January 30, 2007
@ 12:03 PM

Nachdem Heute offiziell der Launch für Vista ist, möchte ich gleich die Gelegenheit nutzen und zur Sicherheit etwas schreiben. Bei Vista wurde die Gina.dll (Benutzeranmeldung) komplett neu designed, somit ist es nicht mehr möglich mit den bekannten (und demostrierten) Methoden eine Code Injection in die dll zu machen. 1:0 für Vista :-) Aber ich habe bereits einige Proof of Concepts gesehen, die sich mit der neuen Gina.dll befassen und es wird nur noch eine Frage der Zeit sein, bis die Methode ausgereift ist.

Wieder meinen mahnenden Worte: Niemals lokale Adminrechte benutzen! Bei Vista kann UAC zwar nervig sein, dennoch sollte diese immer aktiviert bleiben.

Denn mit den passenden Mitteln kann ich meinem Prozess immer noch das SeDebugPrivilege (und weitere) zuweisen und weiter Schaden im System anrichten. Dazu benötige ich lediglich die lokalen Adminrechte, um evt sogar meinen Prozess im local System laufen zu lassen.

Deswegen bei der Rechtevergabe: So wenig wie möglich und nur so viel wie nötig!


 
Categories: Security | Vista

January 23, 2007
@ 10:10 AM

Well, thanks to my dear friend Damir Tomicic, I've been tagged and am now a participant in the blogsphere version of Tag. Jeff Pulver started this meme and now we're all in.

and here’s my “Five Things You Didn’t Know About Me":

1.) At Age of 11 (27 Years ago) i´m starting my Interessest in Computer with my first System, a Commodore C64. After a short Periode of Gaming, i find my Way in Technic and Graphics.

2.) I like to cook, i´m a big Friend of very spicy Meals, so all my Friend remember me to be pacient with Spice if i invite for a Meal.

3.) I like to sleep as long as i can.

4.) I´m a Community Men. I´ll like to meet new People and bring the People together. I´ll try to grow up the Community over all Technologies.

5.) My other Hobbies are: My Family and my Firends, my XBOX360, good Whisky, Mechanial Clocks for Men.

So, that´s me.

I´m tagging: Lars, Nico, Michael, Arne, Kai


 
Categories: Community | Funny Stuff

January 18, 2007
@ 10:39 PM

Wieder habe ich die große Ehre etwas neues über die ice:2007 zu berichten. Ich freue mich, dass Nicki mir den absolut druckfrischen Banner der ice:2007 zur Publikation rüber gemailt hat. Danke Nicki! Sein Kommentar: "Mach den Banner einfach ein wenig bekannt!".

Ok, das lasse ich mir nicht 2x Mal sagen. Natürlich muss ich auch die geniale Federführung von Christian Göwert erwähnen, das grafische Genie hinter der ice:2007. Jedes Jahr donnert so "Mal eben so" einen neuen Banner, Logo, Avatar raus und meint immer nur. "Das war doch nix!"

Aber sicher ist das was, was echt tolles. Aber seht und beurzeilt selbst.

Wie ihr alle sehen könnt, findet die ice:2007 auch erst am 15.09.2007 statt und nicht wie zuerst geplant am 01.09.2007.

Somit hat offiziell die Berichterstattung über die \\ice:2007 begonnen. Ab demnächst findet ihr alle Infos auf der neuen Webseite.

http://www.ice-lingen.de

 


 
Categories: ATE | Beta Test | Community | dasBlog | Funny Stuff | ICE2007 | Networking | Office | Publikationen | Security | Software | Vista

January 16, 2007
@ 08:24 AM

Gestern, am 15.01.2007, konnte ich in diesem Jahr meinen ersten Vortrag halten. Lars Keller hatte mich eingeladen beim Treffen der .net Usergroup Braunschweig etwas zum Thema Security zu erzählen. Klar, sowas mache ich doch immer gerne. Schnell war klar, dass ich etwas zum beliebten Thema Rootkits erzählen werde. Zuerst durfte ich einem sehr interessanten Vortrag von Kai Gloth lauschen, der eine Sammlung von Tools vorstellte, die das Programmieren sehr viel leichter macht. Ich habe zwar nicht alles verstanden was Kai dort erzählt hat, dennoch ein super Vortrag. Nach einer kurzen Stärkungspause, mit einer Pizza die nicht zu schaffen ist, war ich dann am Zug. Zuerst das Übliche, schnell ein paar Folien durchdonnern, die das Thema in der Theorie anreißen. Damit diese Passage nicht all zu landweilig wird, konnte ich in meiner gewohnten Art mit ein paar Fragen die Sache auflockern. Nun folgte aber der wichtigste Punkt des Vortrags: Die Live Demo!

Darauf freue ich mich immer am Meisten, denn leider ist es noch immer so, dass die wenigsten Leute wissen, was ein Rootkit im System alles anrichten kann! So spielte ich mir mit schon erschreckender Leichtigkeit das Passwort des Administrators zu und zeigte wie man seiner Commandshell das Debugging Privileg zuweist. Schnell kam die Idee auf, dass man ja mit dem Prozessexplorer sehen könnte, was aktuell auf dem System passiert. Jein! Nur wenn ich will. Schnell habe ich zur Verwunderung des Publikums meinen aktiven Prozess einfach versteckt und er verschwindet einfach aus dem Fenster des Prozessexplorers, obwohl die Commandline sichtbar aktiv ist!

Damit aber nicht genug. Ich zeigte noch wie man das wohl bekannte Eventlog verändert, denn wer lässt sich schon gerne in die Karten gucken, wenn man sich in fremden Systemen austobt? ;-) Damit hatte ich meine Live Demo beendet. Nachdem ich den virtuellen PC schloss, um zur eigentlichen Präsentation zurück zu kehren, war so eine bedrückende Stille im Raum zu spühren. Fast würde ich behaupten, dass ich mit dieser kurzen Demo einen empfindlichen Nerv getroffen habe. Danach ging der Abend in die gemütliche Phase über. Lars hat mich für weitere Vorträge eingeladen und ich werde dieser Einladung bestimmt folge leisten. Danke an die Usergroup für den netten Empfang und für den netten Abend.


 
Categories: Community | Networking | Security

January 5, 2007
@ 11:55 AM

Ich freue mich ganz besonders, dass mich Lars Keller von der .net UG Braunschweig eingeladen hat, um beim UG Treffen einen Vortrag zu halten. Schnell waren wir uns einig, dass es nicht lange auf sich Warten lasse sollte. Gesagt - getan. Am 15.01.2007 werde ich in Braunschweig sein und meinen Vortrag über Rootkits halten. Es ist für mich immer wieder eine große Herausforderung, wenn ich vor Developern sprechen kann. Denn dieses Thema ist mehr Programmierung als Sicherheit, auch wenn sie ganz eng miteinander verzahnt sind.

Ich hoffe, dass es ein voller Erfolg wird, und sich aus dieser Konstellation weitere interessante Kontake ergeben. Vielen dank Lar, dass du mir diese Chance gibst.

P.S.: Es sind noch Plätze frei, also schnell anmelden - Community lebt durch mitmachen :-)


 
Categories: ATE | Community | Publikationen | Security

January 2, 2007
@ 12:27 PM

Nun darf ich es auch offiziell verkünden. Mein MVP Status bleibt mir auch im Jahr 2007 erhalten. Florian, hatte mir "inoffiziell" zwar schon eine Mail am 23.12.2006 gesendet, aber ich darf es erst jetzt sagen. Ich freue mich sehr über diese Ernennung und hoffe, dass ich weiterhin mit Rat und Tat zur Seite stehen kann. Ich bedanke mich bei Allen, die mich unterstützt haben und mir ihre Probleme zur Lösung angeboten haben.

 

Danke schön.

 

Auch an Kirsten, meine Freundin, die mich immer in meiner Sache so toll unterstützt hat.


 
Categories: ATE | Community | Networking | Office | Publikationen | Security | Software | Vista