www.CERT.at - Blog

Anonymous vs. root DNS?

CERT.at — Fri, 17 Feb 2012 11:56:53 GMT

Anonymous vs. root DNS?

17. Februar 2012

Vor kurzem hat Anonymous (wobei bekannt ist, dass Anonymous keine homogene Gruppe ist und jede/r eine "Aktion" vorschlagen kann) angekündigt, die Root DNS Server angreifen zu wollen. Hier die Ankündigung.

Frage: Müssen wir uns davor fürchten, dass das Internet zusammenbricht? Antwort: Nach derzeitigem Wissensstand vermutlich nicht.

Frage: was sind die DNS Root server? Und warum sind sie relevant? Antwort: In kürze kann man sagen, dass die DNS Root Server so was wie die wichtigsten Einträge im globalen Domain "Telefonbuch" sind. Wenn ein Rechner am Internet die IP Adresse eines anderen finden möchte, fragt er das DNS System.

Längere Antwort: die DNS Root Server (benannt nach den Buchstaben A-M, ursprünglich 13 Server) hosten die sogenannte "Root DNS Zone". Das ist die Konfiguration, die anderen Servern und Rechnern am Internet sagt, an welche anderen DNS Server sie sich wenden müssen, wenn zB die IP Adresse zum Domain Namen "CERT.at" gesucht wird. Der Root Server würde sagen, dass es sich anscheinend um eine .AT domaine handelt, und dass der Anfragende doch die .AT Domain Server fragen soll. Dann geht das Spiel weiter und der Anfragende schickt ein "Query" Paket an die .AT DNS Server. Usw.

Frage: und was will jetzt Anonymous mit den DNS Root Servern machen? Antwort: laut Ankündigung wollen sie einen sogenannten DNS Amplification Attack gegen die Root DNS Server fahren. Das heisst, dass sie diese Server mit vielen Paketen überlasten wollen. Hierbei werden diese Pakete nicht direkt dorthin geschickt sondern ("amplification"/"redirection") über offene rekursive DNS Server gespielt.

Frage: und wenn sie erfolgreich sind, was dann? Antwort: theoretisch - wenn der Angriff erfolgreich wäre - dann hätte unter anderem auch Anonymous kein gut funktionierendes DNS System mehr. Das heisst, wenn Anonymous sich untereinander unterhalten will, wird es auch für Anonymous schwer sein, sich alle IP Adressen von allen Servern im Kopf zu merken. Googlen oder Surfen wird sehr sehr mühsam. Für alle.

Man könnte auch sagen - Anonymous sägt am eigenen Ast, auf dem sie selbst sitzen.

Weitere Informationen:

Errate Security's Analyse, was bei dem Angriff realistisch sein kann und was nicht.

Team Cymru hat eine schöne live-Statistik über die Root DNS Server.

Autor: L. Aaron Kaplan

Cyber Security

CERT.at — Tue, 07 Feb 2012 21:03:52 GMT

Cyber Security

7. Februar 2012

Es wird zum Thema Cyberwar und Cybersecurity viel heiße Luft produziert. Ich finde es daher ausgesprochen erfrischend, einen sehr fundierten Artikel dazu im Heeresmagazin "Truppendienst" zu finden.

Wenn ich schon beim Verlinken bin: als Gegenstimme zu diversen Cyberwar Paranoikern finde ich Marcus Ranum interessant.

Autor: Otmar Lendl

PHP und max_input_vars

CERT.at — Tue, 07 Feb 2012 09:35:56 GMT

PHP und max_input_vars

3. Februar 2012

Um Neujahr herum wurde ein altes Problem wieder aufgewärmt: Man kann durch gezielte Hash-Collisions einen DoS-Angriff gegen Webserver fahren, indem man POST-Requests mit sehr vielen Parametern absetzt. Viele Web-Frameworks speichern diese CGI-Parameter in assoziativen Arrays und diese haben ein schlechtes Worst-Case-Verhalten, wenn die Schlüsselwerte absichtlich ungünstig gewählt werden.

PHP hat prompt reagiert und einen Patch herausgebracht. Dieser hat sich inzwischen als fehlerhaft herausgestellt weil er das Einschleusen und Ausführen von Code erlaubt.

Oops.

Der Fix dafür ist jetzt erhältlich. Diese Episode zeigt aber ganz gut, dass die Reaktionszeit auf Sicherheitslücken nicht das einzige Kriterium ist: auch die Korrektheit des Patches ist relevant. Es gibt einen Grund, warum kommerzielle Softwareanbieter ein rigoroses Testprogramm für Updates fahren. Ja, das kostet Zeit, spart aber hoffentlich solche Gotchas wie wir es gerade von PHP gesehen haben.

Autor: Otmar Lendl

Ein Meilenstein für das CERT

CERT.at — Mon, 30 Jan 2012 18:18:48 GMT

Ein Meilenstein für das CERT

30. Jänner 2012

Vor rund einem Jahr konnte nic.at die 1-Millionste .at-Domain begrüßen, und heute haben wir im CERT ein rundes Jubiläum zu feiern:

Die tägliche Mail mit den vom DNSChanger betroffenen IP-Adressen im Netz von T-Mobile ging mit der Ticket-Nummer 100.000 an das dortige Abuse-Team.

Wir sind jetzt fast vier Jahr in Betrieb (April 2008 war Start des Testbetriebs). Dieses runde Ticket-Jubiläum ist eine gute Gelegenheit, ein bisschen zurückzuschauen, was wir uns in den vier Jahren erarbeitet haben.

Wir hatten den DNS/Kaminsky-GAU, Conficker und die Anonymous Hacks. Wir wurden vom Nobody zu einem anerkannten Sicherheitszentrum. Sowohl innerhalb Österreichs, als auch in der Community der CERTs. War es anfangs noch schwierig, Öffentlichkeitsarbeit zu machen, so rufen uns jetzt die Journalisten an, wenn es Stories zu IT-Sicherheitsthemen zu machen gilt.

Kurz: wir sind stolz auf das, was wir bereits erreicht haben.

Es wird noch mehr kommen -- denn dass uns die Arbeit ausgehen wird, ist leider nicht zu hoffen. Es bleibt spannend.

Autor: Otmar Lendl

Lesestoff

CERT.at — Thu, 26 Jan 2012 16:55:51 GMT

Lesestoff

26. Jänner 2012

Einige der Firmen in der Security-Branche geben regelmäßig Berichte zur Lage der weltweiten IT-Sicherheit heraus. Diese sind oft sehr lesenswert, weil diese Firmen aus erster Hand wissen, was sich getan hat. Auch der Security Intelligence Report von Microsoft enthält wertvolle Informationen.

Eben erreicht uns die Meldung, dass Sophos seinen neuesten Security Threat Report veröffentlicht hat.

Wie Karl Farkas sagen würde: "Schau'n Sie sich das an!"

Autor: Otmar Lendl

Kontext zum DNSChanger

CERT.at — Fri, 13 Jan 2012 12:52:59 GMT

Kontext zum DNSChanger

13. Jänner 2012

Aktuell gibt es viele Medienberichte zum DNSChanger, primär weil es einen einfachen Online-Test gibt und weil mit dem 8. März ein Datum feststeht, zu dem etwas passieren könnte.

Aus der Sicht des CERTs ist DNSChanger Routine: wir bekommen IP-Adressen die infiziert sein könnten und geben diese an die ISPs weiter. Die Command & Control - Server sind vom FBI bereits übernommen, es besteht daher keine aktive Gefahr für User in den infizierten Netzen. Es ist eine reine Aufräumaktion. Und mit weniger als 2000 IP-Adressen in Österreich auch keine wirklich große Sache.

Die Gefahr für die Internet-Nutzer in Österreich ist aktuell woanders. DNSChanger ist nur eines von vielen Botnetzen, die PCs von Österreichern fernsteuern. Laut aktuellen Zahlen etwa sind rund zehn mal so viele PCs noch immer mit Conficker infiziert, als mit DNSChanger. Auch dafür gibt es einfache Tests (Alternative), um eine Infektion über einen einfachen Webseitenbesuch festzustellen.

Wirklich böse sind aber die Botnetze, die Passwörter der Nutzer stehlen oder Online-Banking Transaktionen verfälschen. Leider ist dort die Erkennung nicht so trivial. Ein simpler Besuch einer Webseite reicht da nicht, in machen Fällen tut sich auch Anti-Viren Software sehr schwer, diese Schadsoftware zu erkennen.

Was kann man also tun?

Am besten ist natürlich, sich erst gar keine Schadsoftware einzufangen. Dazu gibt es folgende Faustregeln:

Nur das installieren, was man selber aktiv gesucht hat.
In vielen Fällen probieren die Cyberkriminellen den Nutzer zu überreden, die Schadsoftware selber zu installieren. Das kann ein "Codec" sein, den man angeblich braucht, um ein Video anschauen zu können, das kann eine "Sicherheitssoftware" sein, die gegen vorgetäuschte Probleme helfen soll, ein "Dokument" eines Anwalts, oder einfach nur ein "lustiges Programm", das Schafe am Bildschirm tanzen lässt.
Das, was man installiert hat, auch aktuell halten.
Das fängt beim Betriebssystem selber an: ein Windows XP aus 2001 ist auch mit allen Updates nicht mehr zeitgemäß. Ohne monatliche Updates ist jedes Windows gefährdet, diese sollten möglichst rasch (oft am besten automatisch) installiert werden. Auch eine aktueller Virenschutz und die Firewall gehören zur Grundsicherung.
Aber auch in anderen Programme werden regelmäßig Schwachstellen gefunden, die über Aktualisierungen behoben werden müssen. Dazu gehören etwa die Browser (Firefox, Opera, Chrome, ..), deren Plugins (Flash, Java) und andere Software, die Dateien aus dem Internet bearbeiten (PDF-Reader, Medienplayer, ...).
Händisch ist das alles fast nicht zu schaffen, es ist daher sinnvoll, möglichst überall Autoupdates einzuschalten und Tools (etwa PSI, Firefox Check, BrowserCheck, ...) zu verwenden, die systematisch veraltete Programme erkennen.
Was man nicht mehr braucht, auch löschen.
Eine de-installierte Software kann nicht ausgenutzt werden.

Die Entfernung einer schon aktiven Infektion des eigenen Computers ist leider nicht immer einfach; nur ein komplette Neuinstallation (von garantiert sauberen Medien) kann das garantieren.

Antivirensoftware hat es oft sehr schwer, im laufenden System alle möglichen Infektionen zu erkennen und zu beseitigen. Es ist daher empfehlenswert, sich vom AV-Herstellers seines Vertrauens eine Notfalls-CD zu besorgen, den Rechner von dieser zu starten und so den PC zu scannen.

In Deutschland gibt es dazu bereits ein staatlich gefördertes Projekt, das passende CDs bereitstellt.

Autor: Otmar Lendl

DNSChanger: Jetzt einfach Testen

CERT.at — Thu, 12 Jan 2012 12:03:19 GMT

DNSChanger: Jetzt einfach Testen

11. Jänner 2012

Es ist durchaus üblich, dass Schadsoftware in die Namesauflösung von Computern eingreift und so den Webbrowser des Nutzers gezielt in die Irre führen kann. Wegen genau diesem Verhalten wurde eine bestimmte Schadsoftware "DNSChanger" genannt.

Das Botnet all der PCs (Windows und OS X), die diese Infektion hatten, wurde im Herbst 2011 vom FBI in einer international koordinierten Aktion angegangen: die zentralen Steuerelemente ("Command & Control Server") des Botnets wurden der Kontrolle der Kriminellen entrissen.

Auch die Nameserver, die die Malware ihren Opfern konfiguriert hat, werden jetzt von Behörden kontrolliert und liefern jetzt korrekte Antworten. Aus den Zugriffslogs dieser Server lässt sich ableiten, wo im Internet DNSChanger-Infektionen aktiv sind. Die Österreich betreffenden Daten werden an CERT.at übermittelt und wir geben diese Informationen seit Wochen an die Netzbetreiber (ISPs) weiter. Aktuell sind das zwischen 1500 und 2000 verschiedene IP-Adressen pro Tag.

Sowohl das FBI, als auch unsere Kollegen aus Deutschland, haben einfache Testseiten ins Netz gestellt, mit deren Hilfe ganz einfach festgestellt werden kann, ob man selber betroffen ist oder nicht.

http://www.baddns.com (Englisch)
http://www.dns-ok.de (Deutsch) (Alles ok, Infektionsfall)

Es wurde jetzt angekündigt, dass die Nameserver des DNSChanger Botnets nur noch bis 8. März weiter betrieben werden. Wer dann immer noch infiziert ist, kann dann keine Domainnamen mehr auflösen und ist damit quasi offline.

Wir empfehlen daher dringend, diesen einfachen Test gleich zu machen und gegebenenfalls den eigenen PC bzw. den Router zu säubern.

Informationen dazu:

DNSChanger Working Group
Original-Artikel im Spiegel, Aktueller Artikel zum Test
Dokument des FBI (Englisch)
Botfrei.de Blog
Tools zum Entfernen (Windows und Mac)

Autor: Otmar Lendl

Einbruch bei Online-Rollenspiel Rift

CERT.at — Fri, 23 Dec 2011 16:00:18 GMT

Einbruch bei Online-Rollenspiel Rift

23. Dezember 2011

Wer einen Account bei diesem Online-Rollenspiel hat, sollte wohl (zumindest) ebendort sein Passwort ändern, wie heise berichtet.

Generell empfehlen wir, bei all solchen Diensten jeweils ein eigenes Passwort zu verwenden.

Autor: Robert Waldner

Cacti anfällig für Script-injection

CERT.at — Fri, 23 Dec 2011 12:22:18 GMT

Cacti anfällig für Script-injection

23. Dezember 2011

Wie SecurityFocus soeben berichtet hat, dürfte es eine Verwundbarkeit bei dem beliebten Tool "Cacti" geben. Dieses wird oft von ISPs verwendet, um ihren Kunden Einsicht in Datenvolumenverbrauch zu geben.

Dabei ist es möglich, dem Benutzer einen Link zu schicken, der - sobald angeklickt - Javascript Code im Kontext der Cacti Seite beim User ausführt und somit die Berechtigung des Benutzers hat.

Laut www.cacti.net gibt es mittlerweile schon Updates (Version 0.8.7i), die das Problem beheben.

Autor: L. Aaron Kaplan

IE6 stirbt aus

CERT.at — Mon, 19 Dec 2011 16:14:07 GMT

IE6 stirbt aus

19. Dezember 2011

Der Internet Explorer 6 hat schon länger seine Daseinsberechtigung verloren. Sowohl Web-Programmierer (die Workarounds aus Kompatibilitätsgründen wurden immer schmerzhafter) und Microsoft (ein Sicherheitsalbtraum) wollten ihn schon seit Jahren loswerden.

Das scheint jetzt endlich gelungen zu sein: Österreich hat jetzt < 1% IE6 laut Microsofts IE6 Countdown Seite.

Und das ist für uns alle gut.

Autor: Otmar Lendl

Achtung vor Apache mod_proxy Fehler

CERT.at — Thu, 24 Nov 2011 18:53:46 GMT

Achtung vor Apache mod_proxy Fehler

24. November 2011

Prutha Parikh (Qualys) schreibt in ihrem Blog über einen interessanten Bug in mod_proxy (Apache Modul). Damit ist es möglich, vom Internet aus, interne Systeme zu erreichen.

Im Prinzip kann man durch eine extra ":" in einem request URI Ports von internen Systemen angeben und diese somit erreichen.

Prutha Parikh schlägt vor, in der entsprechenden mod_proxy rewrite rule einfach ein "/" anzhängen.

Fazit: mod_proxy ist nicht ungefährlich.

Autor: L. Aaron Kaplan

Wie trete ich mir am sichersten Malware ein?

CERT.at — Wed, 05 Oct 2011 22:01:16 GMT

Wie trete ich mir am sichersten Malware ein?

5. Oktober 2011

Die dänische IT Security Gruppe CSIS hat soeben interessante Studienergebnisse veröffentlicht, die es auf Slashdot geschafft haben. In dem Blog Eintrag von CSIS ("This is how Windows gets infected with Malware") wird erklärt, was die häufigsten Einfallstore für Drive-By-Downloads sind: IE (Firefox ist an zweiter Stelle), Windows XP (dicht gefolgt von Vista!) und Java JRE und Adobe Reader und Flash. Laut Eigenangabe beinhaltet die Messung ca. eine halbe Million Webseitenbesuche.

Dies spiegelt sehr schön unsere Warnings bei CERT.at wieder. Ein Grossteil der Benutzer hat einfach IE oder Firefox und Windows XP als auch Adobe Produkte installiert. CERT.at schreibt bewusst nur dann Warnings, wenn die Lücke viele Leute betrifft und meist via remote-code execution ausnützbar ist.

Natürlich ist der CSIS Bericht auch perfekt dazu da, um Heimdal, das Produkt von CSIS zu vermarkten. Nichts destotrotz ist der Blogeintrag aber lesenswert.

Updaten, updaten, updaten!

Autor: L. Aaron Kaplan

Aktueller Angriff auf SSL / TLS1.0

CERT.at — Wed, 21 Sep 2011 08:30:53 GMT

Aktueller Angriff auf SSL / TLS1.0

21. September 2011

Aktuell wird in einigen Online-Medien über einen Angriff auf SSL/TLSgeschrieben, siehe etwa The Register, Threatpost oder Heise.

Wir sind am recherchieren, was jetzt schon bekannt ist. Der Vortrag ist für Freitag, den 23. September angekündigt, ab dann sollten gesicherte Informationen vorliegen.

Aktuell stellt sich die Lage so da (Achtung: das stimmt vielleicht nicht 100%ig, da ist noch Raten dabei):

Das zugrunde liegende Problem in TLS1.0 ist schon lange bekannt. Siehe openssl oder dieses Paper. Neu scheint zu sein, dass der bislang theoretische Angriff jetzt in der Praxis funktioniert.

TLS 1.1 und 1.2 korrigieren das Problem, sind aber aus Kompatibilitätsgründen noch nicht wirklich im Einsatz.

Der Angriff basiert darauf, dass neben der anzugreifenden TLS Verbindung der Browser sich von irgendwo anders Javascript eintritt, das dann TLS-Requests an das Ziel absetzt. Diese werden in die bestehende TCP/TLS Session hineingemultiplext (Connection-Keepalive!) womit das JavaScript known-plaintext in die anzugreifende session injiziert. Der Abhörende kann damit Parameter der Verschlüsselung ermitteln.

Es gibt mehrere Theorien, was damit möglich ist:

Der know-plaintext Angriff ist voll erfolgreich und das Schlüsselmaterial der Session kann ermittelt werden, und diese so voll entschlüsselt werden.

Die injizierten HTTPS-Requests bekommen vom Browser gültige Session-Cookies (analog zu cross-site request forgery-attacks), wenn man die richtig an blockgrenzen schiebt, kann man hier Zeichen für Zeichen das cookie ermitteln (das mag dann ein bisschen wie blind-sql-injection funktionieren).

Abwehr: Das ist jetzt noch sehr spekulativ.

Connection-Keepalive abdrehen mag helfen, geht aber ernsthaft auf die Performance.

Blockcipher in CBC-mode ist das Problem: TLS erlaubt hier durchaus auch andere Methoden; wie sehr die in allen Browsern und Servern unterstützt werden, ist mir nicht klar.

Der Browser limitiert, welche Requests für eine offene TLS Session in Frage kommen. (etwa: alle, die aus http oder nicht-same origin kommen, dürfen das nicht)

Der Browser könnte das Muster der tausenden ajax-requests erkennen und unterbinden.

TLS 1.1 Das wird dauern und wird nicht ohne Schmerzen gehen.

Der Angriff scheint darauf zu basieren, dass der Cookie-Header an Blockgrenzen ausgerichtet wird. Ein zufälliges Umsortieren der Request-Header mag hier auch etwas helfen.

In die gleiche Kerbe würde ein X- Header nach dem GET/POST schlagen, der ein zufällige Zahl an Zeichen einfügt.

Random padding blocks in die TLS connection einbauen.

Weitere Links dazu: IETF TLS Liste, ycombinator, OpenSSL

Was kann man jetzt tun?
- Aktuell sind wir in dem Zeitfenster, wo alle wild spekulieren und nur wenig harte Informationen vorliegen. Ich rate daher vor Schnellschüssen ab, das Ganze ist noch keine akute Gefahr.
- Relevant wird werden, was im nächsten Monat die Browserhersteller und die Serversoftwareschreiber an Empfehlungen abgeben. Die sind schon vorab informiert gewesen, stehen aber noch unter NDA. Das sollte mit der Publikation am Freitag vorbei sein, ich erwarte daher kurz darauf fundierte Aussagen von Mozilla, Google, Apache & co.

Autor: Otmar Lendl

Patchdays und CERT.at-Warnungen

CERT.at — Tue, 16 Aug 2011 16:26:59 GMT

Patchdays und CERT.at-Warnungen

16. August 2011

Mittlerweile hat ja auch Adobe auf einen mehr oder weniger regelmäßigen Zyklus zum Verteilen von (Security-) Updates umgestellt, ganz nach dem Vorbild von Microsoft. Ob das nun gut oder schlecht ist, darüber wollen wir nicht urteilen. Fakt ist jedenfalls, daß wir über die regelmäßigen Patchdays nicht extra Warnings schreiben, da wir davon ausgehen, daß verantwortungsvolle Administratoren diese sowieso bereits entsprechend in ihrer Update-Strategie berücksichtigen - Warnungen bezüglich außertourlicher Security-Updates, sowie über bekannt gewordene Probleme für die noch kein Patch bereitsteht, wird es natürlich weiterhin geben.

Und noch ein Link, der gerade durchaus passend erscheint: Kaspersky-Studie: Adobe-Software größtes Sicherheitsrisiko

Autor: Robert Waldner

Exploitbarer Bug in Wordpress-Addon "timthumb"

CERT.at — Tue, 02 Aug 2011 13:43:17 GMT

Exploitbarer Bug in Wordpress-Addon "timthumb"

2. August 2011

Da "timthumb" anscheinend von manchen anderen Wordpress-Addons quasi als Library verwendet wird, dürfte dieser Bug doch für so manchen Hoster von Interesse sein: http://code.google.com/p/timthumb/issues/detail?id=212

Autor: Robert Waldner

Bredolab zurück?

CERT.at — Wed, 27 Jul 2011 08:17:33 GMT

Bredolab zurück?

27. Juli 2011

Auch wenn diverse Quellen (zB Wikipedia) erklären, dass das Bredolab-Botnetz seit letztem Jahr mehr oder weniger tot sein sollte, finden unsere Scanner in den letzten paar Tagen eine durchaus beachtliche Menge der bekannten Attachments. Meistens als .exe in einem Zip-Attachment, ClamAV erkennt das als

   Clamd: Chnglog_N267.zip was infected: Trojan.Generic.Bredolab-2
   Clamd: Changelog_NP83.exe was infected: Trojan.Generic.Bredolab-2

Andere AV-Engines erkennen dies unter anderen Namen, zB "Agobot", vgl. Virustotal. Auch eine Menge "Agobot" (MD5: 6ac47b52237f3b112c3ba7cfef9872d3, Virustotal link) die nicht als "Bredolab" erkannt werden, sind momentan dergestalt (exe-in-zip) unterwegs, hier ist die Erkennungsrate noch eher schlecht (6/43 laut Virustotal).

Die Moral ist natürlich: Executables in Email-Attachments am besten komplett verbieten.

Autor: Robert Waldner

US-CERT: Security Recommendations to Prevent Cyber Intrusions

CERT.at — Wed, 20 Jul 2011 11:50:06 GMT

US-CERT: Security Recommendations to Prevent Cyber Intrusions

20. Juli 2011

Die Kollegen vom US-CERT haben eine ganze Menge Ratschläge zur allgemeinen IT-Security herausgegeben, die wichtigsten auch hier:

Ensure that the "allow URL_fopen" is disabled on the web server to help limit PHP vulnerabilities from remote file inclusion attacks.
Limit the use of dynamic SQL code by using prepared statements, queries with parameters, or stored procedures whenever possible.
Use minimum password length of 15 characters for administrator accounts.
Use minimum password length of 8 characters for standard users.
Require the use of alphanumeric passwords and symbols.
Prevent the use of personal information as password such as phone numbers and dates of birth.

Mit diesen Ratschlägen allein liesse sich schon ein nicht unwesentlicher Teil der Defacements etc., die wir jeden Tag sehen, verhindern.

Autor: Robert Waldner

Design schlägt Security, auch beim Ebanking?

CERT.at — Fri, 15 Jul 2011 10:27:08 GMT

Design schlägt Security, auch beim Ebanking?

15. Juli 2011

Wenn man sich so überlegt, was man von der eBanking-Webseite der eigenen Bank will, steht eines wohl garantiert nicht auf der Liste: unangekündigtes Redesign der Webseite mit eingebundenen aktivem Code von unbekannten Drittanbietern aus dem Ausland. Und gerade bei eBanking-Anbietern würde man als normaler Benutzer eine gesteigerte Awareness zu solchen Themen erwarten.

Wie man es als Bank nicht machen sollte, führt übrigens gerade die Direct-Banking-Tochter einer der grössten heimischen Bankengruppen vor: unangekündigtes Redesign der Webseite, eingebundenes JavaScript von unbekannten ausländischen Drittanbietern - und auf eine entsprechende Anfrage wochenlang keine Antwort.

Wenn also nicht einmal kommerzielle eBanking-Anbieter im Jahr 2011 grundlegende Security-Prinzipien beachten, wen wundert es da noch, wenn Endbenutzer auf optisch seriös wirkende Phishing-Attacken hereinfallen?

(Ein schneller, defintiv nicht vollständiger, Test der anderen Bank-Webseiten fördert mindestens eine weitere zu Tage die JavaScript von externen Anbietern einbindet.)

Wir werden diesen Post auch unseren Kontakten bei den entsprechenden Banken näherbringen, und sind gespannt auf etwaige Stellungnahmen.

Autor: Robert Waldner

Gmail 2-step Verification

CERT.at — Wed, 08 Jun 2011 10:06:52 GMT

Gmail 2-step Verification

8. Juni 2011

Anlässlich der Meldung von Google, daß wieder einmal "high profile" GMail Accounts gephisht wurden (siehe die ORF Meldung), habe ich mir die neue 2-Factor Verifizierung bei Google angesehen.

Fazit: funktioniert einwandfrei via Smartphone oder normalem GSM phone.

Kurze und prägnante Anleitung als auch diese Video Anleitung. Leider kann man die "application specific Google passwords" nur verwenden, wenn 2-step verification auch aufgedreht ist.

Meiner Meinung nach weiterempfehlenswert!

Autor: L. Aaron Kaplan

"Warum sollte gerade ICH gehackt werden?"

CERT.at — Mon, 30 May 2011 16:14:17 GMT

"Warum sollte gerade ICH gehackt werden?"

30. Mai 2011

So denkt Otto Normalverbraucher über sein Risiko, selbst Ziel eines Cyberangriffs zu werden. Tatsächlich sind es aber gar nicht zielgerichtete Angriffe (Targeted Attacks, wie Insider sie nennen), die - quantitativ gesehen - das Gros der heutigen Cyberangriffe darstellen.

"Targeted Attacks"

Von einem zielgerichteten Angriff spricht man, wenn der Angreifer sein Ziel bewusst aussucht, weil sein Profit oder seine Besserstellung in direktem Zusammenhang mit seinem Opfer stehen. Ein typisches Beispiel für solch einen targeted Attack ist Industrie- (oder sonstige) -spionage.

Was solche Angriffe betrifft, hat Otto Normalverbraucher vollkommen recht. Ist er nicht gerade ein Promi oder sonstig polarisierend, ist sein Risiko "gehackt" zu werden recht gering. Anders ist es jedoch bei der zweiten Art von Angriffen ...

"Zum falschen Zeitpunkt am falschen Ort"

Dies ist vielmehr eine Beschreibung des mit dem Angriff verbundenen Szenarios als ein eigenständiger Begriff. Tatsächlich gibt es keinen einen wirklich treffenden Begriff für solche Angriffe, aber "Zum falschen ..." fasst die diesbezüglichen Umstände schon recht gut zusammen.

Dem Angreifer ist es hierbei nicht wichtig WER sein Ziel ist/wird, denn jener/jenes ist eigentlich nur Mittel zum Zweck. Der letztendliche Profit ergibt sich nämlich aus der Quantität dieser "Bauern", wie ein Schachspieler sie nennen würde. Üblicherweise wird man - User/Server/wer auch immer - dabei Teil eines großen, bösen Ganzen:

Aus einem normalen Heim-PC wird eine Art Roboter, der Befehle von einem Kommandanten ausführt.
Aus einem Server wird ein Lieferant für bösartige Software, eine Plattform für Betrugsseiten (z.B. Phishing) oder auch "nur" eine (von vielen) Stationen für Verwirrungsspielchen.

WER stellt also die Quantität in dieser zweiten Angriffvariante? Otto Normalverbraucher, genau! Und genau DAS ist der Hauptgrund (wenn auch nicht der einzige), warum Otto so oft hört, dass er doch bitte seine Systeme (also die verwendete Software auf seinem Heim-PC, Server aber auch Webspace) aktuell halten soll.

Die Frage sollte daher richtigerweise lauten:

"Warum sollte gerade ICH NICHT gehackt werden?"

Autor: Christian Wojner

Der IPv6-Day rückt näher

CERT.at — Fri, 13 May 2011 14:53:17 GMT

Der IPv6-Day rückt näher

13. Mai 2011

(8. Juni 2011, siehe http://isoc.org/wp/worldipv6day/ )

Im Zuge dessen hat sich auch CERT.at für die eigene Infrastruktur an die Kandare genommen, und die wichtigsten Services sind jetzt per IPv6 erreichbar.

Das war natürlich nicht ganz friktionsfrei - beispielsweise weigert sich eine der Firewalls für IPv6 eine Default-Route zu verwenden, und musste vorübergehend mit zwei /1-Routen (für ::/1 und 8000::/1) zufrieden gestellt werden.

In diesem Kontext möchten wir auch daran erinnern, dass in immer noch gängigen Setups ("alle internen Clients dürfen nach aussen") Tunnel (zB Teredo) oft einen Weg an den Firewalls vorbei bieten, und ersuchen, die Firewall-Policy entsprechend zu setzen bzw. die Clients entsprechend zu konfigurieren.

Autor: Robert Waldner

MS11-020: Kommt da der nächste Wurm?

CERT.at — Mon, 18 Apr 2011 13:54:56 GMT

MS11-020: Kommt da der nächste Wurm?

18. April 2011

Vor mehr als zwei Jahren hatte Microsoft beim Advisory MS08-067 geschrieben, dass "crafting of a wormable exploit" möglich sei. Und recht haben sie gehabt, wie Conficker dann eindrucksvoll bewiesen hat.

Der Patch-Tuesday im April 2011 enthält auch so ein Zuckerl, nämlich MS11-020:

This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker created a specially crafted SMB packet and sent the packet to an affected system. Firewall best practices and standard default firewall configurations can help protect networks from attacks originating outside the enterprise perimeter that would attempt to exploit these vulnerabilities.

Das Internet Storm Center hat dazu folgendes geschrieben:

The Remote Code Exploit is possible without authentication, so this presents a serious risk to internal networks. Think Downadup/Conficker, or think lateral movement if that will help motivate patching.

Die SMB Ports sollten zwar auf jeder Firewall gefiltert werden, aber als Verbreitungsweg innerhalb einer Organisation klingt das ziemlich böse. Daher auch von uns die Empfehlung:

Bitte mit dem Patchen nicht länger warten, als unbedingt zum Testen nötig.

Autor: Otmar Lendl

Interessantes posting über das Vertrauen in SSL

CERT.at — Wed, 23 Mar 2011 11:44:20 GMT

Interessantes posting über das Vertrauen in SSL

23. März 2011

ioerror (Jacob Applebaum) - bekannt vom Tor Project - hat einen äusserst lesenswerten Post zur Sicherheit und zum Vertrauen in SSL auf blog.torproject.org gestellt.

Zentraler Punkt: wir wissen nicht mehr, welchen CAs wir vertrauen können. Wer den Sourcecode von Mozilla Firefox und Chrome aufmerksam mitliest, wird bemerkt haben, dass plötzlich ein paar Zertifikate als ungültig markiert wurden. Jacob Applebaum geht in seinem Blog Posting darauf ein und analysiert, warum die Zertifikate als ungültig markiert wurden. Bottom-line: wir vertrauen CAs. CAs können unterwandert werden, sie können ihre keys verlieren oder sie können von (vor allem nicht demokratischen) Staaten politisch missbraucht werden, um beliebige Zertifikate zu erstellen. Unsere Browser zeigen dann weiterhin ein "secure" Schlüssel-Symbol an und ein Normalbenutzer wird keinen Unterschied feststellen.

Update: mittlerweile hat auch der Mozilla Blog einen Erklärungstext, was mit den Zertifikaten passiert ist: "Users on a compromised network could be directed to sites using the fraudulent certificates and mistake them for the legitimate sites"

Besorgniserregend...

Autor: L. Aaron Kaplan

Foxit Reader Update

CERT.at — Mon, 28 Feb 2011 15:45:22 GMT

Foxit Reader Update

28. Februar 2011

Weil vielleicht mancher der werten Leser ob des Track-Records von Adobe/Acrobat auf den Foxit Reader umgestiegen ist:

Auch der ist nicht perfekt, aber wenigsten hat Foxit das Problem wirklich zeitnah gefixt.

Da man AFAIK die Autoupdate-Frequenz auf nicht unterhalb einer Woche einstellen kann: Bitte hier ev. händisch das Update anstoßen.

Autor: Otmar Lendl

Apropos Defacements - "Hacked by the Commender"

CERT.at — Fri, 25 Feb 2011 00:34:05 GMT

Apropos Defacements - "Hacked by the Commender"

24. Februar 2011

Wir wären auch an Information über folgendes Defacement interessiert, welches uns in den letzten Tagen gehäuft auffällt:

Hier wird meistens die Start-Seite komplett ersetzt (inkl. Title, Meta-Tags etc.).

Vor allem würde uns interessieren, welche Software hier betroffen ist - gegebenenfalls einfach Mail an team@cert.at.

Autor: Robert Waldner

Defacements via osCommerce

CERT.at — Thu, 24 Feb 2011 12:40:52 GMT

Defacements via osCommerce

24. Februar 2011

Wir sehen gerade eine Welle an Defacements, die anscheinend via osCommerce (verbreitete Webshop-Software) eingebracht werden - konkret findet sich auf kompromittierten osCommerce-Sites eine Datei x.txt im /images/-Folder, mit dem Inhalt "iskorpitx".

Wir konnten bislang noch nicht eruieren, ob dies nur ungewartete oder auch aktuelle und sicher konfigurierte Installationen betrifft - wie üblich sind wir für entsprechende Informationen/Logs/Malware-Samples/etc. dankbar, um der Sache auf den Grund gehen zu können.

osCommerce-Betreiber sollten momentan spezielle Aufmerksamkeit auf ihre Webseiten richten.

Autor: Robert Waldner

OWASP: Absolutes Must für Web-Entwickler

CERT.at — Tue, 18 Jan 2011 17:27:53 GMT

OWASP: Absolutes Must für Web-Entwickler

18. Jänner 2011

Web-Entwickler sind kreative Menschen und verstehen es perfekt - der eine mehr, der andere weniger - das Wesen des Kunden im World Wide Web in Szene zu setzen. Zu einem erfolgreichen Webauftritt, reicht es aber längst nicht mehr nur das Auge zu bedienen, nein, auch wie es um dessen Sicherheit bestellt ist (und damit ist nicht das "Auge" gemeint), mag insbesondere im negativen Fall (Hack? Defacement? ...) nachhaltig image-prägend wirken.

Um einem solchen Negativerlebnis (aus Sicht des Kunden) oder Misserfolg (aus Sicht des Entwicklers) proaktiv entgegenwirken zu können, wurde einst das "freie" Projekt OWASP ins Leben gerufen. OWASP bietet allen an einer typischen Web-Applikation beteiligten Personen (Rollen) spezifisches Wissen, wie am besten den klassischen Fallstricken wie XSS, SQL-Injection, usw. zu begegnen ist.
Mehr noch, OWASP bietet eine Live-CD an, die eine nach allen Regeln der Kunst verwundbare Web-Applikation beinhaltet, die nach Lust und Laune attackiert werden darf. Ziel ist es aber natürlich wie immer nicht, "schwarz" zu werden, sondern vielmehr, sich der Möglichkeiten, der Auswirkungen, aber in erster Linie deren Ursachen bewusst zu werden. Spielerisch motivierend belegt man im Zuge der Live-CD einen im Schwierigkeitsgrad ansteigenden Kurs, bei dem man neben dem initialen "Hack" sinnvollerweise auch gleich die Behebung der entsprechenden Sicherheitslücke bewerkstelligen muss, bzw. vorgeführt bekommt.

Alles in allem, eine wertvolle Lektüre/Zeitvertreib, die den einen oder anderen Web-Entwickler sich die Frage stellen lassen sollte, ob es nicht sinnvoll wäre, sich eine entsprechende "sicher gemäß OWASP"-Plankette oder Ähnliches, an sein/ihr Aushängeschild (Website!) heften zu wollen.

Autor: Christian Wojner

Email Hoax: Warnung vom Bundeskriminalamt

CERT.at — Thu, 13 Jan 2011 11:23:51 GMT

Email Hoax: Warnung vom Bundeskriminalamt

13. Jänner 2011

Ein Email Hoax ist eine Falschmeldung, die ein Eigenleben entwickelt hat. Diese Mails werden von den Leuten, die drauf reingefallen sind, brav weiter verteilt und so am Leben erhalten.

Solche Kettenbriefe gibt es seit den Urzeiten des Internets: von der Modemsteuer, der Spende von Microsoft, wenn man Mails an Bill Gates schickt, bis hin zum Aufruf, Postkarten an ein sterbendes Kind zu schicken. Snopes hat ein ausgiebiges Archiv zu diesem Thema.

Auch auf Deutsch gibt es mittlerweile eine Reihe dieser Mails, die sich wie die jährliche Grippewelle immer wieder über Online-Foren und per Email ausbreiten. Die TU Berlin betreibt ein Archiv dieser "Urban Legends": bevor man eine Warn-Mail weiter schickt sollte man also tunlichst dort nachsehen, ob man nicht einem Hoax aufgesessen ist.

Aktuell geht wieder einen Mail um, die vor einem Virus warnt, der eine "Olympia-Fackel" öffnet und die Festplatte zerstört. Angeblich stammt diese Mail von "Erika Weber", einer Mitarbeiterin des österreichischen Bundeskriminalamts.

Diese Mail ist völlig frei erfunden. Sie kursiert seit mehr als einem Jahr. Da ist nichts dran. Es gibt zwar die Erika Weber wirklich, diese hat aber nichts mit dieser Mail zu tun.

Bitte, Bitte, vermeiden sie Panikmache per Email und verweisen die Sender solcher Mail an diesen Blog-Eintrag oder gleich an die TU Berlin.

Autor: Otmar Lendl

DDoS mittels JavaScript

CERT.at — Tue, 21 Dec 2010 09:52:26 GMT

DDoS mittels JavaScript

21. Dezember 2010

Wir hatte voriges Jahr das e-Voting bei der ÖH-Wahl begleitet, und mussten uns im dem Kontext mit einem als "Messtool" getarnten DDoS Angriff herumschlagen. (siehe etwa hier versus hier)

Heute war auf Slashdot eine Artikel verlinkt, der zeigt, dass das mit den neuen Features von HTML 5 gleich noch viel effizienter geht.

Nur wenigstens ist "lava" so ehrlich, dass Ding beim Namen zu nennen: Das ist ein DDoS Tool.

Autor: Otmar Lendl

1.3 Millionen Gawker Passwörter öffentlich im Internet

CERT.at — Tue, 14 Dec 2010 11:20:53 GMT

1.3 Millionen Gawker Passwörter öffentlich im Internet

14. Dezember 2010

Die Firma Gawker.com sowie die damit verbundenen Portale lifehacker.com, Gizmodo, Gawker, Deadspin, Kotaku, Jezebel, IO9 und Jalopnik hat eine Menge Passwörter "verloren". Sprich: die gesamte Datenbank wurde gehackt und im Quelltext auf das Bittorrent Filesharing Netzwerk gestellt (siehe auch den Artikel bei Heise).

CERT.at analysiert jetzt die (mittlerweile der ganzen Welt bekannten) Passwörter und wird die Betroffenen in Österreich informieren, dass sie ihr Passwort ändern sollen.

Am besten auf jedem Account. Leider tendieren Benutzer dazu, Passwörter immer wieder zu verwenden (oder nur ganz leicht zu variieren).

Autor: L. Aaron Kaplan

Noch mehr automatisierte Malware-Benachrichtigungen

CERT.at — Fri, 03 Dec 2010 15:39:13 GMT

Noch mehr automatisierte Malware-Benachrichtigungen

3. Dezember 2010

Wie viele der Netzbetreiber hierzulande schon (zwangsweise) wissen, erhält CERT.at aus verschiedenen Quellen Daten über mit diverser Malware infizierte IP-Adressen in Österreich, und leitet diese an die entsprechenden ISPs weiter. Nun, seit heute bekommen wir dazu auch Daten aus einem weiteren Honeypot-System, diesmal aus den Niederlanden, und ab nächster Woche können wir auch diese an die ISPs weiterleiten.

Brace for impact ;-)

Autor: Robert Waldner

Defacements in robots.txt

CERT.at — Fri, 26 Nov 2010 17:07:47 GMT

Defacements in robots.txt

26. November 2010

Soeben sind rund 25 Defacements über unsere Such-Software eingetrudelt, bei denen sich das Defacement in der robots.txt verbirgt - die letzte Zeile lautet

AhliSyurgaCrew Was Here

Wenn jemand Informationen hat, welche Lücke bzw. welche Software hier betroffen ist, wären wir durchaus dankbar.
Update: ersten Informationen zufolge dürfte es sich dabei um das Joomla-Plugin "OzioGallery2" handeln - mit der Lücke lassen sich beliebige Files überschreiben (mit den Rechten des Webserver-Users).
Update2: es ist nur die Version 2.2, aktuell wäre 2.3, von "OzioGallery2" betroffen.

Autor: Robert Waldner

CERT.at auf der DeepSec 2010

CERT.at — Thu, 25 Nov 2010 12:04:55 GMT

CERT.at auf der DeepSec 2010

25. November 2010

CERT.at nimmt selbstverständlich an der soeben stattfindenden DeepSec-Konferenz in Wien teil, und (unerwarteterweise, bedingt durch einen kurzfristigen Ausfall), sogar mit einem Sneak Preview unseres aktuellen Vortrags zu Minibis, der eigentlich erst zur FIRST-Konferenz im Juni 2011 (die übrigens auch in Wien stattfinden wird - eine gute Gelegenheit, Reisebudget-schonend zu netzwerken) geplant war.

Vorbeischauen lohnt sich auf jeden Fall (und nicht nur wegen "unserem" Vortrag!).

Autor: Robert Waldner

Aktuelle "Indonesia" Defacement-Welle

CERT.at — Tue, 23 Nov 2010 16:37:23 GMT

Aktuelle "Indonesia" Defacement-Welle

23. November 2010

Wir sehen aktuell eine Menge Defacements a la

In den Apache-Logs sieht das so aus:
x.x.x.x - - [23/Nov/2010:04:04:07 +0100] "POST /catalog/admin/categories.php/login.php?cPath=&action=new_product_preview HTTP/1.1" 200 2242 x.x.x.x - - [23/Nov/2010:04:04:07 +0100] "GET /catalog/images/indonesia.htm HTTP/1.1" 200 947
Wir konnten bisher nicht in Erfahrung bringen, welche Shop-/Blog-Software das genau betrifft - Update sobald wir mehr wissen. Update: die betroffene Software ist osCommerce

Betroffene Seiten lassen sich recht einfach am ..../indonesia.htm erkennen.

Autor: Robert Waldner

Symantecs Stuxnet Analysen und Demo

CERT.at — Mon, 15 Nov 2010 09:07:40 GMT

Symantecs Stuxnet Analysen und Demo

15. November 2010

Symantec hat beim Stuxnet Thema nicht locker gelassen und ein interessantes Demo auf Youtube gestellt. Es wird eindrucksvoll (aber harmlos) demonstriert, wie sich Schadcode in Steuerungsanlagen auswirken kann. Weiters erklärt Eric Chien von Symantec in seinem Blog Beitrag, dass der Schadcode auf den PLCs (Programmable Logic Controllers) auf einen bestimmten Typ von Frequenzumrichter abzielte.
Diese Frequenzumrichter bewegen sich im Bereich 807Hz bis 1210 Hz. Laut Symantec ist es nun erwiesen, dass Stuxnet die Output-Frequenz der Frequenzumrichter verändern kann.

Mehr interessante Details Details im Blog von Symantec.

Autor: L. Aaron Kaplan

Cyber Europe 2010

CERT.at — Sat, 13 Nov 2010 21:10:31 GMT

Cyber Europe 2010

13. November 2010

CERT.at & GovCERT.gv.at haben selbstverständlich an der "Cyber Europe 2010" Übung teilgenommen, wenn auch, bedingt durch einen zu bearbeitenden realen Vorfall, nicht in voller Stärke.

Alles in allem kann man getrost behaupten, dass die Übung ein voller Erfolg war, hier der entsprechende Press Release der ENISA dazu: http://www.enisa.europa.eu/media/press-releases/cyber-europe-2010-a-successful-2019cyber-stress-test2019-for-europe

Wir müssen gut 50 Telephonate mit anderen CERTs und Security-Organisationen in Europa geführt haben, von der Flut an Emails noch gar nicht zu sprechen. Dabei haben wir auch durchaus Verbesserungsmöglichkeiten in unseren internen Abläufen ausgemacht, die demnächst umzusetzen sein werden.

(Und auch an der Satire-Presse ist das nicht spurlos vorüber gegangen, siehe zB http://newstechnica.com/2010/11/06/europe-simulates-total-cyber-war/).

Und, weil in der Presse bereits von "verfehlter Übungsannahme" und dergleichen zu lesen war: der simulierte Vorfall sollte kein reales Szenario wiedergeben, sondern nur als Ausrede dienen, mit vielen anderen in Kontakt zu treten und etwas zu koordinieren zu haben. Aussagen wie "too focused on DDoS" gehen daher an der Problemstellung vorbei - reale Vorfälle lassen sich sowieso nicht exakt vorhersagen, daher war das Ziel hier, die Prozesse zur Vorfallsbehandlung zu testen, nicht spezifische Szenarien.

Autor: Robert Waldner

Contacting CERTs

CERT.at — Tue, 02 Nov 2010 17:52:34 GMT

Contacting CERTs

2. November 2010

Das SANS ISC hat einen netten kleinen Artikel ueber das Kontaktieren von CERTs: http://isc.sans.org/diary.html?storyid=9841

Autor: Robert Waldner

Mapping the Malware Web

CERT.at — Tue, 02 Nov 2010 17:46:29 GMT

Mapping the Malware Web

27. Oktober 2010

McAfee published the 2010 "Mapping the Malware Web" report. The explanations and trends in there are worth looking at. More importantly, for us as the CERT, this report is one of the few independent studies which provides us with real numbers on the state of the IT Security game in Austria.

.at is ranked as the 76th most dangerous TLD with an infection-rate of about 0.4%. This is up from 89th and 0.2% of 2009. We should do better here.

We've got work to do. And we've actually prepared a number of internal tools and data-feeds to work on exactly this problem. So be prepared to hear more from us regarding malicious domains in the near future.

Autor: Otmar Lendl

Enabling DNSSEC Validation

CERT.at — Thu, 04 Nov 2010 10:39:09 GMT

Enabling DNSSEC Validation

19. Oktober 2010

This week, Comcast announced that they will enable DNSSEC validation on their production resolvers. One thing one might want to keep in mind if you do that:

People make mistakes. Some domain owners will break their DNSSEC signatures. We've seen a good number of these in 1010, including TLDs like .arpa, .be, and .uk. I asked Comcast if they have a policy on how to deal with such events. According to Jason Livingood, Comcast will inform their users, and notifiy the owners of the broken domain. I aswered:

From a technology PoV that's certainly a valid policy.
There are two issues you might think through before you run into them in real life:
When people break their "normal" DNS, all ISPs are affected more or less equally (disregarding caching-effects for now). But as long as Verizon, AT&T and others don't validate as well, your customer will notice that he can't do online-banking while his neighbor on DSL can. This will be discussed on social media platforms and people will compare which access ISPs "work" and which don't. The fact that the problem is on the other end is kind of hard to explain and will be lost in the outrage.
There will be customers which will need immediate access to the blacked-out domain NOW or they will suffer financial damage, couldn't book their golfing tour, or whatever else will bring them to threaten you with legal action. From their PoV, Comcast is suppressing their communication and hotheads will sue. After all, if you already know that DNSSEC is blocking their IMPORTANT business, why don't you just disable it? Depending on what kinds of domains are affected, this might escalate to the very top faster that you might anticipate.
Be prepared.

Autor: Otmar Lendl

Neues OpenSSH (5.6)

CERT.at — Tue, 02 Nov 2010 17:32:29 GMT

Neues OpenSSH (5.6)

25. August 2010

Changelog: http://www.openssh.com/txt/release-5.6

Autor: Robert Waldner

Team Cymru veroeffentlicht WinMHR

CERT.at — Tue, 02 Nov 2010 17:33:46 GMT

Team Cymru veroeffentlicht WinMHR

25. August 2010

'....The non-profit, Chicago-based internet security research firm Team Cymru (pronounced 'kum-ree') will release a new tool next month that it hopes will be a game changer in the fight against world-wide cyber crime......'

http://www.csoonline.com/article/605466/free-tool-from-team-cymru-aims-to-help-fight-malware

Autor: Robert Waldner

Wieder mal (potentieller) lokaler Linux root-Exploit

CERT.at — Tue, 02 Nov 2010 17:34:01 GMT

Wieder mal (potentieller) lokaler Linux root-Exploit

25. August 2010

http://www.heise.de/security/meldung/Root-Rechte-durch-Linux-Kernel-Bug-1061153.html

Durch ein konzeptionelles Problem in der Speicherverwaltung von Linux können lokale Angreifer unter Linux Code mit Root-Rechten ausführen, wie Rafal Wojtczuk in seinem Paper beschreibt. Das Problem beruht auf der mögliche Überschneidung der Speicherbereiche des Stacks und von Shared-Memory-Segmenten unter Linux. ... Laut Sicherheitsexpertin Joanna Rutkowska ist die Schwachstelle schon seit Jahren im Kernel vorhanden, vermutlich seit der Veröffentlichung von Version 2.6 im Dezember 2003 ... Ausnutzen lässt sich Schwachstelle bei allen älteren Versionen, sofern auf dem System ein X-Server läuft. Will man ein System aus der Ferne kompromittieren, müsste man zunächst eine weitere Lücke ausnutzen, um überhaupt Code auf das System schleusen und ausführen zu können. Im zweiten Schritt würde man sich denn auf dem oben beschriebenen Weg Root-Rechte verschaffen. ...

Nicht allzu tragisch also, aber falls jemand nicht ganz so vertrauenswuerdige lokale User auf seinen Linux-Maschinen hat ...

Autor: Robert Waldner

Firefox-Plugins fuer Pen-Tests

CERT.at — Tue, 02 Nov 2010 17:35:06 GMT

Firefox-Plugins fuer Pen-Tests

24. August 2010

Ein rezenter Post im Avast-Forum (http://forum.avast.com/index.php?topic=63117.0) listet etliche praktische Firefox-Plugins:

Multi-proxy-switch: https://addons.mozilla.org/en-US/firefox/addon/7330/
https://addons.mozilla.org/en-US/firefox/addon/2464/ to quickly change between Burp and Tor
PacketlessRecon https://addons.mozilla.org/en-US/firefox/addon/6196/ gain packet less info on the target
Show Ip https://addons.mozilla.org/en-US/firefox/addon/590/ shows server IP and additional\\ IP-adresses in case of load balancing.
Live HTTP-headers: https://addons.mozilla.org/en-US/firefox/addon/3829/ view HTTP-headers of a page
Wappalyzer: https://addons.mozilla.org/en-US/firefox/addon/10229/
Backend software Information https://addons.mozilla.org/en-US/firefox/addon/10493/ to identify platform frameworks and major apps
Hackbar: https://addons.mozilla.org/en-US/firefox/addon/3899/ to enter POST requests
Add and edit cookies: https://addons.mozilla.org/en-US/firefox/addon/13793/ to inspect cookies and testing
Firebug: https://addons.mozilla.org/en-US/firefox/addon/1843/
Wilderbug: http://www.command-tab.com/2008/01/19/widerbug-widescreen-firebug/ with all sort of tools and options
Lazarus: https://addons.mozilla.org/en-US/firefox/addon/6984/ will memorize info on web forms
FxIF: https://addons.mozilla.org/en-US/firefox/addon/5673/ for analyzing META information
Fireforce: https://addons.mozilla.org/en-US/firefox/addon/64765/ brute force attacker via GET and POST
Another good tool is the FireCAT: https://addons.mozilla.org/en-US/firefox/collection/firecat1_5_plus
Malware Search https://addons.mozilla.org/en-US/firefox/addon/6718/
RequestPolicy add-on: https://addons.mozilla.org/en-US/firefox/addon/9727/

(Wir haben nicht alle Addons selbst getestet, Benutzung auf eigene Gefahr etc.)

Autor: Robert Waldner

Skype-Crypto ge-reverse-engineered

CERT.at — Wed, 03 Nov 2010 11:55:21 GMT

Skype-Crypto ge-reverse-engineered

24. August 2010

am 27. CCC in Berlin wird es wohl einen besonders interessanten Vortrag geben:

....For eight years, Skype enjoyed selling the world security by obscurity. We must admit, really good obscurity. I mean, really really good obscurity. So good that almost no one has been able to reverse engineer it out of the numerous Skype binaries. Those who could, didn't dare to publish their code, as it most certainly looked scarier than Frankenstein.

The time has come to reveal this secret......

Das heisst nichts anderes, als dass die Skype Kryptographie komplett reverse engineered wurde und der source code ist oeffentlich am Internet downloadbar. Die Autoren geben auch an, dass (...) code is already being used by hackers and spammers.

http://www.enrupt.com/index.php/2010/07/07/skype-biggest-secret-revealed

Spannend wird jetzt unter anderem, wie Skype darauf reagiert? Neu-Auflage von "security by obscurity" mit einfach anderen Crypto-Layern, oder vielleicht doch mal auf bekannten Algorithmen aufbauen und das Geschaeftsmodell auf weniger toenerne Fuesse stellen?

Autor: L. Aaron Kaplan