Firefox – Cookie-Dialog-Blocker

Vor kurzem ist der neue Firefox 120 erschienen, er bringt eine nützliche Cookiedialog Blockfunktion mit.
Du kennst nervige Pop-ups zur Genüge, diese haben in den vergangenen Jahren das Internet zu einem Klicknet gemacht.

Praktischerweise bringt der neue Firefox eine Funktion mit, um diese automatisch abzulehnen. Heißt, sie werden nicht einfach ausgeblendet, sondern sie werden beantwortet.

Leider ist diese Funktion bisher nur deutschen Nutzer und dem privaten Modus vorbehalten. Das kannst du allerdings einfach über about:config ändern.

Du musst lediglich nach den Variablen cookiebanners.service.mode suchen und die Werte auf 1 setzen.

Sollten Cookie-Banner weiterhin nicht verschwinden, kannst du auch den Wert 2 setzen. Dieser sorgt dafür, dass Cookie Dialoge, die nicht abgelehnt werden können, automatisch akzeptiert werden.

• 0 Cookie-Banner Blocker deaktiviert
• 1 Cookie-Banner Blocker lehnt ab, sofern möglich
• 2 Cookie-Banner Blocker lehnt ab, sofern möglich und akzeptiert den Rest

Kontrollieren kannst du die Funktion in den Privacy Einstellungen about:preferences#privacy.

Natürlich kannst du die neue Surffreude ebenfalls auf Webseiten mit Cookie-Banner testen, so etwas wie chip.de oder dergleichen. Hier hat bei mir das Ablehnen nicht funktioniert, sondern nur Wert 2 mit Ablehnen, wenn möglich, und den Rest akzeptieren.

Fingerabdruck ade

Eine weitere praktische Funktion, um den Fingerabdruck beim Surfen zu reduzieren, bietet der neue Fingerprinting-Schutz in der Canvas API, welcher allerdings auch nur im privaten Modus aktiv ist.

Links ohne Tracking kopieren

Eine ebenfalls hervorragende neue Funktion ist das Kopieren eines Links über das Kontextmenü ohne Trackinginformationen.

Alle weiteren Neuerungen von Firefox 120 findest du bei Mozilla.

Nachdem Facebook Places in den letzten Tagen offiziell gelauncht wurde und somit wahrscheinlich auf den erfolgreichen Zug von Foursquare und Gowalla mit aufspringt, werden schon erste Stimmen laut, was den Datenschutz betrifft. Um Klarheit über die Einstellungen von Facebook Places zu schaffen, haben die Verantwortlichen ein Video dazu veröffentlicht. (Lässt sich leider nicht einbinden) Hier wird in 4 Minuten das Wichtigste zu diesem neuen Service erklärt.

 

Bereits Mitte Juli wurde die Sicherheitslücke in den Microsoft LNK Dateien bestätigt. LNK Dateien kennt jeder und benutzt jeder. Eine einfache Verknüpfung auf dem Desktop ist z.B. eine .lnk Datei. Bei der neuen Sicherheitslücke genügt es, auf so eine Datei zu klicken, um sich Schadsoftware einzufangen. Microsoft hat jedoch, wie angekündigt, nun einen Patch veröffentlicht, der diese Lücke schließt. Jeder sollte also den Patch manuell herunterladen oder das MS Update anwerfen, um sein System zu aktualisieren. Auf der Microsoft Seite Security Bulletin MS10-046 findet ihr den passenden Patch für eure Windows Versionen. Der Patch ist für die Systeme Windows XP, Vista, Windows 7 sowie Windows Server 2003 und 2008 zu haben

Wie bereits die letzten Tage verkündet, hat Facebook an den Privacy Einstellungen geschraubt, um sie für den gemeinen Nutzer zu vereinfachen. Momentan kommen leider nur Nutzer des amerikanischen Netzwerks in den Genuss der Nachbesserung. Ich denke aber, dass die deutsche Version in wenigen Stunden/Tagen nachzieht. Eine ausführliche Anleitung der Neuerungen ist bereits abrufbar. 

Hier noch das Video der Pressekonferenz zu den Änderungen

 

Nach dem WLAN Fauxpas von Google gibt es auch mal wieder etwas durchaus positives vom Suchriesen zu berichten. Wie einem Artikel im offiziellen Google Blog zu entnehmen ist, arbeitet Google momentan an einer HTTPS Verschlüsselung für die Suchfunktion.

"Earlier this year, we encrypted Gmail for all our users, and next week we will start offering an encrypted version of Google Search. For other services users can check that pages are encrypted by looking to see whether the URL begins with “https”, rather than just “http”; browsers will generally show a lock icon when the connection is secure."

 

Sollte die HTTPS Verschlüsselung wirklich komplett in Betrieb genommen werden, ist das auf jeden Fall ein Schritt in die richtige Richtung. Bisher hat man oft nur bei Banken oder Onlineshops die Möglichkeit eine sichere Verbindung zu nutzen, denn die Umsetzung geht natürlich mit der zusätzlichen Bereitstellung von Ressourcen daher. Google sollte jedoch diese zusätzlichen Kapazitäten besitzen und die Umsetzung nur eine Frage der Zeit.

Wir sind gespannt ...

Wie bereits angekündigt, bietet Google inzwischen die SSL Suche für seinen Dienst an.

Bisher ist der Dienst nur in Englisch nutzbar, wer also die deutsche Suche bevorzugt, muss sich noch ein wenig gedulden.

Für den Firefox gibt es bereits ein Plugin, welches die Suche in den Browser automatisch einbindet.

Was ist apt-key?

Die Man Pages beschreiben apt-key wie folgt:

apt-key is used to manage the list of keys used by apt to authenticate packages. Packages which have been authenticated using these keys will be considered trusted.

apt-key wird verwendet, um die Liste der Schlüssel zu verwalten, die von apt zur Authentifizierung von Paketen verwendet werden. Pakete, die mit diesen Schlüsseln authentifiziert wurden, werden als vertrauenswürdig eingestuft.

Der Vollständigkeit halber hier der Punkt zur "deprecated" Meldung:

update (deprecated)
Update the local keyring with the archive keyring and remove from the local keyring the archive keys which are no longer valid. The archive keyring is shipped in the archive-keyring package of your distribution, e.g. the ubuntu-keyring package in Ubuntu.

Note that a distribution does not need to and in fact should not use this command any longer and instead ship keyring files in the /etc/apt/trusted.gpg.d/ directory directly as this avoids a dependency on gnupg and it is easier to manage keys by simply adding and removing files for maintainers and users alike.

Was bedeutet apt-key is deprecated?

In der Fehlermeldung "apt-key is deprecated. Manage keyring files in trusted.gpg.d" sind zwei Meldungen versteckt:

Bisher wurden Schlüssel in trusted.gpg verwaltet. In Zukunft sollten die Schlüssel einzeln unter trusted.gpg.d verwaltet werden. Der Grund für das Abschaffen des alten Vorgangs ist die schlicht die Sicherheit.

Zusätzlich wird apt-key als veraltet eingestuft. Da es sich hier nur um eine Warnung handelt, kann diese bis jetzt auch einfach ignoriert werden. Im Prinzip möchte sie den Nutzer weg von apt-key hin zu gpg schubsen und genau das möchte ich hier zeigen.

Bei einem apt update wirft ein Ubuntu beispielsweise folgenden Warnungen in Bezug auf nodejs und yarn Repositorys

reading package lists... Done
W: https://deb.nodesource.com/node_16.x/dists/jammy/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.
W: https://dl.yarnpkg.com/debian/dists/stable/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.

Lösung -  Schlüssel aus trusted.gpg in trusted.gpg.d umziehen

Die Lösung für die oben aufgeführte Problematik ist das bereits erwähnte Umschichten von trusted.gpg zu trusted.gpg.d.

Zunächst werden die betreffenden Schlüssel aufgelistet:

sudo apt-key list
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
/etc/apt/trusted.gpg
--------------------
pub   rsa4096 2014-06-13 [SC]
      9FD3 B784 BC1C 6FC3 1A8A  0A1C 1655 A0AB 6857 6280
uid           [ unknown] NodeSource <gpg@nodesource.com>
sub   rsa4096 2014-06-13 [E]

pub   rsa4096 2016-10-05 [SC]
      72EC F46A 56B4 AD39 C907  BBB7 1646 B01B 86E5 0310
uid           [ unknown] Yarn Packaging <yarn@dan.cx>
sub   rsa4096 2016-10-05 [E]
sub   rsa4096 2019-01-02 [S] [expires: 2023-01-24]
sub   rsa4096 2019-01-11 [S] [expires: 2023-01-24]

Schlüssel in eine eigene Datei verschieben

Danach die letzten 8 Zeichen der zweiten Zeile unter pub kopieren. In diesem Fall ist das 6857 6280. Das Leerzeichen zwischen den Zahlen muss entfernt werden.
Der zukünftige Name kann beliebig gewählt werden, es liegt allerdings nahe, ihn nach dem installierten Paket bzw. Repository zu benennen:

sudo apt-key export 68576280 | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/nodejs-key.gpg
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).

sudo apt-key export 86E50310 | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/yarn-key.gpg
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).

sudo apt-get update

Nun sollten die Warnungen der Vergangenheit angehören.

Neue Schlüssel hinzufügen

Sollte ein neuer Schlüssel hinzugefügt werden, wird in Zukunft nicht mehr mit apt-key gearbeitet, sondern gpg verwendet werden.

Früher

curl -sS https://download.spotify.com/debian/pubkey_5E3C45D7B312C643.gpg | sudo apt-key add -

Heute

curl -sS https://download.spotify.com/debian/pubkey_7A3A762FAFD4A51F.gpg | sudo gpg --dearmor --yes -o /etc/apt/trusted.gpg.d/spotify.gpg

 

Das Tool Portmaster ist eine Endbenutzerfirewall, welche dem Anwender die volle Kontrolle über aus und eingehende Internetverbindungen zurückgibt. Im Oktober wurde Version 1.x der Firewall Portmaster veröffentlicht.

Für Windows Nutzer dürfte dieses Tool Gold wert sein, denn freie Tools mit guter Usability wie Portmaster sind im Microsoft Universum rar gesät. Linux Nutzer kommen ebenfalls nicht zu kurz, denn die Firewall kann auch von Debian/Ubuntu oder Fedora Anwendern installiert werden. Selbst für mobile Geräte stehen APKs bereit.

Blocklisten und Secure DNS

Neben den üblichen Firewallfunktionen mit detaillierter Traffic Darstellung und Auflistung einzelner Verbindungen beherrscht das Tool Blocklisten. Diese können über die Einstellungen in der Funktionsleiste angepasst werden. Beim ersten Start werden diese mit der Ersteinrichtung automatisch aktiviert.

Die Tracker Blocklisten sorgen für die Verbindungsunterdrückung zu Werbe-Netzwerken oder anderen Inhalten. Portmaster ersetzt somit quasi Tools wie Pi-Hole oder diverse Browser-Add-ons. Die genannten Filtereinstellungen sind unter Global Settings/Privacy Filter zu finden.

Portmaster verwendet zur DNS Auflösung DNS-over-TLS, dies geschieht in den Standardeinstellungen über Cloudflare, kann aber auf Quad9 oder AdGuard umgestellt werden. Die DNS-Server werden via URL-Scheme konfiguriert und bieten daher auch die Möglichkeit Community Settings zu hinterlegen

Unter Global Settings/Secure DNS können diese DNS-Server jederzeit angepasst, beziehungsweise entfernt werden. Ist nichts hinterlegt, werden die DNS-Server des Systems verwendet.

Features

Nachdem die Firewall das erste Mal in Betrieb genommen wurde, sollte der Einfachheit halber auf „Allow All und Prompt“ gestellt werden, sonst kann es durchaus zu viel Klickarbeit kommen, gerade unter Windows Systemen. Abseits davon bietet Portmaster alles, was sicherheitsbewusste Anwender mögen.

• Kontrolle über das Verhalten der installierten Programme

• Fliegender Wechsel zwischen den Standard-Netzwerkaktionen: Zulassen, Sperren, Nachfragen

• Statistiken über alle Verbindungen

• Adblocker und Trackerblocking

• Auflistung der geblockten Anfragen

• DNS-over-TLS

• P2P Verbindungen blockieren

• Quellcodekontrolle via github

Fazit

Als Application Firewall ist Portmaster auf jeden Fall eine Installation wert, alleine schon wegen der Vielzahl an Einstellungsmöglichkeiten und der Vielfalt des Monitorings.

Features wie SPN (Secure Private Network) lassen sich die Entwickler zwar bezahlen, allerdings sollte nicht jeder Nutzer verschiedene Länder IPS zu einzelnen Programmen zuweisen wollen, daher ist dieses nicht vorhandene Feature verkraftbar.

Portmaster hat auf meinem Windows System Windows Firewall Control inzwischen abgelöst.

Um Cipher Suites auf Windows Servern zur verwalten, muss in die Registry (HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL) eingegriffen werden. Nartac Software möchte diesen Eingriff am offenen Herzen vereinfachen und bietet seit Jahren das Tool IIS Crypto an.

IIS Crypto 3.3

IIS Crypto ermöglicht die einfache Verwaltung von Server-Protokollen, Chipers, Hashes und Schlüsselaustauschalgorithmen unter einer Oberfläche.

Ich habe dieses Tool früher oft verwendet, um Windows Server zu härten. Es werden die Versionen 2008, 2012, 2016, 2019 und 2022 unterstützt. Am besten hat mir die Möglichkeit gefallen, Cipher Suites neu anzuordnen.

Neben Windows Server 2022 wurde in der aktuellen Version die Unterstützung für TLS 1.3 implementiert.

Vorhandene Vorlagen wurden angepasst. So werden im Strict Template nun CBC Ciphers Suites unter Windows 2016 und höher entfernt.

Fazit

Wenn man bedenkt, wie lange TLS 1.3 bereits im Einsatz ist, haben sich die Entwickler hinter IIS Crypto sehr (sehr) viel Zeit gelassen.

Unabhängig davon bietet das Tool mit seinen Best Practices (siehe Screenshot) unerfahrenen Nutzern eine einfache Möglichkeit, Windows Server zu härten und besser abzusichern.

Das kleine Tool shellclear automatisiert das Überprüfen der Shell History auf sensible Inhalte wie Passwörter oder Zugangstoken.

Unterstützt werden Shells wie Bash, Zsh, PowerShell und Fish. Das Tool greift auf ein Pattern-File zurück, welches beliebig erweitert werden kann.

Beim Start der Shell werden die Inhalte der History automatisch über dieses YAML-Pattern-File auf Passwörter und Token geprüft.

Sind sensible Inhalte vorhanden, werden diese gelistet und können gelöscht werden.

Momentan wird auf AWS Access Keys, Github Tokens, Gitlab Tokens, Slack, Cloudflare, Twitter, Facebook und vieles mehr getestet.

Installation

curl -sS https://raw.githubusercontent.com/rusty-ferris-club/shellclear/main/install/install.sh | bash

Einbinden in die Shell

nano ~/.bashrc
eval $(shellclear --init-shell)

bzw. 

nano ~/.zshrc
eval $(shellclear --init-shell)

Powershell

$PROFILE

Invoke-Expression (&shellclear --init-shell)

Fish

nano ~/.config/fish/config.fish

shellclear --init-shell | source

Verwendung

Durch das Einbinden in beispielsweise Zsh oder Bash prüft shellclear bei jedem Start automatisch auf sensible Inhalte in der History. Dieser Vorgang kann zusätzlich manuell gestartet und konfiguriert werden. Auch das Banner "your shell is clean from sensitive data" lässt sich ausblenden.

#sensible Inhalte suchen
shellclear find

#sensible Inhalte als Tabelle ausgeben
shellclear find --format table

#sensible Inhalte bereinigen
shellclear clear

#banner ausblenden
shellclear --no-banner

#eigene Config festlegen
shellclear config

#history verstecken
shellclear stash

Fazit

Kleiner Helfer für den Alltag, der tut, was er soll. Dank des YAML Formats ist das Tool beliebig erweiterbar. Abgesehen davon sind die größten Cloud-Firmen bereits integriert und das Tool erfüllt im Hintergrund seinen Zweck.

Nach einigen Releases sollte die Security Distributionen Liste mal wieder auf einen aktuellen Stand gebracht werden.

NST 36

Das Network Security Toolkit hat ein Service Release erhalten. Das Toolkit basiert auf Fedora 36 mit kernel-5.18.10-200.fc36.x86_64.

In der neuen Version wurden hauptsächlich Verbesserungen am Webbased User Interface vorgenommen. OpenVAS läuft nun als Podman Container. Der NST WUI ARP Scan besitzt eine RTT Spalte und die Netzwerkkarte kann jetzt direkt im Widget ausgewählt werden.

Im Großen und Ganzen handelt es sich hier um ein Service Release.

 

---

Parrot 5.1

Nach 6 Monaten hat Parrot Security seine erstes Servicerelease mit dem Kernel 5.18 veröffentlicht.

Eines der bekannten Parrot Tools AnonSurf, welches Traffic durch das Tor Netzwerk schleust, hat ein Update auf Version 4 erhalten. Die neue Oberfläche unterstützt jetzt Debian Systeme, die das alte resolvconf setup nicht unterstützen.

Die IoT Version wurde ebenfalls überarbeitet und hat endlich Wifi Unterstützung für Raspberry Pi 400 erhalten. Weitere IoT Änderungen sind enthalten. Als Schmankerl gibt es den MATE Desktop für alle ARM Nutzer.

 

---

Kali Linux 2022.3

Der Platzhirsch soll in diesem Update natürlich nicht fehlen, auch wenn die Version bereits im August veröffentlicht wurde.

Die wichtigsten Neuerungen sind hier eher in der Peripherie zu sehen, denn Kali hat nun einen Discord Server (https://discord.kali.org), was vielen den Einstieg erleichtern dürfte.

Ebenfalls interessant für neue PentesterInnen dürfte das Labor Paket kali-linux-labs sein. Dort sind DVWA - Damn Vulnerable Web Application und Juice Shop - OWASP Juice Shop zum Üben enthalten. Happy Hacking.

Auch die mobile Kali-Variante NetHunter hat ein größeres Update erhalten und kommt der vollen Android 12 Unterstützung immer näher.

Schlussendlich fehlt noch das übliche Tools-Update:

• BruteShark – Kleines aber feines Network Forensic Analysis Tool (NFAT) mit GUI
• DefectDojo – Von diesem Tool liest man in letzter Zeit immer öfters, damit lassen sich Schwachstellen verwalten und an Systeme wie Jira oder Slack pushen
• phpsploit – Klassisches C2 Stealth post-exploitation remote control framework
• shellfire - Exploiting Shell für Local File Inclusion (LFI), Remote File Intrution (RFI), SSTI (Server Side Template Injection) und weitere command injection vulnerabilities
• SprayingToolkit – Python Password spraying attacks für Lync/S4B, OWA and O365

 

---

Übersicht 10/22

 

WSL2, besser bekannt als Windows Subsystem Linux erlaubt es verschiedene Linux Distributionen unter Windows zu installieren. Normalerweise werden diese Installationen über die Kommandozeile bedient. Seit einiger Zeit unterstützt Kali Linux Win-KeX, was es erlaubt auf dem System wie auf einem Desktop zu arbeiten.
Win-Kex tut dies, indem es einen VNCServer mit der Xfce-Desktop-Umgebung innerhalb der Kali Linux WSL-Instanz startet. Danach startet ein TigerVNC-Windows-Client und übergibt automatisch die Befehle zur Verbindung mit dem VNC-Server.
Soweit so schön, bei der Installation gibt es dennoch einige Fallstricke.

Installation WSL2

Zunächst wird eine WSL2 Installation unter Windows benötigt.

Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux
dism.exe /online /enable-feature /featurename:VirtualMachinePlatform /all /norestart
dism.exe /online /enable-feature /featurename:Microsoft-Windows-Subsystem-Linux /all /norestart
wsl --set-default-version 2

Installation und Update von Kali Linux via WSL

wsl –-install -d kali-linux

Nach der Vergabe des Benutzernamens und eines Passworts sollte das System stehen.

Nun tauchen allerdings die ersten Probleme auf. Denn eine apt update zeigt zunächst einen Keyring Fehler an, dieser kann einfach nachinstalliert werden.

wget --no-check-certificate -O kali-archive-keyring_2022.1_all.deb https://http.kali.org/pool/main/k/kali-archive-keyring/kali-archive-keyring_2022.1_all.deb

dpkg -i  kali-archive-keyring_2022.1_all.deb

sudo apt update

Beim kommenden Upgrade Vorgang (sudo apt upgrade) treten die nächsten Probleme auf.

Setting up libc6:amd64  ...
Checking for services that may need to be restarted...
Checking init scripts...
Nothing to restart.
sleep: cannot read realtime clock: Invalid argument
dpkg: error processing package libc6:amd64 (--configure):
 installed libc6:amd64 package post-installation script subprocess returned error exit status 1
Errors were encountered while processing:
 libc6:amd64
E: Sub-process /usr/bin/dpkg returned an error code (1)

Dieses Problem führt dazu, dass der Upgrade-Vorgang abbricht und ein sudo mit dem zuvor eingerichteten User ab sofort scheitert.

Sorry, try again.
Sorry, try again.
sudo: 3 incorrect password attempts

Die Lösung für dieses Problem ist ein manuelles Installieren von libcrypt1.

apt -y download libcrypt1
dpkg-deb -x libcrypt1_1%3a4.4.28-2_amd64.deb .
cp -av lib/x86_64-linux-gnu/* /lib/x86_64-linux-gnu/
apt -y --fix-broken install
apt upgrade

Nun sollte das System aktuell sein und stabil laufen. Im letzten Schritt wird jetzt Win-Kex installiert.

Win-Kex installieren

Dieser Schritt ist denkbar einfach.

sudo apt install -y kali-win-kex

Jetzt kann Win-Kex gestartet werden, achtet darauf, dass es mit sudo Rechten gestartet wird.

sudo kex --win

#Session wiederaufnehmen

sudo kex --win --start-client

Die wichtigste Taste dürfte F8 sein. Damit kann das Kontextmenü nach dem Start geladen werden, um zum Beispiel zwischen Vollbild und Fenstermodus zu wechseln.
Sollte es zu Verbindungsproblemen beim Start und Verbinden des VNC Servers kommen, kontrolliert eure Firewall Einstellungen.

Seit Kali 2022.2 wird Kin-Kex unterstützt, welches das Ausführen von Anwendungen mit sudo Rechten erlaubt.

Fazit

Es ist möglich, Kali unter Windows mit WSL2 zu installieren. Der Weg dahin ist aber weiterhin etwas steinig und wird Windows Nutzern sicher nicht leicht von der Hand gehen. Da bietet sich wohl weiterhin ein VirtualBox Image an, denn damit ist die Installation um einiges flüssiger.

 

Festplatten richtig löschen ist wichtig, das ist nicht erst seit gestern bekannt. In den Medien tauchen immer wieder Fälle auf, bei denen Daten auf alten Festplatten gefunden werden.

Früher hatte ich für so einen "finalen" Löschvorgang oft DBAN verwendet. Das Wipe-Tool ist aber in die Jahre gekommen und hat hin und wieder Probleme beim Booten und erkennen von Festplatten.

Glücklicherweise gibt es inzwischen weitere Lösungen, um Daten auf SATA Festplatten vollständig zu löschen bzw. random zu überschreiben.

ABAN

Auf DBAN Darik's Boot and Nuke folgte ABAN. Anthony DeRobertis Boot & Nuke basiert allerdings auf dem neueren Debian 11 (Bullseye), funktioniert aber genauso wie das altbekannte DBAN.

Installation

ISO herunterladen, auf einen USB-Stick schreiben, booten und löschen.

Um Daten auf einen USB-Stick zu schreiben, bietet sich Ventoy an, welches bei Bedarf viele Extra-Funktionen besitzt.

Alternativ bietet sich Unetbootin oder Rufus an. Balea Etcher gehört hier nicht mehr zu meiner ersten Wahl.

Die einfachste Variante ist sicher dd über die Kommandozeile:

sudo dd if=aban.iso of=/dev/sdx status=progress 

bzw.

sudo dd if=shredos.img of=/dev/sdx  status=progress

---

ShredOS

Ebenfalls Open-Source und ein Tool, um Festplatten sicher vor der Entsorgung zu löschen, ist ShredOS. Der Disk-Wiper basiert auf nwipe, was wiederum ein Fork von dwipe ist, welches in DBAN zum Einsatz kam. ShredOS unterstützt sowohl 32bit als auch 64bit Prozessoren. Der Eraser lässt sich via PXE booten und unterstützt einen Headless Mode, welcher sich via telnet ansprechen lässt.

Beim Start bootet ShredOS automatisch nwipe im ersten virtuellen Terminal (Alt+F1). Weitere Tools wie hdparm, smartmontools oder hexeditor befinden sich auf dem zweiten virtuellen Terminal (Alt+F2)

Die Installation erfolgt über den gleichen Weg wie bereits oben erwähnt.

Solltet ihr das Projekt und die Entwickler dahinter unterstützen wollen, könnt ihr das gerne tun.

---

Wie lösche ich SSDs?

SSDs basieren auf einer anderen Technologie als herkömmliche ATA Festplatten. Hier empfiehlt es sich, das Laufwerk zu verschlüsseln oder mit den Hersteller Tools zu wipen. Ein Überschreiben mit Zufallsdaten ist keine sichere Variante!

SSDs mit Hersteller-Tools sicher löschen

Nahezu jeder Hersteller bietet eigenen Software zum Verwalten von SSDs an, meist ist dort eine Funktion zum sicheren Löschen der Daten enthalten.

Für Samsung ist das die Magician Software und für Intel das Solidigm Storage Tool. Da Intels NAND-SSD-Geschäft  von SK hynix übernommen wurde, steht die Intel® SSD Toolbox nicht mehr zur Verfügung.

SanDisk hat ebenfalls ein SDD Dashboard Tool, welches wipen unterstützt. Gleiches gilt für Corsair mit seiner SSD Toolbox.

Weitere Tools wären Crucial Storage Executive oder Kingston SSD Manager.

 

Fazit

Letztendlich ist die physische Zerstörung natürlich die beste Variante, das sollte jedem bewusst sein. Dennoch bieten Tools wie ShredOS oder ABAN eine gute Möglichkeit Daten sicher zu löschen, ohne den Akkuschrauber verwenden zu müssen.

Viel Spaß auf dem Wertstoffhof

In der Vergangenheit wurden auf ITrig öfters Security Scanner erwähnt, z.B. OpenVAS oder Trivy. Diese Security Scanner sind natürlich nicht die einzigen im Internet. Ein weiterer Kandidat auf Go Basis ist Nuclei. Der vorlagenbasierte Schwachstellen-Scanner ist inzwischen Teil des Kali-Universums (2022.1) und bekommt daher heute einen gesonderten Artikel spendiert.

Nuclei

Das Open-Source-Tool scannt verschiedene Protokolle (TCP, SSH, DNS, HTTP/S, SSL, Websocket, Whois usw.) auf Schwachstellen und mehr. Dazu werden YAML-Vorlagen verwendet. Diese Templates werden zum größten Teil von der Community beigesteuert, können aber auch selbst für die eigenen Bedürfnisse geschrieben werden. So kann für die vor wenigen Tagen veröffentlichte Confluence Lücke CVE-2022-26134 bereits ein Scan Template gefunden werden.

 

Neben Nuclei bietet ProjectDiscovery noch weitere gute Programme für das Security-Umfeld. Beispielsweise subfinder, ein Subdomain Discovery Tool.

Bevor tiefer in Nuclei eingetaucht werden kann, muss der Scanner installiert werden.

Installation Nuclei unter Debian/Ubuntu

Da das Tool auf der Programmiersprache Go basiert, muss diese zunächst installiert werden.

curl -OL https://go.dev/dl/go1.18.3.linux-amd64.tar.gz
sudo tar -C /usr/local -xvf go1.18.3.linux-amd64.tar.gz
sudo nano ~/.profile
    export PATH=$PATH:/usr/local/go/bin
source ~/.profile

Alternativ

sudo apt install golang-1.16

Nun kann die neueste Nuclei Version gebaut werden.

git clone https://github.com/projectdiscovery/nuclei.git
cd nuclei/v2/cmd/nuclei
go build
sudo mv nuclei /usr/local/bin/
nuclei -version

Nach der Installation sollte die Datenbank aktualisiert werden, damit Templates zur Verfügung stehen.

nuclei -ut

?  nuclei git:(master) nuclei -ut

                     __     _
   ____  __  _______/ /__  (_)
  / __ \/ / / / ___/ / _ \/ /
 / / / / /_/ / /__/ /  __/ /
/_/ /_/\__,_/\___/_/\___/_/   2.7.2

        projectdiscovery.io

[WRN] Use with caution. You are responsible for your actions.
[WRN] Developers assume no liability and are not responsible for any misuse or damage.
[INF] nuclei-templates are not installed, installing...
[INF] Successfully downloaded nuclei-templates (v9.0.6) to /home/user/nuclei-templates. GoodLuck!

ls -l ~/nuclei-templates/

Nachdem die Template-Datenbank aktualisiert wurde, können einzelne Vorlagen direkt in den Scanbefehl eingebunden werden.

Im Folgenden möchte ich einen kleinen Teil der möglichen Befehle mithilfe von Templates aufzeigen:

Einfacher API Scan

nuclei -u $URL -t ~/nuclei-templates/exposures/apis/

WordPress Scan

nuclei -u $URL -t ~/nuclei-templates/vulnerabilities/wordpress/

CVE Scan

nuclei -u $URL ~/nuclei-templates/cves/2022/CVE-2022-XXXX.yaml

Token Spray

nuclei -u $URL ~/nuclei-templates/token-spray/ -var token=XXX_TOKEN_XXX

Listen

Der Scanner kann mit Listen umgehen, was beim Scannen mehrerer URLs durchaus helfen kann.

nuclei -u $URL -list http_urls.txt

Filter

Nuclei unterstützt Filter, wie tags, severity, author

nuclei -u $URL -tags cve

Workflows

Nuclei kann Workflows abbilden, d.h. es könnten z.B. Templates in einem Workflow gebündelt werden. Hier ein Beispiel:

id: workflow-example
info:
  name: Test Workflow Template
  author: pdteam

workflows:
  - template: technologies/tech-detect.yaml
    matchers:
      - name: wordpress
        subtemplates:
          - template: cves/CVE-2019-6715.yaml
          - template: cves/CVE-2019-9978.yaml

Auf solche Workflows können wiederum auch Filter angesetzt werden

nuclei -u $URL -w workflows/workflow-example.yaml -severity critical,high -list http_urls.txt

Rate Limits

Um die Anzahl der gleichzeitigen Zugriffe zu regulieren, können Rate Limits gesetzt werden.

• rate-limit     Control the total number of request to send per seconds
• bulk-size     Control the number of hosts to process in parallel for each template
• c     Control the number of templates to process in parallel

Custom Header

Es kann notwendig sein, einen eigenen Header zu setzen. Gerade bei BugBounty Programmen oder um euch als Pentester erkennen zu geben. Dazu kann die "/home/user/.config/nuclei/config.yaml" angepasst werden:

    # Headers to include with each request.
header:
  - 'X-BugBounty-Hacker: h1/geekboy'
  - 'User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) / nuclei'

Wer dies ad hoc via CLI erledigen möchte, der muss nur "Header" in der Befehlskette verwenden.

nuclei -header 'User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) / nuclei' -list urls.txt -tags cves

Hier endet auch schon der Schnelleinstieg in Nuclei. Ich hoffe, ihr habt einen schnellen Einblick bekommen, was mit dem Scanner möglich ist und warum die vorhandenen Vorlagen und Einstellmöglichkeiten Nuclei momentan zu einem sehr beliebten Tool machen.

Weitere Tipps findet ihr direkt auf Github oder beim Template Guide

Viel Erfolg beim Testen der eigenen Webseite, Apps, Sockets.

 

Parrot 5.0

Nach über einem Jahr wurde Parrot 5.0 als LTS Version veröffentlicht.

Die bekannten Editionen wurden weitgehend (bis auf die MATE Arbeitsumgebung) beibehalten. Es gibt weiterhin eine Home Edition und eine Security Edition.

Mit Parrot Architekt wurde die ARM Edition wiederbelebt, dabei handelt es sich um eine minimale Variante, die nicht viel mehr als einen Installer mitbringt. Sie eignet sich nach Angaben der Entwickler für WSL Portierungen oder Server Varianten.

Hack the Box

Vor einiger Zeit hatte Parrot die Zusammenarbeit mit Hack The Box bekannt gegeben. Daraus ist PwnBox entstanden, welches via Hack The Box direkt im Browser verwendet werden kann. Details zur Verwendung finden sich hier.

Die PwnBox erinnert an die virtuellen Browsersysteme von Try Hack Me, wobei THM ein etwas anderes Modell verfolgt.

Mit Release 5.0 kann diese PwnBox Edition ebenfalls heruntergeladen werden.

Technische Neuerungen

Anders als frühere Versionen basiert Parrot nun auf Debian 11 Stable. Zusätzlich wurde ein Rolling Release Modell für Security Updates eingeführt.

Der neue Kernel basiert auf Version 5.6

Tools

Wie bei jedem Update wurde auch das Toolset erweitert.

• Das Pocsuite3 Security Framework des Knownsrc 404 Teams wurde aufgenommen. Bei Pocsuite handelt es sich um ein freies Tool zum Aufspüren von Sicherheitslücken

• Mit findmyhash 2.0 wurde die neueste Version des Hash Crackers integriert

• Das neue Tool Dirsearch ist ein klassischer Path Scanner

• Python3-pcodedmp ist neu dabei, ein VBA P-Code disassembler

• Mimipenguin erlaubt das dumpen von Login Daten des aktuellen Linux Nutzer

• MS Office Freunde erhalten mit den oletools das richtige Werkzeug, um Dokumente zu untersuchen.

• Windows Nutzer können mit Pyinstxtractor den Inhalt von PyInstaller exe Dateien extrahieren.

• Für die Fuzzer wurde Ffuf aufgenommen

• Ivy ist ein Payload Creation Tool für VBA

• Jwtxploiter testet JSON Web Tokes gegen die CVE Datenbank

---

Kali Linux 2022.1

Auch der Branchenprimus liefert regelmäßig aktualisierte Distribution aus. Das aktuelle Jahresrelease 2022.1 von Mitte Februar wurde optisch aufgepeppt und bringt frische Hintergrundbilder und ein neues Grub Theme mit. Die Browser Startseite und das Shell Prompt (aus dem Totenkopf ist ein K geworden) wurden überarbeitet.

Mit dem „Kali Linux Everything“ Image kann jetzt eine ISO mit allen Tools heruntergeladen werden. Aufgrund der Größe (bis zu 9.5 GB) ist dieses allerdings nur via Torrent verfügbar.

Nutzer einer Gast-VM mit i3 Umgebung kommen nun in den Genuss von copy/paste und drag&drop. Dieses Feature wird inzwischen automatisch aktiviert.

Tools

Neue Werkzeuge dürfen auch beim Kali Release nie fehlen:

• dnsx - Schnelles und vielseitiges DNS-Toolkit

• email2phonenumber - Ein OSINT-Tool, um die Telefonnummer einer Zielperson via E-Mail-Adresse zu ermitteln

• naabu – Nein, nicht der Naturschutzbund, sondern ein schneller Port-Scanner

• nuclei - Gezieltes Scannen mithilfe von Vorlagen

• PoshC2 - Ein proxyfähiges C2-Framework mit Post-Exploitation

• proxify - Schweizer Taschenmesser Proxy-Tool für die Erfassung und Manipulation HTTP/HTTPS-Traffic

 

ARM Tools

Auch auf der ARM Architektur wurden neue Tools integriert. So wurde mit Ghidra das bekannte SRE Framwork aufgenommen und mit Feroxbuster ein in Rust geschriebenes Force Browsing Tool, welches mithilfe von Wortlisten gut dafür geeignet ist, versteckte Verzeichnisse und Dateien zu finden

---

---

Übersicht 03/2022

 

Name	Version	Tools	Basis	GUI
Autopsy	4.18	???	Windows
BackBox	7.0	100+	Ubuntu	Xfce
BlackArch	2021.09	1750+	ArchLinux	Multi
CAINE	11	100+	Ubuntu	Mate
DracOS	3.0		LFS	DWM
DEFT Zero	2018.2		Lubuntu	Lxde
Kali Linux	2022.1	600+	Debian 11	Multi
Kali AppStore		40+	Android
LionSec	5.0		Ubuntu
Matriux	v3 RC1		Debian	Gnome
NST	34	???	Fedora
NetSecL OS	6.0		OpenSuse	Lxde
Paladin	7.0		Ubuntu
Parrot OS	5	700+	Debian 11	Mate
Pentoo	2018.0 RC7.1		Gentoo	Xfce
Ronin			Lubuntu	Lxde
Sans SIFT	3.0		Ubuntu

Container sind nach wie vor in alle Munde. Wer, der Einfachheit halber, mit Docker hantiert, der sollte regelmäßig die Aktualität der verwendeten Images prüfen. Nicht erst seit Log4j verbergen sich unerwünschte Sicherheitslücken in veralteten Images.

Trivy

Das Open-Source-Tool Trivy bietet die Möglichkeit lokale Images, direkt im Filesystem oder entfernte Repositorys nach Lücken zu scannen. Das Programm scannt unter anderen Base Images wie Alpine, Debian, Ubuntu, CentOS, SUSE, Photon OS, Paketmanager und andere Abhängigkeiten mithilfe der eigenen Schwachstellendatenbank ab.

Die Trivy Datenbank basiert auf NVD und diverser Security Meldungen einzelner Programmiersprachen (siehe).

Installation Trivy Security Scanner Debian/Ubuntu

sudo apt-get install wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -
echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install trivy

Einen Scan mit Trivy anstoßen

Um die Übersicht der Scanergebnisse zu behalten, empfiehlt es sich, die Ausgabe auf kritische Lücken zu beschränken

trivy image --severity HIGH,CRITICAL IMAGENAME

Das Tool erlaubt es ebenfalls einen HTML Report zu veröffentlichen

trivy image --format template --template "@contrib/html.tpl" -o report.html golang:1.12-alpine

Trivy kann auch das Filesystem untersuchen.

trivy fs /path/to/project

Schlussendlich kann auch direkt via GitHub gescannt werden.

trivy repo https://github.com/knqyf263/trivy-ci-test

Fazit

Wer Docker im Einsatz hat, sollte die verwendeten Images regelmäßig auf Sicherheitslücken und Abhängigkeiten prüfen. Der Profi baut seine Images sicher selbst und weiß, was er tut, allerdings übersieht ein DevOp auch dort mal Abhängigkeiten. Auch hier schafft Trivy praktische Abhilfe, denn es lässt ich schnell in CI Workflows, beispielsweise von Gitlab integrieren.