Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Massives Datenleck
6. August 2014

Diverse Medien berichten, dass eine kriminelle Gruppe aus Russland eine gigantische Zahl an Zugangsdaten erbeutet hat. Siehe u.a.: New York Times, Slate, WSJ, DerStandard, Futurezone, Heise, ...

Woher die Credentials wirklich stammen (die Geschichte mit dem Botnet und SQL-Injection klingt ein bisschen nach einem Bericht aus 2013), ist auch nicht restlos geklärt: In anderen Fällen war das eine Mischung aus diversen Kampagnen, sowohl Einbrüchen in Webseiten als auch per Malware von PCs.

Ich wurde inzwischen von mehreren Medien gefragt, was wir davon halten. Hier ist die Kurzfassung:

  • Wir haben in diesem Fall keine Vorabinformation zu diesem Datenleck bekommen. Wir können daher nur aufgrund der öffentlichen Informationen Stellung beziehen.
  • Ob Hold Security die Daten über die üblichen Kanäle (Law enforcement, CERTs, ...) weitergibt, bzw. weitergeben wird, ist noch nicht bekannt.
  • Wir wissen nicht, inwieweit Österreich direkt betroffen ist. Aufgrund der schieren Menge an Daten ist aber davon auszugehen, dass sowohl Passwörter von Österreichern dabei sind, als auch, dass hiesige Webseiten gehackt wurden.
  • Es gibt schlicht sehr viele Webseiten, auf denen eine Form von Userdatenbank verwendet wird. Das fängt bei ganz harmlosen Sachen wie Mailinglisten, Blogs oder Webforen an, geht über kleine Webshops, Webmail-Anbieter bis hin zu den großen Portalen wie Google, Apple, Yahoo, Facebook oder Twitter. Ich kann nur empfehlen, sich mal die Liste der im eigenen Browser gespeicherten Passwörter anzuschauen. Es ist erschreckend, wie viele verschiedene Accounts da zusammenkommen.
  • Typischerweise fällt bei diesen Datenlecks das Paar Email-Adresse/Passwort an. Damit ist nicht notwendigerweise der Mail-Account betroffen: viele Webseiten verwenden die Email-Adresse als Usernamen. Es ist oft im Nachhinein nicht nachvollziehbar, woher die gestohlenen Credentials stammen.

Wie soll man als Internet-User auf so eine Meldung reagieren?

  • Dass in Webseiten eingebrochen wird, und Passwörter gestohlen werden, ist leider eine Tatsache. Es ist nicht zu erwarten, dass das in absehbarer Zeit besser wird.
  • Wirklich gefährlich ist es, das gleiche Passwort für verschiedene Accounts zu verwenden. Wir raten dazu, sich zu überlegen, welche Accounts denn wirklich wichtig sind (typischerweise sind das: Der Mailaccount, Google, Apple, Social Media, Amazon bzw. andere Händler, die meine Kreditkartendaten haben). Diese sollten alle ein eigenes Passwort bekommen. Insbesondere sollte man ein Passwort aus dieser Gruppe nicht auch auf einer kleinen, potentiell schlecht gewarteten Webseite benutzen. Ob man im Webforum über Lomografie das gleiche Passwort verwendet, wie für Blogkommentare im Kleingartenverein, ist hingegen ziemlich egal.
  • Passwort-Safes (z.B. KeePass), also Programme zur Verwaltung von Passwörtern, können das deutlich vereinfachen.
  • Einige Webseiten (Google, Facebook, ...) bieten die Option an, zusätzlich zum Passwort auch einen zweiten Faktor zur Authentisierung (2FA) zu verwenden. Dazu wird typischerweise SMS oder ein zeitbasiertes Tokensystem verwendet. Dieses Angebot auch zu nutzen, können wir nur empfehlen.
  • All das hilft überhaupt nichts, wenn der eigene PC nicht sauber ist, sondern mit Schadsoftware infiziert ist. Dann sind die eigenen Passwörter weg - ganz unabhängig von der Sicherheit der Portale, auf denen man Accounts hat. Hier kann nur noch 2FA etwas helfen.
  • Es hat beim aktuellen Wissensstand keinen Sinn, jetzt panisch überall Passwörter zu wechseln. Es ist viel sinnvoller, seine Passwort-Strategie nach den obigen Punkten auszurichten. Dann kann man solche Meldungen viel gelassener nehmen.

Autor: Otmar Lendl

Zusatzinformationen zum Interview im Standard
16. Juli 2014

Wir freuen uns (fast) immer, wenn wir in Medien zitiert werden, und wir damit eine deutlich breitere Masse erreichen, als nur über unsere direkten Kanäle (Webseite, RSS, Mail, Twitter).

Nur: Interviews müssen meist recht schnell gehen, Journalisten arbeiten täglich mit harten Deadlines und auf Papier gibt es beschränkten Platz und keine Hyperlinks.

Daher will ich hier ein bisschen Kontext zum Interview geben, das heute (16. Juli 2014) in der toten-Bäume Version von "Der Standard" erschienen ist. (Die WebStandard-Variante ist hier.)

Zum Begriff CERT:

CERT wird üblicherweise als "Computer Emergency Response Team" gedeutet, ist aber ein generischer Begriff für ein Team, das sich um die Behandlung von Sicherheitsvorfällen in Computernetzen kümmert. "CERT" selber ist in den USA eine eingetragene Marke des Ur-CERTs an der Carnegie-Mellon Universität. Dort wird lieber gesehen, wenn man "CSIRT - Computer Security Incident Response Team" als generische Bezeichnung für CERTs verwendet.

Es gibt global viele CERTs (Listen von Dachverbänden sind hier: FIRST, Trusted Introducer), auch in Österreich deklarieren sich einige Teams als "CERT". Ein Satz in der Art von "Das CERT sagt, ..." ist daher unklar formuliert. Das ist wie "Die Feuerwehr sagt, ...": Es mag vom Kontext her klar sein, welche denn gemeint ist, aber besser ist, wenn qualifiziert wird, welche Feuerwehr gemeint ist.

CERT.at ist das nationale CERT für Österreich. Wir fungieren als Auffangbecken für alle Vorfälle in Österreich, die nicht von Sicherheitsteams behandelt werden, welche näher am Problem sind.

Schutzniveau:

Zur Frage, welche Schutzmaßnahmen gegen Abhören man treffen soll, will ich hier nochmal betonen, das dies primär von zwei Faktoren abhängt: a) Was ist der Wert der Informationen, die man schützen will? und b) Gegen welchen Angreifer (und damit: welche Fähigkeiten hat dieser) will man sich wehren?

Fast jede Verteidigungsmaßnahme hat Kosten (Geld, Zeit, Bequemlichkeit, ...): Es kann somit kein global gültiges Optimum an Schutz angegeben werden, das kann man immer nur im Einzelfall entscheiden.

Tipps gegen den NSA-Staubsauger:

  1. Eigene Datenspuren: Was auch immer man im Netz offen publiziert, kann natürlich auch von den Geheimdiensten ausgewertet werden.
  2. Vertraue keine wichtigen Daten Firmen an, die gesetzlich dazu verpflichtet sind, mit der NSA zu kooperieren. (Nebenbemerkung dazu: es gibt gerade ein Gerichtsverfahren in den USA, wo ein dortiges Gericht auch Daten von Microsoft haben will, die in EU Datacentern gelagert sind)
  3. Möglichst wenig unverschlüsselt kommunizieren: Mailversand und -empfang nicht im Klartext, sondern mit TLS. (Links dazu etwa: 1+1, GMX; das sollte 2014 jeder Email-Provider unterstützen). Detto bei möglichst allen Webdiensten die https-Version nutzen. Auch bei der Wahl von Chatdiensten kann man es der NSA einfach -- oder eben schwieriger machen.

Das ist alles kein kompletter Schutz, aber Geschenke an die NSA müssen nicht sein.

Wie transportiert man einen Diamanten:

Die Überlegung stammt nicht von mir, sondern vom Transport des Cullinan Diamanten nach England. Wenn der Trick aufgeht, ist das eine geniale Lösung. Aber wehe, wenn der Gegner die Finte durchschaut hat: dafür gibt es dann kein Sicherheitsnetz.

Autor: Otmar Lendl

[CERT.at #300000]: Die nächste runde Ticketnummer
17. Juni 2014

Es ist wieder soweit: unser Ticketsystem hat einen Meilenstein erreicht: jetzt stehen wir bei 300.000 Tickets:

cert-tickets-300000-small

Ein paar Anmerkungen will ich auch dieses mal anbringen:

  • Die Entwicklung unsere Zahlen hängen nicht nur vom Zustand des Internets in Österreich ab, sondern auch von der Verfügbarkeit und Qualität unserer Datenquellen. Ein Sprung in den von uns verarbeiteten Meldungen zu einem Botnetz kann schlicht an der Verfügbarkeit von Daten zu diesem Botnetz liegen, nicht aber an dessen Verbreitung.
  • Die Gesamtzahl der Tickets sagt auch nur bedingt etwas über den Arbeitsaufwand bei uns im Team aus: Ein simples Weiterleiten von Sinkhole-Daten an ISPs erfordert nur wenig menschliche Aufmerksamkeit, eine Bearbeitung eines Exploit-Packs auf einer Webseite aber hingegen schon: Trotz guter Tool-Unterstützung ist es aufwändig, genau nachzuforschen wo in der Webseite das böse JavaScript versteckt ist.
  • Weiters kann der Inhalt von Tickets sehr variieren: Ein "Lieber Domaineigentümer, deine Webseite ist verunstaltet" ist genauso ein Ticket, wie "Lieber ISP, die folgenden 500 IP-Adressen aus deinem Netz sind Teil eines Botnetzes".

Autor: Otmar Lendl

Hinweis für Debian-Benutzer bei OpenSSL Upgrade
6. Juni 2014

Again, Openssl was the centre of patching in the last two days. While Debian was quick to release a patched version, it seems like Debian forgot to restart some services which link against openssl (libssl) get restarted.

Here is how you can check with services use which version of openssl: root@hostname:~# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u

(...) freeradius: /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0 openvpn: /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0 python: /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0

 

Next, you'll need to compare this list of programs against running services, for example:

root@host:~# ps auxww | grep python root 1960 0.0 7.2 65392 17956 ? S Jun03 1:11 python /usr/sbin/denyhosts --daemon --purge --config=/etc/denyhosts.conf

And finally restart these services again:

root@host:~# /etc/init.d/denyhosts restart [ ok ] Stopping DenyHosts: denyhosts. [ ok ] Starting DenyHosts: denyhosts.

Autor: L. Aaron Kaplan

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
"Zero-Day" Sicherheitslücke in Apple Quicktime
24. Juli 2014 Beschreibung Die ...
Sicherheitsprobleme mit OpenSSL
5. Juni 2014 | Das ...
mehr ...
Massives Datenleck
6. August 2014 | Diverse ...
Zusatzinformationen zum Interview im Standard
16. Juli 2014 | Wir freuen ...
mehr ...
Jahresbericht 2013
Ein Resumee zur digitalen Sicherheitslage in Österreich.
Letzte Änderung: 2014/8/6 - 15:03:44
Haftungsausschluss