Inhalt:
1. Was ist Optical faking ?
2. Arbeitsweise
3. Nutzung
4. Testangriff
5. Credits & Kontakt
6. Beispiel Videoaufnahme
1. Was ist Optical faking ?
Optical faking (auf deutsch etwa: „Optisch vorgetäuscht“) ist eine Angriffsform
die hauptsächlich im Bereich des Social Engineering Anwendung findet. Diese Hacking-Methode
stützt ihre Wirksamkeit auf die verschiedenen Schriftarten der
Textverarbeitungsprogramme sowie automatische Zeilenumbrüche und ähnlich
agierende Handlungen von Textprogrammen.
2. Arbeitsweise
Optical faking tritt dann auf wenn eine Webanwendung oder ein lokales Programm
empfangene Texte speichert ohne diese ausreichend zu prüfen.
Ein klassisches Beispiel für Optical faking ist die optische Manipulation von HTTP Access Log’s.
Hierbei überschreitet der Angreifer die maximale Zeichenanzahl von 1024 Zeichen einer
Zeile des Windows Notepad. Und erzwingt somit einen relativen Zeilenumbruch im Notepad
der Optisch nicht von einem wirklichen Zeilenumbruch (CRLF) zu unterscheiden ist.
HTTP Access Log’s erlauben pro Zeile einen Aufruf. Somit ist der Angreifer in der Lage
eine vermeintlich neue Zeile der Logdatei nach belieben zu gestalten. In dieser neuen Zeile
könnte er z.B.: vorgaukeln eine bestimmte IP (die er selber nicht besitzt), habe
einen Seitenaufruf im Administrationsbereich getätigt.
3. Nutzung
Optical faking ist normalerweise harmlos, doch da Administratoren, die auf diese Weise in die
Irre geführt wurden, davon ausgehen müssen das die gesehenen Informationen korrekt sind,
erweist sich diese Art der Informationsverfälschung als überaus hilfreich zur Unterstützung
und Durchführung von Social Engineering Angriffen.
4. Testangriff
Zur Veranschaulichung wird in diesem Beispiel Apache 2.x genutzt.
Ein Normaler Ausschnitt aus einem Apache 2.x Logfile, geöffnet mit Windows Notepad (Schriftart Arial):
Ein Angreifer verbindet sich nun mit dem Webserver und sendet ein Datenpaket wie folgt:
GET /logo_i.gif HTTP/1.1“ 304 -(992 Leerzeichen)0.0.0.0 – – [11/Mar/2011:11:17:26 +0100] “GET /logo_i.gif HTTP/1.1
Durch die 992 Leerzeichen wird die Zeile im Notepad Zwangsweise umgebrochen. Das Zeichen “ wird
durch zwei ‚ ersetzt. Bei Arial als ausgewählte Schriftart ist kein Unterschied
zwischen “ und 2x ‚ zu erkennen. Folglich ist auch beim bloßen betrachten der Logdatei
kein Unterschied fest zu stellen:
Die vermeintlich neue Zeile sieht also korrekt aus und vertritt dennoch einen
unlogischen Inhalt. Somit ist es einem Angreifer möglich eine Logdatei
optisch zu verfälschen um dem Systemadministrator falsche Informationen
unter zu jubeln und diese dann für weitere Social Engineering Handlungen
zu nutzen.
5. Credits & Kontakt
Optical faking by unnex
optical faking ist eine im jahre 2010 erfundene hacking methode von unnex
E-Mail: [email protected]
6. Beispiel Videoaufnahme
[yframe url=’http://www.youtube.com/watch?v=nl_Y-sMTlLI‘]
Link zum Video (RAR-Datei (470kb) #Host: www.file-upload.net)
Quelle : http://optical-faking.lima-city.de/