Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Wartungsarbeiten Dienstag, 31. 1. 2017
25. Jänner 2017

Am Dienstag, 31. Jänner 2017, werden wir Wartungsarbeiten an unserer Infrastruktur vornehmen. Dies wird zu kurzen Ausfällen der extern erreichbaren Services (zB Mail, Webserver, Mailinglisten) führen, diese können jeweils mehrere Minuten andauern. Es gehen dabei keine Daten (zb Emails) verloren, die Bearbeitung kann sich allerdings leicht verzögern.

In dringenden Fällen können sie uns wie gewohnt telephonisch unter +43 1 505 64 16 78 erreichen.

Autor: Robert Waldner

Abgeschlossen: Wartungsarbeiten Dienstag, 24. 1. 2017
20. Jänner 2017

Am Dienstag, 24. Jänner 2017, werden wir Wartungsarbeiten an unserer Infrastruktur vornehmen. Dies wird zu Ausfällen der extern erreichbaren Services (zB Mail, Webserver, Mailinglisten) führen. Es gehen dabei keine Daten (zb Emails) verloren, die Bearbeitung kann sich allerdings verzögern.

In dringenden Fällen können sie uns wie gewohnt telephonisch unter +43 1 505 64 16 78 erreichen.

Update 24.1.2017, 14.30h: Die Wartungsarbeiten wurden erfolgreich abgeschlossen.

Autor: Robert Waldner

Erpressung ist (immer noch) in!
17. Jänner 2017

Das neue Jahr bringt sicherlich wieder viele technische Neuerungen und (potentiell unsägliche) Trends mit sich. Eines bleibt leider unverändert: Erpressung ist in.

Neben DDoS-Drohungen und Ransomware in allen Farben, Formen und Ausprägungen ist in letzter Zeit vermehrt das eingetreten, wovor Experten bereits lange gewarnt haben: Kriminelle haben eine enorme Anzahl an über das Internet erreichbaren, ungesicherten Datenbanksystemen (z.B. Elasticsearch, MongoDB) missbraucht und in (digitale) Geiselhaft genommen.

Das Prinzip ist, in leicht veränderter Form, altbekannt: Die in der Datenbank gespeicherten Daten werden gelöscht, und die hinterlassene Notiz instruiert den Besitzer, eine bestimmte Menge an Bitcoin (oder irgendeiner anderen Kryptowährung) zu bezahlen, um seine Daten zurückzubekommen. Es gibt jedoch einen essentiellen Unterschied.

Ransomware bringt den Tätern zum Teil deshalb so hohe Profite, weil die 'Kundenbetreuung' vergleichsweise gut funktioniert (oftmals sogar besser, als bei legitimen Technikunternehmen), und eine realistische Chance besteht, dass das Opfer seine Daten zurückbekommt. Bei den bisher gesehenen Erpressungsfällen mit offenen Datenbankinstanzen ist dies nicht der Fall. Es handelt sich, bisher, nicht um koordinierte Kampagnen, sondern eher um opportunistische Täter(gruppen).

Mit den heute verfügbaren Bandbreiten ist ein Scan über das ganze Internet kein Problem mehr, und vorgefertigte Skripte, mit denen sich eine Datenbank leerräumen lässt, sind frei im Netz verfügbar. Relativ kurz nach den ersten Vorfällen dieser Art sind bereits verschiedenste Nachahmer aufgetaucht, die sich nun gegenseitig ihre Lösegeldforderungen überschreiben.

Die Chance, dass man seine Daten wiedersieht, ist also ziemlich gering. Jedes Opfer, das daran denkt, die geforderte Summe zu zahlen, sollte sich auf jeden Fall beweisen lassen, dass die Daten wirklich im Besitz des Erpressers sind.

Dennoch konnten die Täter, laut Medienberichten, bereits über 20.000 Euro mit diesen Angriffen verdienen. Was kann man also tun, um sich gegen derlei Angriffe zu schützen?

  • Im Idealfall ist die Software nur in einem lokalen, nicht gerouteten Netz erreichbar
  • Sollte ein Zugriff über das Internet notwendig sein: Zugriffskontrollen einrichten, sei es nun durch eine Firewall oder durch ACLs innerhalb der Software; idealerweise die Verbindung durch einen VPN-Tunnel schützen
  • Regelmässige Sicherungskopien seiner Daten anlegen; dabei nicht vergessen auch den Wiederherstellungsprozess zu testen
Softwarespezifische Tipps sind bei den jeweiligen Herstellern verfügbar, zum Beispiel Elastic oder MongoDB. Im Sinne der Sicherheit seiner Daten ist es im Interesse jedes Administrators, hier jetzt zu handeln.

Autor: Alexander Riepl

Avalanche Takedown
1. Dezember 2016

Am 30. November 2016 wurde durch eine breit angelegte Kooperation von Polizei (Europol, Eurojust, FBI, ...), Staatsanwälten und IT Sicherheitsorganisationen (BSI, Shadowserver, CERTs) das Avalanche Botnet übernommen.

Die Zahlen von Shadowserver sind eindrucksvoll:

Jurisdictions: 30
Arrests: 5
Premises searched: 37
Servers seized: 39
Servers taken offline through abuse reports: 221
Countries with victim IP's: 180+
Domains blocked or delegated to Shadowserver's sinkholes: Over 800,000 in 60+ TLDs

CERT.at war nur am Rande involviert, wir werden aber - wie immer in diesen Fällen - die über die Sinkholes gewonnen Daten über Infektionen an die Netzbetreiber weitergeben.

Update (1. Dez. 18:30): Inzwischen haben wir den ersten Datensatz erhalten, danach sind in Österreich 711 IP-Adressen betroffen. Diese verteilen sich so auf die einzelne Schädlinge:

2016-12-01-avalanche

Autor: Otmar Lendl

Nächste >>
Letzte Änderung: 2017/1/25 - 13:41:38
Haftungsausschluss