Archive for April 2011

 
 

Truecrypt-Container auf Datenträger finden

Als Forensiker, wünscht man sich oft, schnell und präzise TrueCrypt Container auf einer Festplatte zu identifizieren.

Auf die Frage der Entschlüsselung oder Herausgabe von Passwörtern auf Anordnung, möchte ich hier nicht weiter eingehen. (Denkt daran, wohin man verreist und welche Daten man mit nimmt!)

Durch die tägliche Arbeit mit TrueCrypt Container habe ich ein Interessantes Tool gefunden.

TCHunt – Erkennung von TrueCrypt Containern und TrueCrypt Bootloader

Dieses Tool, welches unter Windows und Linux läuft, hilft dem Anwender, mit ein paar Mausklicks die vorhandenen TrueCrypt Container, auf dem jeweiligen Datenträger zu finden. Dabei ignoriert TCHunt jegliche Dateinamen oder Dateiendungen bei der Suche.

Leider produziert dieses Tool auch false-positives. Es kann einen normalen Container nicht, von einer Datei mit Random-Daten unterscheiden. Ein einfacher Befehl, kann zu false-positives führen, wenn man TCHunt startet. Der Autor des Tools schreibt, dass er lieber ein paar false-positives erzeugt, anstatt false-negatives als false-positives zu erkennen!

False-Positiv erzeugen unter Linux:

cat /dev/urandom > mein-container.tc

Vielleicht ist es gar nicht so abwegig, sich anhand der gegebenen Forensik Software, ein paar „fake“ Container an zu legen, um die Entdeckung seiner echten Container zu verzögern.

Ich versuche diese Liste mit Programmen zur Erkennung von TrueCrypt Containern zu erweitern, sobald ich Alternativen finde. Gerne könnt Ihr mir auch einen Kommentar mit Programmvorschlägen machen.

Blogseiten Betreiber WordPress wurde gehackt

Heute hat auch Heise.de bestätigt, dass die Webseite wordpress.com gehackt worden ist.

Was muss ich machen, wenn ich einen Blog bei WordPress.com habe?

  • Das WordPress.com Login Passwort sofort ändern.
  • Sollte man das selbe Passwort auch auf anderen Webseite verwendet habe, diese Passwörter auch ändern.

Welche Daten wurden von den Hackern entwendet?

  • Laut heise.de wurden persönliche Informationen wie Telefonnummern nach dem derzeitigen Kenntnisstand nicht entwendet, den Diebstahl von Kreditkarteninformationen kann der Entwickler ausschließen.

Ist die Sicherheitslücke bei WordPress.com geschlossen?

  • Die Entwickler haben die zum Einbruch genutzten Schwachstellen nach eigenen Angaben mittlerweile geschlossen und sind weiter mit der Analyse des Falls beschäftigt. (Quelle:heise.de)

An wen kann ich mich wenden, wenn ich noch Fragen habe?

  • Aufgeregte Anwender und Blogschreiber sollten sich bei Fragen an den WordPress Support wenden

Botnetzprovider neues Design

Schon lange war es fällig, ein neues Design zu implementieren. Ich habe mich nun für dieses Template entschieden und bin damit auch sehr zufrieden.

Ein wichtiger Punk bei der Umgestaltung ist, dass ich die Werbung komplett entfernt habe. Werbung wird mehr angezeigt, auch in den einzelnen Artikeln wird kein Werbeblock mehr zu finden sein.

Gerne nehme ich Werbeanzeigen gegen eine kleine Einpflegegebühr entgegen.

Als nächstes werde ich einen Artikel über eine einfache Virtualisierungslösung auf einem Linux System veröffentlichen. Als Grundlage dient mir VirtualBox und ein paar eigene Routingscripte und PHPVirtualBox als Verwaltungssoftware der einzelnen Virtuellen Boxen.
Ziel war es, nicht den ganzen Server zu virtualisieren, wie zum Beispiel mit XEN. Damit hat man die Freiheit, einfach durch den Kauf einer neuen IP (optional) ein neues System auf dem selben Server zu betreiben. Die Trennung zum Beispiel von Mailserver und Webserver je in einer eigenen Virtuellen Maschine.

Anonymous nimmt Sony ins Visier – Live feeds vom Hacker IRC Server

Wie auf Heise beschrieben wurde zum öffentlichen DDoS’en gegen Sony aufgerufen.

Zur Zeit wird das ganze von einem Russischen IRC Server „anonops“ koordiniert. Ich gehe davon aus das einige Sicherheits-Experten sich auch auf dem IRC Server befinden. Unter folgendem Twitter Link versuche ich neue Erkenntnisse und News zu dem Angriff live zu berichten.

„Live“ Feed vom Hacker IRC Server hier: GO Twitter

(Zur Anonymisierung habe ich die Benutzernamen nicht mit übernommen)

UDATE:

Am 16.April 2011 so habe ich gerade auf dem IRC Server erfahren, wird zu einer Art weltweiten Sitzblockade in Sony Geschäften aufgerufen. Hier sind einige Flyer die für diese Aktion veröffentlicht worden sind:

Flyer zu „Worldwide sitins at Sony stores“
Flyer 1
Flyer 2

Aktuelle Infos dazu natürlich auch auf Twitter

Server Backuplösungen

Hier findet Ihr einen Artikel über die minimale Backuplösung die sich schon seit langem benutze. In diesem Tutorial zeige ich, wir man mindestens seinen Server backupen sollte.

LINK zum Artikel

Android Virus/Trojaner gefunden

Kein Aprilscherz, Symantec hat die Entdeckung gestern veröffentlicht.

symantec.com hat bestätigt, dass ein Android Virus/Trojaner im Umlauf ist.

Wie wird der Trojaner verbreitet?
Der Android.Walkinwat Trojaner wird über nicht-offizielle Android Marktplätze vertrieben

Wir kann ich mich infizieren mit diesem Trojaner?
Der Trojaner kann nur manuell installiert werden und wird nicht per Drive-By download oder IFRAME automatisch auf mein Handy installiert.

Welche Informationen klaut der Trojaner?
* Name
* Phone numbers
* IMEI number

Des weiteren verschickt der Trojaner folgende Nachricht an alle Einträge im Telefonbuch:
Hey,just downlaoded a pirated App off the Internet, Walk and Text for Android. Im stupid and cheap,it costed only 1 buck.Don’t steal like I did!

Wie lösche ich den Trojaner vom Handy?
Dazu geht man wie folgt vor:
* Android Menü öffnen
* Einstellungen
* Anwendungen -> Anwendungen verwalten
* Anwendung deinstallieren.

Mehr Informationen in Englisch findet Ihr unter: symantec.com

Der Virus/Trojaner wird als harmlos eingestuft.