Meister-Security

IT-Consulting, Beratung und Training

Clientside Attacks - oder: wie man durch eine Firewall hindurch attackiert

Datum: 15.05.2017
Autor: Michael Meister

Hilft ein Patch gegen Wannacry?
In diesem Video erkläre ich, wie man einen Angriff gegen einen Service durchführt und direkt im Anschluss, wie man einen Browser angreift.
Da hilft auch kein Microsoft Patch.
So lassen sich Angriffe mindestens mit den Rechten des Users durchführen.
Wenn man im Anschluss auch noch eine Erweiterung der Rechte hinbekommt, sind die Folgen viel fataler...

Password-Sniffing und Webcam-Manipulation

Datum: 05.05.2017
Autor: Michael Meister

Welche Zugangsdaten benutzt eigentlich ein Android-Navigationssystem, um Kartenupdates aus dem Internet herunterzuladen?
In diesem Video erkläre ich kurz, wie man den Updateprozess im Netz durchleuchtet. Aus den gewonnenen Informationen bauen wir den Kartendownload an einem Raspberry nach, und verteilen die aktuellen Karten automatisiert auf alle Autos vor dem Haus...

Eine Webcam zeigt nur alle 5 Minuten ein neues Bild?
Wann bei einer Mobotix-Kamera ein neues Bild zu sehen ist, bestimmt nicht die Kamera. Der Nutzer sendet in einem HTTP-POST Request die gewünschte Bildwiederholfrequenz zur Webcam. So lässt sich sogar ein Videostream entlocken...

Hausautomation kurz vorgestellt

Datum: 03.12.2016
Autor: Michael Meister

Nach der letzten Schulung zum Thema Hausautomation kam wiederholt die Anfrage, ob ich selbst eine Automation im Einsatz habe.
Hier demonstriere und erkläre ich kurz das Zusammenspiel der Komponenten. Dabei steht Sicherheit und der Preis im Vordergrund. Zum Zeitpunkt der Erstellung des Videos kamen knapp 200EUR zusammen.

Sicherheitslücke "Stagefright" in Android ausnutzen

Datum: 19.09.2016
Autor: Michael Meister

Am 05.08.2015 demonstrierte Joshua Drake auf der Defcon eine Sicherheitslücke, welche bereits seit Android 2.2 auf Smartphones offen steht. Seither haben die Hersteller eher mangelhaft reagiert. Bei Geräten der Nexus Reihe und Geräten, auf denen sich z.B. Cyanogenmod installieren läßt, lassen sich diese Lücken schließen.
In diesem Video zeige ich, was zum Erstellen eines Exploits nötig ist, und wie man danach Zugriff auf ungepatchte Smartphones bekommt.
Ob das eigene Smartphone diese Lücke aufweist kann durch einen Test leicht herausgefunden werden. Dazu installiert man einfach den Stagefright-Detector. Dieser überprüft das Smartphone. Sollte man verwundbar sein, ist schnelles Handeln angesagt. Auch wenn man kein Onlinebanking mit dem Smartphone macht, könnte doch über dieses Smartphone ein weiterer Angriff stattfinden. Und dann ist es meist schwer zu beweisen, daß man damit eigentlich nichts zu tun hatte...

Capture-The-Flag Event

Datum: 03.02.2016
Autor: Michael Meister

Falls sie ihr Personal einmal herausfordern wollen, oder im Rahmen einer Schulung den Erfolg spielerisch in einem Wettkampf messen wollen, oder einfach nur so...
Wir bieten ihnen die passende Umgebung für ein CTF-Event, bei dem die Teilnehmer versuchen müssen, ein Dokument aus einer gesicherten Infrastruktur zu bekommen.
Dabei kommen viele Techniken zum Einsatz. Scanning, Sniffing, Exploitation und Decryption, um nur ein paar zu nennen.