Evans Debugger unter Ubuntu 12 installieren

Evans Debugger ist sozusagen das Äquivalent zu ollydbg aus der Windowswelt.

edb screenshot

Hier eine kurze Anleitung, wie man das Programm unter Ubuntu 12 (32 Bit) installieren kann.

$ sudo apt-get update

$ sudo apt-get install libqt4-dev libboost1.48-all-dev subversion

$ svn checkout http://edb-debugger.googlecode.com/svn/trunk/ edb-debugger

$ cd edb-debugger

$ qmake

$ make

$ sudo make install

Im Home Verzeichnis

$ mkdir .edb

$ whereis edb
edb: /bin/edb /lib/edb

Dann noch die Verzeichnisse in edb korrekt einrichten.

Advertisements

Review “Malicious Software and its Underground Economy: Two Sides to Every Story”

Vom 17.06.2013 – 27.07.2013 habe ich an dem Kurs “Malicious Software and its Underground Economy: Two Sides  to Every Story” teilgenommen, der bei coursera.org angeboten wurde und (hoffentlich) auch wieder angeboten wird.

Themen waren unter anderem statische und dynamische Analyse von Malware, Mobile Malware, Geschäftsmodelle im Malware Bereich und die Kosten durch die Schäden von Malware. Dr. Lorenzo Cavallaro weiß anscheinend wovon er redet, offensichtlich hat er sich auch schon sehr praktisch mit der Analyse von Botnetzen und Malware auseinandergesetzt.

Persönlich haben mir die Lektionen über statische und dynamische Analyse von Malware am besten gefallen, die vor allem mit der Hilfe von IDA durchgeführt wurde. Dazu gehörten auch praktische Beispiele (teilweise mit Quellcode und ausführbaren Dateien) und das Bonus Quiz, das mit IDA gelöst werden konnte.  Hier kamen auch Anti-Debugging Techniken zum Einsatz. Um auf die Lösung zu kommen musste ein verschlüsselter String  von einer ausführbaren Linux Datei “geknackt” werden. Unter dem Strich war die Lösung dann aber etwas zu offensichtlich, das Quiz hat aber dennoch viel Spaß gemacht.

Nicht so ideal waren die Aufgaben, die nach jeder Lektion zu lösen waren. Hier mussten im Multiple-Choice-Verfahren Fragen beantwortet werden. Für jede Frage gab es vier Antworten, was ja normalerweise OK wäre. Allerdings hatte man insgesamt drei Versuche, dadurch war es einfach die geforderte Punktzahl zu erreichen.

Wer den Kurs machen will, wenn er das nächste Mal angeboten wird, sollte zumindest über Linux Kenntnisse verfügen. Assembler und C Kenntnisse sollten auch vorhanden sein, sonst wird es sehr schwierig.

Insgesamt ein lohnenswerter Kurs.

OSCP Rückblick

Vor Kurzem habe ich die OSCP Prüfung bestanden, hier ein kurzer Rückblick auf die abschliessende Prüfung und den vorhergehenden Kurs. Ich werde nicht zuviel verraten um möglichen Kandidaten den Spass nicht zu verderben :-).

Der Kurs

Nach der Anmeldung erhält man die Zugangsdaten mit denen man sich über VPN mit dem Labor verbindet. Das Labor besteht aus mehreren Netzwerken, anfangs hat man zu einem Netzwerk mit etwa 30 Rechnern Zugang. Mit dem Schulungsmaterial lernt man nach und nach die verschiedenen Techniken um sich Zugriff auf die verschiedenen Rechner zu erhacken.
Das Handbuch und die Videos geben dazu eine gute Anleitung, vieles muss man sich auch selbst erarbeiten, auch hier zieht das Motto des Kurses “try harder”. Einige der Rechner sind einfach zu knacken, es sind aber auch richtig harte Nüsse dabei. Erlernt werden u.a. netcat, Umgang mit verfügbaren Exploits, Entwicklung einfacher eigener Exploits (dieses Kapitel hat mir persönlich viel Spass gemacht), metasploit, Anwendung lokaler Exploits (z.B. PDF und IE Attacken) usw.. In den weiteren Netzwerken erlernt man dann u.a. Pivoting Fähigkeiten, die Rechner sind i.d.R. auch etwas schwieriger zu knacken.

Zum Glück habe ich mir für alles zusammen drei Monate Zeit genommen. Die Vorbereitung ist zwar bestimmt auch in kürzerer Zeit machbar, allerdings macht es auch einfach Spass, die verschiedenen Netzwerke und Rechner zu knacken.

In den begleitenden Foren sind immer mal wieder Beschwerden zu finden, das Schulungsmaterial sei veraltet, oder dieses oder jenes würde so nicht funktionieren. Das mag zwar an manchen Stellen korrekt sein, allerdings bin ich nach kurzer Recherche immer schnell weiter gekommen. Wozu gibts man? Wenn ich mal Hilfe gebraucht habe (was nur selten der Fall war) wurde ich immer sanft auf den richtigen Weg gestossen. Ich habe dazu ausschliesslich den Mailsupport benutzt.

Die Prüfung

Hier werde ich jetzt etwas vage. Zuerst gibts wieder Zugangsdaten, mit denen man sich auf das Prüfungsnetz verbindet. Außerdem eine kurze Anleitung, was zu tun ist und welche Tools erlaubt sind. Dazu findet man aber auch schon vorher Hinweise in den Foren. Nach meiner Einschätzung ist die Prüfung gut machbar, wenn man die meisten Rechner im ersten Netzwerk geknackt hat (so ist es auch “offiziell” empfohlen).

Das Fazit

Was soll ich groß sagen? Der Kurs und die Prüfung sind Klasse. Wer sich für IT Sicherheit und insbesondere Penetration Testing interessiert ist auf jeden Fall richtig aufgehoben. Hier lernt man nicht stur Tools und theroretische Fragestellungen, sondern trainiert ganz praktisch eine bestimmte Denk- und Arbeitsweise. Die unterschiedlichen Systeme sind eine schöne Spielwiese um Erfahung zu sammeln.

Meiner Meinung nach sollte man aber schon etwas Vorwissen mitbringen um etwas von dem Kurs zu haben. Ich selbst habe Windows und Linux Administrations Erfahrung und damit bin ich auch immer wieder mit diversen IT Sicherheits Themen in Berührung gekommen. Außerdem habe ich beruflich und privat mit unterschiedlichen Programmiersprachen meine Erfahrungen gesammelt. Außerdem sollte man ein hohes persönliches Interesse und Engagement mitbringen, sonst bekommt man evtl. irgendwann Motivationsprobleme. Das ist definitv keine Zertifizierung, die man sich einfach nur als weiteren Schein abheftet, sondern an der man auch wachsen kann.

server4you Firewall konfigurieren übers Powerpanel

Leider war das nicht so einfach, wie ich dachte:

– Man kann nur vorgefertigte Firewall-Templates einrichten, davon gibt es drei. Eine erlaubt im Wesentlichen nur den Zugriff auf SSH, eine ist für Webserver ohne und eine für Webserver mit Mailserver.

– Eigene Ports kann man wohl leider nicht freischalten.

– Ich musste den Server neu starten, nachdem ich festgestellt habe, das die Firewall Regeln nicht angewendet wurden. Wenn die Regeln erfolgreich angewendet wurden, bekommt man eine Mail, bei Problemen leider nicht, dafür steht eine Nachricht unter “Jobstatus” im Powerpanel.

– Wie man die Regel jetzt so konfiguriert das alles funktioniert wird einem auch nach lesen der spärlichen Hilfe nicht ganz klar… daher hier eine Kurzanleitung:

1.) Powerpanel -> VServer -> Firewall

2.) einen neuen Regelsatz anlegen

3.) den Regelsatz speichern (rechts oben, das Diskettensymbol)

4.) den Regelsatz bearbeiten, um ihn aktiv zu stellen

Das geht über das mittlere Symbol auf der rechten Seite

5.) schließlich aktivieren, dazu erstmal auf das Stiftsymbol klicken

6.) den Regelsatz aktivieren, die Default Policy muss auf ablehnen stehen, ausgehende Verbindungen erlauben

7.) nach dem Speichern (wieder oben rechts) erhält man die Nachricht, die Änderung sei erfolgreich durchgeführt. Hier auf den Zurückbutton gehen

8.) jetzt findet sich in der Firewall Übersicht (unten) ein Button um die Firewall zu aktivieren

Ich finde es ja gut, das es eine Firewall gibt die man über das Panel konfigurieren kann, aber das hätte man wohl auch einfacher machen können. Eigene Ports zu konfigurieren wäre auch schön.

Shortreview eLyricon EBX-600.E-Ink

Ich habe mir den eLyricon EBX-600.E-Ink als Versandrückläufer für 89,90 bei Pearl bestellt, da ich schon lange auf der Such nach einem Reader bin, der nicht von Amazon o.ä. abhängig und trotzdem bezahlbar ist. Positiv ist neben dem Preis auch, das ein Kopfhörer, ein USB Kabel, ein Ladegerät und eine Ledertasche mitgeliefert werden.

Das E-Ink Display ist erwartungsgemäß gut zu lesen. Das Gerät selbst wird als Laufwerk erkannt, PDFs etc. werden einfach kopiert.

Seiten von PDF Dateien müssen oft gedreht werden, damit sie lesbar sind. Die Zoom Funktion funktioniert zwar, allerdings gefällt mir hier nicht, das bei gezoomten zu breiten Seiten das Bild nicht zentriert werden kann oder nicht feiner gescrollt werden kann. Mir ist es leider vorgekommen, das ich beim drücken auf die “Next” Taste wieder eine Seite vorgesprungen bin. Seitdem benutze ich nur noch die Menütasten zum blättern. Die Farbe von den bedrucken Tasten löst sich nach einiger Zeit auf.

Die Notizfunktion ist rudimentär und reicht meiner Meinung nach wirklich nur für kurze Notizen.

Obwohl das Gerät naturgemäß nur wenige Graustufen hat, werden Bilder trotzdem ganz gut dargestellt.

Die Akkulaufzeit beträgt bei mir ca. 10-14 Tage, wobei ich relativ viel lese. Nach spätestens 20 Minuten Inaktivität schaltet sich das Gerät von selbst aus, wobei das eigentlich gar nicht notwendig wäre. Ich fänd’ es viel praktischen, wenn einfach die aktuelle Seite aufgeschlagen bliebe. Stattdessen wird der Startbildschirm geladen. Wenn man das Gerät wieder einschaltet, muss man sich erst wieder durch die Menüs arbeiten.

Alles in allem bin ich mit dem Gerät trotz kleiner Mängel zufrieden. Vor allem das Display ist angenehm, auch nach zwei Stunden oder länger, zu lesen.