 Das, was ihr uns gefunden habt, herzlichen Glückwunsch. Direkt neben mir sind Daniel Crowley und Damon Smith. Sie waren beide Sicherheitsingenieure für die NCC Group und haben gesagt, dass sie keinen Einhorn heute bringen konnten. Das tut uns sehr leid. Sie werden uns von einigen speziellen Eigenschaften von normalen Dokumenten erzählen. Das ist sehr aufregend, finde ich. Verwandte Dateien. Verrät dich dein Dokument. Bin ich hier, um euch über verwandte Dokumente Dateien zu erzählen. Also fangen wir mit den Vorstellungen an. Mein Name ist Damon Smith. Wie gesagt, bin ich ein Sicherheitsingenieur der NCC Group. Mein Fokus war bisher Anwendungssicherheit, inklusive Web Anwendungen, mobile Anwendungen. Aber zuletzt habe ich über Fallformate recherchiert mit diesen Herren hier. Ich bin auch ein Sicherheitsingenieur bei der NCC Group. Ich arbeite meistens mit Web Anwendungen, eingebettete Sachen und Dateiformate. Also, gehen wir los. Um erst mal klarzustellen, dieser Vortrag ist fokussiert auf bestimmte Dinge. Wir reden über Dateien, die ausgehenden Traffic erzeugen, wenn man sie geöffnet werden. Wir wollen jetzt nicht auf ausführbare Dateiformate schauen. Es ist natürlich klar, dass diese Dateien alles möglich machen können. Nicht nur Traffics, sondern ganz andere Sachen. Wir haben uns nicht auf Komplexität geachtet. Oder wir haben einfach übliche Formate angeschaut. Wir wollten außerdem keine Exploits benutzen. Wir wollten jetzt keine Fehler in Fallpassern finden. Wir wollten nur die Features verwenden, die in den Passern und in den Formaten vorhanden sind. Und wir wollen natürlich auch die Folgen von all dem uns anschauen. Warum sollten du uns zuhören, wie wir mit euch reden hier? Wir denken, dass die Forschung, die wir haben, sehr wichtig ist aus mehreren Gründen. Das Erste und offensichtlich CCC ist die Datenschutzfolgen. Wir gehen jetzt über einige dieser Benutzungsfälle, Use Cases, aber stellt euch vor, Dokumente, die nach Hause davon, jedes Mal, wenn die sehr öffentlich, das kann in DIM benutzt werden. Datenschutzverhinderung und Deanonymisierung im Bereich von Sicherheit gibt es hier auch einige schwerwiegende Folgen, in die wir noch einsteigen wollen. Und was ich außerdem wichtig finde, all die Dinge, die wir jetzt erzählen, sind nicht Fehler. Keine Bugs im Programm, nicht Speicherkorruption. Die sind Dinge, die in den Spezifikationen stehen, in den RFCs und arbeiten so wie beabsichtigt. Das ist hier was, was jetzt im nächsten Patch Tuesday behoben wird. Wir werden damit für Jahre leben müssen. Wir fangen an mit einer kurzen Demonstration mit drei verschiedenen Formaten, RTF oder RTF, SVG und WMV. Ein kurzenses Gebiet an die Demo-Getter, bitte. Also hier haben wir Metas-Leute offen für einen SMB-Traffic, für die Beobachtung. Kann Jesus alle gut sehen? Ja, wunderbar. Wir haben also jetzt hier den Standard-Challenge und schreiben in einem Detail. Und hier haben wir unsere Opfermaschine mit mehreren unseren verrannten Dokumenten. Dies ist Windows 8.1 vollgepatcht. Wir werden dieses RTF-Fall jetzt öffnen. Und etwas Interessantes passiert jetzt. Wenn wir das öffnen, könnt ihr sehen in einem Moment, dass ein Kanal Pop-Up hier ein Dialog hoch popt. Das sagt, dieses Dokument enthält einen oder mehr links zu anderen, falls wollt ihr dieses, wollen Sie diese links aktualisieren. Das Interessante ist, dass es die Hashes bereits übers Netz gesendet hat. Also schlechteste Warnung jemals, oder? Ich denke, dass Sie hier versuchen, Bugs zu verhindern mit dem Dokument dass es vielleicht Verschnitte Pass attackiert. Selbst wenn Sie also Nein sagen, ist es zu spät, weil das Hashes bereits gesendet worden ist. Die Katze ist aus dem Sack. Also einfach mal nochmal klären, dass ihr seht, dass ich hier keine Tricks im Ärmel habe und öffnen wir dieses SVG-Fall. Per Default werden SVG in Windows und von Internet Explorer geöffnet und gepasst. Und es gibt natürlich einen Haufen von Issues hier. Wir werden ein bisschen darüber reden. Also hier seht ihr ein Bildformat, das tatsächlich auch diese Interaktion hier auslösen kann. Unser Beispielfall in SVG ist also leer, aber ihr könnt irgendwelche beliebigen Bilder hier drin haben, dass Leute also nicht Verdacht schöpfen. Ja, also was ich jetzt tun werde, ist, wir haben das jetzt irgendwie so aufgesetzt, um es hier sehr schnell zeigen zu können. Es wird nicht mehr so einfach sein. Aber es ist relativ einfach hier eine Demo aufzusetzen für NTML-Weitergabe, was also nützlich ist. Wir werden jetzt einfach mal hier die Hashes, die wir empfangen haben, cracken und sehen hier, dass wir also Wegwerf-Accounts haben und ein Account Throwaway mit dem Passwort Throwaway. Wir haben also dies jetzt so aufgesetzt, dass es gut funktioniert. Aber wenn jetzt jemand irgendein anderes Dokument öffnet, dass es nicht so gezielt schlecht ist, denn Format, dass ihr seine Features wirklich benutzt, alles arbeitet wie normal, sieht das dann aus. Und dieses also wirklich Design, so soll es funktionieren. Es ist einfach viele Dinge, die hier zusammen nichts in der Art funktionieren, wie wir es eigentlich wollen. Das letzte, was ich zeigen will, ist ein Windows Media Video, ein leicht verändertes Version eines Videos, das mit Windows bei default ausgeliefert wird. Und es schält sich heraus, dass man tatsächlich Interaktionen auslösen kann von einem Video. Dies wiederum ist Teil des Formats, wir werden darüber noch klar noch sprechen. Dies öffnet hier einfach einen Browser. Das ist also wunderbar. Das also beendet unsere Demo und wir reden jetzt ein bisschen über die verschiedenen Formate, die wir haben, die wir vorliegen haben, über die wir was haben und die folgen und alles Mögliche. Also fangen wir also, gehen wir weiter von der Demo. Ich hätte vielleicht Play vom aktuellen Fall, und nicht von Anfang an laufen lassen, also bis zur Reden. Also ich habe etwas Arbeit gemacht hier, das ist keine völlig neue Technik. Also es geht darum, hier SMB und NTL im Hashes zu senden. Das ist selbst etwas, was schon lange bekannt ist. Das ist ein Attack, den man sich sagt, Attack. Die hat vieles, was wir hier zeigen, beeinflusst. Es gibt auch ein Tool in Metasploit, das es seit 2008 gibt. Aber dieses Problem ist immer noch vorhanden. Wir wollten jetzt irgendwie sehen, wie verbreitet dies ist. Es ist bereits bekannt, dass man die Office-Formaten tun kann. Die Office-XML-Formate, was also überhaupt nicht verwirrend ist, wenn man das mit Open-Office-XML-Formaten vergleicht. Das ist etwas, okay. Also die Microsoft-XML-basierten Dokument-Formate, die haben also diese PLS-Playlists, sind auch betroffen, Shortcut-Files, Desktop-Infiles. Andere dumme Sachen, die NTML-Hashes senden, HTML-Internet-Explorer können SMB-Pfade enthalten und dann Interaktionen auslösen. Zum Beispiel in Windows Media Player. Wir haben gesehen, dass ein Browser-Windows sich öffnet von einem Windows Media-Video-Fall. Wir können dies nun auf eine URL speichern, die ein Bild hat auf einer SMB-Ressource und das wird dann dieselbe HTML-Hash-Sendung auslösen. Das kann getan werden in HTML, e-mails, in Outlook. Das ist also ein bisschen der Vorarbeit auf diesem Feld. Was haben wir gemacht? Wir haben uns auf drei Familien beschränkt, Dokument-Formate, Medien-Formate und Kalender-Formate. Wir wollten Dateiformate verwenden, die in normaler Angestellte in einer Firma verwenden könnte. Zum Beispiel PDF-Dokumente. Das sind ganz normale Formate, die Arbeitnehmer in ihren E-Mails bekommen und einfach öffnen werden. Das sind also die Formate, die wir uns angeschaut haben. Eines der offensichtlichsten Formate ist also PDF. Das war eines der ersten Formate, die wir uns anschauen wollten. Es ist ein sehr komplexes Format. Wir wussten, dass es irgendwo drinnen irgendwas geben wird und sie sind wahnsinnig häufig. Wir haben also ein bisschen Zeit damit verbracht und ihr könnt zum Beispiel Bilder von fremden Servern einbetten und das PDF wird das einfach öffnen Das Interessante ist, dass wir funktionieren diese nur in Adobe Reader. Die meisten PDF diese Programme haben nur einen sehr kleinen Untermenge der Features von Adobe Reader, Firefox, Chrome Preview für Mac OS. Alle diese Programme unterstützen nur einen Teil dieser der PDF-Funktionalität und dort funktionieren diese Techniken nicht zum Glück, je nachdem von welchem Standpunkt. Diese Fremdbilder-Funktionalität funktioniert einfach nur ein Bild von einem fremden Endpunkt und zeichnet es in PDF an. Natürlich müssen wir eine dritte Partei dafür brauchen und es gibt auch JavaScript-Funktionalitäten in PDFs was könnte nur falsch gehen, schief laufen. Aber es gibt auch eine Methode die euch erlaubt, ein Videoplayer zu öffnen mit einem innerhalb eines PDFs was Wahnsinn ist. Ich kann mir nicht vorstellen, warum man das jemals tun wollte. Ich kann es mir vorstellen, aber ich glaube, man braucht dafür erst Drogen. Vielleicht denke ich nicht über PDF auf dieselbe Art wie andere das tun, aber egal. Ihr könnt ein Video von einem dritten Server öffnen und es gibt auch eine Methode die euch erlaubt, einfach nur eine URL im Browser zu öffnen im Standup Browser was GetUl ist. Und ihr könnt euch diese Warnmeldung anschauen und fragen, was passiert und ich lasse dem und das erklären. Wie wir gesagt haben, ist es also möglich ein SMV Pass zu öffnen und es gibt eine Warnmeldung. Aber wenn wir uns das angeschaut haben in diesem Bug, dann haben wir einen interessanten Aspekt dieser Warnmeldung von viele von euch kennen. Es gibt auch eine weitere Form die ihr vielleicht nicht kennt. Das ist die Longform. Das fängt an mit Slash, Fragezeichen, Slash usw. Ich weiß nicht wirklich, warum das existiert, aber wie ihr in dieser Fehlermeldung seht, dass der PDF Lisa jetzt glaubt, dass das Fragezeichen der Hausnähm ist. Und so können wir auf bla bla bla, was eine böse Webseite und aber die Warnmeldung sagt nur, dass dieses Dokument sich verbinden will. Ich bin mir nicht sicher, ob das mehr oder weniger fragwürdig ist, als Deutschland fragwürdig Webseite, aber das ist eine neue, tolle Art zu exporten. Das nächste Format, das wir haben, ist das Rich Text Format. Da habt ihr auch schon ein Demo von mir gesehen. Das coole daran ist, dass es sowohl in WordPad als auch in Microsoft Office funktioniert. Es ist also nicht wichtig, ob euer Microsoft Office installiert hat oder nicht. Wenn sie dieses RTF-Fall anklicken, dann kriegt ihr den Eindruckdaten. Leider öffnet eine Warnmeldung über Verdienste Dateien, aber das tut es nur, nachdem es die Daten schon gesendet hat, was so eine der nutzlossten Warnmeldungen überhaupt sein könnte. Ihr habt auch die andere Sache, die wir schon demonstriert haben ist SVG, was für Scalable Vector Graphics steht. Es ist ein Bitformat für Vector-Bidder anstatt normaler Bitmap-Bidder, der Unterschied zwischen den beiden ist, dass Bitmap so eine Datenstruktur ist, die sagt, dieses Pixel hat diese Farbe und diese Durchsichtigkeit und dann beschreibt das nächste Pixel und so weiter und so weiter, bis es das komplette Bild aufgebaut hat. Vector-Grafiken sagen, beschreibt das Bit als Vector-Funktion, zeichnet eine Linie von hier nach hier mit dieser Farbe. Das sind also zwei verschiedene Arten, einen Bit zu codieren. Wir haben das Stemdat-Message unter Windows von Internet Explorer gepasst. Der Spaß daran ist die Art, wie es gestrukturiert ist. Das ist eine Markup-Sprache, die sehr ähnlich ist wie HTML und tatsächlich implementiert ist eine Untermenge von HTML als Teil des SVG-Formats. Eine Sache, die man in einem SVG spezifizieren kann, sind Remote XML-Styles. Man kann also sagen, lad diese Style Sheet von dieser entfernten Location auch File-Pfade verwenden. Das heißt, lad das Style Sheet von diesem Remote SMV share, womit man Benutzerdaten freigibt. Außerdem kann man JavaScript laufen lassen. Wusstet ihr, dass Europäer JavaScript laufen lassen können? Nein, weil das Wahnsinn ist. Wir haben also uns verschiedene Playlist-Formats angeschaut. PLS ist zum Beispiel, haben schon wir ein paar Videos gemacht. Aber wir haben rausgefunden, dass M3U und ASX was eher Mund-as-Media spezifisch ist, dass beide auch diese Attacke verwenden können. Also, all diese Playlist-Format zu unterstützen für Internet-Reihe und solche Dinge, sie unterstützen im Netzwerk Remote-Pfade. Also, Remote-Referenzen einzubauen und interessanterweise und das ist jetzt vielleicht die richtige Zeit um das zu sagen, Windows ist dort, wo, ist die Stelle, wo UNC-Pfade normalerweise behandelt werden. Also, derselbe Code, der benutzt wird, um ein File vom einem lokalen File-System zu öffnen. Die selbe Programmierschnittstelle öffnet auch UNC-Pfade. Zuletzt während des Funktionsaufruf sieht diese Funktion, oh, aber das ist eigentlich ein UNC-Pfad, lasst uns also das Netzwerk abwickeln. So dass also ihr nicht unbedingt irgendwas wie SMB oder UNC oder irgendwelche Handels in den Passer schreiben müsst. Ihr müsst einfach nur diese Standardarten benutzen, um mit dem File-System zu interagieren. In eurem Passer und Windows wird dies also für euch schon möglich machen. Also, die meisten dieser Playlist-Formate sind einfach einfach ganz einfach zum Beispiel, also bei M3U ist es einfach eine Liste von Item, einfach Pfade zu Orten von denen aus abgespielt werden soll und anstatt ein File-Fad, ansonsten setzt man ein UNC-Fad ein und die Interaktion wird also sofort ausgeführt, wie ihr vorher gesehen habt. Oder ihr seht, wenn jemand eure Playlist sieht, könnt ihr eine Referenz am Anfang einbinden. Das nächste Format, das wir uns angeschaut haben, ist also auch ein bekanntes Format, das ASS-Format, das ihr vielleicht eher kennt als Windows Media Video und Windows Media Audio. Das ist wirklich interessant, denn wer würde denken, dass Audio und Videofalls Remote Tracking Code enthalten können. Das ist ein sehr überraschendes Ergebnis und Jared Hensch, danke, dass du uns diese Technik gezeigt hast, um wie man das erreicht ist, dass man Script-Meterdaten einbaut, in einen WMV oder WMA-Fall einbaut. Man muss also nichts Skripts direkt einbauen. Wenn das Playlist einen bestimmten Punkt anbaut, zum Beispiel 5 Sekunden, dann, ja, man baut Skripte ein und dann wird das zu dieser Zeit ausgeführt. Also zum Beispiel für eingebaute Bemerkungen, für Schrift-Einblendungen und das ist also irgendwas mehr oder weniger, wie Untertitel und solche Dinge eingebaut sind. Und zusätzlich zum Anzeigen von Text auf dem Bildschirm kann man auch eine URL aufrufen und dann beenden, also öffnen diese URL in den Befort-Browser und halt den Playback an. Und wie ihr das gesehen habt, dann ist das ungefähr das Gleiche, wie ihr schaut ein Video an, das, ich sage jetzt nicht was für ein Video, es ist deine Angelegenheit. Aber man kommt zu 30 Sekunden und jetzt wird das Video auf einem Interessant und bam, auf Aber kommt der Browser zu www.nsa.gov und sagt, du bist gecheckt worden, ha, ha, ha. Also das ist irgendwie, das in diesen Formaten drin, ja, deine Videofalls können eingebaute Skript-Kommandos enthalten und diese Skript-Kommandos können euch de-anonymisieren, was wirklich unglücklich ist. Außerdem eine Technik, die wir postuliert haben, die wir aber nicht prüfen konnten, ist die eingebaute NTLM-Funktionalität zu missbrauchen. Es ist eigentlich ziemlich einfach, das ganze Video wird verschlüsselt und im Header wird angegeben, wenn du dieses Video angebaut willst, dann gib es zu dieser URL und ladet den Entschlüsselungsschlüssel heraus. Und das ist also die Art, wie DRM in diesen Formaten eingebaute ist und kann leicht gebaut werden, um Leute zu tracken. Wir haben das noch nicht demonstrieren können, was für fürchterlich ist für die Arbeit. Man kann es nicht mal legitim, auf legitimer Weise zum Arbeiten bringen. Aber in der Zukunft ist das wahrscheinlich eine Technik, die entweder schon benutzt wird von den Gicken oder bald benutzt werden wird in der Zukunft. Außerdem, ein kurzer Hinweis, Untertitel, sie können beliebiges Halter melden halten, noch nicht nur befett oder kursiv, was man erwartet, aber auch Dinge wie Image mit einem Bild aus einer anderen Stelle. Man kann also ein fernes, entferntes Bild und ich weiß nicht, warum das so ist, aber es kann auch für Tracking benutzt werden. Das nächste Format, das wir uns eingeschaut haben bei mp3, das war natürlich für uns sehr interessant. Natürlich gibt es verschiedene Gesellschaften, die sich der Parasy angenommen haben und das war natürlich für uns sehr interessant. Das Problem ist, dass es mp3 eigentlich ein relativ einfaches Format ist, verglichen mit anderen Formaten. Mp3 alleine enthält eigentlich keine Metadaten. Das ist für euch vielleicht merkwürdig, weil die meisten mp3s, die normalerweise habt Metadaten enthalten, die den Künstler und das Album usw. enthalten. Aber es stellt sich raus, dass das ein separates Format ist, dass namens ID3, was ein de facto Bestandteil von mp3 einfach nur eine Serie von Blöcken, Fixer, Länger ist, die sagen, dieses Audio und ID3 war die offensichtliche Wahl für dieses Format. Eine Sache, die wir genannt haben, im Laufe unseres Projektes, ist, dass Menschen nicht immer die RFCs befolgen, wenn sie so etwas bauen. Und es gibt ID3 die Art, wie ihr strukturiert ist, dass es eine Serie von Frames ist. Ihr habt also sowas wie hier sehr tippless Frames und hier ist eine Länge und hier sind die Daten. Es gibt 2, die uns interessiert haben, das Link und das APEC Frame. Linkframe sagt, dass ihr sucht es in einem anderen Schloss, geht also los und findet dieses Frame und ich dachte mir, ja, das ist das, was ich haben will. Und es gibt auch das APEC Frame, das Attach Picture bedeutet. Ihr könnt also sagen, dieses Bild ist nicht hier, das ist woanders los und los hier. Die Sache ist, kein Player, den wir uns angeschaut haben und wir haben uns eine Menge angeschaut, interstitzen weder als eine noch das andere dieser Frames, aber als wir herausgefunden haben, dass man Skripting-Content Feiers machen kann, haben wir gefunden, dass man sie einfach in mp3 umbinden kann und so lange man sie in mp1 das Media Player abspielt, denkt sich der Player ah, das ist falsch benannt, ich wähle es als WMA Datei öffnen oder ah, du willst diese URL öffnen, ja klar hier. Es ist also ein bisschen geschummelt, aber wenn es doof ist und funktioniert dann ist es nicht doof. Ihr fragt euch vielleicht, warum auf dieser Vorher ein Bild von einem Fisch ist, es gibt sehr lustige Dinge in den ID.3-RFC. Er stellt sich raus, als Teil des APEC Frame kann man sagen, welche Art von Bild angehängt ist. Nr.13 ist ein ein bunter Fisch. Noch eine lustige Sache, Primus hat seine eigene Genre-Nummer in ID.3 Go Primus. Wir haben uns auch das Toad Format angeschaut, viele versuchen Piraten zu de-anonymisieren und Torrenting hat angeblich Verbindung zu Piracy und das ist relativ einfach, weil man so viele Tracker haben kann, wie man will innerhalb eines Torrents und wenn man diesen Torrent öffnet, dann wird es alle diese Tracker ausprobieren, bis es genug findet, die tatsächlich aktiv sind. Es wird also einfach URL nach URL nach URL besuchen und da kann man also das Torrent so viele Plätze ausprobieren lassen, wie man will und wenn Leute einfach Torrents öffnen und dann ein bisschen warten dann merkt es ist kein großer Unterschied, dass es ein bisschen länger dauert bis es anfängt zu runterzuladen und eines der anderen Sachen, die wir gefunden haben, die aber nicht wirklich implementiert sind, Torrent Clients sind URL Seeds und das wurde vorgeschlagen mit einer Alternative zu der klassischen Bittern-Protokoll Man könnte also HTTP Seeds haben oder FDP Seeds wenn man keine aktiven Seeds hat, dann könnte man so die Ursprungsdaten bekommen, aber wir haben nichts gefunden, was das unterstützt. Wir konnten also nicht FDP oder irgendwelche anderen komischen Sachen ausprobieren, wir haben nicht so gut geschaut, aber das ist nichts, was wir machen konnten. Können Sie was machen, wie eine ganze Reihe von der HTTP Request initiieren von, wo immer man das Pfeil aufmacht, wenn man also etwas ausnutzen will, wie jeden Sie es Flaw in Home Bruten mit einem Torrent Flaw, man könnte das tun, also das ist interessant. Das nächste, was wir hier noch geschafft haben, ist das Format, dies wird benutzt um virtuelle Business-Karten, zum Beispiel einen Outlook auszutauschen, was Teil der Office Suite ist. Das Format ist also benutzt für Business-Karten was ist also Visitenkarten, was seltene wie Name, Email, Telefonnummer alle Dinge, die man erwartet, aber auch Dinge, die man vielleicht nicht erwartet, vielleicht nicht zu Anfang erwartet. Eines Deattributes ist zum Beispiel sehr sinnvoll Wofür wird das benutzt? Nehmen wir an, ich habe meine Visitenkarte virtuell mit Dan ausgetauscht und Dan möchte gerne ein Meeting mit mir aufsetzen und wenn Dan seinen Kalender softbeeröffnet und möchte ein Meeting mit Damon Smith aufsetzen, dann wird dieser Client automatisch diese Free Busy URL abrufen und fragen ist Damon Busy um 3 Uhr frei oder um 4 und so weiter und so weiter. Das ist also die übliche Funktionalität dieser Free Busy URL. Das ist natürlich eine Möglichkeit, um Leute über HTTP zu verfolgen, was vielleicht nicht so offensichtlich ist und ich weiß nicht, warum es so implementiert ist man kann auch einen UNC-Fahrt also eine Free Busy URL inkludieren. Also ich sage jetzt Damon's Kalendersoftware, wenn du möchtest rausgehen möchtest ob ich Zeit habe dann müsstest du diesen UNC-Share fragen das ist völlig verrückt und ich habe keine Ahnung warum das erlaubt ist im Fallespass, das ist definitiv erlaubt und dadurch kann man dann Userdaten stellen. Man kann sagen das ist okay, wir haben ja einen lokalen Fahrt für Free Busy. Nein, das macht eigentlich keinen Sinn. Also es braucht ein bisschen Social Engineering um dieses hinzukriegen. Man muss nicht nur das Opfer dazu kriegen die Karte, wie sieht denn Karte zu akzeptieren und ins Adressbuch aufzunehmen. Man muss ausdämen, sie überzeugen, dass sie versucht ein Meeting mit mir aufzunehmen. Nicht das das einfachste, aber wenn man Fähigkeiten in Social Engineering hat, könnte das wahrscheinlich hinkriegen. Das nächste ist wir haben das hier für die Nachwelt und für Klarheit aufgenommen weil ICS witzig ist, wenn man das liest wenn man sich gerne Standarddokumente anschaut kurze Anekdote, wenn ihr jemals einen Fallpasser schreibt, da gibt es 3 Schritte, denen ihr folgen müsst. Schritt 1 lest das ganze IFC, das Teilformat, den man folgen wollt, dann nehmt das IFC und setzt es in Brand und dann tut was auch und ignoht das IFC komplett. Ja, wirklich wahr. Okay, also die Art, wie die sich für ICS manifestiert. Es gibt dort eine spezielle Zeile ICS, da teilen sie es sehr einfach zu lesen, wenn ihr es euch mal auföffnet werdet ihr sofort verstehen wie das Fall strukturiert. Das ist einer dieser einfachen schönen Fallformaten, die man sehr intuitiv verstehen kann, die man sich einfach anschaut. Das ist wunderbar. Eines der Dinge ist V-Alarmen das definiert den Alarm der mit einem bestimmten Kalender-Event assoziat ist. Interessant hier ist also dass dies durch den Absender der Meeting Einladung definiert wird nicht den Empfänger und man kann verschiedene Alarme haben. Also was man machen kann, was jetzt wirklich witzig ist ist ein Meeting Aufsetzen mit jemandem in 2 Tagen und dann ein Alarm der ein Pop-Up öffnet und ein Sound abspielt jede Minute bis dahin. Also abhäcke ich von deiner Kalendersoftware könntet es automatisch durch akzeptieren die Einladung. Das wäre also wirklich sehr sehr witzig. Denial of Sleep Angriff Lisa, also dieses RFC ist spät ich habe wahrscheinlich irgendwas getrunken fast sicher habe ich was getrunken ich schaue mir das an und schaue mir die verschiedenen Alarmtypen an es gibt 4 es gibt 2 völlig vernünftige wie eine Pop-Up Box anzeigen spiele ein System Sound ab ich weiß nicht, dann Audio was heißt also das heißt oh geht zu dir so L, erlade diesen Sound darunter und spiel den ab, das könnte schön sein und dann des vierte da, dachte ich einfach das ist einfach so ein unglaublichen Moment ich lasse einfach dieses Kommandoablauf mit diesen Parametern was also hier ist das herzbrechende Ding so oder das wirklich erleichtende Ding abhängig davon was du jetzt bist, es arbeitet nicht in jeder Kalendersoftware die uns angeschaut haben nicht in keiner von denen die uns angeschaut haben also wenn die Leute haben bestimmt das AfD gelesen und gesagt, nee also das ist dieser stets das RFC in Brandmoment also nicht einmal der Nachfolger dies ist das i-Calender Format nicht mal der Nachfolger von i-Calender unterstützt dies also naja, es ist drin aber man muss das Meeting selbst anlegen ich wurde ein bisschen aufgeregt als ich ein Meeting angelegt habe dass diesen Crusader Alarm benutzte weil es diese Box hoch popt die fragt, willst du das akzeptieren anstatt von ja und nein sind so wie nein und no importiere das nicht einmal und ich dachte okay ich wollte ja klicken und nein oder härteres nein also nein und mehr nein also leider ist dies nicht eine nutzbare Technik aber es ist eine witzige Sache und ich kann mir nicht glauben dass dies eine Idee ist die jemand hatte und auch geschrieben hat und geteilt hat weil ich einfach dachte also nein ich verstehe nicht einmal wie also da ist es aber und also reden wir jetzt mal über möglichen Gebrauch oder Missbrauch von Digital Rights Management wir haben die Formate wir haben die Formate diskutiert die das Mucke machen jetzt fragen wir uns warum möchte die das immer überhaupt nutzen oder ausnutzen nun die erste Funktion an die wir das haben wir sind noch hier im Chaos Camp oder wir lieben alle DRM also denkt diese dystopische Zukunft DRM je immer wenn ein bestimmtes Fall geöffnet wird wird dann ein Server auf angerufen um zu verfolgen dass dieses Fall geöffnet wurde weil normalerweise ist es einfach das Ziel ist einfach Leute davon abzuhalten das Fall zu öffnen aber hier geht es doch um die Leute zu identifizieren die das Fall öffnen das ist also viel mehr gefährlich als das DRM was heute getan werden kann in heutigen Fallpassen wir haben es nicht gesehen aber es ist etwas wo wir immer ein bisschen Angst vorhaben sollten um es fährt zu sein wir haben auch nicht sehr hart nachgeschaut also Angst, Unsicherheit und Zweifel solltet ihr haben ja und es gibt auch eine Art Datenverlustschutz hier und es gibt wieder zwei Seiten in dieser Medaille also man könnte sagen ich möchte, dass niemand nicht ein empfindlichen Dokument spielt also ich möchte jetzt hier mein Gehalt 2016 PDF irgendwo hinschauen und niemand sollte das öffnen und wenn es geöffnet wird dann sollte ich noch eine Warnung mit einer bestimmten auf eine URL bekommen die andere Seite ist wenn du nun ein fastidisches Regierung bist und möchtest Leute davon abhalten whistleblowing zu betreiben dann könntest du diese Techniken benutzen theoretisch um zu verhindern dass Leute dies zumindest einfach tun können und identifiziert werden also stellt euch vor dass jemand hier ein Dokument exfiltriert dass also wertvoll wäre in der öffentlichen öffentlichen Bewusstsein aber das Dokument nun ruft zu Hause an von wo auch immer es geöffnet wird von deinem Computer, vom Computer zu Hause vom Computer eines Rechtsanwalts vom Freund und dann diese Leute werden verschwinden gelassen also das ist das was was mich am meisten beängstigt mit der ganzen Geschichte ist dieser spezielle Missbrauch Deanonymisierung wenn ihr jemals den Torbrowser benutzt hat dann tut das nicht wenn ihr das jemals getan habt und ein Datei runtergeladen habt dann öffnet sich diese Warnmeldung diese tolle Warnmeldung wenn ihr diese Datei runterladet dann könnt ihr deanonymisiert werden tut es nicht unsere Recherche ist warum es diese Warnmeldung gibt Sie wissen, dass es diese Warnmeldung gibt und wollen euch warnen genau genommen existierte diese Warnmeldung vor unserer Recherche aber die Art der Idee ist der Grund warum es diese Warnmeldung gibt ein Anwälmung dafür ist zum Beispiel eine Regierungs-Eigentur die vielleicht habt ihr keinen Kontrolle über dieses Jihadisten-Wiki aber ihr könnt ein PDF-Dokument machen wie macht man leicht eine Bombe und jeder die ihr dieses PDF öffnet da wisst ihr wer sie sind und dass sie eine Bombe in drei leichten Schritten bauen wollen wir haben das gequotiert oder wir haben es zumindest gezeigt und haben uns darauf relativ stark produktivisiert wenn man die Maschine von jemandem übernehmen kann und seine Daten stehen kann dann gibt es ziemlich viel mehr was man tun könnte aber ihr wisst es ist ein relativ wichtiger Teil davon dass man tatsächlich die Sicherheit eines Computers beeinflussen kann man kann Daten abschnäuchern und sie weitergeben nur falls im Publikum jemand ist der NTLM Relay Attacken kennt ich werde sie erklären die normale Authentifizierung oder zumindest Version 2 funktioniert so man sagt dem Server ich würde mich gerne Authentifizieren auf das zu greifen was ihr mehr habt und der Server sagt ja hier ist diese Zahl ich muss das bitte mit deinem Passwort verschlüsseln und zurück senden und der Kleint tut das und der Server entscheidet sich je nachdem ob es mit dem was er gerne hätte beeinstimmt ob der Kleint sich verbinden darf das Problem ist es gibt also nichts in dieser Neocitation in dieser Verhandlung dass diese Daten zu einem bestimmten Server bindet bis auf diese Zufallzahl wenn also ich als Angreifer den Kleint dazu bringen kann sich mit mir zu Authentifizieren dann kann ich die Information einfach weitergeben bis ich zu dem Punkt komme an dem ich den Ich-Zuruf bekomme und dem Kleint aber sage Nein oder weigert in unserer Demo hatten wir ein Passwort das gleich zu cracken war es hat zwei Sekunden gedauert wenn überhaupt das ist eine Alternative dazu wo man die Daten einfach weiter gibt ohne dass man das Passwort cracken muss wenn die Person die sich Authentifizieren will ob sie das weiß oder nicht versucht zu zu bekommen wenn sie Zufried bekommen kann dann kannst du auch zu bekommen dass sie implementiert ist denkt daran dass es nicht mehr möglich ist die Authentifizierung zurück zu der Maschine zu Relane die sie initiiert hat lustigerweise konnte man das früher tun konnte die gleichen Sachen zurück zu ihrem Computer geben und sich mit ihnen verbinden das wurde aber gefixt schon sehr lange wir haben also kurz diskutiert die Tatsache dass es von einem privilegierten Netzwerk kommt wenn ihr das funktioniert aber ihr seid hinter welcher Firewall auch immer und ihr könnt alle möglichen spannenden Dinge exploiten die von denen ihr ausgehen würdet wenn ihr im lokalen Netzwerk seid dann geht es euch gut das könnte wahrscheinlich umbenannt werden C-Serve ist benutzt eine Authentifizierte Session eine dieser Techniken dieser Formate in denen werden die Pauser einfach den Standardbauser öffnen und von dort aus arbeiten wenn ihr das tun könnt dann könnt ihr auch authentifizierte Sessions schreiben aber auch besonders kommt ihr wahrscheinlich aus einer privilegierten Netzwerkposition wir haben euch gesagt was das Problem ist wie man das ausnutzen kann und so glauben wir dass man das fixen könnte es gibt keine perfekte Lösungen hierzu aber hier ist das was wir uns überlegt haben und warum es vielleicht keine perfekte Lösung ist das einfachste ist Antivirus die Techniken die wir benutzen haben relativ Standard Signaturen und so kann ein Antivirus das RTF analysieren und finden dass es gebackt ist es gibt aber so viele Formate die haben das Antivirus nicht auf keinen Fall jedes Format analysieren kann außerdem gibt es für manche von diesen tatsächlich legitime Anwendungsfälle tatsächlich kann es sein dass ein PDF ein fremdes Bild enthalten sollte oder ein Playlist erteilt dass sie Anwendungsfälle in denen sie fremde URLs enthalten können so hat es keine Playlist also das sind zwei beides Gründe die Antivirus davon abhalten Dateiennderungen Formatänderungen manche davon es gibt nicht immer legitime Anwendungsfälle also lasst uns einfach das Format ändern aber leider jedes mal wurde gezeigt dass es einfach nicht geht in unserer Industrie man muss an bestimmten eine bestimmte Ebene der Uferskompetilität es gibt einfach zu viele zu viele Dateien die mit alteren Versionen das wir einfach das Format ändern könnten einfach zu viel Trägheit meiner Meinung nach sind Firewalls auf Applikationsebene die beste Lösungen zum Beispiel Lotus Flower Leopard Flower unter Linux unter macOS jedes mal wenn ein Programm versucht eine Verbindung aufzubauen dann wird die Firewall sagen hey dein PDF-Programm versucht auf ein URL zu gereifen soll wir das dürfen das ist ein relativ guter Verteidigung gegen die meisten diese Angriffe zum Beispiel werde ich nie wollen dass WordPad sich mit einem Fremdserver verbinden kann, deswegen kann ich es immer sagen ablehnen, ablehnen, ablehnen wenn WordPad das versucht aber zum Beispiel bei Playlist-Formaten wie M3U ist das eigentlich genau das was sie tun sollen dass sie sich mit Fremdserver verbinden also kann man nicht sagen dass Applikation Level Firewalls das immer beheben gibt es da jetzt weil diese verschiedenen Lösungen die das vielleicht im bestimmten Grad verbessern, aber wir haben keine richtigen Lösungen wir haben keine wir versuchen dann noch ein bisschen Öl ins Feuer zu gießen etwas anderes was wir hier noch überlegt haben sind Warnungen und natürlich gibt es da Warnungen im bestimmten Sinn manche vielleicht gibt es ein bisschen mehr Informationen an die Benutzerin Benutzer natürlich klicken Leute einfach durch Warnungen hindurch meistens also nicht unbedingt hilfreich, aber es könnte zumindest dazu führen dass man anhält und sagt oh moment das ist etwas was ich nicht möchte also zumindest gibt es mehr Macht in die Hände der Benutzerin Benutzer außerdem könnte man etwas tun um Netzwerkfähigkeiten für bestimmte Programme insgesamt abzuschalten also zum Beispiel das Beispiel mit Wordpad persönlich und Damon wohl auch möchten nicht das Wordpad jemals mit dem Internet kommuniziert außer vielleicht wenn es mit Updates kommuniziert, aber das macht das Betriebssystem also nie, nie also für so etwas ist es einfach, aber es gibt die gleichen Probleme wie bei Application Firewalls das andere ist vielleicht also Network Calls in sich einhaken Network Calls ist bei bestimmten Programmen sehr viel einfacher als in anderen, einige Programme werden dadurch völlig kaputt gemacht Chrome zum Beispiel verhindert dass man Proxychains benutzt mit Chrome es gibt auch noch egress Filtern eine gute Teillösung die zumindest Dinge verhindert wie ausgehenden SMB-Traffic der aus deiner Organisation oder aus deiner House hinaus geht es ist eine ganz gute Idee allgemein egress Filtern einzusetzen aber man muss bestimmten Dingen immer noch erlauben zum Beispiel vielleicht WebTraffic sollte man immer durchlassen und das ist aber die Art und Weise wie viele dieser Datenschutz Verletzungen in diesen Formaten funktionieren also ihr denkt also dieses Zirk ist cool und wollt damit ein bisschen der Händeschutz nicht machen wir haben genau das was ihr wollt das Input akzeptiert alle möglichen Formate die wir unterstützen und das als Output produziert eine Verwanstiversion dieses selben Files es ist immer noch Arbeit die sich Alfa, Alfa, Alfa noch nicht bei GitHub denn weil wir diese ganze Woche ziemlich betrunken waren und wir haben keine Netzwerkverbindung gehabt aber wenn ihr in den nächsten ein, zwei Wochen zu GitHub geht und dieses Zeug nun herunterladen wollt und auch eigenen Files verwanzen wollt also jetzt zu dieser Zeit wollen wir Fragen für Fragen öffnen gibt einen Applaus für die beiden Redner Zeit für einige Fragen irgendjemand da drüben Hi, großer Talk toller Vortrag habt ihr irgendwelche Probleme gefunden mit Default File Handlers also wenn Windows einen Preview zum Beispiel rausgibt findet ihr habt ihr da auch Verbindungen aufgenommen wurden die Frage ist der Standard Datei Behandlungs gibt es irgendwas was wir dagegen tun können wenn ihr auf ein File klickt aber es nicht öffnet in Windows Explorer zum Beispiel dann kann man zum Beispiel ein Preview auswürzen ohne dass das wirklich voll öffnet wird mit World ihr fragt also ob die Forscher auch verletzlich ist das haben wir nicht getestet ich kann mir vorstellen dass es für manche Angriffsvektoren das funktioniert bei SVG Dateien ist das relativ wahrscheinlich dass es verletzlich ist weil man das Bild nicht vernünftig darstehen kann also ich denke das ist bei Format abhängend wir können sagen mit einiger Sicherheit dass manche wahrscheinlich nicht funktionieren in Preview also irgendwas was man tatsächlich rendern muss wird wahrscheinlich funktionieren irgendwas zum Beispiel ein Video Dokument wo es das nach 5 Sekunden eine URL öffnet das wird wahrscheinlich nicht funktionieren ziemlich sicher aber wie wir gesagt haben dann haben wir das nicht getestet also wir können es nicht sicher sagen aber probier es aus sobald das Tool online ist gibt es noch Fragen oder haben wir so toll vorgetragen dass niemand mir irgendwelche Unsicherheit im Herzen hat ja genau gehen wir da eine Vorjahr zurück wir super versprechen dass wir das in ein, 12 Wochen veröffentlichen wir haben eine arbeitsfähige Version wir haben niemanden gefunden der das dort hochladen kann wir werden also eine Person finden in einem bis zwei Wochen dann wird es dort sein okay danke Damon und Daniel danke fürs Zuhören ja danke auch fürs Zuhören bei unserer Besetzung das war sicher ein Tempo Problem ich hoffe wir haben mal klar genug gesprochen