broken blog

Some interesting military stuff

2009-12-21T14:05:23Z

Oops, big lag since last entry. That's just because i lost something very precious in my life.

A report about a visit of a ICBM Titan 2 Launch Complex Site, and it's correlation to computer security, especially "tradeoffs in designing secure systems: balancing high availability with strong access control". Extremly interesting, not just the security procedures and aspects of it, but also the historic indications of the cold war.
"But more importantly, a few hundred of the successors to the Titans, the "Minuteman III" missiles, remain active in silos throughout the northern US, run by crews and following procedures essentially similar to those here."
And another important design decision: "Bombs are also engineered to fail gracefully." (PAM). Good to know :)

In other news, the plans for Star Wars seem to be on ice. This is good news, as the MAD doctrin still applies. I wonder if it really didnt work, or if all the failures was just to confuse the russians.

Blackwater does it like Diebold - Insurgents Hack U.S. Drones. But they didnt seem to have haxxored them, just intercepting the unencrypted video feed of some of its sensors. Better than google earth! (Update: Manual to intercept the mpeg data)
"Fixing the security gap would have caused delays, according to current and former military officials. It would have added to the Predator's price. Some officials worried that adding encryption would make it harder to quickly share time-sensitive data within the U.S. military". Similar problem like with the ICBM's.
Not surprising after all: "After 9/11, it rushed the armed Predator into service without so much as an instruction manual, and now it's struggling to figure out how to integrate the UAVs into an increased workload". Again, they like high availability.
And the newly aquired Reaper Drones share the same vulnerability. Obama likes them all, nevertheles. Maybe the Isreali one's are better designed.
Developing countrys seem to like to misuse US military equipment: The Great Brazilian Sat-Hack Crackdown.

How is this possible? Maaaybe like this...
Vast Spy System Loots Computers in 103 Countries
Electronic Spy Network Focused on Dalai Lama and Embassy Computers

In other news, unlike the military, an industry has it's focus more on the former (strong access control) than the latter (high availability):
DRM Chaos verhindert 3D-Vorpremieren von Avatar

Iran also has its problems with availability: Iran loses its only AWACS (in a parade!)

Better than having malware on board: Royal Navy warship lose email in virus infection

Despite some not so smart inventions, there are some really interesting development in weapon designs, like Iron Courtain (not this one).

Statistics of the day: The US should pull out of Washington

Solyaris #13: Fragmentation

2009-08-12T00:18:46Z

Fragmentation handling is implemented!
This was the last showstoper feature. I now move on the clean and tidy the code, and will release it in some time.

On other news, Steffen Wendzel uploaded his Diploma Thesis about Protokollwechsel zur Realisierung von Covert Channels und Header-Strukturveränderungen zur Vermeidung von Covert Channels (Blog)
Very interesting.

Solyaris #12: HTTP Channel & HTTP Proxy

2009-04-24T15:24:32Z

I implemented the http channel, and the http proxy feature.

Let me give you an example of the proxy feature works:

First, we open a connection in kelvin to the http channel (the details doesnt interest us here).
I also activate the http proxy option ("proxy_on").

To illustrate the standard behaviour, lets send a http request to the http server of the rootkitet box (192.168.3.2):

dobin@unreal ~ $ export http_proxy="localhost:8080"
dobin@unreal ~ $ wget -O - --no-cookies -S http://192.168.3.2:/index.html | cat
--2009-04-24 19:33:56-- http://192.168.3.2/index.html
Resolving localhost... 127.0.0.1, ::1
Connecting to localhost|127.0.0.1|:8080... connected.
Proxy request sent, awaiting response...
HTTP/1.1 200 OK
Date: Fri, 24 Apr 2009 15:33:55 GMT
Server: Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.7e-p1 DAV/2
Last-Modified: Fri, 17 Apr 2009 22:58:53 GMT
ETag: "5c220-2c-467c81fe40540"
Accept-Ranges: bytes
Content-Length: 44
Connection: close
Content-Type: text/html
Length: 44 [text/html]
Saving to: `STDOUT'

100%[========================================>] 44 --.-K/s in 0s
2009-04-24 19:33:56 (15.4 MB/s) - `-' saved [44/44]

It works!

As you can see, wget retrieves index.html from the standard apache installation, with cookies disabled, and prints the http header and html sourcecode to stdout. It uses our local rheya proxy (localhost:8080). No cookies sent or received, as this is just a normal .html file.

Now, we want to call the "test" method in Kelvin. The "test" commands just transfers 100 bytes of data to rheya, and expects 100 bytes in return in the reply.

Kelvin creates the solyaris request, and is waiting (blocks) to receive an suitable HTTP request. Nothing has been sent for this command until now.

We generate the http traffic with the same wget command from earlier:

dobin@unreal ~ $ wget -O - --no-cookies -S http://192.168.3.2:/index.html?ABCD | cat
--2009-04-24 19:37:24-- http://192.168.3.2/index.html?ABCD
Resolving localhost... 127.0.0.1, ::1
Connecting to localhost|127.0.0.1|:8080... connected.
Proxy request sent, awaiting response...
HTTP/1.1 200 OK
Date: Fri, 24 Apr 2009 15:37:23 GMT
Server: Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.7e-p1 DAV/2
Last-Modified: Fri, 17 Apr 2009 22:58:53 GMT
ETag: "5c220-2c-467c81fe40540"
Accept-Ranges: bytes
Content-Length: 44
Connection: close
Content-Type: text/html
Set-Cookie: statusCode=1; requestID=0; dataLen=100; data=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA;
Length: 44 [text/html]
Saving to: `STDOUT'

100%[========================================>] 44 --.-K/s in 0s
2009-04-24 19:37:24 (17.0 MB/s) - `-' saved [44/44]

It works!

The only difference between this wget request and the one earlier is the "Set-Cookie:" line.

What happened?

As you can see, rheya replied with an "Set-Cookie" line, which is the answer for our solyaris request. The line was inserted in the kernel, after apache created its reply (the standard page doesnt include any cookies, of course).

The reason it inserted the "Set-Cookie" line was because Kelvin intercepted the http request from wget in its proxy, and transparently added a "Cookie:" line, which's content is the solyaris request it generated.

Additional to wget, Kelvin also interpreted the http reply, and found the answer for his rheya "test" request:

This is just the PoC. There are a lot of rough edges, which will be cleaned out in the next few weeks.

Of course, instead of wget, one can also use a normal browser like firefox, or even a web site crawler, to automate the transfer of data to and from the rootkit.

Solyaris #11: SNMP Channel and more

2009-04-15T21:19:28Z

Rheya:

SNMP Channel implemented
cleaned node (removed m, static answer)
Implemented basic fragmentation handling
Function names cleanup
Fixed various crashes
Collect port statistics

Kelvin:

Rudimentary implementation of SNMP Channel
removed anyoption, now use boost::program_options
Various updates and bugfixes
Updated and bugfixed DNS Channel
Use Boost::ASIO for SNMP UDP channel in kelvin, instead of packet sniffing
Works without config file, again
Works on FreeBSD 6
ChannelChardev works again

There's still lot of things to do. Wont release in the next few months.

Steampunk ?!

2009-04-14T20:00:15Z

Ein wunderbares Bild des ersten Kampfes von zwei Ironclads Warships (CSS Virginia/Merrimac und USS Monitor). Diese hatten nicht mehr einen Rumpf aus Holz, sondern aus (oder mit) Metall. Man bemerke das grossartige Design der beiden, um möglichst wenig Trefferfläche zu exponieren. Das schien auch grossartig zu funktionieren:

the two ironclads repeatedly tried to ram one another while shells bounced off their armor

Ein anderes, die USS Cairo:

Aber insbesondere ist mir die ähnlichkeit zu heutigen "Stealth" Ships aufgefallen. Back to the roots?

Eine Visby Class Corvett, Schweden

M80 Stiletto

Solyaris #10: Packet Exchange

2009-03-28T12:15:06Z

I finally implemented another feature: Stealth Exchange of Packets.

When Rheya received commands over the DNS backdoor channel, it can now optionally not drop the packet after processing, but forward it to userspace like every other packet too. To not make it obvious they are rootkit packets, we exchenge their content with something unsuspicious.

This is a trace of 3 kelvin commands (connect, test, disconnect):

attacker, with kelvin client (rheya-log01.txt):

13:59:29.921992 IP 192.168.3.1.1234 > 192.168.3.2.53: 666+ A? ABCD.2.1.0.49967.6.encKey.xxx.ch. (50)
13:59:30.025742 IP 192.168.3.2.53 > 192.168.3.1.1234: 666 1/0/0 (88)

13:59:30.025874 IP 192.168.3.1.1234 > 192.168.3.2.53: 666+[|domain]
13:59:30.121066 IP 192.168.3.2.53 > 192.168.3.1.1234: 666[|domain]

13:59:30.121152 IP 192.168.3.1.1234 > 192.168.3.2.53: 666+ A? ABCD.2.2.21845.32219.xxx.ch. (45)
13:59:30.211366 IP 192.168.3.2.53 > 192.168.3.1.1234: 666 1/0/0 (72)

Owned host with rheya is just seeing the following in his bind-logfile:

28-Mar-2009 13:59:27.655 queries: info: client 192.168.3.1#1234: query: www.broken.ch IN A +
28-Mar-2009 13:59:27.753 queries: info: client 192.168.3.1#1234: query: www.broken.ch IN A +
28-Mar-2009 13:59:27.842 queries: info: client 192.168.3.1#1234: query: www.broken.ch IN A +

The standard setting is still to reply the rheya request in the kernel, and not let the packet touch userspace. But it could be suspicious if a proxy/sniffer/ids between the attacker and the real host, and the owned host, dont see the same amount of packets.

Todo:
I'll implement SNMP channel next, with all the needed features.
Then i'll start with a tcp channel.
Then it's release time.

Solyaris #9: Update & Code Cleanup

2009-03-10T18:15:32Z

Done:

wrote script to compile rheya remotly on vm
listsession command implemented (used primarily for testing purposes)
bites data type, i wanted to make clear its just bytes (and not strings, like with char, which end with 0 byte)
dns channel: created new function to build domain name
dns channel: base64 encoding for answer data
implemented disconnect/quit command

Kelvin: --test command line option
Kelvin: fixed dns channel if no request data was sent
Kelvin: quit now leaves the screen in an usable state
Kelvin: Networking subsystem redesign
Beta UML Graph

Code cleanup finished. Will start working on real issues soon (snmp channel, stealth exchange of packets)

Solyaris #8: Update & Code Cleanup

2009-03-03T18:07:36Z

Main Page is:
www.haking.ch/rootkit

Rheya Kernel Rootkit / Server:

udp channel erstellt, was ein fake Channel für alle UDP basierten Protokolle ist
Für den UDP Channel gibts jetzt eine Protokoll Identifikation durch den Destination Port
mögliche UDP/ICMP Protokoll Plugins sind nun einfach zu erstellen; einfach eine Identifikation() Methode schreiben, und ein Handler, welcher bloss auf einer Kopie des Packetes in einem normalen Buffer arbeiten kann und daraus das Reply Packet erzeugt. Alles andere ist nun transparent.
Es ist nun möglich, sicher mehr als 100 Bytes zu übertragen. Sollte nun bis zur MTU funktionieren (abhängigkeit von MBUF's gelöst).
Connections / Sessions implementiert

Client / Kelvin:

general Code Cleanup
Request nach Node umbenannt, wie Rheya
Node hat Request und Answer struct
Node speichert nicht mehr den Payload, sondern nur Metadaten
Connections / Session implementiert
Boost Linked lists anstatt FreeBSD lists
Linux (Gentoo) compatibility
Networking Thread mit pcap_loop() rausgeworfen, benutze wieder pcap_next(), wass den Client ziemlich vereinfacht
Code in öffentlichen SVN eingecheckt

Nächste Schritte:

Dokumentation
SNMP Channel
Stealth exchange of Packet Content, für Networking Channels
TCP Channels
Datenmengen, welche grösser als die MTU ist übertragen

Moviezz

2009-02-09T18:39:00Z

Firefly (9.5) (Serie): Uff, super tolle Science Fiction Serie, aber leider nur eine Staffel :-(
Keinohrhasen (7.2): Wieder ein Super Til Schweiger Film. I love it!
Eagle Eye (6.7): Da hier 1984 ruft, finde ich ihn gut :-). Unterhaltsam, nice.
Appaloosa (7.0): Überzeugender, solider Western. Cool.
W (6.8): Kein Meisterwerk, aber interessant und lehrreich.
Pineapple Express (7.4): Kein Kiffer Film. Nunja, fast nicht. Aber trotzdem unterhaltsam und lustig.
Lets go to prison (5.7): Funny. Lustige Geschichte :)
The Eleventh Hour 2008 (4.3): Ein gar nicht mal so schlechter, billig produzierter Action Film. Coole Fight Szenen.
The Fifth Commandement (4.6): Ein richtig billiger Actionfilm...

Anime:
Sword of Stranger (7.8): Schön gezeichnet, gute Charaktere, interessante Geschichte, spannende Action... 1A
Afro Samurai - Resurrection (8.0): Der Nachfolger vom erfolgreichen Erstling. Leider auch nicht so gut wie der erste, definitiv immerhin sehenswert.
Resident Evil Degeneration (6.8): Left 4 Dead als Film :-). Unterhaltsam!
Gunbuster 2 (7.2): Wow, wo sonst wird versucht die Menscheit zu retten, indem man die Erde als Kinetische Waffe auf die ausserirdische Lebensform wirft, wobei diese aber im letzten Moment von einem gigantischen Robo Girl gestoppt wird... (nc)

Various security related stuff

2009-01-08T21:35:02Z

Willste wissen was auf dem Handy von [insert-somebody-here] so drauf ist? Einfach den
CSI Stick kaufen. Gewählte Nummern, SMS, Kalender, gelöschte Daten, alles verfügbar nachdem man das Ding kurz angeschlossen hat. Für nur 300$..

Dont trust the nice friendly woman voice in your car: GPS Spoofing

Damn cool Stuff: Improving Binary Comparison

If you have an executable and you suspect that it might contain a statically linked library for which you have source access (or which you have analyzed before), we want BinDiff to be able to port the symbols into the executable you have, even if the compiler versions and build environments differ significantly, and even if the versions of the library are not quite the same

Dazu passend: Binnavi 2.0 Preview

Major Security Fuckup #1: Telekom Sicherheitslücke offenbart 30 Millionen Handydaten
Major Security Fuckup #2: Hacker decken ungesicherte Türen in Playstation Home auf

DDoS Attacken, und weitere Informationen zum "Cyberwar" zwischen Russland und Georgien.

Quantom cryptography is useless, lol, hat wohl noch niemand bemerkt? ;-)

Wow, 2009 ist 1945: Adolf Hitler planned propaganda cable TV

The Orwellian screens would have been set up in public places and would show "people's television", depicting how the Aryan race should live, with the Nazis focusing on news, sport and education.
[...]
Prototype programmes included Family Chronicles: An Evening with Hans and Gelli, which was an early reality TV show depicting a wholesome Aryan life of a young German couple [GZSZ, anyone?].

Auch cool, dass man das jetzt automatisiert machen kann: A Picture is Worth a Thousand Locksmiths

software program that can perform key duplication without having the key. Instead, the computer scientists only need a photograph of the key.

WAP is fsckd: understanding the WPA Attack

Und nach dem Debian SSL Debakel: FreeBSD PRNG vulnerability

When the arc4random(9) random number generator is initialized, there may
be inadequate entropy to meet the needs of kernel systems which rely on
arc4random(9); and it may take up to 5 minutes before arc4random(9) is
reseeded with secure entropy from the Yarrow random number generator.

Oopsy...
Da Lob ich mir OpenBSD und ihre Philosophie. Man kann nun eben kein sicheres System produzieren, auch wenn man noch so viele Security Layer aufeinanderpappt, wenn das Base broken ist...

Wer hat meine Daten? Jeder

LOL, Niederländisches Militär bruzzelt mit dem Zielerfassungslaser eines Apache's die Kamera eines Reporters. Da kann ich nur sagen: wow, respect. Link

Auch lolig: owned by a too long ESSID

Nice Technology: Levelhead, check the movies!

Moviezz

2009-01-08T21:08:06Z

The Day the Earth Stood Still (5.7): Omg, suckt. Schaut das Original (8.1), das ist 100x besser.

Transporter 3 (6.1): Lustig und unterhaltsam, kein schlechter "Transporter" Movie.

Behind Enemy Lines: Colombia (5.3): Gar nicht mal so schlecht, gute Action, eine Story die was hergibt... nice :)

The Gene Generation (4.2): Billig, aber easy Cyberpunkiger Film. Ganz i.O.

Moviezz

2008-11-02T17:34:20Z

OK:

Babylon A.D (5.3): Auch ohne Plot recht unterhaltsam, da ziemlich Cyberpunkig :-)
You dont mess with the Zohan (5.7): muahaha fresh und funny
Shaun of Death (8.0): Tolle Zombie Satire. Britischer Humor rockt.
Westworld (7.1): Roboter in Vergnügungspark gone mad. Gesellschaftskritisch, Futuristisch und wegweisend. Dank Western Theme wohl DER Prototyp für japanische Science Fiction schreiber, und für Terminator. Example:

not ok:

Star Wars Clone Wars (5.1): Jede Episode der gleichnamigen Serie ist besser als der Film. Und selbst diese sind meist nicht allzu gut.
Max Payne (5.7): Hm, ein paar Tolle Action Sequenzen. Story verwirrt. Hat imho nicht viel mit dem Spiel zu tun. Ein wenig enttäuschend.

Burn after Reading: aha das war eine Komödie?! booring
Get Smart: boring
Tropic Thunder: yawn
Righeous Kill: zu langweilig um ihn fertig zu schauen
Quantum of Solance: Where's Bond?!

Coole Serien:

World Series of Poker
Southpark
The Big Bang Theory
Star Wars Clone Wars
House
Naruto

Solyaris #7: FreeBSD specialities

2008-11-02T16:45:40Z

Ich habe endlich wieder mal Zeit gefunden, daran weiterzuprogrammieren, und diese dann prompt auch wegen einer FreeBSD Eigenheit verpulvert.

Beim Cleanup des ICMP Channels hatte ich seltsame Bugs. In der Funktion, die die ICMP Packete verarbeitet, brauchte ich die Länge des Packetes, welches in ip->ip_len steht:

von /usr/src/sys/netinet/ip.h:

struct ip {
   ...
   u_short ip_len; /* total length */
   ...
}

Nach dem RFC ist die Total Length so definiert:

Total Length: 16 Bit breit. Gibt die Länge des gesamten Pakets (inkl. Kopfdaten) in Bytes an

Also inklusiv des IP Headers. Wie ich aber schmerzhaft herausfinden sollte, ist beim Aufruf von icmp_input() ip->ip_len nur noch die grösse des IP Payloads, ohne länge des IP Headers. Das gleiche bei udp_input(). Das scheint aber eine Ausnahme zu sein, denn für icmp_send() muss ip->ip_len wieder den standardkonformen Wert beinhalten.

Danke liebe FreeBSD Kernel Entwickler für das undokumentierte verhalten, einfach IP Header Werte mitten in deren verarbeitung zu verändern!

Moviezz

2008-10-04T10:04:45Z

Jim Jarmusch - Dead Man (7.7): Schwarz-Weiss, seltsam, und mit Johnny Depp. Auf eine seltsame weise ein wirklich guter, packender Film.

Sky Fighters (5.3): Französischer I-Love-Mirage Film ala Top Gun. Cool, und schöne Bilder (vorallem in 720p). Gegen Ende verliert sich die Story, aber das ist egal.

Daylight Robbery (6.2): Nicht sehr spektakulär, aber solider Bankraub Film.

Horton Hears a Who (7.4): Hehe, lustig und unterhaltsam. Mir gefällt die Message.

Vantage Point (6.7): Kurzweiliger Action Film.

Mr. Untouchable (6.7): Naja, war mehr oder weniger interesting.

Panasonic - eine Hass Liebe

2008-09-22T16:49:48Z

Ich habe mir letztes Jahr einen 720p HD Beamer (PT-AX100E) bei Digitec gekauft, für den stolzen Preis von etwa 2000SFr (passend zu der PS3). Schon nach 2 Monaten hat er nicht mehr richtig funktioniert, und schaltete nach 5 Minuten betrieb einfach wieder aus. Anstatt Digitec oder Panasonic war aber die John Lay Electronics AG für die Reperatur zuständig. Nach einem Mail sagten die mir, dass ihnen den Fehler bekannt wäre und ich solle ihnen den Beamer zuschicken. Eine Woche bangte ich darum, ob ich das Ding jemals wieder sehen werde, Geschichten aus der C't ("Achtung Kunde!") im Hinterkopf . Ich sah ihn auch nicht wieder, sondern war nach der besagten Woche im Besitz eines brandneuen Austauschgerätes. w00t!

Nun, etwa 1 1/2 Jahre später, hatte dieses Gerät fast den gleichen Fehler. Ich schrieb wieder ein Mail, ala "Beamer putt", sie "schicken!", ich "ok!", nach 2 Tagen sie "Gerät in Kulanz repariert, ist auf der Post". Woooow!

Der Beamer ist Top, aber dieser Bug nervt doch ungemein. Normalerweise würde ich kein Panasonic mehr kaufen, bei einem so fehlerhaft produziertem Gerät.
Bei so einem schnellen, freundlichen und effizientem Support könnte ich aber das nächste mal wieder auf Panasonic setzen.

Danke, John Lay!