -startup
    plugins/org.eclipse.equinox.launcher_1.0.201.R35x_v20090715.jar
    --launcher.library
    plugins/org.eclipse.equinox.launcher.win32.win32.x86_1.0.200.v20090519
    -product
    org.eclipse.epp.package.jee.product
    --launcher.XXMaxPermSize
    256M
    -showsplash
    org.eclipse.platform
    --launcher.XXMaxPermSize
    256m
    -vm
    C:\Progra~2\Java\jdk1.6.0_17\jre\bin\javaw
    -vmargs
    -Dosgi.requiredJavaVersion=1.5
    -Xms40m
    -Xmx512m

    Written on March 16th, 2010 , Interessantes, Technik Tags: , , , ,
    Timeout waiting for JBOSS 5.1 to start. Server did not start after 50s.

    Hat der JEE Entwickler nicht eine Maschine, die besonders viel Leistung hat, so wird er feststellen, das hier und da eine besondere Fehlermeldung ihn plagt. “Timeout waiting for JBOSS 5.1 to start. Server did not start after 50s.” Für Anfänger, die nicht wissen, das es die JBoss Tools gibt, manchmal ein vorerst unlösbares Problem. Nein, der Rechner wird mit seiner Leistung durchaus ausreichen.

    Die Lösung ist recht einfach. Das Installieren der JBoss Tools schafft Abhilfe und erweitert Eclipse auch noch um einige sehr nützliche Features.

    Download:
    http://www.jboss.org/tools/download/stable/3_1_GA.html

    Install:
    http://www.jboss.org/tools/download/installation/update_3_1.html

    Viel Spaß beim Coden. :-)

    Written on March 16th, 2010 , Interessantes, Technik Tags: , , , , ,
    Kabelschnüffler und Paketstürme

    In der letzten Zeit beschäftige ich mich mit dem Suchen der Nadel im Packethaufen. Dabei ist Wireshark ja ein gängiges Tool, welches großartig funktioniert. Ebenso lief sich mit dem Paket dsniff unter Linux einiges hervorzaubern. mailsnarf ließ fix die SMTP/POP3 Nachrichten hervorpurzeln, klasse.

    Bevor ich es vergesse, mein Haufen wurde mit snoop unter Sun Solaris erzeugt. Klappt wunderbar, jedoch kommen manche Analyseprogramme, wie TCPDump nicht so gut damit klar. Also muss das snoop-Format in libpcap konvertiert werden.

    tshark kann snoop nach libpcap konvertieren. Das geht fein unter der Kommandozeile.

    bash$ for fname in *.snoop ; do \
    nfname="${fname%%.snoop}.pcap" ; \
    tshark -r "${fname}" -w "${nfname}" && \
    rm -f "${fname}" ; \
    echo "rc=$? ${fname} -> ${nfname}" ; \
    done

    Poff. Fertig.

    Written on March 10th, 2010 , Interessantes, Technik Tags: , , , , , , , , ,
    Digitalbildbearbeitung 2.0 – Präzesion und Perfektion im PS Plugin

    Bei meinem alltäglichen Surfen bin ich auf eine sehr interessante Seite gestoßen, die ein kleines MUSS zu sein scheint, wenn man digitale Fotobearbeitung betreibt. Der konventionelle Bearbeiter bzw. Fotograf wird Photoshop kennen und lieben. Der Hersteller hier, stellt Photoshop Plugins her, die auf jeden Fall ein Blick wert sind. Sie machen das Bearbeiten von Digitalbildern in Photoshop zu einem neuen “Aha-Erlebnis”. Ebenso fielen die umfassenden Detailinformationen auf der Webseite auf, die wirklich sehr lesenswert sind. Auch für S/W Fotografie. Anschauliche Beispiele zeigen Unterschiede auf und geben dem Fotografen ein neues mächtiges Werkzeug in die Hand, welches er, wenn er es erstmal genau betrachtet, lieben und schätzen lernen wird.

    Kurzum, schreibt der Hersteller von der neuen ColorPerfect Suite: “Das Warten auf die nächste Generation unserer Software hat sich gelohnt. ColorPerfect ist da. Mit dem Namen ist das meiste gesagt. ColorPerfect steht für ein höchstes Maß an Farbtreue und zugleich für unglaubliche Flexibilität in der kreativen Bildbearbeitung.”

    Zum Schnuppern das Handbuch von ColorNeg hier und von ColorPos hier.

    Written on March 8th, 2010 , Interessantes, Technik Tags: , , , , ,

    Projekt: Neurodump is proudly powered by WordPress and the Theme Adventure by Eric Schwarz
    Entries (RSS) and Comments (RSS).

    Projekt: Neurodump

    Gedankenauszüge eines Datenreisenden