www.CERT.at - Blog

Exim und Dovecot: Remote Command Execution

2013-05-03T18:44:43Z

Exim und Dovecot: Remote Command Execution

3. Mai 2013

Wie heise.de meldet, hat RedTeam Pentesting eine Sicherheitslücke im Mail-Server Exim in Kombination mit Dovecot als Local Delivery Agent gefunden.

Verwendet Exim für die lokale Zustellung den IMAP- und POP-Server Dovecot als Local Delivery Agent und wurde bei dessen Konfiguration der Parameter use_shell gesetzt, können Angreifer mittels manipulierter Absender-Adressen eingebettete Shell-Befehle ausführen (z.B. via wget Programme aus dem Internet laden und diese ausführen).

Mittlerweile ist dieser Parameter auch aus der Beispiel-Konfiguration aus dem offziellen Dovecot-Wiki gestrichen, auch wir empfehlen diese Änderung aus der jeweiligen Transport-Konfiguration zu entfernen.

Autor: Matthias Fraidl

Explosionen in Boston: Exploits im Web

2013-04-17T09:21:21Z

Explosionen in Boston: Exploits im Web

17. April 2013

Inzwischen kennen wir das Spiel: Irgend etwas aufregendes passiert (Erdbeben, Tsunami, Terror, Celebrity-Tode, königliche Hochzeiten/Babys, ..), und schon wird das Thema im Netz diskutiert: Twitter, Facebook, Google+, Blogs, Webforen, ...

Soweit so gut und harmlos, nur werden diese Vorfälle (wie jetzt die Explosionen in Boston) auch immer wieder für verwerfliche Zwecke benutzt. Aktuell sehen wir (und andere: Kaspersky, Techhelplist, Fitsec, ...):

Website Monetizing: Man registriere eine passende Domain (zusammengesetzt aus Wörtern: "Boston", "attack", "explosion", "terror", "2013", ...), nimmt die üblichen Algorithmen, die bei geparkten Domains passende Schlagwörter in die Seite einbaut, und schalte Werbebanner. Da aktuell viele Leute nach mehr Informationen zu dem Vorfall suchen, bekommt man so leicht zu Besuchern und damit Werbeeinnahmen.

Fake Charities: Nicht jeder Spenden-Aufruf für die Opfer dieses Anschlags ist legitim. Die Bandbreite reicht von den üblichen, etablierten Organisationen (Rotes Kreuz, MSF, ...), über schlecht geführte (deren Gründungsziel rein das Abschöpfen von möglichst viel "Nebenkosten", "Verwaltungsaufwand" & co ist) bis hin zu reinem Betrug. Ich kann hier nur empfehlen, kein Geld an Organisationen zu senden, die keine langjährige Erfahrung bei der Hilfeleistung bei Katastrophen haben.

Spam / Exploit-Packs: Ein Bezug auf das Thema des Tages erhöht die Chance, dass unbedarfte Internet-Nutzer auf Links in Spam-Mails klicken. Dahinter warten dann oft Exploit-Packs, die verwundbare Browser (bzw. deren Erweiterungen) angreifen und so Schadsoftware am PC des Nutzers installiert. Eine aktuelle Spam-Kampagnen verweist etwa auf URLs der Form http://IP-Adresse/boston.html oder http://IP-Adresse/news.html, die das Java-Plugin angreifen.

Verschwörungstheorien: Wir sehen auch schon die ersten Kettenbriefe und Webseiten, die absurde Ideen verbreiten. Wie schon bei 9/11 gibt es auch hier schon die ersten geistigen Dünnbrettbohrer, die von einem Insider-Job der US-Regierung phantasieren.

In Summe: die alte Regel "Zuerst Denken, dann Klicken!" sollte man insbesondere nach solchen medienwirksamen Vorfällen beherzigen.

Autor: Otmar Lendl

BIND Bug führt zu Memory Exhaustion

2013-03-27T14:30:45Z

BIND Bug führt zu Memory Exhaustion

27. März 2013

https://kb.isc.org/article/AA-00871 beschreibt einen Bug in BIND (bzw. libdns), der zu Memory Exhaustion führen kann.

Dass das nicht schön ist, ist denke ich klar - ein Security-Risiko an sich ist es aber nicht, da es "nur" auf die Verfügbarkeit geht.

Nameserverbetreiber mit BIND (und alle anderen, die nicht-validierten Input mit gegen libdns gelinkter Software wie 'dig' verarbeiten) sollten wohl eher bald upgraden.

Autor: Robert Waldner

cPanel gehacked

2013-02-28T16:57:30Z

cPanel gehacked

28. Februar 2013

Seit einigen Tagen kursieren im Netz Nachrichten zu einem SSH-Rootkit (Alter und Herkunft unbekannt), nun scheint aber ein wenig Licht ins Dunkel zu fallen: das Unternehmen cPanel, Anbieter der gleichnamigen Web-Administrationslösung, wurde Opfer eines Hacker-Angriffs. Laut offizieller Stellungnahme wurde dabei ein Server geknackt. Es kursierten bereits Gerüchte dass der cPanel-Hack die Hintertür für die verbreitung dieses Rootkits sein könnte.

Nun fordert cPanel per E-Mail alle Kunden, welche Support-Tickets innerhalb der letzten 6 Monate eröffnet haben, auf ihre Root-Passwörter zu ändern - dies ist aber auch für User mit eingeschränkten Rechten empfehlenswert.

Ob der eigene Server eventuell ebenfalls verseucht ist, lässt sich mit folgenden Kommandos feststellen:

Systeme mit dem Red Hat Paketmanager

# rpm -qfV /lib*/libkeyutils*

Der Red Hat Package Manager vergleicht damit die MD5-Hashes der installierten Dateien mit denen der Paketdatenbank, wenn alles in Ordnung ist erhält man keine Ausgabe.

Debian basierte Systeme

# debsums -a -p /var/cache/apt/archives --generate=all libkeyutils1
/usr/share/doc/libkeyutils1/copyright OK
/usr/share/doc/libkeyutils1/changelog.Debian.gz OK
/lib/libkeyutils.so.1.3 OK

Hinweis: Debsums muss auf den meisten Systemen erst nachinstalliert werden.

Weitere Systeme

# find /lib* -name libkeyutils\\* -exec strings \\{\\}  \\; | egrep 'connect|socket|inet_ntoa|gethostbyname'

Wir empfehlen auch auf allen weiteren Servern auf welche im genannten Zeitraum von einem möglicherweise kompromittierten Rechner per SSH zugegriffen wurde, die autorisierten SSH-Keys (~/.ssh/authorized_keys) und Passwörter zu ändern, da diese eventuell entwendet wurden.

Autor: Matthias Fraidl

Joomla! PHP Object Injection

2013-02-28T14:25:08Z

Joomla! PHP Object Injection

28. Februar 2013

Der Security-Researcher Egidio Romano hat auf eine Schwachstelle im Joomla! CMS (Versionen <= 3.0.2 und <= 2.5.8) aufmerksam gemacht, die Entwickler haben bereits darauf reagiert und Updates auf Version 3.0.3 und 2.5.9 veröffentlicht mit welchen das Problem behoben sein soll.

Die Schwachstelle exisitiert im Highlight-Modul (per Default aktiviert), durch fehlerhafte Überprüfung und Weitergabe von User-Eingaben an die PHP-Funktion unserialize() kann beliebiger Code eingeschleust (PHP Object Injection) und ausgeführt werden. Dies kann unter anderem zu Defacements führen, aber auch um Server zu kompromittieren und sie für Drive-by-Downloads und DDoS-Attacken zu verwenden.

Wir sind bereits auf ein Stück Python-Code im Netz gestoßen welches diese Lücke für DDoS-Attacken nutzt, daher empfehlen wir, soweit möglich die Updates auf die aktuellsten Joomla Versionen einzuspielen.

Autor: Matthias Fraidl

0-day in Adobe Reader?

2013-02-13T17:39:50Z

0-day in Adobe Reader?

13. Februar 2013

Nachdem die Sicherheitsfirma FireEye in ihrem Blog über einen vermutlich neuen 0-day Bug in Adobe Reader berichtet hat, schreibt jetzt natürlich der Rest der Welt auch darüber, und wir sind da ebenso schonungslos.

Adobe gibt an, sich das Problem zumindest bereits anzusehen. Bis hier Klarheit herrscht, schließen wir uns der Empfehlung der anderen (zB heise.de) an: besser im Moment auf den Adobe Reader verzichten, entsprechende Browser-Plugins deaktivieren und auf einen alternativen PDF-Viewer (zB FoxIt Reader) ausweichen.

Autor: Robert Waldner

Böse QR-Codes

2013-02-12T14:58:57Z

Böse QR-Codes

12. Februar 2013

QR-Codes sind nun wirklich nichts Neues mehr.

Quadratisch, kryptisch, gut!

Tatsächlich haben sie längst ihren fixen Platz in unserem Alltag eingenommen:

Tickets (Messen, Kino, ...)
Gutscheine
Visitenkarten
Medien (Zeitung, TV, Werbebeilage, ...)
...

Um ehrlich zu sein, sind QR-Codes durchaus als Bereicherung unserer Gesellschaft anzusehen. Zumindest solange sie "gut gemeint" sind.

Genaugenommen ist es aber jedes Mal ein Sprung ins kalte Wasser, wenn man einen QR-Code einscannt, denn niemand - außer unserer Scan-App - weiß tatsächlich, was sich hinter dem QR-Code unserer Begierde versteckt.

Dennoch ist es nicht der QR-Code alleine der "böse" ist oder es zumindest sein kann, denn der QR-Code ist lediglich codierte Information. Im Endeffekt liegt es in der Hand der Applikation, die den QR-Code scannt und interpretiert, wie die codierte Information behandelt wird.

Das ganze Konzept QR-Code, zumindest so, wie es in unseren Alltag gefunden hat, ist leider der perfekte Nährboden für Angriffe auf uns und unsere Geräte (Handy, Tablett, ...). Ist Otto Normalverbraucher mittlerweile schon skeptisch, wenn da eine Email von einem Unbekannten eintrifft und klickt NICHT auf den darin enthaltenen Link - wir sind zumindest optimistisch - ist seine Neugierde beim Auffinden irgend eines QR-Codes jedoch Antrieb genug, diesen seinem QR-Code-Scanner zum Fraß vorzuwerfen.

Worst Case Szenario

Man scannt mit seinem Handy einen QR-Code ein und der entsprechende Scanner leitet ohne nachzufragen automatisch auf eine URL weiter. Der dazu verwendete Browser ist verwundbar und "fehlinterpretiert" die angebotenen Daten auf der Zielwebseite. Das Handy ist fortan kompromittiert und wir haben darüberhinaus Daten verloren, denn der Schadcode hat postwendend auch gleich noch unsere SMSen/Mails/etc. nach interessant erscheinenden Begriffen/Mustern abgegrast und die Fünde an den Angreifer gesandt. Ferner freut sich der Angreifer natürlich auch schon darauf, wenn wir das nächste Mal mit unserem Handy (irrationalerweise) Online-Banking betreiben.

Assessment von QR-Code Scannern

Nachdem wir jetzt wissen, dass unser "QR-Code-Glück" eigentlich von unseren QR-Code Scannern abhängt, stellt sich natürlich die Frage:

"Welche in diesem breitgefächerten Angebot verhalten sich vertrauenswürdig?"

Eine Ende 2011 zusammengestellte Liste vieler der zum damaligen Zeitpunkt verfügbaren QR-Code Scannern liefert dabei einen sehr guten, wenn auch nicht mehr ganz aktuellen, Überblick.

APPLIKATION	JAVASCRIPT	URL
TapReader (TapBase LLC)	-	Bestätigung
QR+ (Alexandr Balyberdin)	-	Bestätigung
QRReader (Tap Media Ltd)	-	Automatischer Besuch
Scan (QR Code City, LLC)	-	Automatischer Besuch
RedLaser (Occipital, LLC)	-	Bestätigung
i-nigma (3GVision Ltd)	-	Automatischer Besuch
BeeTagg (connvision AG)	-	Bestätigung
QR Code Reader (ShopSavvy, Inc.)	-	Automatischer Besuch
QuickMark (SimpleAct Inc.)	Ausführung	Automatischer Besuch
QR+Emoji (Ching-Lan Huang)	-	Bestätigung
Bakodo (Dedoware Inc.)	-	Bestätigung
Optiscan (Airsource Ltd.)	-	Bestätigung
QR-Scanner (Grip’d LLC)	-	Bestätigung
quiQR (Mark Tholking)	-	Bestätigung
QR Code City (LLC)	-	Automatischer Besuch
RedLaser (eBay, Inc)	-	Bestätigung
ATTScanner	-	Bestätigung
QR Droid Private (DroidLa)	-	Bestätigung
Bakodo (iOS)	-	Bestätigung
Posted (iOS)	Ausführung	Bestätigung
NeoReader (X10 mini)	Parsen	Bestätigung

(Quelle: https://appsec-labs.com/blog/security-assessment-of-mobile-qr-readers-%E2%80%93-a-comparison/)

Wie man sieht fragen viele (aber eben nicht alle) vor dem Besuch einer URL den Benutzer, ob das auch so in seinem Sinne ist. Bestätigt man allerdings diese Nachfrage, geht's ab .... zumindest im besten Fall zu einer ungefährlichen Werbe-URL. Mitdenken ist also allemal - wie auch sonst - Trumpf. Wenn man sich allerdings für den falschen QR-Code Scanner entschieden hat, bietet sich dazu nicht einmal die Möglichkeit.

Bislang weitestgehend unbeleuchtet ist auch zu erwähnen, dass manche QR-Code Scanner sogar die Interpretation/Ausführung von Javascript unterstützen - Kurzes, nüchternes Statement: "Gar keine gute Idee!"

Für welchen QR-Code Scanner soll man sich also entscheiden. Nun, es sollte auf alle Fälle einer sein, der eine Bestätigung von uns einholt, bevor er sich in potentiell feindliche Gefilde begibt und KEIN Javascript interpretiert/ausführt.

Conclusio

QR-Codes sind toll, können aber auch mal böse sein. Wie viel Angriffsfläche wir bieten, liegt wie so oft bei uns selbst. Auf jeden Fall sollten wir bei der Wahl und Konfiguration unseres QR-Code Scanners Vorsicht walten lassen und diesen - wie auch all unsere anderen Applikationen - aktuell halten.

Autor: Christian Wojner

Wartungsarbeiten am 13. 2. 2013

2013-02-12T11:58:32Z

Wartungsarbeiten am 13. 2. 2013

12. Februar 2013

Wir predigen ja immer, dass man seine IT-Infrastruktur immer am aktuellen Stand halten soll, um schon bekannte -- und gefixte -- Schwachstellen zu schließen. Das gilt natürlich auch für die CERT.at - Infrastruktur: diese wird laufend aktualisiert.

Meistens geht das ohne nennenswerte Downtime ab, jetzt steht aber ein Firewall-Upgrade an: Das wird nicht ohne einen mehrstündigen Ausfall gehen. Daher dieser Blog-Post:

Die CERT.at - Services werden am 13. Februar 2013 eine Zeit lang nicht erreichbar sein.

Autor: Otmar Lendl

Flash Player Updaten!

2013-02-08T09:28:53Z

Flash Player Updaten!

8. Februar 2013

Adobe hat eben eine neue Version des Flash Player Plugins außerhalb des monatlichen Patch-Zyklus veröffentlicht, weil zwei Fehler aktiv ausgenutzt werden:

Adobe is aware of reports that CVE-2013-0633 is being exploited in the wild in targeted attacks designed to trick the user into opening a Microsoft Word document delivered as an email attachment which contains malicious Flash (SWF) content. The exploit for CVE-2013-0633 targets the ActiveX version of Flash Player on Windows.

Adobe is also aware of reports that CVE-2013-0634 is being exploited in the wild in attacks delivered via malicious Flash (SWF) content hosted on websites that target Flash Player in Firefox or Safari on the Macintosh platform, as well as attacks designed to trick Windows users into opening a Microsoft Word document delivered as an email attachment which contains malicious Flash (SWF) content.

Ich empfehle eine möglichst zeitnahe Aktualisierung aller Clients. Mehr Informationen dazu gibt es auch bei Adobe oder Brian Krebs.

Der normale Downloadlink von Adobe versucht, dem User unnötige Beigaben unterzuschieben, daher empfehle ich den Download über diese Seite.

Autor: Otmar Lendl

Sicherheitslücke im VLC Media Player

2013-01-30T16:48:29Z

Sicherheitslücke im VLC Media Player

30. Jänner 2013

Wie in diversen Medien berichtet wird, gibt es aktuell ein Problem in der populären Video-Abspiel-Software VideoLAN Client, besser bekannt als VLC - siehe http://www.videolan.org/.

Der Fehler existiert im ASF-Demuxer des Players, durch speziell präparierte ASF-Dateien könnte dieser zum Nachladen von schadhaftem Code verwendet werden.

Wir empfehlen bis zur Verfügbarkeit eines Updates die Tipps zum Deaktivieren des betroffenen VLC-Moduls von heise.de zu befolgen. Weiters empfiehlt es sich, im Moment ASF-Dateien nicht mehr automatisch mit dem VLC-Media-Player zu öffnen, dies kann unter Windows in der Systemsteuerung eingestellt werden.

Autor: Matthias Fraidl

Wordpress 3.5.1 - Rund-um-Kur

2013-01-28T18:08:45Z

Wordpress 3.5.1 - Rund-um-Kur

28. Jänner 2013

Kürzlich haben die Wordpress-Entwickler deren erstes Update seit der aktuellen Version 3.5 verfügbar gemacht. Tatsächlich wäre "Service-Pack" die wohl treffendere Wortwahl gewesen als ein bescheidenes "maintenance release", denn in diesem Update werden ganze 37 Lücken geschlossen.

Sicherheitsrelevantes Highlight dieses Updates ist eindeutig die Beseitigung der Pingback-Hintertür. Hierbei handelt es sich um einen potentiellen Nährboden um das Netz des Servers auszuspionieren und weiterführend sogar Angriffe darauf zu starten.

Wie schon zuletzt in einem unserer Blog-Postings zu lesen war (Joomla! und andere CMS aktuell halten), empfehlen wir, solche Updates so rasch wie möglich einzuspielen um das Risiko einer wie auch immer gearteten "feindlichen Übernahme" Ihres Servers zu reduzieren.

Quellen:

Wordpress 3.5.1

Heise Security

Autor: Christian Wojner

Linksys WRT54GL CSRF Attacke

2013-01-21T21:34:16Z

Linksys WRT54GL CSRF Attacke

21. Jänner 2013

Wir bitten um Beachtung folgender CSRF Attacke gegen den allseits beliebten und weit verbreiteten Linksys WRT54GL:

http://www.securityfocus.com/archive/1/525368/30/0/threaded

Wir haben in Oesterreich derzeit laut Shodan mindestens 1065 betroffene Linksysen, die direkt via Internet ansprechbar sind (also mit Admin Interface auf einer public IP). Der WRT54GL ist ein Dauerrenner bei WLAN Routern und durchaus weit verbreitet.

(quelle: http://upload.wikimedia.org/wikipedia/commons/e/ee/Linksys_WRT54G_V1.jpg - license: public domain)

Autor: L. Aaron Kaplan

Joomla! und andere CMS aktuell halten - auch 2013!

2013-01-11T18:16:00Z

Joomla! und andere CMS aktuell halten - auch 2013!

11. Jänner 2013

In den letzten Tagen haben wir eine deutlich erhöhte Anzahl von Website-Defacements zu behandeln. Mindestens drei Hacker(gruppen) sind derzeit in dieser Hinsicht sehr aktiv.

Aus den erfreulich zahlreich bei uns eingegangenen Rückmeldungen Betroffener lässt sich ablesen, dass so gut wie immer veraltete Content Management Systeme (CMS) bzw. deren Erweiterungen (Plugins) den Angreifern das Eindringen ermöglicht haben. Konkret betroffen sind derzeit vor allem Joomla! und der Joomla! Content Manager (JCE). So ist z.B. anscheinend häufig noch Joomla! 1.5 im Einsatz, der Support für diese Version hat aber lt. docs.joomla.org bereits letzten September geendet.

Die Schwachstellen werden aber nicht nur für Defacements ausgenutzt. So wurde uns mitgeteilt, dass bei einer Reihe von Defacements neben einer Datei x.txt auch php-Skripte (susu.php und story.php) eingeschleust wurden.

Auch das itsoknobroblembro-DDoS-Toolkit (eingesetzt bei den aktuellen DDoS-Attacken gegen US-Banken) nutzt Lücken in nicht aktuellen CMS (Joomla!, Wordpress u.a.) aus, um Webserver mit bösartigen php-Skripten zu infizieren.

Man sollte sich also bewusst sein, dass Versäumnisse bei Updaten und Absichern eines CMS Konsequenzen haben können, die weit über ein vermeintlich harmloses Website-Defacement hinausgehen.

Wir raten daher einmal mehr, CMS und deren Erweiterungen stets aktuell zu halten bzw. bei der Auswahl von Plugins darauf zu achten, nach Möglichkeit solche zu wählen, die vom jeweiligen Anbieter regelmäßig mit Updates versorgt werden und insbesondere bei Aktualisierungen des Basis-CMS zeitnah nachgezogen werden. Nicht (mehr) benötigte Plugins sollten umgehend deinstalliert werden.

Autor: Stephan Richter

Updates für Ruby on Rails

2013-01-11T16:04:29Z

Updates für Ruby on Rails

11. Jänner 2013

Die Entwickler von Ruby on Rails haben am 9. Jänner Updates auf die Versionen 3.2.11, 3.1.10, 3.0.19 und 2.3.15 veröffentlicht - mit diesen Updates wurde unter anderem der kritische Fehler (CVE-2013-0156) behoben, welcher es Angreifern ermöglichte durch simple POST-Requests unerwünschten Code einzuschleusen und ganze Web-Server zu kapern. Kurz nach Bekanntwerden der Lücke ist auch schon ein Modul für das Metasploit-Framework aufgetaucht, welches gezielt diesen Fehler ausnutzt. Aufgrund der simplen Art und Weise erfolgreiche Angriffe durchzuführen, empfehlen wir dringend das jeweilige Update einzuspielen.

Bereits Ende Dezember 2012 hat "joernchen" (ein Mitglied der Entwickler-Gruppe "phneoelit") bekanntgegeben, dass er beim Versuch die Authentifizierungsmethoden von RoR zu knacken, auf einen Fehler bei der Implementierung von find_by_*-Methoden in ActiveRecord gestoßen ist welcher Angreifern SQL-Injections ermöglicht. Dieser Bug wurde bereits mit den RoR-Versionen 3.0.18, 3.1.9 und 3.2.10 behoben. Für ältere Versionen (<= 2.3) stehen Patches zur Verfügung.

Autor: Matthias Fraidl

iTAN vs. mTAN

2012-12-21T18:19:34Z

iTAN vs. mTAN

21. Dezember 2012

Ich wurde in den letzten Wochen darauf angesprochen, ob man nicht ob der Eurograbber (ZeuS in the mobile) Angriffe auf electronic Banking wieder auf die iTANs zurück steigen sollte.

Dazu ein paar Klarstellungen:

Keine Sicherheitsmaßnahme ist zu 100% sicher, insbesondere weil immer davon ausgegangen werden muss, dass der Mensch dahinter Fehler macht und seinen Teil des Sicherheitsprotokolls nicht immer korrekt ausführt.

Beim Vergleich von Maßnahmen muss sich also überlegen, gegen welche Art von Angriffen diese helfen sollen und wo deren Grenzen liegen.

Die klassiche TAN (TransaktionsNummer) löst primär das Problem von Replay-Attacken, wo ein Mitlauscher die Zugangsdaten des Users für eine zweite Transaktion missbraucht. Der klassische Angriff dagegen ist die "Phishingseite" (eine nachgebaute Bankwebseite), die den User zur Eingabe von TANs überreden soll.

Um das abzufangen wurde die iTAN (indizierte TAN) eingeführt, damit eine einzelne entlockte TAN nicht mehr direkt benutzbar ist. Die iTAN-Systeme wurden auf mehrere Arten angegriffen: Die Phishingseiten haben schlicht angefangen, möglichst viele TANs abzufragen (und ja, es gibt Kunden, die dutzende TANs dort eingegeben haben). Viel böser sind aber die Angriffe mittels Schadsoftware am PC ("man-in-the-browser"). In diesem Fall verändert die Malware eine legitime Überweisung des Kundens so, dass die Bank eine andere Transaktion ausführt, als der Kunde bei sich im Browser sieht.

Die mTAN (mobile TAN, per SMS) kann hier weiterhelfen, da die SMS an den Kunden nicht nur die TAN, sondern auch die Transaktionsdaten enthält. Wenn der Kunde diese überprüft und richtig reagiert, dann lässt sich damit eine weitere Klasse von Angriffen abwehren.

Aber auch die mTAN ist aushebelbar, wie die Eurograbber Kampagne heuer gezeigt hat. Das hat im wesentlichen so funktioniert, dass dem Kunden Malware für das Handy untergeschoben wurde, die die mTANs transparent an die Phisher weitergibt. Dazu hat die Malware am PC im Kontext einer Onlinebanking-Session den Kunden zur Installation von "Sicherheitssoftware" am Smartphone angeleitet. Für den User ist es nicht zu erkennen, dass diese Anleitung nicht von der Bank, sondern von Malware auf seinem eigenen PC kommt.

Ist die mTAN also doch nicht besser als die iTAN? NEIN, das ist sie nicht. Sie ist nur nicht perfekt. Für eine Phishing-Bande, die mTAN aushebeln kann, ist eine iTAN auch kein Hindernis. Dazu braucht es leicht andere Tricks, die aber in Summe einfacher einzusetzen sind.

Wie geht das alles jetzt weiter?

Das fundamentale Problem, das Online-Banking aktuell hat, sind die Man-in-the-Browser Attacken mittels Malware am PC. Das ermöglicht nicht nur Manipulationen direkt an Transaktionen, sondern bietet weite Gelegenheiten für Social Engineering am Opfer.

In die reale Welt übersetzt haben wir das Problem, dass der Kunden glaubt, direkt mit dem echten Schalterbeamten zu sprechen, während sich transparent ein Betrüger in das Gespräch zwischengeschaltet hat. Der Kunden kann nicht den Satz des echte Bankangestellen vom eingestreuten Satz des Bösewichts unterscheiden.

Wie schon die Trolle im Hobbit gemerkt haben: Das ermöglicht ziemlich gefinkelte Manipulationen.

Social Engineering auf diesem Weg kann dazu führen, dass der Kunde selber Geld auf die Konten der Diebe überweisen will (Rücküberweisungen, Anlageangebote, Spendenkonten, ...). Dann ist es völlig egal, welche technischen Sicherungsmaßnahmen benutzt werden. Das Opfer will ja die Überweisung in genau der Form ausführen.

Was ist daher wirklich wichtig?

Ein sauberer Browser ist essentiell. Das lässt sich auf mehrere Arten gewährleisten: Ein eigener Rechner für Online-Banking mag für die Privatperson Overkill sein, für Firmen aber sinnvoll sein. Eine virtuelle Maschine -- am besten von einem read-only Medium gebootet -- ist für viele gangbar. Die Online-Banking Apps am Tablet sind derzeit auch eine gute Wahl, dort sind mir derzeit keine Man-in-the-App Angriffe bekannt.

Aber das wichtigste ist immer ein gesundes Misstrauen. Wenn die Bank von dir neue, eigenartige Dinge haben will -- egal ob per Mail oder auch in der Onlinebanking Session -- dann heißt es immer Hirn einschalten und besser einmal zu oft als einmal zu wenig bei der Hotline anrufen und bei einem Menschen nachfragen. Aber Achtung: wenn der Wurm schon im PC ist, dann ist auch schon mal die Hotline-Nummer auf der Webseite verdreht.

Ist Online-Banking generell in Frage zu stellen? NEIN. Auch das klassische Bankgeschäft mit den Erlagscheinen auf Papier ist angreifbar. Detto Kreditkarten. Detto so gut wie alles, was wir im täglichen Leben machen. Die Haftungsfrage ist für den Privatkunden der Banken die gleiche online wie offline: Die Bank kann nicht die Verantwortung auf den Kunden abschieben, dieser darf sich aber im Gegenzug nicht extrem ungeschickt verhalten.

(Bei der Gelegenheit: Das CERT macht bis zum 27. Weihnachtspause. Für Notfälle sind wir aber -- wie immer -- erreichbar.)

Autor: Otmar Lendl

Syria offline - initial analysis of BGP

2012-12-03T14:39:21Z

Syria offline - initial analysis of BGP

29. November 2012

This blog post evolved over time - initially it was a mere scratchpad for notes during our initial research between 2012/11/29 and 11/30. Later, after Syria was back online again, I added a summary and some potential explanations of what might have happened at the end of this blog post.

The blackout

2012/11/29: as Renesys and others pointed out, Syria seems to be offline since 10:26 UTC. Michael Kafka and me verified this fact via looking at BGP routing tables and looked at the potential damage to the Internet as a global system. Here is what we can confirm / figured out:

AS29386 is the Syrian Telecom (STE). It seems to be the central hub for all connections to/from Syria. So, we started first with this network.

This is how STE is connected:

Next, we looked at Renesys' claim that 92% of all announcements were offline. However, the situation seems to be worse: at the time of this writing we did not find a single BGP prefix which was announced via STE AS29386. There still might be some other carrier which announces Syrian IP spaces but none of them went through Syria Telecom.

Next, we looked at the list of known netblocks which are announced via AS29386 based on RIPE's stat.ripe.net service: https://stat.ripe.net/as29386#tabId=routing. This list was compared against our BGP table. We indeed could confirm that none of the networks were visible.

UPDATE 00:45 a.m.: Cloudflare has a good analysis of the Internet blackout. Summary: a fiber cable cut seems unlikely according to cloudflare.

UPDATE 2012/11/30, 11:00 a.m.: The last night was busy with figuring out some details. I could independently confirm that even the IP range, which was active in the Finfisher malware was not reachable anymore. This is interesting since this IP range was actually attributed to the Syrian government. So, even they are definitely offline. This is strange. If I were the Syrian government and I wanted to block rebels from communicating via the Internet, I wouldn't turn off my own connectivity as well. What happened?

UPDATE: Renesys has an updated Analysis. There seems to be some traffic flowing out, but via other carriers. We could not confirm this. However what we could find out was...

How does it look from inside of Syria?

I received a traceroute from within Syria via a friend of a friend of a friend. So, please be aware of this and treat it merely as a hint. However, to me it looks real. The first IP addresses are intentionally obfuscated to protect the individual who made the traceroute. It is interesting to see that the traceroute ends at:

% Information related to '82.137.192.0 - 82.137.199.255'

inetnum: 82.137.192.0 - 82.137.199.255 netname: SY-STE-PDN-NETWORK descr: STE PDN Backbone Network country: SY admin-c: WS1833-RIPE tech-c: MS4418-RIPE tech-c: WS1833-RIPE status: ASSIGNED PA mnt-by: STEMNT-1 mnt-lower: STEMNT-1 remarks: ----------------------------------------------------------- remarks: INFRA-AW remarks: ANY Problems Like SPAM, Hacking etc.. remarks: Send Email to wmsalem@gmail.com remarks: ----------------------------------------------------------- source: RIPE # Filtered

person: Mostafa Sawan address: Syria phone: +963 21 5229803 fax-no: +963 21 52288992 nic-hdl: MS4418-RIPE mnt-by: STEMNT-1 source: RIPE # Filtered

person: Weam Salem address: PDN- STE phone: +963-11-4461475 fax-no: +963-11-4466892 nic-hdl: WS1833-RIPE mnt-by: WS-MNT source: RIPE # Filtered

% Information related to '82.137.192.0/18AS29256'

route: 82.137.192.0/18 descr: STE Public Data Network Backbone and LIR origin: AS29256 mnt-by: STEMNT-1 source: RIPE # Filtered

% Information related to '82.137.192.0/18AS29386'

route: 82.137.192.0/18 descr: STE Public Data Network Backbone and LIR origin: AS29386 mnt-by: STEMNT-1 source: RIPE # Filtered

In other words, we are observing the path that data pakets would take from within Syria to google (8.8.8.8). However, the network where everything stops is STE (precisely the STE PDN Backbone Network). It will be very interesting to compare this traceroute later when the internet connectivity is restored again. Then we will be able to see exactly at which point data pakets were dropped.

Here is a screenshot of the traceroute:

Why is this traceroute so special? It was smuggled out via a VSAT connection!! So this is to the best of my knowledge a unique view of the Internet blockage as seen from inside Syria at the time of when it happened. Indeed, there seem to be many VSATs in Syria. The New York times confirmed.

According to the same sources, regular landline phones still work in Damaskus. Also, accessing *.SY domains / servers from within Syria seems to still work (at least yesterday night). It's just the international wired links which are down. Somehow this proves my point that I made in an interview with "DerStandard". Still, VSATs and modems are slow - but at least some folks still had some connectivity.

Speaking of DNS:

\$ dig -t ns sy; <<>> DiG 9.7.6-P1 <<>> -t ns sy
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26318
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;sy. IN NS
;; ANSWER SECTION:
sy. 86400 IN NS ns1.tld.sy.
sy. 86400 IN NS ns2.tld.sy.
sy. 86400 IN NS pch.anycast.tld.sy.
sy. 86400 IN NS sy.cctld.authdns.ripe.net.
;; Query time: 18 msec
;; SERVER: x x x x #53(x x x x )
;; WHEN: Fri Nov 30 12:49:46 2012
;; MSG SIZE rcvd: 125

This means that ripe.net is still a secondary authoritative DNS server for *.sy domains. You can still query *.sy domains from there in case you know what you are searching for. This fits together with claims that *.sy domains which are hosted in the US are still reachable.

Physical connections

Syrian sea cables (source: Mikko Hipponen):

In addition there seem to be land cables to turkey - again according to Mikko.

UPDATE 2012/11/30 14:45: Otmar and me cross checked the BGP announcements via a different mechanism. Since our initial analysis only included any network which was announced via STE, we thought we should better double check again and look if we had forgotten any Syrian network which was not going through STE. Therefore, we took a different approach: we extracted the syrian IP ranges from the maxmind DB, fetched the ASNs, compared against the full BGP feed and found that our last hope, a traceroute path to Syria via the indian carrier TATA terminates in Paris. So even though we chose a different path for our analysis, we end up with the same result: Syria is indeed offline.

UPDATE 2012/12/2: it seems that the land line via Turkey mentioned above was planned but was not in operation during the Internet blackout. This makes it very hard to attribute the cause of the blackout to either the rebels or the government. As Renesys said in their updated blog:

The restoration was achieved just as quickly and neatly as the outage: like a switch being thrown. Does that mean that we believe the government (or the opposition) threw the switch? Frankly, the data available just don't support attribution at this point, despite all the speculation.

Where do the sea cables come in? Close to Tartous (Tartus) (and by the way, Tartus hosts the russian naval base).

Greg's cable map site has a nice list of lines arriving at Tartus:

If there was some physical damage to these lines or the landing site, then most probably the carrier operators should know about that. Did someone ask them already what happened? If they don't know of any damage, then something must have happened on the software level or further inland.

Telecomix posted pictures of the Tarassul data center (note the Blue-coat (and the power cord that you could trip over ;-) ): . Again, just to be sure - this is some info from the Internet. No idea how much solid evidence this picture is.

Post-fact analysis - what actually happened?

Hard to tell. Personally I still believe it was caused by a "network maintenance" event. That is - someone got a phone call and had to disable BGP announcements. Or there was some upgrade to DPI systems. However, the fact that all networks were gone (including the government networks and the network range which was hosting the famous FinFisher command & control server) speaks exactly against this theory. If we apply reasoning (which might be the wrong thing in a war(?)), then we should assume that these government networks should have been up and running. But they were not as we could independently confirm. Also there are multiple sea cables going into Syria. But they seem to come together at one point in Tartus. A single point of failure.

Lessons learned

In summary I can only conclude that we don't know for sure what really happened, but we know for sure that it is really a bad idea to have a single point of failure.

More specifically, I believe we need:

physical redundancy

It makes sense to have many fiber lines. If we were to believe the official story that rebels blew up a communications cable, then redundant connections would have avoided any blackout.

organizational redundancy

Having one organization and one technician administering vital systems which are a single point of failure is a bad idea. Humans make errors. Or they can get bribed. Who knows what really happened in Syria? Maybe the technician had to upgrade the DPI system and the upgrade did not work? Having multiple organizations / ISPs minimizes these risks.

Nevertheless...

they have guns!

All of the above is of course only a recommendation which works in a democratic nation at peace. If there are multiple SWAT teams with guns entering multiple ISPs' office at the same time and ordering a nationwide shutdown, there is little you can do but to shut down everything.

Nevertheless, I am very happy that Austria at least is well connected with multiple redundant links and with multiple ISPs. But even here we should learn the lesson from Syria: build redundancy! It's important! Srsly.

On a lighter note, I was wondering why I personally got so excited about the subject. Well, I guess xkcd answered it for me:

(source: http://xkcd.com/705/)

Autor: L. Aaron Kaplan

Belkin WLAN-Router: Unsichere Default WPA2-Passphrases

2012-11-20T12:39:47Z

Belkin WLAN-Router: Unsichere Default WPA2-Passphrases

20. November 2012

Einige Wireless LAN-Router des Herstellers Belkin werden ab Werk mit einer zufällig generierten WPA2-Passphrase für das drahtlose Netzwerk ausgeliefert. Diese wird neben dem Namen des drahtlosen Netzwerks (ESSID) auf der Unterseite des Geräts aufgedruckt, generell ist dies auch zu befürworten, denn zufällig generierte Passphrases sind meistens sicherer als vom Benutzer selbst gewählte.

Wie Jakob Lell jetzt allerdings herausgefunden hat, werden - im Fall der betroffenen Belkin Geräten - diese Passphrases auf Basis der MAC-Adresse des Gerätes berechnet. Da die MAC-Adresse für Angreifer relativ leicht herauszufinden ist, ist es möglich daraus die Passphrase zu berechnen und sich somit Zugang zum (vermeintlich geschützten) Netzwerk zu verschaffen.

Wir empfehlen daher, die Default-Passphrase seines WLANs durch eine eigene zu ersetzen. Eine Anleitung, wie Sie sichere Passphrasen generieren, finden Sie hier oder in der Wikipedia.

Betroffene Geräte:

Belkin Surf N150 Model F7D1301 v1
Belkin N900 Model F9K1104 v1
Belkin N450 Model F9K1105 v2
Belkin N300 Model F7D2301 v1

Zwei passende und relativ unterhaltsame Anekdoten zu diesem Thema:

Selbiges Problem bestand schon bei Geräten von den Herstellern Thomson und Pirelli, und vor längerer Zeit publiziert - ein Algorithmus zum Berechnen der Passphrase war kurz darauf im Netz aufgetaucht. Diese Geräte wurden auch als Standard-Geräte von einem größeren ISP an Endkunden ausgeliefert
Noch prekärer war allerdings der Fund eines "Backdoor-User-Accounts" im Betriebssystem der Netzwerkgeräte für Industriesteueranlagen, des Herstellers RuggedCom - das Passwort dieses Users wurde ebenfalls auf der Basis der MAC-Adresse der Geräte berechnet - auch hierzu war bald ein Exploit im Netz verfügbar.

Autor: Matthias Fraidl

Samsung Galaxy S3 Sicherheitslücke (unencrypted passwords)

2012-11-13T12:18:54Z

Samsung Galaxy S3 Sicherheitslücke (unencrypted passwords)

13. November 2012

Die Entwicklergemeinde XDA-Developers ist auf ein Sicherheitsleck im sehr beliebten und weit verbreiteten Smartphone 'Galaxy S3' von Samsung gestoßen.

Die beim Galaxy S3 mitgelieferte App 'S-Memo' bietet die Möglichkeit, Passwörter zu speichern und bei Bedarf abzurufen, jetzt wurde bekannt dass diese Passwörter aber unverschlüsselt in einer SQLite Datenbank gespeichert werden. Auf gerooteten Systemen ist diese Datei für jedermann zugänglich der Zugriff auf das Gerät hat. Ob und wann Samsung dieses Problem beheben wird ist zur Zeit noch nicht bekannt.

Ich mache hiermit nur darauf aufmerksam, dass man mit gerooteten Geräten noch sorgfältiger und verantwortungsbewusster umgehen sollte, und sich lieber 2-mal überlegen sollte, ob man wirklich root-Rechte auf dem Smartphone benötigt.

Autor: Matthias Fraidl

Online Web security challenge "natas"

2012-10-27T09:36:25Z

Online Web security challenge "natas"

27. Oktober 2012

overthewire.org hat eine neue online "hacker" challenge herausgebracht: http://www.overthewire.org/wargames/natas/

Hierbei müssen angehende "hacker" 17 verschiedene challenges lösen. Jedesmal wenn eine challenge erfolgreich absolviert wurde, findet man ein Passwort, mit dem man sich in die nächste challenge einloggen kann.

Diese Challenges sind meiner Meinung nach ideal (und noch dazu gratis), um Webentwicklern und Sysadmins klar zu zeigen, auf welche typischen Web Security Probleme sie auf den eigenen Servern achten müssen. Der Schwierigkeitsgrad ist graduell ansteigend und beginnt mit einfachen Dingen wie z.B. ein robots.txt file und geht bis zu einfachen Kryptographie Rätseln.

Viel Spass macht es allemal :)

Empfehlenswert!

Autor: L. Aaron Kaplan

Skype Malware im Umlauf

2012-10-12T09:53:38Z

Skype Malware im Umlauf

12. Oktober 2012

In der sehr beliebten VoIP- und Instant-Messaging-Software Skype wird derzeit wieder Malware namens "Dorkbot" verbreitet, welche schon vor Monaten über Facebook und Twitter verteilt wurde - mittlerweile sind aber auch Benutzer des MSN-Messenger betroffen. Der Wurm verbreitet sich, wie schon so oft, über einen bereits infizierten Benutzer, dieser sendet Nachrichten wie

Hey, ist das dein neues Profilbild?
<URL-Shortener-Link>

automatisch an seine gesamte Kontaktliste. Durch einen Klick auf diesen Link wird man zu dem Filehoster hotfile.com geleitet und beginnt nach einem weiteren Klick mit dem Download der Schadsoftware - es sind aber auch Fälle von Drive-by-Downloads bekannt geworden.

Sobald der Rechner mit der Malware infiziert ist, wird weitere Schadsoftware nachgeladen und man könnte Teil eines Botnets, werden welches den Angreifern die Kontrolle über den eigenen Computer ermöglicht. Weiters kann sogenannte "Ransomware" installiert werden, welche den Benutzer aussperrt und/oder eigene Dateien verschlüsselt.

Empfehlungen:

Klicken Sie nicht auf einen Link, der von einem Bekannten in Skype kommt, ohne sich zu vergewissern, dass der Link auch wirklich von dem Bekannten kam. Meist kann man durch einfaches Rückfragen erkennen, ob der Text von einem Trojaner oder von einem Menschen kam.
Instant-Messenger Netzwerke unterscheiden sich in dieser Hinsicht nicht viel von Email: in beiden Fällen müssen wir mit Spam rechnen.
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Quellen:
CERT.pl Blog

Autor: Matthias Fraidl

BIND Nameserver - Updates einspielen

2012-10-10T09:32:18Z

BIND Nameserver - Updates einspielen

10. Oktober 2012

Wieder einmal gibt es eine Schwachstelle in der Nameserver-Software BIND, welche zum Absturz des Dienstes "named" führen kann. Noch ist nicht bekannt, ob die Schwachstelle bereits ausgenutzt wird.
Wir empfehlen aber so schnell wie möglich, die bereits zur Verfügung gestellten Updates einzuspielen.

Betroffene Versionen: BIND 9.2, 9.3, 9.4 und 9.5
CVE Referenz-Nummer: CVE-2012-5166

Das offizielle Security Advisory des ISC (Internet Software Consortium) finden Sie hier.

Autor: Matthias Fraidl

IEEE Passwort Leak

2012-09-26T08:47:00Z

IEEE Passwort Leak

26. September 2012

Man sollte meinen, dass eine Vereinigung wie die IEEE eine Ahnung von technischen Dingen hat (genauso wie man annimmt, dass die IPA was von Sicherheit versteht). Dem ist aber anscheinend nicht so: sie haben die Passwörter ihrer Mitglieder

im Klartext gespeichert, und
nicht sicher verwahrt.

Die Betroffenen wurden inzwischen von IEEE selber informiert; uns bleibt daher nicht mehr zu tun, als wieder einmal darauf hinzuweisen, dass Passwörter der Kunden von Webportalen -- so möglich -- nur gehasht (salted, nicht crypt, nicht MD5, mindestens SHA1, besser SHA256) gespeichert werden, und die allgemeine Sicherheit der Webserver regelmäßig überprüft gehört.

Auf der anderen Seite ist das wiedermal ein Argument dafür, dass User möglichst verschiedene Passwörter bei verschiedenen Webportalen verwenden sollten. Das ist natürlich nicht so einfach, daher sollte man sich wenigstens für die handvoll relevanten Accounts eigene Passwörter setzen.

(Die Pressemeldung der IEEE ist hier.)

Autor: Otmar Lendl

iTunes updates. Bitte einspielen

2012-09-13T14:14:22Z

iTunes updates. Bitte einspielen

13. September 2012

Apple hat heute ein großes Update herausgebracht. Mindestens 160 Lücken in iTunes wurden hierbei geschlossen. Teilweise remote code execution!

Da iTunes ein automatisches Update-System verwendet, ist diese Meldung für CERT.at keine offizielle Warnung. Eine Erinnerung an dieser Stelle schadet aber sicher nicht.

Details: http://support.apple.com/kb/HT5485

Autor: L. Aaron Kaplan

BEASTv2 a.k.a CRIME

2012-09-13T07:38:36Z

BEASTv2 a.k.a CRIME

13. September 2012

Vor ziemlich genau einem Jahr wurde der BEAST Attack auf SSL/TLS 1.0 publiziert; die gleichen Forscher haben für heuer etwas ähnliches angekündigt.

In der Community wird aktuell noch darüber gerätselt, welches SSL-Feature denn für den Information-Leak verantwortlich ist. Eine IMHO recht fundierte Spekulation findet sich auf stackexchange.

Dass man mit der Compression solche Spielchen machen kann, klingt realistisch.

Die gute Nachricht dabei ist, dass sich das ziemlich leicht im Browser fixen lässt: Compression abdrehen oder selber etwas Varianz in der Länge von Headern einbauen. Laut dem ersten Artikel:

"However, the researchers said that the browser vendors have developed patches for the problem that will be released in the next few weeks."

Ich erwarte daher deutlich mehr Aufregung in der Presse als wirkliche Gefahren für die User.

Autor: Otmar Lendl

Chip and Skim

2012-09-11T13:20:18Z

Chip and Skim

11. September 2012

Ross Anderson von der University of Cambridge ist in der Branche für seine Veröffentlichungen über diverse Sicherheitsthemen bekannt und geschätzt. (Siehe etwa Costs of Cybercrime, VerifiedByVisa/MastercardSecurecode)

Er hat schon 2010 über die Sicherheit des EMV Standards publiziert, jetzt kam von ihm ein neues Paper zu diesem Thema heraus: Chip and Skim: cloning EMV cards with the pre-play attack. Neben der technischen Beschreibung des Angriffes ist der Kontext rundherum interessant.

Vom Blogpost dazu:

November last, on the Eurostar back from Paris, something struck me as I looked at the logs of ATM withdrawals disputed by Alex Gambin, a customer of HSBC in Malta. Comparing four grainy log pages on a tiny phone screen, I had to scroll away from the transaction data to see the page numbers, so I couldn’t take in the big picture in one go. I differentiated pages instead using the EMV Unpredictable Number field – a 32 bit field that’s supposed to be unique to each transaction. I soon got muddled up… it turned out that the unpredictable numbers… well… weren’t. Each shared 17 bits in common and the remaining 15 looked at first glance like a counter. The numbers are tabulated as follows:
...
Just like most vulnerabilities we find these days some in industry already knew about it but covered it up; we have indications the crooks know about this too, and we believe it explains a good portion of the unsolved phantom withdrawal cases reported to us for which we had until recently no explanation.

D.h. das ist keine rein theoretische Forschung, sondern das Problem ist in der realen Welt bereits aufgetreten. Damit kommt dann Ross (+Mitautoren) auf folgende Zusammenfassung:

Viability of the pre-play attack has significant legal ramifications. It can no longer be taken for granted that data in a logged transaction was harvested at the time and place claimed, which undermines the reliability of evidence in both civil and criminal cases. To show that a given transaction was made by a particular card, it is now necessary to show that the random number generator on the ATM or POS was sound.
...
Under existing Visa guidelines, logs should be retained in case of dispute. Yet in recent cases we have dealt with, logs were routinely destroyed after 90 or 180 days regardless of whether a dispute was in progress. [...] Banks which destroy evidence should become automatically liable for the full sums in dispute, including costs.
...
In the meantime, there is a structural governance failure that gives rise to systemic risk.
...
It is time for bank regulators to take an interest. It's welcome that the US Federal Reserve is now paying attention, and time for European regulators to follow suit.

Ja, es ist ernsthaft schwierig und teuer, die "installed base" aller Karten und Terminal auszutauschen um auf neu entdeckte Sicherheitsproblem zu reagieren. Ist ja ok, es ist immer eine Abwägung zwischen "Was hab ich an Schaden" und "Was kostet die Änderung".

Nur bitte: das Risiko kann man nicht einfach so auf die Kunden abwälzen.

Autor: Otmar Lendl

Dokumentation von N24

2012-09-07T08:52:17Z

Dokumentation von N24

7. September 2012

Gestern Abend bin ich beim Zappen über das Ende einer Cyber-War, -Terror etc. Dokumentation von N24 gestolpert. Vorerst, ob des etwas dramatisch anmutenden Endes leicht amüsiert, war ich dennoch interessiert, inwiefern darin subjektiv oder objektiv recherchiert wurde. Ob wiedermal das klassische Matrix-Mysterium um die Thematik gelegt oder sonstig ge-hyped wurde?

Nun hab ich mir heute Früh die besagte Dokumentation in vollem Umfang - diese ist über die N24 Website zum Streamen verfügbar - angesehen und bin massivst überrascht. Es handelt sich dabei imho um die bislang objektivste, ernüchterndste und wirklichkeitsgetreuste Dokumentation auf diesem Gebiet.

Es werden darin die wichtigsten Vorfälle der "informationstechnologischen Neuzeit" aufgegriffen und noch wichtiger, es wird auch (zum ersten Mal?) der klassische, aus Unwissenheit heraus "fahrlässig" agierende Heimanwender in die Pflicht genommen.

Lange Rede, kurzer Sinn: Imho hochqualitatives und sehenswertes Awareness-Material.

Hier der Link zum Video:
http://www.n24.de/mediathek/cyber-war-wenn-das-web-zur-waffe-wird_1552737.html

Autor: Christian Wojner

Oracle Java 7 Update 7

2012-08-30T21:04:49Z

Oracle Java 7 Update 7

30. August 2012

Auch wenn es zuerst so ausgesehen hat, als würde Oracle sich mit dem Patch für die seit April bekannte Lücke noch gemütlich Zeit lassen bis zum nächsten regulären Java-Update Mitte Oktober, so hat sich nun doch etwas bewegt: Java 7 Update 7 ist draussen, und behebt angeblich die akuten Probleme (siehe http://www.cert.at/warnings/all/20120827.html).

Ob das nun der nicht unerhebliche Druck von allen Seiten (Medien, Öffentlichkeit, Kunden) war, oder ob Oracle auch ohne diesen Druck das Problem schneller als durch den (zumindest von aussen durchaus behäbig wirkenden) normalen Update-Zyklus behoben hätte, das werden wir wohl nicht erfahren.

Autor: Robert Waldner

6 Möglichkeiten, mit dem aktuellen Java-Bug umzugehen

2012-08-30T10:09:02Z

6 Möglichkeiten, mit dem aktuellen Java-Bug umzugehen

30. August 2012

Wir haben das nicht getestet, aber Computerworld.com schreibt über 6 Wege, wie man den aktuellen Java-Bug (siehe http://www.cert.at/warnings/all/20120827.html) möglicherweise umgehen kann: http://www.computerworld.com/s/article/9230695/Six_ways_to_protect_against_the_latest_Java_vulnerability.

Die sicherste Methode ist aber immer noch die Deinstallation, zumindest bis Oracle endlich eine gefixte Version herausgibt (angekündigt für den 16. Oktober).

Autor: Robert Waldner

DNSChanger IP-Ranges an neue Benutzer vergeben

2012-08-23T16:11:42Z

DNSChanger IP-Ranges an neue Benutzer vergeben

23. August 2012

Wie schon seit einiger Zeit in der Presse (zB bei Heise) geschrieben wird, haben zumindest 2 der von DNSChanger benutzen IP-Adress-Blöcke mittlerweile neue, legitime, Benutzer.

Etwaige Filter sollten also angepasst werden, damit es nicht zu entsprechenden Connectivity-Problemen mit diesen Netzen kommt. Wir hier denken, dass ein Logging von DNS-Requests (TCP+UDP, Port 53) in die DNSChanger-IP-Ranges durchaus auch noch weiterhin Sinn machen kann, aber komplettes Blocken nicht mehr zielführend ist.

Die IP-Blöcke, die DNSChanger benutzt hat, sind auch weiterhin via http://www.dcwg.org/isps/ einsehbar.

Autor: Robert Waldner

xt:Commerce - Cross-Site-Scripting Schwachstelle

2012-08-23T13:33:14Z

xt:Commerce - Cross-Site-Scripting Schwachstelle

23. August 2012

Gjoko Krstic von Zero Science Lab hat auf eine Cross-Site-Scripting (XSS) Schwachstelle im beliebten Online-Shop System xt:Commerce aufmerksam gemacht. Die Lücke wurde in der aktuellen Version VEYTON 4.0.15 gefunden, betroffen sind alle Editionen (Professional/Merchant/Ultimate).

Durch einen Fehler beim Parsen des User-Inputs via POST im Admin-Panel, kann schadhafter Code in der aktuellen Browser-Session ausgeführt werden. Es existiert bereits ein fertiges Sample-File, um diese Schwachstelle auszunutzen.

Es ist generell zu empfehlen, das Admin-Panel eines Content-Management- oder Shop-Systems nicht von außen für jedermann zugänglich zu machen.

Quellen:
cxsecurity
Zero Science Lab

Autor: Matthias Fraidl

Und täglich grüßt das Update-Murmeltier ...

2012-08-16T09:30:05Z

Und täglich grüßt das Update-Murmeltier ...

16. August 2012

Hochfrequentierte Webseiten sind und bleiben wohl auch in Zukunft ein beliebtes Ziel für Angreifer. Unsere tägliche Arbeit lehrt uns immer wieder aufs Neue, dass das zeitnahe Einspielen von Sicherheitsupdates viel nachträglichen Ärger ersparen kann. Der Zeitaufwand, nach einem Einbruch den kompromittierten Webserver zu säubern und sicherzustellen, dass die Sicherheitslücke geschlossen wurde, steht unverhältnismäßig indirekt proportional zum Zeitaufwand, zeitnahe Sicherheitsupdates einzuspielen. Nicht nur aus technischer und unmittelbar wirtschaftlicher Sicht erspart das zeitnahe Einspielen von Sicherheitsupdates mögliche unerwartete Probleme. Es können auch eine Verringerung der Kundenzufriedenheit oder negative PR damit verhindert werden. Eine kritische Stimme in mir meldet sich und fragt sich, warum manche Administratoren interessanterweise nicht aus den Fehlern anderer lernen wollen?

Aus gegebenem Anlass: Typo3 veröffentlichte gestern Sicherheitsupdates zu kritischen Sicherheitslücken im Core. Mehr Informationen dazu: http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2012-004/

Autor: Stefan Lenzhofer

Einbruch in Blizzard 'battle.net' Server

2012-08-10T13:40:22Z

Einbruch in Blizzard 'battle.net' Server

10. August 2012

Wie in vielen Medien (zB heise) berichtet wird, wurde in Server des Spiele-Software-Anbieters Blizzard ("World of Warcraft" etc.) eingebrochen. Bei europäischen Accounts sind wohl nur die Email-Adressen, aber keine Passwörter oder sonstige Daten betroffen.

Soweit nicht sonderlich bemerkenswert.

Beeindruckend ist für einen Software-Anbieter aber die Offenheit diesbezüglich, siehe http://eu.battle.net/support/de/article/wichtiges-sicherheitsupdate. Das würden wir uns von anderen Anbietern auch in diesem Detailgrad wünschen.

Und, wie üblich, hier der obligatorische Hinweis, dass man Passwörter nicht Dienste-übergreifend verwenden sollte, und zusätzliche Schutzmassnahmen der Anbieter jedenfalls eine Überlegung wert sind (Blizzard war hier einer der Vorreiter beim Anbieten von Zwei-Faktor-Authentisierung für den Massenmarkt).

Autor: Robert Waldner

Ubisoft Uplay mit schwerwiegender Sicherheitslücke

2012-07-31T15:58:18Z

Ubisoft Uplay mit schwerwiegender Sicherheitslücke

31. Juli 2012

Wie unter anderem heise berichtet, gibt es in der DRM-Software "uplay" von Ubisoft, die bei vielen beliebten Spielen (Assassin's Creed etc.) zum Installationsumfang gehört, eine gravierende Sicherheitslücke.

Das Perfide daran ist nun, dass diese Software zwar Auto-Updates macht, aber nur wenn sie auch gestartet wird - die Lücke ist jedoch immer vorhanden, wenn der Standard-Browser des Systems läuft (Quelle: Ubisoft Forum). Wer also eine Zeitlang nicht spielt, bleibt verwundbar.

Wir empfehlen, dringend auf die gefixte Version (2.04) upzudaten.

Autor: Robert Waldner

Leseliste zu IPv6

2012-07-19T14:25:04Z

Leseliste zu IPv6

19. Juli 2012

Die Welt hatte lange Zeit, mit IPv4 vertraut zu werden: Die Programmierer kennen die Probleme, die Admins kennen die richtigen Schrauben, und der Leidensdruck, den das "wilde" Internet erzeugt, zwingt alle, sich mit dem Thema Sicherheit des IPv4-Internets zu beschäftigen.

All das fehlt bei IPv6 noch. Wir haben auch schon mal im Standard dazu einen Artikel publiziert.

Aber wo kann man sich zu IPv6 informieren? Hier ist meine Leseliste:

IPv6Hackers Mailingliste
IPv6SecurityLab
IETF opsec draft
RFC 4443
RFC 4890
RIPE 554
Vieles, was Fernando Gont publiziert hat: drafts, talk 1, talk 2

Aber wie so oft: nichts geht über selber ausprobieren und selber Erfahrungen sammeln.

Autor: Otmar Lendl

"Warp Trojan" - ein neues Konzept

2012-07-13T12:44:28Z

"Warp Trojan" - ein neues Konzept

13. Juli 2012

John Morris von 'Kindsight Security Labs' hat eine neuartige Malware Namens "Warp Trojan", welche auf PCs mit Microsofts Windows abzielt, genauer analysiert. Wir nutzen die Gelegenheit und geben diese Analyse weiter, weil wir glauben dass es sich um eine spannende kommende Bedrohung handeln könnte.

Der Trojaner nutzt zur Verbreitung hauptsächlich Sicherheitslücken von Adobe-Software oder Java aus.

Über ARP (Adress Resolution Protocol) spoofing schafft es der Trojaner, den kompletten Verkehr im Netzwerk über sich laufen zu lassen (man-in-the-middle Attacke). Dadurch ist es ein Kinderspiel, diverse Anfragen im kompletten Subnetz zu manipulieren oder umzuleiten. Durch diese Technik sind nicht nur Computer betroffen, die selbst mit dem Warp Trojaner befallen sind, sondern auch jene die im selben Subnetz hängen. Im konkreten Fall hat es der Trojaner auf den Webtraffic (TCP/Port 80) abgesehen, und baut in alle HTML-Seiten ein ungewolltes IFRAME ein.

Über dieses IFRAME verbindet sich ein Browser dann zu potentiell unsicheren Webseiten um z.B. weitere Schadsoftware nachzuladen oder direkt schadhaften Code auszuführen.

Generell empfehlen wir Software immer up-to-date zu halten, aber in diesem speziellen Fall weisen wir explizit auf aktuelle Updates von Adobe und Oracle (Java) hin.

Autor: Matthias Fraidl

GMX-Konto -> Passwort ändern

2012-07-12T16:08:20Z

GMX-Konto -> Passwort ändern

12. Juli 2012

Wie heise.de berichtet, haben sich Hacker am Mittwoch Zugriff zu über 300.000 GMX-Konten geschaffen und versenden nun über diese kompromittierten Accounts Spam-Mails.

United Internet (der Betreiber von GMX) geht davon aus dass noch viel mehr Konten gehacked werden könnten - bisher seien aber nur Konten mit relativ schwachen Passwörtern erfolgreich (Brute-Force) geknackt worden.

Wir möchten hiermit darauf aufmerksam machen - sollten Sie ein GMX-Konto haben - das Passwort zu ändern. Ebenso sollten Sie das Passwort bei weiteren Diensten ändern, für welche Sie die gleichen Login-Daten verwenden.

Für das Erstellen eines neuen Passwortes, empfehlen wir diese Regeln: http://de.wikipedia.org/wiki/Passwort#Wahl_von_sicheren_Passw.C3.B6rtern

Autor: Matthias Fraidl

Microsoft "Fix it" deaktiviert Gadgets - SA 2719662

2012-07-12T11:23:39Z

Microsoft "Fix it" deaktiviert Gadgets - SA 2719662

11. Juli 2012

Wie SANS berichtet, hat Microsoft ein sog. "Fix it" veröffentlicht, mit dem man in unterstützten Versionen von Windows Vista und Windows 7 die Windows Sidebar und Gadgets deaktivieren kann. Laut Microsoft Security Advisory (2719662) soll das verhindern, dass Schwachstellen in diesen Desktoperweiterungen zum Ausführen von beliebigem Code, mit den Rechten des angemeldeten Benutzers, ausgenützt werden können. Weiters sollen dadurch Risiken eliminiert werden, die Gadgets aus unbekannten Quellen mit sich bringen. Das Security Advisory enthält noch weitere Workarounds zum Deaktivieren der Sidebar, Informationen zum "Fix it" und zu den betroffenen Windows-Versionen liefert der Microsoft Knowledge Base Artikel 2719662.

Angaben zu konkreten, bekannten Schwachstellen werden keine gemacht.

Grundsätzlich gilt für diese Minianwendungen dasselbe wie für Software im Allgemeinen:

- nur solche installieren, die man tatsächlich benötigt

- nur aus vertrauenswürdigen Quellen

- aktuell halten!

- nicht mehr verwendete deinstallieren

Update 12. Juli 2012

Neuere Medienberichte, u.a. auf threatpost, lassen vermuten, dass der Zeitpunkt der Veröffentlichung des "Fix it" nicht zufällig gewählt wurde:

In zwei Wochen sollen auf der Black Hat Conference in der Präsentation "We have you by the Gadets" von Mickey Shkatov und Toby Kohlenberg "einige interessante Angriffsvektoren" gezeigt werden.

Autor: Stephan Richter

Goodbye DNSChanger

2012-07-10T12:02:45Z

Goodbye DNSChanger

9. Juli 2012

Wir haben in den letzten 8 Monaten mit dem DNSChanger Botnet zu tun gehabt, siehe etwa hier oder aktuell hier.

Nochmal kurz die Eckpunkte: Die Malware hat die DNS-Einstellungen der Opfer manipuliert (Windows, Linux und auch auf Routern), die Server der Bande wurden vom FBI übernommen und weiterbetrieben. Wir bekamen Informationen zu den Zugriffen auf diese Server und haben basierend auf diesen Daten gezielt die Betroffenen (über die ISPs) gewarnt.

Nimmt man als Messgröße die Zahl der betroffenen IP-Adressen pro Tag, so kommen wir seit November auf folgende Entwicklung für Österreich:

(Die Datenqualität ist nicht perfekt, aber der grobe Trend ist gut ablesbar: Wir haben die Zahl der Infektionen von rund 2500 auf knapp über 1000 drücken können.)

Das alles ist jetzt vorbei. Das FBI hat am 9. Juli 2012 diese Server abschalten lassen, womit bei allen noch infizierten Rechnern die DNS-Auflösung nicht mehr funktioniert, und damit das Internet so gut wie tot ist. Das wurde auch in der Presse breit getreten (WebStandard, Heise, ...).

CERT.at hat damit aber auch die Sensorik verloren, wie viele IP-Adressen noch betroffen sind; dieser Schritt war aber überfällig, denn wer nach dem halben Jahr noch nicht reagiert hat, wir das wohl erst tun, wenn sein Netz nicht mehr funktioniert. Der "Notverband" ist jetzt abgerissen, jetzt schmerzt es. Das finale Aufräumen hinter dieser Malware beginnt.

Wir würden uns sehr über Feedback von Seite der ISPs oder IT-Dienstleister freuen, ob das Abschalten heute überhaupt einen messbaren Effekt hatte.

Autor: Otmar Lendl

Ausfall Telefonanlage

2012-07-06T13:00:08Z

Ausfall Telefonanlage

6. Juli 2012

Achtung: Aufgrund eines technischen Defekts sind wir derzeit telefonisch NICHT erreichbar.

Wir arbeiten mit Hochdruck an der Lösung des Problems.

Wir bitten um Verständnis.

Update 14:55 - Telefon funktioniert wieder.

Autor: Matthias Fraidl

CMS und Erweiterungen aktuell halten!

2012-06-28T14:09:56Z

CMS und Erweiterungen aktuell halten!

28. Juni 2012

Uns erreichen regelmäßig Meldungen über Sicherheitslücken in Content Management Systemen (CMS). Sehr häufig befinden sich die Schwachstellen in zusätzlich zum Basis-System installierten Erweiterungen (Plugins).

In letzter Zeit waren unseres Wissens zwar keine sehr weit verbreiteten Plugins von Sicherheitsproblemen betroffen, dennoch möchten wir daran erinnern, dass nicht aktualisierte CMS eine der häufigsten Ursachen für Einbrüche in Webseiten sind.

Wir raten daher, CMS und deren Erweiterungen stets aktuell zu halten bzw. bei der Auswahl von Plugins darauf zu achten, nach Möglichkeit solche zu wählen, die vom jeweiligen Anbieter regelmäßig mit Updates versorgt werden und insbesondere bei Aktualisierungen des Basis-CMS zeitnah nachgezogen werden. Nicht (mehr) benötigte Plugins sollten umgehend deinstalliert werden.

Autor: Stephan Richter

Bug in ACDSee Pro

2012-06-26T15:47:11Z

Bug in ACDSee Pro

26. Juni 2012

Vor ein paar Tagen hat SecurityFocus über einen Bug in der Software ACDSee Pro (v5.1) berichtet (Patches dürften zumindest für registrierte Kunden verfügbar sein).

Was wir bislang nicht herausfinden konnten, ist wie verbreitet diese Software in Österreich bzw. im deutschsprachigen Raum ist. Falls jemand hierzu passendes Zahlenmaterial hat, wären wir über eine kurze Nachricht durchaus dankbar.

Autor: Robert Waldner

DNSChanger False Positives

2012-06-23T00:53:30Z

DNSChanger False Positives

23. Juni 2012

Seit etwa 2 Tagen sehen wir eine Menge legitimer Resolver, die uns als mit DNSChanger befallen gemeldet werden. Da wir dies von unserer Seite aus nicht von "normalen" befallenen Maschinen unterscheiden können, mussten wir trotzdem entsprechende Reports an die Betreiber senden.

Unsere Theorie bislang ist, dass es wahrscheinlich in Spam vorkommende Hostnamen sind, die von Anti-Spam-Software (SpamAssassin etc.) im DNS aufgelöst werden, und wo zumindest einer der NS-Records in der Kette in die DNSChanger-Netze verweist.

Bislang konnten wir dies aber nicht verifizieren. Falls sie einen eigenen Resolver betreiben, und die Möglichkeit haben, Queries in die DNSChanger-Netze (siehe http://www.dcwg.org/isps/, Tabelle unten) lokal zu loggen, und im Resolver Query-Logging zu aktivieren, würden wir bitten, das zu tun, und uns wissen zu lassen, was diese Queries auslöst.

(Falls sie ein End-Benutzer sind, können sie einen schnellen Check machen, um zu sehen ob ihr System befallen ist, indem sie http://www.dns-ok.de/ besuchen.)

Autor: Robert Waldner

Single Sign-on im Web

2012-06-18T13:26:04Z

Single Sign-on im Web

18. Juni 2012

Immer mehr Webdienste bieten ihren Nutzern die Möglichkeit an, auf eine herkömmliche Registrierung zu verzichten, und sich stattdessen z.B. via "Facebook Connect" oder "Sign in with Twitter" anzumelden. Aufgrund der aktuellen Vorfälle rund um den Hack von "TweetGif" möchten wir auf die Vor- bzw. Nachteile eines solchen Single Sign-on Systems im Web hinweisen.

Was ist ein Single Sign-on System

Durch die enorm wachsende Zahl an Webdiensten die viele User Tag für Tag nutzen, ist es natürlich auch notwendig für jeden die meisten Dienste ein eigenes Profil anzulegen, was wiederum in verschiedensten Kombinationen aus Benutzernamen und Passwörtern resultiert. Genau hier setzen Single Sign-on Dienste wie "Facebook Connect", "Sign in with Twitter" oder "OpenID" an: sie bieten Drittanbietern (Apps, Blogs, etc.) an, die vorhandenen Benutzerdaten (OpenID) und Profilinformationen (FB Connect, Twitter) für eben diese zu verwenden - somit braucht man sich um eine weitere Pflege der (Profil-)Daten nicht weiter zu kümmern, da alles "zentral" im Konto bei Facebook oder Twitter passiert (Anm.: mit OpenID kann man sich nur einloggen, muss das Profil aber wieder für den jeweiligen Dienst mit Daten befüllen).

Ablauf des Verfahrens

1. Der Benutzer klickt auf einen Connect-Button (FB Connect, Sign in with Twitter, etc.) 2. er wird zu der gewählten Plattform weitergeleitet 3. er authentifiziert sich und autorisiert die Anfrage des gewünschten Dienstes 4. und wird wieder auf die Ausgangsplattform geleitet

Nachteile des Systems

Bei der Autorisierung von Drittanbieter-Diensten werden sogenannte Zugangstoken erstellt, welche den Diensten später den Zugriff auf die Account-Daten, ohne erneute Autorisierung (Authentifizierung reicht aus, d.h. Benutzername und Passwort), ermöglichen. Genau hier liegt aber das Problem, denn selbst beim Ändern des Passworts für z.B. Facebook oder Twitter, werden diese Zugangstoken nicht verändert, somit haben bereits autorisierte Drittanbieter weiterhin Zugriff auf die Daten. Im Falle des Hacks von "TweetGif" konnten die Anfreiger dann auf ca. 8000 Twitter-Accounts - ohne Passwörter - zugreifen. Die Wahrscheinlichkeit, dass Plattformen wie Facebook oder Twitter selbst gehackt werden, ist relativ gering, allerdings stellt jeder weitere Dienst, der auf die Daten zugreifen kann, ein potentielles Sicherheitsrisiko dar.

Quellen: heise.de, t3n.de

Autor: Matthias Fraidl

Achtung vor End-of-Life Software

2012-06-15T11:23:07Z

Achtung vor End-of-Life Software

15. Juni 2012

Wie eine Sicherheitslücke in Abobe Photoshop CS5 wieder eindrucksvoll bewiesen hat, sollte man bei der Verwendung von Software, welche am Ende der Unterstützung seitens des Entwicklers steht, Vorsicht walten lassen. Eine manipulierte TIFF-Datei ermöglicht unerlaubten Zugriff auf das System, ein Patch wurde aber erst nach Wochen und auf Drängen zahlender Kundschaft bereitgestellt. Adobe wollte die Lücke ursprünglich nicht fixen, und verwies auf ein Update auf den vor kurzem veröffentlichten Photoshop CS6 (welches allerdings kostenpflichtig ist).

Generell empfehlen wir, soweit möglich, immer auf die aktuelle Version eines Programms, insbesondere wenn für die alte Version keine offizielle Unterstützung mehr vorhanden ist, upzudaten.

Autor: Matthias Fraidl

MySQL-Datenbank-Zugang ohne Passwort

2012-06-15T09:46:04Z

MySQL-Datenbank-Zugang ohne Passwort

11. Juni 2012

Wie Sergei Golubchik (MariaDB-Sicherheitskoordinator) auf der oss-sec Mailing-Liste bekanntgegeben hat, ist der Zugriff auf diverse MySQL- und MariaDB-Datenbankserver mit falschen Passwörtern möglich - wenn man es nur oft genug versucht. Mit einer einfachen 'for'-Schleife sind hunderte Anfragen pro Sekunde an den Server möglich.

Zitat Heise-Security: "Der Angreifer muss zwar einen gültigen Benutzernamen auf dem Datenbank-Server kennen, die Wahrscheinlichkeit, dass ein "root" existiert, ist jedoch hoch."

Golubchik geht davon aus dass generell alle MySQL- und MariaDB-Versionen bis einschließlich 5.1.61, 5.2.11, 5.3.5 und 5.5.22 verwundbar sind, insbesondere Versionen die mit einer SSE-optimierten memcmp-Funktion aus glibc kompiliert wurden. Bis dato ist nicht bekannt, ob fertige Binaries diverser Distributionen betroffen sind - nach eigenen Recherchen können wir aber zumindest für die Pakete der Distributionen Debian 6.0 (Squeeze), Fedora 10, Fedora 12, Fedora 15 sowie Fedora 17 Entwarnung geben. Wir konnten das Problem mit Debian 7.0 (Wheezy, testing) reproduzieren.

Achtung: dieser Angriff funktioniert auch remote, wenn mysql auf Verbindungen von Aussen reagiert.

Um zu testen ob die eigene Installation verwundbar ist, hier die passende Befehlskette:

\$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done

Wenn nun eine mysql shell erscheint, so ist das eigene System verwundbar.

Abhilfe schafft ein Update auf die MySQL-Versionen 5.1.62, 5.2.12, 5.3.6 und 5.5.23 bzw. MariaDB 5.1.63, 5.5.24 und 5.6.6.

Autor: Matthias Fraidl

Flame(r): Ein Medienhype

2012-05-31T16:03:37Z

Flame(r): Ein Medienhype

31. Mai 2012

Wiedermal hat es eine Schadsoftware (Malware) in die breitenwirksame Medienlandschaft geschafft.

In der Presse war in den letzten Tagen viel über einen "Cyber Angriff" auf den Iran zu lesen, von dort kam jetzt auch ein "Wir haben den Angriff abgewehrt". All das wird medial sehr hochgespielt.

Hier sind die Informationen, die CERT.at vorliegen:

Die Fähigkeiten der Malware sind nicht neu. Das ist ein Information-Stealer, wie sie seit Jahren im Umlauf sind. Vergleichbar potente Malware wurde schon in vielen Fällen rund um den Globus gefunden.
Die Malware -- oder zumindestens Teile davon -- sind nicht komplett neu.
Wir haben keinerlei Beweise, dass das ein gezielter Angriff auf den Iran war.
Die Erkennung und Entfernung ist relativ trivial, das ist kein trickreiches Rootkit.
Die Erkennung und "Abwehr" von Flame(r) wurde wie eine PR-Kampagne durch die internationale Presse getrieben. Der Effekt dort kann gut stärker gewesen sein, als was die Malware selber angerichtet hat.
Wir sehen keinen Beweis für einen Zusammenhang mit Stuxnet oder Duqu.

Ist Österreich betroffen?

Uns ist kein Fall bekannt. Achtung: in einigen Berichten war von Österreich die Rede (was auch breit zitiert wurde.) Da mag es aber initial zu Verwechslungen mit Ungarn gekommen sein.
Kaspersky betreibt Sinkholes für einige der Domains, die für die C&C Kommunikation benutzt werden. Dort ist noch kein Zugriff aus Österreich registriert worden.

Removal Software

Das Iranische MAHER / Certcc.ir Team bietet ein "Removal Tool" zum Download an. Wir haben uns das kurz angesehen und kein unangekündigtes Verhalten gefunden.

Aber: Das Teil bittet darum, drei ZIP Archive in den Iran für weitere Analysen zu schicken. Davor raten wir explizit ab!

Tatsächlich ist es so, dass jenes Removal-Tool versucht alle mit der Flame(r)-Infektion in Zusammenhang stehenden Files in diesen drei ZIP Archiven "zusammenzupacken". Dies bedeutet, dass dies natürlich auch von der Malware bereits gesammelte sensible Informationen betreffen könnte.

Das - in dem Removal-Tool beiligenden Readme nicht genannte - Passwort für jene drei ZIP Archive lautete in unserer Laborumgebung übrigens "Mallab5752".

Wie auch immer, deutlich sinnvoller scheint es, die Tools der bekannten AV-Hersteller zu nehmen.

Zusammenfassung

Das Ganze wurde von diversen Playern (Iran, ITU, ...) medial hochgespielt.

Ein Security Researcher hat das in einer geschlossenen Liste so formuliert: "I don't know if Iran has mastered the nuclear cycle. But they appear to have mastered the 24 hours news cycle."

Es gibt keinen Hinweis, dass sich die Bedrohungslage für Österreich mit diesem Vorfall messbar verändert hätte.

Links:

Insbesondere der Kontrast zwischen den beiden Symantec-Artikeln ist nett.

Autor: Christian Wojner

Motivationskur für den Flash-Player

2012-03-30T09:58:54Z

Motivationskur für den Flash-Player

30. März 2012

Diesen Blog-Eintrag möchte ich dem nunmehr unter Windows in puncto Sicherheit erstarkten Flash-Player widmen. Das aktuelle Update bringt jetzt endlich einen an Patches deutlich "interessierteren" Updater mit. Die Reaktionszeit neue Patches zu erhalten sollte sich damit in der Standard-Konfiguration laut Flash Player Developer Center auf 24 Stunden minimieren.

Bleibt nur eine Frage offen: "Dafür haben wir jetzt bis kurz vor Weltuntergang warten müssen?"

Autor: Christian Wojner

Bug in Microsoft ".NET Form Authentication"

2012-03-22T15:41:02Z

Bug in Microsoft ".NET Form Authentication"

22. März 2012

Wie gerade auf Securityfocus verlinkt, gibt es anscheinend einen Bug irgendwo im ".NET"-Umfeld, der es erlaubt, entsprechend unsicher konfigurierte ".NET Form Authentication" zum redirecten von HTTP-Requests zu missbrauchen.

http://www.securityfocus.com/archive/1/522038: An Insecure Redirect vulnerability has been identified in the .NET Form Authentication - in the Redirect From Login mechanism. This vulnerability allows an attacker to craft links that contain redirects to malicious sites in the ReturnURL parameter.

Als nicht ".NET"-User koennen wir absolut nicht beurteilen, wie verbreitet das Nutzen dieser Forms in Default-Konfiguration ist - wer diese Technologie einsetzt, sollte jedenfalls den "EnableCrossAppRedirects"-Parameter in "web.config" checken.

URL-Redirection in dieser Art ist jetzt in den meisten Fällen kein gravierendes Security-Problem, wird aber oft am Rande von Phishing-Attacken und ähnlichem eingesetzt, vgl. auch den Eintrag bei wikipedia: http://en.wikipedia.org/wiki/Url_redirection#Manipulating_visitors

Autor: Robert Waldner

Update für Mediaplayer VideoLAN (VLC)

2012-03-19T17:24:22Z

Update für Mediaplayer VideoLAN (VLC)

19. März 2012

Wie in diversen Medien berichtet, gibt es aktuell ein Update für die populäre Video-Abspiel-Software VideoLAN Client, besser bekannt als VLC - siehe http://www.videolan.org/vlc/releases/2.0.1.html - das auch Security-relevante Bugs behebt.

Da diese Software per Default Auto-Updates macht (bzw. zumindest darauf hinweist, dass eine neuere Version verfügbar ist), ist das eigentlich keine grosse Erwähnung wert - wir weisen nur ganz dezent am Rande darauf hin, dass in den Standard-Einstellungen eine Überprüfung auf etwaige Updates nur alle paar Tage stattfindet, und empfehlen, dies auf zumindest 1x täglich zu ändern.

(Bei der getesten deutschen Version gut versteckt zu finden unter: Extras -> Einstellungen -> Hauptinterfaces -> Qt-Interface -> "Anzahl der Tage zwischen zwei Suchen nach Updates")

Autor: Robert Waldner

RDP und VPNs

2012-03-16T14:21:02Z

RDP und VPNs

16. März 2012

Aktuell beschäftigen uns zwei interessante Bugs:

RDP:

Microsoft hat mit dem März Patchday einen Bug im RDP (Remote Desktop Protocol) Server gefixt, der ohne gültige Credentials für Remote Code Execution nutzbar ist.

Sowas ist böse, weil sich diese Klasse von Bugs zum Schreiben von Würmern eignet. Wie schon Conficker vor drei Jahren gezeigt hat, kann das schnell zu einem ernsten Problem werden.

Positiv ist hier, dass das RDP-Service nicht standardmäßig aktiviert ist, und Microsoft davon ausgeht, dass ein funktionierender Exploit nicht einfach zu schreiben ist. Inzwischen kursieren schon erste PoC (Proof of Concept) Codefragmente im Netz, es ist also zu befürchten, dass das schneller geht als gehofft.

Wo wird RDP eingesetzt? Primär innerhalb von Firmen zur a) Fernwartung von Servern, b) zum zentralisieren von Applikationen (statt lokal das Programm zu installieren, wird eine RDP-Session zu einem Server aufgebaut) und in machen Fällen als VPN-Ersatz.

Ersters ist innerhalb des Firmennetzes weniger kritisch, da diese Netze (hoffentlich) abgesichert sind. Problematisch wird es, wenn die Server nicht im eigenen Haus stehen, sondern in Rechenzentren. So etwa ist RDP bei Amazons EC2 Windows-Servern die Standardlösung. Das wird bei vielen anderen Rechenzentren / Cloud-Services nicht anders sein.

Letzteres macht mir am meisten Sorgen: wenn eine RDP-Session die Lösung für Teleworking ist, und keine weiteren Sicherheitsmaßnahmen existieren, dann ist ein sofortiges Patchen extrem wichtig für die Firma.

Deutlich besser ist, wenn der RDP-Server nur innerhalb eines VPNs erreichbar ist. Und hier kommen wir zu Punkt zwei:

VPN:

Cisco hat diese Woche mitgeteilt, dass es mehrere Problem mit ihren VPN-Lösungen gibt. Serverseitig klingt das noch relativ harmlos (da primär "nur" Denial-of-Service), ein Punkt ist aber erwähnungswürdig:

Das "Cisco Clientless VPN" nutzt den Browser als VPN-Client und falls dieser ein Internet Explorer ist, wird ein ActiveX - Control für manche Features installiert. Dieses hat sich jetzt als verwundbar herausgestellt, und damit schlagen die Design-Problem von ActiveX voll zu:

Jede andere Webseite, die mit dem IE besucht wird, kann das ActiveX-Control aktivieren und ausnützen. Ein simples Patchen des VPN-Gateways reicht also nicht, um das Problem zu lösen. Man muss von allen Clients, die das Gateway jemals benutzt haben, das fehlerhafte Active-X-Control entfernen.

Da sowas nicht zum ersten mal passiert, gibt es wenigstens Mechanismen, wie das halbwegs effizient machbar ist: Kill-bits und Group-Policies.

Autor: Otmar Lendl

Joomla! Updaten!

2012-03-07T11:08:28Z

Joomla! Updaten!

7. März 2012

Nicht aktualisierte Content Management Systeme (CMS) sind der Grund für die meisten Einbrüche in Webseiten. Ob das jetzt Drupal, Typo3, Joomla! oder Wordpress ist: regelmäßig werden Sicherheitsprobleme gefunden, die eine Aktualisierung notwendig machen.

Interessant wird es immer, wenn man zu dem Basis-CMS Erweiterungen dazugenommen hat. Erstens ist deren Code-Qualität gelegentlich grauenhaft und damit eine ernstzunehmenden Angriffsfläche, zweitens erschweren diese Plugins die Aktualisierung des Basis-Systems, da kompatible Updates der Plugins nicht immer gleich schnell verfügbar sind.

Siehe dazu etwa auch unseren Bericht über die Sicherheit von Webservern.

Aktuell hat es letztens 200.000 Wordpress-Installationen erwischen.

Und jetzt erreicht uns die Warnung von Joomla!, dass in einer Kern-Komponente eine SQL-Injection möglich ist.

Daher von uns die dringende Empfehlung: Halten Sie ihr CMS am Stand. Und machen Sie den Joomla!-Update so schnell wie möglich.

Autor: Otmar Lendl

DNSChanger: Frist verlängert

2012-03-06T19:02:00Z

DNSChanger: Frist verlängert

6. März 2012

Im Jänner wurde der 8. März als "Doomsday" im Internet propagiert, weil an diesem Tag die DNSChanger Nameserver abgeschaltet werden sollten.

Weil das Säubern der infizierten Systeme sehr zäh passiert, gibt man den Betroffenen weitere 120 Tage.

CERT.at schickt täglich Listen von betroffenen IP-Adressen an die Netzbetreiber, damit diese ihre Kunden warnen können. Auch in Österreich werden diese Listen leider nur sehr langsam kürzer, aktuell stehen wir bei knapp unter 2000 IP-Adressen pro Tag.

Autor: Otmar Lendl

Anonymous vs. root DNS?

2012-06-08T11:56:03Z

Anonymous vs. root DNS?

17. Februar 2012

Vor kurzem hat Anonymous (wobei bekannt ist, dass Anonymous keine homogene Gruppe ist und jede/r eine "Aktion" vorschlagen kann) angekündigt, die Root DNS Server angreifen zu wollen. Hier die Ankündigung.

Frage: Müssen wir uns davor fürchten, dass das Internet zusammenbricht? Antwort: Nach derzeitigem Wissensstand vermutlich nicht.

Frage: was sind die DNS Root server? Und warum sind sie relevant? Antwort: In kürze kann man sagen, dass die DNS Root Server so was wie die wichtigsten Einträge im globalen Domain "Telefonbuch" sind. Wenn ein Rechner am Internet die IP Adresse eines anderen finden möchte, fragt er das DNS System.

Längere Antwort: die DNS Root Server (benannt nach den Buchstaben A-M, ursprünglich 13 Server) hosten die sogenannte "Root DNS Zone". Das ist die Konfiguration, die anderen Servern und Rechnern am Internet sagt, an welche anderen DNS Server sie sich wenden müssen, wenn zB die IP Adresse zum Domain Namen "CERT.at" gesucht wird. Der Root Server würde sagen, dass es sich anscheinend um eine .AT domaine handelt, und dass der Anfragende doch die .AT Domain Server fragen soll. Dann geht das Spiel weiter und der Anfragende schickt ein "Query" Paket an die .AT DNS Server. Usw.

Frage: und was will jetzt Anonymous mit den DNS Root Servern machen? Antwort: laut Ankündigung wollen sie einen sogenannten DNS Amplification Attack gegen die Root DNS Server fahren. Das heisst, dass sie diese Server mit vielen Paketen überlasten wollen. Hierbei werden diese Pakete nicht direkt dorthin geschickt sondern ("amplification"/"redirection") über offene rekursive DNS Server gespielt.

Frage: und wenn sie erfolgreich sind, was dann? Antwort: theoretisch - wenn der Angriff erfolgreich wäre - dann hätte unter anderem auch Anonymous kein gut funktionierendes DNS System mehr. Das heisst, wenn Anonymous sich untereinander unterhalten will, wird es auch für Anonymous schwer sein, sich alle IP Adressen von allen Servern im Kopf zu merken. Googlen oder Surfen wird sehr sehr mühsam. Für alle.

Man könnte auch sagen - Anonymous sägt am eigenen Ast, auf dem sie selbst sitzen.

Weitere Informationen:

Errate Security's Analyse, was bei dem Angriff realistisch sein kann und was nicht.

Team Cymru hat eine schöne live-Statistik über die Root DNS Server.

Autor: L. Aaron Kaplan

Cyber Security

2012-02-07T21:03:52Z

Cyber Security

7. Februar 2012

Es wird zum Thema Cyberwar und Cybersecurity viel heiße Luft produziert. Ich finde es daher ausgesprochen erfrischend, einen sehr fundierten Artikel dazu im Heeresmagazin "Truppendienst" zu finden.

Wenn ich schon beim Verlinken bin: als Gegenstimme zu diversen Cyberwar Paranoikern finde ich Marcus Ranum interessant.

Autor: Otmar Lendl

PHP und max_input_vars

2012-02-07T09:35:56Z

PHP und max_input_vars

3. Februar 2012

Um Neujahr herum wurde ein altes Problem wieder aufgewärmt: Man kann durch gezielte Hash-Collisions einen DoS-Angriff gegen Webserver fahren, indem man POST-Requests mit sehr vielen Parametern absetzt. Viele Web-Frameworks speichern diese CGI-Parameter in assoziativen Arrays und diese haben ein schlechtes Worst-Case-Verhalten, wenn die Schlüsselwerte absichtlich ungünstig gewählt werden.

PHP hat prompt reagiert und einen Patch herausgebracht. Dieser hat sich inzwischen als fehlerhaft herausgestellt weil er das Einschleusen und Ausführen von Code erlaubt.

Oops.

Der Fix dafür ist jetzt erhältlich. Diese Episode zeigt aber ganz gut, dass die Reaktionszeit auf Sicherheitslücken nicht das einzige Kriterium ist: auch die Korrektheit des Patches ist relevant. Es gibt einen Grund, warum kommerzielle Softwareanbieter ein rigoroses Testprogramm für Updates fahren. Ja, das kostet Zeit, spart aber hoffentlich solche Gotchas wie wir es gerade von PHP gesehen haben.

Autor: Otmar Lendl

Ein Meilenstein für das CERT

2012-01-30T18:18:48Z

Ein Meilenstein für das CERT

30. Jänner 2012

Vor rund einem Jahr konnte nic.at die 1-Millionste .at-Domain begrüßen, und heute haben wir im CERT ein rundes Jubiläum zu feiern:

Die tägliche Mail mit den vom DNSChanger betroffenen IP-Adressen im Netz von T-Mobile ging mit der Ticket-Nummer 100.000 an das dortige Abuse-Team.

Wir sind jetzt fast vier Jahr in Betrieb (April 2008 war Start des Testbetriebs). Dieses runde Ticket-Jubiläum ist eine gute Gelegenheit, ein bisschen zurückzuschauen, was wir uns in den vier Jahren erarbeitet haben.

Wir hatten den DNS/Kaminsky-GAU, Conficker und die Anonymous Hacks. Wir wurden vom Nobody zu einem anerkannten Sicherheitszentrum. Sowohl innerhalb Österreichs, als auch in der Community der CERTs. War es anfangs noch schwierig, Öffentlichkeitsarbeit zu machen, so rufen uns jetzt die Journalisten an, wenn es Stories zu IT-Sicherheitsthemen zu machen gilt.

Kurz: wir sind stolz auf das, was wir bereits erreicht haben.

Es wird noch mehr kommen -- denn dass uns die Arbeit ausgehen wird, ist leider nicht zu hoffen. Es bleibt spannend.

Autor: Otmar Lendl

Lesestoff

2012-01-26T16:55:51Z

Lesestoff

26. Jänner 2012

Einige der Firmen in der Security-Branche geben regelmäßig Berichte zur Lage der weltweiten IT-Sicherheit heraus. Diese sind oft sehr lesenswert, weil diese Firmen aus erster Hand wissen, was sich getan hat. Auch der Security Intelligence Report von Microsoft enthält wertvolle Informationen.

Eben erreicht uns die Meldung, dass Sophos seinen neuesten Security Threat Report veröffentlicht hat.

Wie Karl Farkas sagen würde: "Schau'n Sie sich das an!"

Autor: Otmar Lendl

Kontext zum DNSChanger

2012-01-13T12:52:59Z

Kontext zum DNSChanger

13. Jänner 2012

Aktuell gibt es viele Medienberichte zum DNSChanger, primär weil es einen einfachen Online-Test gibt und weil mit dem 8. März ein Datum feststeht, zu dem etwas passieren könnte.

Aus der Sicht des CERTs ist DNSChanger Routine: wir bekommen IP-Adressen die infiziert sein könnten und geben diese an die ISPs weiter. Die Command & Control - Server sind vom FBI bereits übernommen, es besteht daher keine aktive Gefahr für User in den infizierten Netzen. Es ist eine reine Aufräumaktion. Und mit weniger als 2000 IP-Adressen in Österreich auch keine wirklich große Sache.

Die Gefahr für die Internet-Nutzer in Österreich ist aktuell woanders. DNSChanger ist nur eines von vielen Botnetzen, die PCs von Österreichern fernsteuern. Laut aktuellen Zahlen etwa sind rund zehn mal so viele PCs noch immer mit Conficker infiziert, als mit DNSChanger. Auch dafür gibt es einfache Tests (Alternative), um eine Infektion über einen einfachen Webseitenbesuch festzustellen.

Wirklich böse sind aber die Botnetze, die Passwörter der Nutzer stehlen oder Online-Banking Transaktionen verfälschen. Leider ist dort die Erkennung nicht so trivial. Ein simpler Besuch einer Webseite reicht da nicht, in machen Fällen tut sich auch Anti-Viren Software sehr schwer, diese Schadsoftware zu erkennen.

Was kann man also tun?

Am besten ist natürlich, sich erst gar keine Schadsoftware einzufangen. Dazu gibt es folgende Faustregeln:

Nur das installieren, was man selber aktiv gesucht hat.
In vielen Fällen probieren die Cyberkriminellen den Nutzer zu überreden, die Schadsoftware selber zu installieren. Das kann ein "Codec" sein, den man angeblich braucht, um ein Video anschauen zu können, das kann eine "Sicherheitssoftware" sein, die gegen vorgetäuschte Probleme helfen soll, ein "Dokument" eines Anwalts, oder einfach nur ein "lustiges Programm", das Schafe am Bildschirm tanzen lässt.
Das, was man installiert hat, auch aktuell halten.
Das fängt beim Betriebssystem selber an: ein Windows XP aus 2001 ist auch mit allen Updates nicht mehr zeitgemäß. Ohne monatliche Updates ist jedes Windows gefährdet, diese sollten möglichst rasch (oft am besten automatisch) installiert werden. Auch eine aktueller Virenschutz und die Firewall gehören zur Grundsicherung.
Aber auch in anderen Programme werden regelmäßig Schwachstellen gefunden, die über Aktualisierungen behoben werden müssen. Dazu gehören etwa die Browser (Firefox, Opera, Chrome, ..), deren Plugins (Flash, Java) und andere Software, die Dateien aus dem Internet bearbeiten (PDF-Reader, Medienplayer, ...).
Händisch ist das alles fast nicht zu schaffen, es ist daher sinnvoll, möglichst überall Autoupdates einzuschalten und Tools (etwa PSI, Firefox Check, BrowserCheck, ...) zu verwenden, die systematisch veraltete Programme erkennen.
Was man nicht mehr braucht, auch löschen.
Eine de-installierte Software kann nicht ausgenutzt werden.

Die Entfernung einer schon aktiven Infektion des eigenen Computers ist leider nicht immer einfach; nur ein komplette Neuinstallation (von garantiert sauberen Medien) kann das garantieren.

Antivirensoftware hat es oft sehr schwer, im laufenden System alle möglichen Infektionen zu erkennen und zu beseitigen. Es ist daher empfehlenswert, sich vom AV-Herstellers seines Vertrauens eine Notfalls-CD zu besorgen, den Rechner von dieser zu starten und so den PC zu scannen.

In Deutschland gibt es dazu bereits ein staatlich gefördertes Projekt, das passende CDs bereitstellt.

Autor: Otmar Lendl

DNSChanger: Jetzt einfach Testen

2012-01-12T12:03:19Z

DNSChanger: Jetzt einfach Testen

11. Jänner 2012

Es ist durchaus üblich, dass Schadsoftware in die Namesauflösung von Computern eingreift und so den Webbrowser des Nutzers gezielt in die Irre führen kann. Wegen genau diesem Verhalten wurde eine bestimmte Schadsoftware "DNSChanger" genannt.

Das Botnet all der PCs (Windows und OS X), die diese Infektion hatten, wurde im Herbst 2011 vom FBI in einer international koordinierten Aktion angegangen: die zentralen Steuerelemente ("Command & Control Server") des Botnets wurden der Kontrolle der Kriminellen entrissen.

Auch die Nameserver, die die Malware ihren Opfern konfiguriert hat, werden jetzt von Behörden kontrolliert und liefern jetzt korrekte Antworten. Aus den Zugriffslogs dieser Server lässt sich ableiten, wo im Internet DNSChanger-Infektionen aktiv sind. Die Österreich betreffenden Daten werden an CERT.at übermittelt und wir geben diese Informationen seit Wochen an die Netzbetreiber (ISPs) weiter. Aktuell sind das zwischen 1500 und 2000 verschiedene IP-Adressen pro Tag.

Sowohl das FBI, als auch unsere Kollegen aus Deutschland, haben einfache Testseiten ins Netz gestellt, mit deren Hilfe ganz einfach festgestellt werden kann, ob man selber betroffen ist oder nicht.

http://www.baddns.com (Englisch)
http://www.dns-ok.de (Deutsch) (Alles ok, Infektionsfall)

Es wurde jetzt angekündigt, dass die Nameserver des DNSChanger Botnets nur noch bis 8. März weiter betrieben werden. Wer dann immer noch infiziert ist, kann dann keine Domainnamen mehr auflösen und ist damit quasi offline.

Wir empfehlen daher dringend, diesen einfachen Test gleich zu machen und gegebenenfalls den eigenen PC bzw. den Router zu säubern.

Informationen dazu:

DNSChanger Working Group
Original-Artikel im Spiegel, Aktueller Artikel zum Test
Dokument des FBI (Englisch)
Botfrei.de Blog
Tools zum Entfernen (Windows und Mac)

Autor: Otmar Lendl

Einbruch bei Online-Rollenspiel Rift

2011-12-23T16:00:18Z

Einbruch bei Online-Rollenspiel Rift

23. Dezember 2011

Wer einen Account bei diesem Online-Rollenspiel hat, sollte wohl (zumindest) ebendort sein Passwort ändern, wie heise berichtet.

Generell empfehlen wir, bei all solchen Diensten jeweils ein eigenes Passwort zu verwenden.

Autor: Robert Waldner

Cacti anfällig für Script-injection

2011-12-23T12:22:18Z

Cacti anfällig für Script-injection

23. Dezember 2011

Wie SecurityFocus soeben berichtet hat, dürfte es eine Verwundbarkeit bei dem beliebten Tool "Cacti" geben. Dieses wird oft von ISPs verwendet, um ihren Kunden Einsicht in Datenvolumenverbrauch zu geben.

Dabei ist es möglich, dem Benutzer einen Link zu schicken, der - sobald angeklickt - Javascript Code im Kontext der Cacti Seite beim User ausführt und somit die Berechtigung des Benutzers hat.

Laut www.cacti.net gibt es mittlerweile schon Updates (Version 0.8.7i), die das Problem beheben.

Autor: L. Aaron Kaplan

IE6 stirbt aus

2011-12-19T16:14:07Z

IE6 stirbt aus

19. Dezember 2011

Der Internet Explorer 6 hat schon länger seine Daseinsberechtigung verloren. Sowohl Web-Programmierer (die Workarounds aus Kompatibilitätsgründen wurden immer schmerzhafter) und Microsoft (ein Sicherheitsalbtraum) wollten ihn schon seit Jahren loswerden.

Das scheint jetzt endlich gelungen zu sein: Österreich hat jetzt < 1% IE6 laut Microsofts IE6 Countdown Seite.

Und das ist für uns alle gut.

Autor: Otmar Lendl

Achtung vor Apache mod_proxy Fehler

2011-11-24T18:53:46Z

Achtung vor Apache mod_proxy Fehler

24. November 2011

Prutha Parikh (Qualys) schreibt in ihrem Blog über einen interessanten Bug in mod_proxy (Apache Modul). Damit ist es möglich, vom Internet aus, interne Systeme zu erreichen.

Im Prinzip kann man durch eine extra ":" in einem request URI Ports von internen Systemen angeben und diese somit erreichen.

Prutha Parikh schlägt vor, in der entsprechenden mod_proxy rewrite rule einfach ein "/" anzhängen.

Fazit: mod_proxy ist nicht ungefährlich.

Autor: L. Aaron Kaplan

Wie trete ich mir am sichersten Malware ein?

2011-10-05T22:01:16Z

Wie trete ich mir am sichersten Malware ein?

5. Oktober 2011

Die dänische IT Security Gruppe CSIS hat soeben interessante Studienergebnisse veröffentlicht, die es auf Slashdot geschafft haben. In dem Blog Eintrag von CSIS ("This is how Windows gets infected with Malware") wird erklärt, was die häufigsten Einfallstore für Drive-By-Downloads sind: IE (Firefox ist an zweiter Stelle), Windows XP (dicht gefolgt von Vista!) und Java JRE und Adobe Reader und Flash. Laut Eigenangabe beinhaltet die Messung ca. eine halbe Million Webseitenbesuche.

Dies spiegelt sehr schön unsere Warnings bei CERT.at wieder. Ein Grossteil der Benutzer hat einfach IE oder Firefox und Windows XP als auch Adobe Produkte installiert. CERT.at schreibt bewusst nur dann Warnings, wenn die Lücke viele Leute betrifft und meist via remote-code execution ausnützbar ist.

Natürlich ist der CSIS Bericht auch perfekt dazu da, um Heimdal, das Produkt von CSIS zu vermarkten. Nichts destotrotz ist der Blogeintrag aber lesenswert.

Updaten, updaten, updaten!

Autor: L. Aaron Kaplan

Aktueller Angriff auf SSL / TLS1.0

2011-09-21T08:30:53Z

Aktueller Angriff auf SSL / TLS1.0

21. September 2011

Aktuell wird in einigen Online-Medien über einen Angriff auf SSL/TLSgeschrieben, siehe etwa The Register, Threatpost oder Heise.

Wir sind am recherchieren, was jetzt schon bekannt ist. Der Vortrag ist für Freitag, den 23. September angekündigt, ab dann sollten gesicherte Informationen vorliegen.

Aktuell stellt sich die Lage so da (Achtung: das stimmt vielleicht nicht 100%ig, da ist noch Raten dabei):

Das zugrunde liegende Problem in TLS1.0 ist schon lange bekannt. Siehe openssl oder dieses Paper. Neu scheint zu sein, dass der bislang theoretische Angriff jetzt in der Praxis funktioniert.

TLS 1.1 und 1.2 korrigieren das Problem, sind aber aus Kompatibilitätsgründen noch nicht wirklich im Einsatz.

Der Angriff basiert darauf, dass neben der anzugreifenden TLS Verbindung der Browser sich von irgendwo anders Javascript eintritt, das dann TLS-Requests an das Ziel absetzt. Diese werden in die bestehende TCP/TLS Session hineingemultiplext (Connection-Keepalive!) womit das JavaScript known-plaintext in die anzugreifende session injiziert. Der Abhörende kann damit Parameter der Verschlüsselung ermitteln.

Es gibt mehrere Theorien, was damit möglich ist:

Der know-plaintext Angriff ist voll erfolgreich und das Schlüsselmaterial der Session kann ermittelt werden, und diese so voll entschlüsselt werden.

Die injizierten HTTPS-Requests bekommen vom Browser gültige Session-Cookies (analog zu cross-site request forgery-attacks), wenn man die richtig an blockgrenzen schiebt, kann man hier Zeichen für Zeichen das cookie ermitteln (das mag dann ein bisschen wie blind-sql-injection funktionieren).

Abwehr: Das ist jetzt noch sehr spekulativ.

Connection-Keepalive abdrehen mag helfen, geht aber ernsthaft auf die Performance.

Blockcipher in CBC-mode ist das Problem: TLS erlaubt hier durchaus auch andere Methoden; wie sehr die in allen Browsern und Servern unterstützt werden, ist mir nicht klar.

Der Browser limitiert, welche Requests für eine offene TLS Session in Frage kommen. (etwa: alle, die aus http oder nicht-same origin kommen, dürfen das nicht)

Der Browser könnte das Muster der tausenden ajax-requests erkennen und unterbinden.

TLS 1.1 Das wird dauern und wird nicht ohne Schmerzen gehen.

Der Angriff scheint darauf zu basieren, dass der Cookie-Header an Blockgrenzen ausgerichtet wird. Ein zufälliges Umsortieren der Request-Header mag hier auch etwas helfen.

In die gleiche Kerbe würde ein X- Header nach dem GET/POST schlagen, der ein zufällige Zahl an Zeichen einfügt.

Random padding blocks in die TLS connection einbauen.

Weitere Links dazu: IETF TLS Liste, ycombinator, OpenSSL

Was kann man jetzt tun?
- Aktuell sind wir in dem Zeitfenster, wo alle wild spekulieren und nur wenig harte Informationen vorliegen. Ich rate daher vor Schnellschüssen ab, das Ganze ist noch keine akute Gefahr.
- Relevant wird werden, was im nächsten Monat die Browserhersteller und die Serversoftwareschreiber an Empfehlungen abgeben. Die sind schon vorab informiert gewesen, stehen aber noch unter NDA. Das sollte mit der Publikation am Freitag vorbei sein, ich erwarte daher kurz darauf fundierte Aussagen von Mozilla, Google, Apache & co.

Autor: Otmar Lendl

Patchdays und CERT.at-Warnungen

2011-08-16T16:26:59Z

Patchdays und CERT.at-Warnungen

16. August 2011

Mittlerweile hat ja auch Adobe auf einen mehr oder weniger regelmäßigen Zyklus zum Verteilen von (Security-) Updates umgestellt, ganz nach dem Vorbild von Microsoft. Ob das nun gut oder schlecht ist, darüber wollen wir nicht urteilen. Fakt ist jedenfalls, daß wir über die regelmäßigen Patchdays nicht extra Warnings schreiben, da wir davon ausgehen, daß verantwortungsvolle Administratoren diese sowieso bereits entsprechend in ihrer Update-Strategie berücksichtigen - Warnungen bezüglich außertourlicher Security-Updates, sowie über bekannt gewordene Probleme für die noch kein Patch bereitsteht, wird es natürlich weiterhin geben.

Und noch ein Link, der gerade durchaus passend erscheint: Kaspersky-Studie: Adobe-Software größtes Sicherheitsrisiko

Autor: Robert Waldner

Exploitbarer Bug in Wordpress-Addon "timthumb"

2011-08-02T13:43:17Z

Exploitbarer Bug in Wordpress-Addon "timthumb"

2. August 2011

Da "timthumb" anscheinend von manchen anderen Wordpress-Addons quasi als Library verwendet wird, dürfte dieser Bug doch für so manchen Hoster von Interesse sein: http://code.google.com/p/timthumb/issues/detail?id=212

Autor: Robert Waldner

Bredolab zurück?

2011-07-27T08:17:33Z

Bredolab zurück?

27. Juli 2011

Auch wenn diverse Quellen (zB Wikipedia) erklären, dass das Bredolab-Botnetz seit letztem Jahr mehr oder weniger tot sein sollte, finden unsere Scanner in den letzten paar Tagen eine durchaus beachtliche Menge der bekannten Attachments. Meistens als .exe in einem Zip-Attachment, ClamAV erkennt das als

   Clamd: Chnglog_N267.zip was infected: Trojan.Generic.Bredolab-2
   Clamd: Changelog_NP83.exe was infected: Trojan.Generic.Bredolab-2

Andere AV-Engines erkennen dies unter anderen Namen, zB "Agobot", vgl. Virustotal. Auch eine Menge "Agobot" (MD5: 6ac47b52237f3b112c3ba7cfef9872d3, Virustotal link) die nicht als "Bredolab" erkannt werden, sind momentan dergestalt (exe-in-zip) unterwegs, hier ist die Erkennungsrate noch eher schlecht (6/43 laut Virustotal).

Die Moral ist natürlich: Executables in Email-Attachments am besten komplett verbieten.

Autor: Robert Waldner

US-CERT: Security Recommendations to Prevent Cyber Intrusions

2011-07-20T11:50:06Z

US-CERT: Security Recommendations to Prevent Cyber Intrusions

20. Juli 2011

Die Kollegen vom US-CERT haben eine ganze Menge Ratschläge zur allgemeinen IT-Security herausgegeben, die wichtigsten auch hier:

Ensure that the "allow URL_fopen" is disabled on the web server to help limit PHP vulnerabilities from remote file inclusion attacks.
Limit the use of dynamic SQL code by using prepared statements, queries with parameters, or stored procedures whenever possible.
Use minimum password length of 15 characters for administrator accounts.
Use minimum password length of 8 characters for standard users.
Require the use of alphanumeric passwords and symbols.
Prevent the use of personal information as password such as phone numbers and dates of birth.

Mit diesen Ratschlägen allein liesse sich schon ein nicht unwesentlicher Teil der Defacements etc., die wir jeden Tag sehen, verhindern.

Autor: Robert Waldner

Design schlägt Security, auch beim Ebanking?

2011-07-15T10:27:08Z

Design schlägt Security, auch beim Ebanking?

15. Juli 2011

Wenn man sich so überlegt, was man von der eBanking-Webseite der eigenen Bank will, steht eines wohl garantiert nicht auf der Liste: unangekündigtes Redesign der Webseite mit eingebundenen aktivem Code von unbekannten Drittanbietern aus dem Ausland. Und gerade bei eBanking-Anbietern würde man als normaler Benutzer eine gesteigerte Awareness zu solchen Themen erwarten.

Wie man es als Bank nicht machen sollte, führt übrigens gerade die Direct-Banking-Tochter einer der grössten heimischen Bankengruppen vor: unangekündigtes Redesign der Webseite, eingebundenes JavaScript von unbekannten ausländischen Drittanbietern - und auf eine entsprechende Anfrage wochenlang keine Antwort.

Wenn also nicht einmal kommerzielle eBanking-Anbieter im Jahr 2011 grundlegende Security-Prinzipien beachten, wen wundert es da noch, wenn Endbenutzer auf optisch seriös wirkende Phishing-Attacken hereinfallen?

(Ein schneller, defintiv nicht vollständiger, Test der anderen Bank-Webseiten fördert mindestens eine weitere zu Tage die JavaScript von externen Anbietern einbindet.)

Wir werden diesen Post auch unseren Kontakten bei den entsprechenden Banken näherbringen, und sind gespannt auf etwaige Stellungnahmen.

Autor: Robert Waldner

Gmail 2-step Verification

2011-06-08T10:06:52Z

Gmail 2-step Verification

8. Juni 2011

Anlässlich der Meldung von Google, daß wieder einmal "high profile" GMail Accounts gephisht wurden (siehe die ORF Meldung), habe ich mir die neue 2-Factor Verifizierung bei Google angesehen.

Fazit: funktioniert einwandfrei via Smartphone oder normalem GSM phone.

Kurze und prägnante Anleitung als auch diese Video Anleitung. Leider kann man die "application specific Google passwords" nur verwenden, wenn 2-step verification auch aufgedreht ist.

Meiner Meinung nach weiterempfehlenswert!

Autor: L. Aaron Kaplan

"Warum sollte gerade ICH gehackt werden?"

2011-05-30T16:14:17Z

"Warum sollte gerade ICH gehackt werden?"

30. Mai 2011

So denkt Otto Normalverbraucher über sein Risiko, selbst Ziel eines Cyberangriffs zu werden. Tatsächlich sind es aber gar nicht zielgerichtete Angriffe (Targeted Attacks, wie Insider sie nennen), die - quantitativ gesehen - das Gros der heutigen Cyberangriffe darstellen.

"Targeted Attacks"

Von einem zielgerichteten Angriff spricht man, wenn der Angreifer sein Ziel bewusst aussucht, weil sein Profit oder seine Besserstellung in direktem Zusammenhang mit seinem Opfer stehen. Ein typisches Beispiel für solch einen targeted Attack ist Industrie- (oder sonstige) -spionage.

Was solche Angriffe betrifft, hat Otto Normalverbraucher vollkommen recht. Ist er nicht gerade ein Promi oder sonstig polarisierend, ist sein Risiko "gehackt" zu werden recht gering. Anders ist es jedoch bei der zweiten Art von Angriffen ...

"Zum falschen Zeitpunkt am falschen Ort"

Dies ist vielmehr eine Beschreibung des mit dem Angriff verbundenen Szenarios als ein eigenständiger Begriff. Tatsächlich gibt es keinen einen wirklich treffenden Begriff für solche Angriffe, aber "Zum falschen ..." fasst die diesbezüglichen Umstände schon recht gut zusammen.

Dem Angreifer ist es hierbei nicht wichtig WER sein Ziel ist/wird, denn jener/jenes ist eigentlich nur Mittel zum Zweck. Der letztendliche Profit ergibt sich nämlich aus der Quantität dieser "Bauern", wie ein Schachspieler sie nennen würde. Üblicherweise wird man - User/Server/wer auch immer - dabei Teil eines großen, bösen Ganzen:

Aus einem normalen Heim-PC wird eine Art Roboter, der Befehle von einem Kommandanten ausführt.
Aus einem Server wird ein Lieferant für bösartige Software, eine Plattform für Betrugsseiten (z.B. Phishing) oder auch "nur" eine (von vielen) Stationen für Verwirrungsspielchen.

WER stellt also die Quantität in dieser zweiten Angriffvariante? Otto Normalverbraucher, genau! Und genau DAS ist der Hauptgrund (wenn auch nicht der einzige), warum Otto so oft hört, dass er doch bitte seine Systeme (also die verwendete Software auf seinem Heim-PC, Server aber auch Webspace) aktuell halten soll.

Die Frage sollte daher richtigerweise lauten:

"Warum sollte gerade ICH NICHT gehackt werden?"

Autor: Christian Wojner

Der IPv6-Day rückt näher

2011-05-13T14:53:17Z

Der IPv6-Day rückt näher

13. Mai 2011

(8. Juni 2011, siehe http://isoc.org/wp/worldipv6day/ )

Im Zuge dessen hat sich auch CERT.at für die eigene Infrastruktur an die Kandare genommen, und die wichtigsten Services sind jetzt per IPv6 erreichbar.

Das war natürlich nicht ganz friktionsfrei - beispielsweise weigert sich eine der Firewalls für IPv6 eine Default-Route zu verwenden, und musste vorübergehend mit zwei /1-Routen (für ::/1 und 8000::/1) zufrieden gestellt werden.

In diesem Kontext möchten wir auch daran erinnern, dass in immer noch gängigen Setups ("alle internen Clients dürfen nach aussen") Tunnel (zB Teredo) oft einen Weg an den Firewalls vorbei bieten, und ersuchen, die Firewall-Policy entsprechend zu setzen bzw. die Clients entsprechend zu konfigurieren.

Autor: Robert Waldner

MS11-020: Kommt da der nächste Wurm?

2011-04-18T13:54:56Z

MS11-020: Kommt da der nächste Wurm?

18. April 2011

Vor mehr als zwei Jahren hatte Microsoft beim Advisory MS08-067 geschrieben, dass "crafting of a wormable exploit" möglich sei. Und recht haben sie gehabt, wie Conficker dann eindrucksvoll bewiesen hat.

Der Patch-Tuesday im April 2011 enthält auch so ein Zuckerl, nämlich MS11-020:

This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker created a specially crafted SMB packet and sent the packet to an affected system. Firewall best practices and standard default firewall configurations can help protect networks from attacks originating outside the enterprise perimeter that would attempt to exploit these vulnerabilities.

Das Internet Storm Center hat dazu folgendes geschrieben:

The Remote Code Exploit is possible without authentication, so this presents a serious risk to internal networks. Think Downadup/Conficker, or think lateral movement if that will help motivate patching.

Die SMB Ports sollten zwar auf jeder Firewall gefiltert werden, aber als Verbreitungsweg innerhalb einer Organisation klingt das ziemlich böse. Daher auch von uns die Empfehlung:

Bitte mit dem Patchen nicht länger warten, als unbedingt zum Testen nötig.

Autor: Otmar Lendl

Interessantes posting über das Vertrauen in SSL

2011-03-23T11:44:20Z

Interessantes posting über das Vertrauen in SSL

23. März 2011

ioerror (Jacob Applebaum) - bekannt vom Tor Project - hat einen äusserst lesenswerten Post zur Sicherheit und zum Vertrauen in SSL auf blog.torproject.org gestellt.

Zentraler Punkt: wir wissen nicht mehr, welchen CAs wir vertrauen können. Wer den Sourcecode von Mozilla Firefox und Chrome aufmerksam mitliest, wird bemerkt haben, dass plötzlich ein paar Zertifikate als ungültig markiert wurden. Jacob Applebaum geht in seinem Blog Posting darauf ein und analysiert, warum die Zertifikate als ungültig markiert wurden. Bottom-line: wir vertrauen CAs. CAs können unterwandert werden, sie können ihre keys verlieren oder sie können von (vor allem nicht demokratischen) Staaten politisch missbraucht werden, um beliebige Zertifikate zu erstellen. Unsere Browser zeigen dann weiterhin ein "secure" Schlüssel-Symbol an und ein Normalbenutzer wird keinen Unterschied feststellen.

Update: mittlerweile hat auch der Mozilla Blog einen Erklärungstext, was mit den Zertifikaten passiert ist: "Users on a compromised network could be directed to sites using the fraudulent certificates and mistake them for the legitimate sites"

Besorgniserregend...

Autor: L. Aaron Kaplan

Foxit Reader Update

2011-02-28T15:45:22Z

Foxit Reader Update

28. Februar 2011

Weil vielleicht mancher der werten Leser ob des Track-Records von Adobe/Acrobat auf den Foxit Reader umgestiegen ist:

Auch der ist nicht perfekt, aber wenigsten hat Foxit das Problem wirklich zeitnah gefixt.

Da man AFAIK die Autoupdate-Frequenz auf nicht unterhalb einer Woche einstellen kann: Bitte hier ev. händisch das Update anstoßen.

Autor: Otmar Lendl

Apropos Defacements - "Hacked by the Commender"

2011-02-25T00:34:05Z

Apropos Defacements - "Hacked by the Commender"

24. Februar 2011

Wir wären auch an Information über folgendes Defacement interessiert, welches uns in den letzten Tagen gehäuft auffällt:

Hier wird meistens die Start-Seite komplett ersetzt (inkl. Title, Meta-Tags etc.).

Vor allem würde uns interessieren, welche Software hier betroffen ist - gegebenenfalls einfach Mail an team@cert.at.

Autor: Robert Waldner

Defacements via osCommerce

2011-02-24T12:40:52Z

Defacements via osCommerce

24. Februar 2011

Wir sehen gerade eine Welle an Defacements, die anscheinend via osCommerce (verbreitete Webshop-Software) eingebracht werden - konkret findet sich auf kompromittierten osCommerce-Sites eine Datei x.txt im /images/-Folder, mit dem Inhalt "iskorpitx".

Wir konnten bislang noch nicht eruieren, ob dies nur ungewartete oder auch aktuelle und sicher konfigurierte Installationen betrifft - wie üblich sind wir für entsprechende Informationen/Logs/Malware-Samples/etc. dankbar, um der Sache auf den Grund gehen zu können.

osCommerce-Betreiber sollten momentan spezielle Aufmerksamkeit auf ihre Webseiten richten.

Autor: Robert Waldner

OWASP: Absolutes Must für Web-Entwickler

2011-01-18T17:27:53Z

OWASP: Absolutes Must für Web-Entwickler

18. Jänner 2011

Web-Entwickler sind kreative Menschen und verstehen es perfekt - der eine mehr, der andere weniger - das Wesen des Kunden im World Wide Web in Szene zu setzen. Zu einem erfolgreichen Webauftritt, reicht es aber längst nicht mehr nur das Auge zu bedienen, nein, auch wie es um dessen Sicherheit bestellt ist (und damit ist nicht das "Auge" gemeint), mag insbesondere im negativen Fall (Hack? Defacement? ...) nachhaltig image-prägend wirken.

Um einem solchen Negativerlebnis (aus Sicht des Kunden) oder Misserfolg (aus Sicht des Entwicklers) proaktiv entgegenwirken zu können, wurde einst das "freie" Projekt OWASP ins Leben gerufen. OWASP bietet allen an einer typischen Web-Applikation beteiligten Personen (Rollen) spezifisches Wissen, wie am besten den klassischen Fallstricken wie XSS, SQL-Injection, usw. zu begegnen ist.
Mehr noch, OWASP bietet eine Live-CD an, die eine nach allen Regeln der Kunst verwundbare Web-Applikation beinhaltet, die nach Lust und Laune attackiert werden darf. Ziel ist es aber natürlich wie immer nicht, "schwarz" zu werden, sondern vielmehr, sich der Möglichkeiten, der Auswirkungen, aber in erster Linie deren Ursachen bewusst zu werden. Spielerisch motivierend belegt man im Zuge der Live-CD einen im Schwierigkeitsgrad ansteigenden Kurs, bei dem man neben dem initialen "Hack" sinnvollerweise auch gleich die Behebung der entsprechenden Sicherheitslücke bewerkstelligen muss, bzw. vorgeführt bekommt.

Alles in allem, eine wertvolle Lektüre/Zeitvertreib, die den einen oder anderen Web-Entwickler sich die Frage stellen lassen sollte, ob es nicht sinnvoll wäre, sich eine entsprechende "sicher gemäß OWASP"-Plankette oder Ähnliches, an sein/ihr Aushängeschild (Website!) heften zu wollen.

Autor: Christian Wojner

Email Hoax: Warnung vom Bundeskriminalamt

2011-01-13T11:23:51Z

Email Hoax: Warnung vom Bundeskriminalamt

13. Jänner 2011

Ein Email Hoax ist eine Falschmeldung, die ein Eigenleben entwickelt hat. Diese Mails werden von den Leuten, die drauf reingefallen sind, brav weiter verteilt und so am Leben erhalten.

Solche Kettenbriefe gibt es seit den Urzeiten des Internets: von der Modemsteuer, der Spende von Microsoft, wenn man Mails an Bill Gates schickt, bis hin zum Aufruf, Postkarten an ein sterbendes Kind zu schicken. Snopes hat ein ausgiebiges Archiv zu diesem Thema.

Auch auf Deutsch gibt es mittlerweile eine Reihe dieser Mails, die sich wie die jährliche Grippewelle immer wieder über Online-Foren und per Email ausbreiten. Die TU Berlin betreibt ein Archiv dieser "Urban Legends": bevor man eine Warn-Mail weiter schickt sollte man also tunlichst dort nachsehen, ob man nicht einem Hoax aufgesessen ist.

Aktuell geht wieder einen Mail um, die vor einem Virus warnt, der eine "Olympia-Fackel" öffnet und die Festplatte zerstört. Angeblich stammt diese Mail von "Erika Weber", einer Mitarbeiterin des österreichischen Bundeskriminalamts.

Diese Mail ist völlig frei erfunden. Sie kursiert seit mehr als einem Jahr. Da ist nichts dran. Es gibt zwar die Erika Weber wirklich, diese hat aber nichts mit dieser Mail zu tun.

Bitte, Bitte, vermeiden sie Panikmache per Email und verweisen die Sender solcher Mail an diesen Blog-Eintrag oder gleich an die TU Berlin.

Autor: Otmar Lendl

DDoS mittels JavaScript

2010-12-21T09:52:26Z

DDoS mittels JavaScript

21. Dezember 2010

Wir hatte voriges Jahr das e-Voting bei der ÖH-Wahl begleitet, und mussten uns im dem Kontext mit einem als "Messtool" getarnten DDoS Angriff herumschlagen. (siehe etwa hier versus hier)

Heute war auf Slashdot eine Artikel verlinkt, der zeigt, dass das mit den neuen Features von HTML 5 gleich noch viel effizienter geht.

Nur wenigstens ist "lava" so ehrlich, dass Ding beim Namen zu nennen: Das ist ein DDoS Tool.

Autor: Otmar Lendl

1.3 Millionen Gawker Passwörter öffentlich im Internet

2010-12-14T11:20:53Z

1.3 Millionen Gawker Passwörter öffentlich im Internet

14. Dezember 2010

Die Firma Gawker.com sowie die damit verbundenen Portale lifehacker.com, Gizmodo, Gawker, Deadspin, Kotaku, Jezebel, IO9 und Jalopnik hat eine Menge Passwörter "verloren". Sprich: die gesamte Datenbank wurde gehackt und im Quelltext auf das Bittorrent Filesharing Netzwerk gestellt (siehe auch den Artikel bei Heise).

CERT.at analysiert jetzt die (mittlerweile der ganzen Welt bekannten) Passwörter und wird die Betroffenen in Österreich informieren, dass sie ihr Passwort ändern sollen.

Am besten auf jedem Account. Leider tendieren Benutzer dazu, Passwörter immer wieder zu verwenden (oder nur ganz leicht zu variieren).

Autor: L. Aaron Kaplan

Noch mehr automatisierte Malware-Benachrichtigungen

2010-12-03T15:39:13Z

Noch mehr automatisierte Malware-Benachrichtigungen

3. Dezember 2010

Wie viele der Netzbetreiber hierzulande schon (zwangsweise) wissen, erhält CERT.at aus verschiedenen Quellen Daten über mit diverser Malware infizierte IP-Adressen in Österreich, und leitet diese an die entsprechenden ISPs weiter. Nun, seit heute bekommen wir dazu auch Daten aus einem weiteren Honeypot-System, diesmal aus den Niederlanden, und ab nächster Woche können wir auch diese an die ISPs weiterleiten.

Brace for impact ;-)

Autor: Robert Waldner

Defacements in robots.txt

2010-11-26T17:07:47Z

Defacements in robots.txt

26. November 2010

Soeben sind rund 25 Defacements über unsere Such-Software eingetrudelt, bei denen sich das Defacement in der robots.txt verbirgt - die letzte Zeile lautet

AhliSyurgaCrew Was Here

Wenn jemand Informationen hat, welche Lücke bzw. welche Software hier betroffen ist, wären wir durchaus dankbar.
Update: ersten Informationen zufolge dürfte es sich dabei um das Joomla-Plugin "OzioGallery2" handeln - mit der Lücke lassen sich beliebige Files überschreiben (mit den Rechten des Webserver-Users).
Update2: es ist nur die Version 2.2, aktuell wäre 2.3, von "OzioGallery2" betroffen.

Autor: Robert Waldner

CERT.at auf der DeepSec 2010

2010-11-25T12:04:55Z

CERT.at auf der DeepSec 2010

25. November 2010

CERT.at nimmt selbstverständlich an der soeben stattfindenden DeepSec-Konferenz in Wien teil, und (unerwarteterweise, bedingt durch einen kurzfristigen Ausfall), sogar mit einem Sneak Preview unseres aktuellen Vortrags zu Minibis, der eigentlich erst zur FIRST-Konferenz im Juni 2011 (die übrigens auch in Wien stattfinden wird - eine gute Gelegenheit, Reisebudget-schonend zu netzwerken) geplant war.

Vorbeischauen lohnt sich auf jeden Fall (und nicht nur wegen "unserem" Vortrag!).

Autor: Robert Waldner

Aktuelle "Indonesia" Defacement-Welle

2010-11-23T16:37:23Z

Aktuelle "Indonesia" Defacement-Welle

23. November 2010

Wir sehen aktuell eine Menge Defacements a la

In den Apache-Logs sieht das so aus:
x.x.x.x - - [23/Nov/2010:04:04:07 +0100] "POST /catalog/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 200 2242 x.x.x.x - - [23/Nov/2010:04:04:07 +0100] "GET /catalog/images/indonesia.htm HTTP/1.1" 200 947
Wir konnten bisher nicht in Erfahrung bringen, welche Shop-/Blog-Software das genau betrifft - Update sobald wir mehr wissen. Update: die betroffene Software ist osCommerce

Betroffene Seiten lassen sich recht einfach am ..../indonesia.htm erkennen.

Autor: Robert Waldner

Symantecs Stuxnet Analysen und Demo

2010-11-15T09:07:40Z

Symantecs Stuxnet Analysen und Demo

15. November 2010

Symantec hat beim Stuxnet Thema nicht locker gelassen und ein interessantes Demo auf Youtube gestellt. Es wird eindrucksvoll (aber harmlos) demonstriert, wie sich Schadcode in Steuerungsanlagen auswirken kann. Weiters erklärt Eric Chien von Symantec in seinem Blog Beitrag, dass der Schadcode auf den PLCs (Programmable Logic Controllers) auf einen bestimmten Typ von Frequenzumrichter abzielte.
Diese Frequenzumrichter bewegen sich im Bereich 807Hz bis 1210 Hz. Laut Symantec ist es nun erwiesen, dass Stuxnet die Output-Frequenz der Frequenzumrichter verändern kann.

Mehr interessante Details Details im Blog von Symantec.

Autor: L. Aaron Kaplan

Cyber Europe 2010

2010-11-13T21:10:31Z

Cyber Europe 2010

13. November 2010

CERT.at & GovCERT.gv.at haben selbstverständlich an der "Cyber Europe 2010" Übung teilgenommen, wenn auch, bedingt durch einen zu bearbeitenden realen Vorfall, nicht in voller Stärke.

Alles in allem kann man getrost behaupten, dass die Übung ein voller Erfolg war, hier der entsprechende Press Release der ENISA dazu: http://www.enisa.europa.eu/media/press-releases/cyber-europe-2010-a-successful-2019cyber-stress-test2019-for-europe

Wir müssen gut 50 Telephonate mit anderen CERTs und Security-Organisationen in Europa geführt haben, von der Flut an Emails noch gar nicht zu sprechen. Dabei haben wir auch durchaus Verbesserungsmöglichkeiten in unseren internen Abläufen ausgemacht, die demnächst umzusetzen sein werden.

(Und auch an der Satire-Presse ist das nicht spurlos vorüber gegangen, siehe zB http://newstechnica.com/2010/11/06/europe-simulates-total-cyber-war/).

Und, weil in der Presse bereits von "verfehlter Übungsannahme" und dergleichen zu lesen war: der simulierte Vorfall sollte kein reales Szenario wiedergeben, sondern nur als Ausrede dienen, mit vielen anderen in Kontakt zu treten und etwas zu koordinieren zu haben. Aussagen wie "too focused on DDoS" gehen daher an der Problemstellung vorbei - reale Vorfälle lassen sich sowieso nicht exakt vorhersagen, daher war das Ziel hier, die Prozesse zur Vorfallsbehandlung zu testen, nicht spezifische Szenarien.

Autor: Robert Waldner

Contacting CERTs

2010-11-02T17:52:34Z

Contacting CERTs

2. November 2010

Das SANS ISC hat einen netten kleinen Artikel ueber das Kontaktieren von CERTs: http://isc.sans.org/diary.html?storyid=9841

Autor: Robert Waldner

Mapping the Malware Web

2010-11-02T17:46:29Z

Mapping the Malware Web

27. Oktober 2010

McAfee published the 2010 "Mapping the Malware Web" report. The explanations and trends in there are worth looking at. More importantly, for us as the CERT, this report is one of the few independent studies which provides us with real numbers on the state of the IT Security game in Austria.

.at is ranked as the 76th most dangerous TLD with an infection-rate of about 0.4%. This is up from 89th and 0.2% of 2009. We should do better here.

We've got work to do. And we've actually prepared a number of internal tools and data-feeds to work on exactly this problem. So be prepared to hear more from us regarding malicious domains in the near future.

Autor: Otmar Lendl

Enabling DNSSEC Validation

2010-11-04T10:39:09Z

Enabling DNSSEC Validation

19. Oktober 2010

This week, Comcast announced that they will enable DNSSEC validation on their production resolvers. One thing one might want to keep in mind if you do that:

People make mistakes. Some domain owners will break their DNSSEC signatures. We've seen a good number of these in 1010, including TLDs like .arpa, .be, and .uk. I asked Comcast if they have a policy on how to deal with such events. According to Jason Livingood, Comcast will inform their users, and notifiy the owners of the broken domain. I aswered:

From a technology PoV that's certainly a valid policy.
There are two issues you might think through before you run into them in real life:
When people break their "normal" DNS, all ISPs are affected more or less equally (disregarding caching-effects for now). But as long as Verizon, AT&T and others don't validate as well, your customer will notice that he can't do online-banking while his neighbor on DSL can. This will be discussed on social media platforms and people will compare which access ISPs "work" and which don't. The fact that the problem is on the other end is kind of hard to explain and will be lost in the outrage.
There will be customers which will need immediate access to the blacked-out domain NOW or they will suffer financial damage, couldn't book their golfing tour, or whatever else will bring them to threaten you with legal action. From their PoV, Comcast is suppressing their communication and hotheads will sue. After all, if you already know that DNSSEC is blocking their IMPORTANT business, why don't you just disable it? Depending on what kinds of domains are affected, this might escalate to the very top faster that you might anticipate.
Be prepared.

Autor: Otmar Lendl

Neues OpenSSH (5.6)

2010-11-02T17:32:29Z

Neues OpenSSH (5.6)

25. August 2010

Changelog: http://www.openssh.com/txt/release-5.6

Autor: Robert Waldner

Team Cymru veroeffentlicht WinMHR

2010-11-02T17:33:46Z

Team Cymru veroeffentlicht WinMHR

25. August 2010

'....The non-profit, Chicago-based internet security research firm Team Cymru (pronounced 'kum-ree') will release a new tool next month that it hopes will be a game changer in the fight against world-wide cyber crime......'

http://www.csoonline.com/article/605466/free-tool-from-team-cymru-aims-to-help-fight-malware

Autor: Robert Waldner

Wieder mal (potentieller) lokaler Linux root-Exploit

2010-11-02T17:34:01Z

Wieder mal (potentieller) lokaler Linux root-Exploit

25. August 2010

http://www.heise.de/security/meldung/Root-Rechte-durch-Linux-Kernel-Bug-1061153.html

Durch ein konzeptionelles Problem in der Speicherverwaltung von Linux können lokale Angreifer unter Linux Code mit Root-Rechten ausführen, wie Rafal Wojtczuk in seinem Paper beschreibt. Das Problem beruht auf der mögliche Überschneidung der Speicherbereiche des Stacks und von Shared-Memory-Segmenten unter Linux. ... Laut Sicherheitsexpertin Joanna Rutkowska ist die Schwachstelle schon seit Jahren im Kernel vorhanden, vermutlich seit der Veröffentlichung von Version 2.6 im Dezember 2003 ... Ausnutzen lässt sich Schwachstelle bei allen älteren Versionen, sofern auf dem System ein X-Server läuft. Will man ein System aus der Ferne kompromittieren, müsste man zunächst eine weitere Lücke ausnutzen, um überhaupt Code auf das System schleusen und ausführen zu können. Im zweiten Schritt würde man sich denn auf dem oben beschriebenen Weg Root-Rechte verschaffen. ...

Nicht allzu tragisch also, aber falls jemand nicht ganz so vertrauenswuerdige lokale User auf seinen Linux-Maschinen hat ...

Autor: Robert Waldner

Firefox-Plugins fuer Pen-Tests

2010-11-02T17:35:06Z

Firefox-Plugins fuer Pen-Tests

24. August 2010

Ein rezenter Post im Avast-Forum (http://forum.avast.com/index.php?topic=63117.0) listet etliche praktische Firefox-Plugins:

Multi-proxy-switch: https://addons.mozilla.org/en-US/firefox/addon/7330/
https://addons.mozilla.org/en-US/firefox/addon/2464/ to quickly change between Burp and Tor
PacketlessRecon https://addons.mozilla.org/en-US/firefox/addon/6196/ gain packet less info on the target
Show Ip https://addons.mozilla.org/en-US/firefox/addon/590/ shows server IP and additional\\ IP-adresses in case of load balancing.
Live HTTP-headers: https://addons.mozilla.org/en-US/firefox/addon/3829/ view HTTP-headers of a page
Wappalyzer: https://addons.mozilla.org/en-US/firefox/addon/10229/
Backend software Information https://addons.mozilla.org/en-US/firefox/addon/10493/ to identify platform frameworks and major apps
Hackbar: https://addons.mozilla.org/en-US/firefox/addon/3899/ to enter POST requests
Add and edit cookies: https://addons.mozilla.org/en-US/firefox/addon/13793/ to inspect cookies and testing
Firebug: https://addons.mozilla.org/en-US/firefox/addon/1843/
Wilderbug: http://www.command-tab.com/2008/01/19/widerbug-widescreen-firebug/ with all sort of tools and options
Lazarus: https://addons.mozilla.org/en-US/firefox/addon/6984/ will memorize info on web forms
FxIF: https://addons.mozilla.org/en-US/firefox/addon/5673/ for analyzing META information
Fireforce: https://addons.mozilla.org/en-US/firefox/addon/64765/ brute force attacker via GET and POST
Another good tool is the FireCAT: https://addons.mozilla.org/en-US/firefox/collection/firecat1_5_plus
Malware Search https://addons.mozilla.org/en-US/firefox/addon/6718/
RequestPolicy add-on: https://addons.mozilla.org/en-US/firefox/addon/9727/

(Wir haben nicht alle Addons selbst getestet, Benutzung auf eigene Gefahr etc.)

Autor: Robert Waldner

Skype-Crypto ge-reverse-engineered

2010-11-03T11:55:21Z

Skype-Crypto ge-reverse-engineered

24. August 2010

am 27. CCC in Berlin wird es wohl einen besonders interessanten Vortrag geben:

....For eight years, Skype enjoyed selling the world security by obscurity. We must admit, really good obscurity. I mean, really really good obscurity. So good that almost no one has been able to reverse engineer it out of the numerous Skype binaries. Those who could, didn't dare to publish their code, as it most certainly looked scarier than Frankenstein.

The time has come to reveal this secret......

Das heisst nichts anderes, als dass die Skype Kryptographie komplett reverse engineered wurde und der source code ist oeffentlich am Internet downloadbar. Die Autoren geben auch an, dass (...) code is already being used by hackers and spammers.

http://www.enrupt.com/index.php/2010/07/07/skype-biggest-secret-revealed

Spannend wird jetzt unter anderem, wie Skype darauf reagiert? Neu-Auflage von "security by obscurity" mit einfach anderen Crypto-Layern, oder vielleicht doch mal auf bekannten Algorithmen aufbauen und das Geschaeftsmodell auf weniger toenerne Fuesse stellen?

Autor: L. Aaron Kaplan