Auflistung aller Beiträge aus der Kategorie

Angriff

Zero Day Initative

Die vom IPS-Anbieter TippingPoint gegründete Zero Day Initiative (ZDI) ist ein Programm zum Handel mit Schwachstellen. Die Schwachstellen fließen dann einerseits in die IPS-Produkte von TippingPoint ein und sie werden darüberhinaus veröffentlicht. Das  ZDI verfolgt dabei den Weg des verantwortungsvollen Veröffentlichens. Die älteste angekündigte, aber noch nicht veröffentlichte Schwachstelle ist daher auch vom Oktober 2006 (ZDI-CAN-105).

Den Hackern, die sich beteiligen winken attraktive Kaufangebote und Boni bis zu 20.000$. Als Beispiel für eine Schwachstelle wird auf der Webseite der Betrag von 5.000$ genannt. Wenn Sie der ZDI also 10 Schwachstellen dieser Art verkaufen bringt Ihnen das 50.000$ an Einmalzahlungen und am Jahresende einen Bonus von 20.000$. Das deckt sich in etwa mit den Angaben, die ich für einen White-Hat in meinem Beitrag Ihr Berufseinstieg als Hacker (644.000$ Jahresgehalt) zitiert habe. Der Beitrag geht jedoch pro Jahr von 25 verwertbaren Exploits aus; die ZDI spricht von Schwachstellen. Also sollten pro Jahr mindestens 145.000$ zu erlösen sein. Im Folgejahr bietet die ZDI dann einen Bonus von 25%: Das ergibt 176.250$ Jahresgehalt inklusive Jahresendbonus.

Update: Schwachstelle in WordPress 2.8.3.

LoginAuf Seclists.org wird ein Proof-of-Concept vorgestellt, mit dem sich das Passwort des admin-Kontos jedes WordPress-Blogs zurücksetzen lässt, ohne dass zuvor eine Bestätigungs-Mail mit Confirmation-Link versendet wird. Das ist erst mal nicht schlimm, weil das Passwort per Mail an die hinterlegte E-Mail-Adresse versendet wird – mindestens ist es ärgerlich. WordPress.org bietet ein Workaround für die Schwachstelle an. In der Datei wp-login.php im Wurzelverzeichnis der WordPress-Installation muss Zeile 190 wie folgt modifiziert werden:

190 alt: if ( empty( $key ) )
190 neu: if ( empty( $key ) || is_array( $key ) )

Was das ändert sehen Sie auf dem Bild. Sie bekommen eine Fehlermeldung mit dem üblichen Dialog zum zurücksetzen eines User-Acounts – das admin-Passwort bleibt unberührt.

Update 12.08.2009:

WordPress 2.8.4 steht auf http://wordpress.org/ zum Download bereit.

EV-Zertifikate weiter unter Beschuss

Auch die teureren EV-Zertifikate bieten keinen ausreichenden Schutz mehr vor Man-In-The-Middle-Attacken. Im Browser werden die Zertifikate durch eine farbliche Veränderung der Adressleiste angezeigt:

XING-EV

Die Verifizierung übernimmt der Browser. Wie aber erkennt der Browser die Echtheit des Zertifikats? Der IT-Sicherheitsexperte Moxie Marlinspike hat auf der diesjährigen Blackhat-Konferenz bereits zwei Schwachstellen vorgestellt. Heise.de berichtete: Neue SSL-Attacken demonstriert und Black Hat: Neue Angriffsmethoden auf SSL vorgestellt.

Virenscanner machtlos

Laut Internet-Security-Dienstleister Commtouch umgehen Millionen von Viren die Scanner führender Antivirus-Anbieter. Der Quartalsbericht für das zweite Quartal 2009 zeigt hier einen deutlichen Anstieg im Vergleich zu den davor liegenden 18 Monaten.

Andere Highlights aus dem Bericht:

  • Zur Verbreitung werden aktuelle Ereignisse wie die Schweinegrippe und der Tod Michael Jackson’s genutzt.
  • Websites zum Thema Gesundheit und Web-Mail-Anbieter sind am stärksten von Phisching Angriffen betroffen.
  • Websites der Kategorie “Business” waren besonders stark mit Malware infiziert.
  • Durchschnittlich 376.000 Bots wurden für täglich zu bösartigen Aktivitäten aktiviert.
  • Bildbasierter Spam kehrt mit neuen Techniken auf die Bildfläche zurück.
  • 80 % des gesamten E-Mail-Verkehrs des untersuchten Quartals bestand aus Spam. Der Spitzenwert lag bei 97%.

“Im zweiten Quartal führten die Verbreiter von Malware viele neue Varianten ein, die gegen generischen Signaturen immun sind und deshalb einen kräftigen Anstieg an unerkannter Malware verursachten,” sagte Amir Lev, CTO bei Commtouch.

Diese Beobachtung machten auch die Analysten der Shadowserver Foundation, die für diesen Zeitraum monatlich um 10.000 unerkannte Varianten in Ihren Statistiken aufführten. Für den aktuellen Monat werden bereits jetzt über 50.000(!) unerkannte Varianten geführt.

Über die Arbeit der Shadowserver-Foundation berichtete ich vor einigen Tagen in dem Beitrag “Was uns die Statistiken der Shadowserver Foundation verraten“.

Was uns die Statistiken der Shadowserver Foundation verraten

Was ist die Shadowserver Foundation?

Die Shadowserver Foundation wurde 2004 gegründet um Informationen über die “dunkle Seite” des Webs zu sammeln. Nach eigener Aussage sieht sie ihre Mission darin, die Kriminalität im Informationszeitalter zu verstehen. Dazu sammeln und veröffentlichen die Shadowserver-Security-Experten Daten zu Malware, Botnets und sonstiger Cyber-Kriminalität. Als Ergebnis präsentieren sie die Daten über kompromitierte Server, laufende Angriffe und die Verteilung von Malware.

Im Einzelnen ergeben sich die folgenden Aufgaben:

  • Sammeln von Schadsoftware
  • Analyse von Viren, Würmern  und Trojanern
  • Beobachten und Berichten über aktuelle Angriffe
  • Beobachten und Berichten über aktuelle Botnets
  • Informationen zur Cyber-Kriminalität veröffentlichen
  • Koordination von Notfallmaßnahmen

Welche Statistiken stehen zur Verfügung?

Die Liste der Statistiken ist lang und nicht unbedingt selbstredend. Ein genauerer Blick lohnt sich auf jeden Fall. Man bekommt dort für fast jede Malware-Präsentation die richtige Visualisierung.

  • ASN
    Ein autonomes System (AS) ist eine Ansammlung von IP-Netzen, die eine Einheit darstellen. Typischerweise werden diese von einem Internet Service Provider (ISP) verwaltet. In dieser Statistik werden alle Angriffsaktivitäten aus einem ASN zusammengefasst, unterteilt nach DDoS, Scans und Comand-Hosts für Bot-Netze.
  • Bots
    In diesen Statistiken werden alle Aktivitäten von infizierten Clients dargestellt. Die Veränderung der Bot-Anzahl, ihre geografische Verteilung und die Veränderungen im Zeitverlauf lassen sich so anzeigen:

  • Botnets
    In der Botnet-Statistik werden die Command-and-Control-Hosts ähnlich aufbereitet dargestellt, wie zuvor die befallenen Clients.

  • DDoS
    In dieser Statistik werden Angreifer und Opfer von DDoS-Atacken gegenübergestellt.
    Auch diese Statistiken gibt es wieder als Darstellung auf dem Zeitstrahl, geografisch im Weltkartenformat und in der historischen Gegenüberstellung.

  • Geo Locations
    In dieser Statistik werden keine Karten angeboten. Die geografische Verteilung wird hier tabellarisch mit Zahlen untermauert.
  • IRC Ports
    In dieser Statistik werden die von den Command-and-Control-Hosts genutzten IRC-Ports tabellarisch dargestellt. Am heutigen Tage alles ruhig.
  • Malware
    In dieser Statistik wird die Anzahl der Malware-Programme dargestellt: Tabellarisch und als Grafik. In Unterabschnitten gibt es die Ergebnisse aus den sogenannten Sandbox-Tests der Shadowserver Foundation und Zahlen zu Malware, die sich mit Hilfe von Packern zu verstecken sucht.

  • Scansscan
    Scans sind die Vorbereitung für Angriffe. Die geografische Gegenüberstellung von Angreifer und Opfer ist daher besonders hilfreich, deutet sie doch auf einen bevorstehenden Angriff hin.

  • URLs
    Übersicht über die Anzahl an Updates und URLs, die an die Bot-Netze übertragen werden.
  • Viruses
    Sie finden hier zunächst eine Übersicht aller Anbieter von Anti-Viren-Lösungen und dann die üblichen Virenstatistiken. Besonders interessant die Anzahl an Viren, die als 0-Day Varianten von all diesen Virenscannern nicht erkannt werden!

Die Statistiken sind umfangreich und liefern eine hervorragende Grundlage für Präsentationen und Awareness-Schulungen. Sollte Ihr Firmensitz unter einem roten Punkt in der geografischen Übersicht der Scans liegen, sollten Sie sich vielleicht Gedanken machen und einen Blick auf die 0-Day-Grafik werfen, wenn Sie erst richtig Angst bekommen wollen.

Journalisten hacken tausende Handy-Mailboxen

Journalisten der zwei britischen Boulevardzeitungen “Sun” und der “News of the World” sollen mit Hilfe von Detektiven im großen Stil Handy-Mailboxen von Prominenten angezapft haben. So hätten sie aus den Sprachnachrichten vertrauliche Informationen für ihre Geschichten gezogen. Das berichtete die “Frankfurter Rundschau” unter Berufung auf die Zeitung “The Guardian” am Donnerstag in einem Artikel (Die Berichterstattung des Guardian finden Sie hier).

Der verantwortliche Verlag “News Group Newspapers” des Medienmoguls Rupert Murdoch habe einigen Betroffenen zur Entschädigung insgesamt eine Million Pfund gezahlt.

Auch das Supermodel Elle MacPherson, Sänger George Michael, Schauspielerin Gwyneth Paltrow und der frühere Vize-Premierminister John Prescott gehören zu den bis zu 3000 Betroffenen.

Sicherheitsrisiko Türknauf – 38% der Räume unverschlossen

Bei einem meiner Sicherheitsaudits wollte ich es dann Mal ganz genau wissen: Schließt eigentlich irgendwer Türen mit Türknauf ab, oder lässt man die einfach “ins Schloss fallen”? Ein wenig Recherche im Internet wappnete mich mit allem, was man für den Einbruch benötigt: Eine längliche Plastikkarte und das Wissen über die richtige Technik bei deren Einsatz an der sogenannten Falle des Türschlosses (die Abbildung zeigt oben die Falle und unten den Riegel). Kreditkarten zerbrechen übrigens – das klappt nur im Film!

Es ging um die Kontrolle von Türen zu sicherheitsempfindlichen Bereichen, die alle mit einem Türknauf statt einer Klinke ausgestattet waren. Darunter auch das IT-Lager voller Laptops und Räume mit spezieller, teurer IT-Ausstattung. Die Kontrolle fand außerhalb der normalen Geschäftszeiten statt, also zu einer Zeit, in der die Bereiche dauerhaft verschlossen sein sollten. Das Gebäude selbst war für alle Firmenangehörigen rund um die Uhr zugänglich – unbemerkt und ohne Pförtnerdienst!

Das Ergebnis war nicht ganz so gut: 38% der Türen waren nicht verschlossen sondern nur geschlossen. Darunter auch das Lager mit den Laptops. Der Einbruch in die Räume war mir jeweils in wenigen Sekunden bis Minuten möglich. Die Räume während des nächtlichen Sicherheitsaudits durch die Schlüsselinhaber ordnungsgemäß verschließen zu lassen war da schon schwerer. ;-)

Heiße Woche an der Krypto-Front

Neuer AES-Angriff

Unter dem Titel “Related-key Cryptanalysis of the Full AES-192 and AES-256” haben Alex Biryukov und Dmitry Khovratovich von der Universität von Luxenburg einen Ansatz vorgestellt, mit dem bessere Erfolge erziehlt werden können als mit Brute-Force-Methoden.

Als vorläufiges Ergebnis denken wir, dass die Kompexität einer Attacke gegen AES-256 von 2119 auf 2110.5 verringert werden kann.

Bruce Schneier stellt dazu fest:

Einverstanden. Obwohl dieser Angriff schneller ist als Brute-Force – und einige Kryptoanalytiker werden den Algorithmis deshalb als gebrochen benennen – liegt er immer noch weit, weit über den Möglichkeiten heutiger Rechner.

MD6 wieder in der Warteschleife

Der Algorithmus MD6 wurde vom Autor Ron Rivest wegen Sicherheitsbedenken aus der Cryptographic hash Algorithm Competition zurückgezogen. In der Competition wird der neue SHA-3 Algorithmus gesucht. Der Rückzug bedeutet jedoch nicht, dass MD6 unsicher wäre oder es Angriffe gäbe. Der Autor ist einfach noch nicht zufrieden – das ehrt ihn und Bruce Schneier komentiert:

Das ist ein erstklassiger Rückzug, so wie wir ihn von Ron Rivest erwartet haben – besonders wegen der Tatsache, dass es bisher keine Angriffe auf den Algorithmus gibt, während andere Algorithmen schwerwiegend angegriffen wurden und die Einreichenden weiter versuchen darauf zu bauen, dass es niemand mitbekommen hat.

200 Jahre alter Krypto-Code geknackt

Das berichtet das Wall Street Journal in einem Beitrag. Mehr als 200 Jahre lag der jetzt geknackte Code in Thomas Jefferson’s Unterlagen – eine verschlüsselte Nachricht, die bis heute nicht entschlüsselt wurde. Der Schlüssel ergibt sich aus: Anzahl der Zeilen in jedem Abschnitt, Reihenfolge der Zeilentransskription und die Anzahl der Zufallszahlen pro Zeile. Der Schlüssel war zu seiner Zeit zwar schwer zu knacken, aber mit 100.000 Rechenschritten durchaus zu brechen.

Update: Michael Jacksons Tod als Malware-Köder

Der Sicherheitsdienstleister F-Secure warnt in seinem Blog vor E-Mails zum Tod von Michael Jackson. Üblicherweise dauere es nach solchen Ergeignissen nur wenige Tage, bis die ersten Angriffe via Mail zu beobachten seien.

Seien Sie daher besonders auf der Hut, wenn Sie Links zum Thema öffnen oder Sie aufgefordert werden Dateien herunter zu laden.

Updates:

Das US-CERT hat ein eigenes Advisory zum Thema herausgegeben und warnt ebenfalls vor Angriffen.

Sophos hat in seinem Blog bereits den ersten Angriffsversuch veröffentlicht:

Auch Websense meldet einen Angriff, der über Youtube geführt wird:

Und F-Secure vermeldet einen Angriff via photos-google.com und möglicherweise via photo-msn.org, facebook-photo.net and orkut-images.com:

Fehlermeldung

Einen weiteren Angriff via SMS meldet F-Secure in einem Posting.

Und Sunbelt meldet einen weiteren Angriff via E-Mail.