Tagarchive: Sicherheit

Kalter Entzug für Reddit Oder: Wie Hosts euch und euren Rechner schützen kann

  von Mo | 16 Dezember, 2012 - 15:56 |
2 Kommentare

Ich liebe Reddit. Es gibt wohl kaum eine Webseite, die so viel Inhalte bietet, so schnell auf Ereignisse reagiert oder so viel Wissen zu obskuren Themen bündelt. Mein Problem dabei: Ich hab mich in letzter Zeit immer wieder erwischt, wie ich teilweise Stunden dort verbracht habe (die Reddit Enhancement Suite hilft da sehr gut….).

Da bleibt nur eins übrig: Ein kalter Entzug über die Hosts-Datei. Allesandere wirkt leider nicht. Ab sofort leitet eine Anfrage von meinem Hauptrechner zu Reddit.com auf die 127.0.0.1 um, sprich der Browser zeigt eine Fehlerseite.

Reddit, geblockt in der Hosts-Datei

Reddit, geblockt in der Hosts-Datei

Die Konfiguration für sowas ist einfach: Hosts-Datei unter “C:\Windows\System32\drivers\etc” mit Notepad++ oder dem Windows-Editor öffnen (Achtung: Unter Windows 7 müsst ihr das Programm zuvor mit administrativen Rechten starten).

Anschließend tragt ihr zuerst die Adresse ein, auf die der Eintrag leiten soll (bei mir 127.0.0.1), macht anschließend ein Leerzeichen und tippt dann die Domain ein. Speichert die Änderung und eure Blockliste ist sofort aktiv.

Das klappt nicht nur mit Reddit. Dan Pollock, die gute Seele hinter SomeOneWhoCares.org, hat eine Hosts-Liste, bei der wohl jedem Werbetreibenden schlecht werden würde – er blockt damit so ziemlich alles von möglicher Spyware, über Ad-Server bis hin zu Hardcore-Porno/Gore/Shocker-Seiten. Die Liste wird immer wieder aktualisiert, wer seine Kids (oder sich selbst) also einfach aber effektiv schützen will, sollte das Ding mal ausprobieren. Ich hab die Einträge hinzugefügt und es ist einfach nur faszinierend.

Zurück nach Hack/Defacement

  von Mo | 15 Oktober, 2012 - 16:51 |
3 Kommentare

Hi zusammen. Erstmal: Sorry wegen der Downtime. Ich hab dafür aber eine Erklärung:

Am 11. Oktober hat mich mein Provider kontaktiert, meine Seite wäre gehackt worden. Unter anderem hatten die Angreifer folgende Daten hinzugefügt. Betroffen waren:

  • ./wp-content/uploads/2012/10/telnet.pl
  • ./wp-content/uploads/2012/10/chmod.php
  • ./wp-content/uploads/sym.php
  • ./wp-content/uploads/2_x3.php.jpg
  • ./wp-content/uploads/sym/.htaccess
  • ./wp-content/uploads/sym/root
  • ./wp-content/uploads/2_a.php.jpg

Konkret bedeutete das, dass meine Webseite dieses spaßige Bild anzeigte:

N-Sup-Haxxors

Die Haxxors greifen die Seite an. Halp!!

Ja, vielen Dank auch Dark-Devilz. Ich bin persönlich nicht gerade politisch aktiv im Mittleren Osten, aber so macht ihr euch bestimmt keine Freunde. Die Spaßvögel haben zudem meine WP-Config komplett überschrieben (das hat mich einige Zeit gekostet…).

 

Nun scheint allerdings alles wieder zu funktionieren, auch habe ich keine anderen verdächtigen Programme oder Dateien gefunden, welche die Spaßvögel auf meinem Server deponiert haben könnten. Sollte euch irgendetwas auffallen, wäre ich für einen Hinweis an nerdsupremespinnt@moritzjaeger.de dankbar.

Als Gegenmaßnahme habe ich, längst überflüssigerweise, meine HTACCESS richtig angepasst. Ich verlasse mich dabei auf das Plugin Bulletproof Security.

Sorry nochmal für die Umstände. Backups, Leute. Backups, Backups, Backups.

Update und Richtigstellung: Wenn das FBI 12 Mio Apple UUIDs verliert…

  von Mo | 4 September, 2012 - 20:16 |
Hinterlasse einen Kommentar
UUID-Teaser

.. und diese dann einfach so im Web auftauchen, dann ist das schon irgendwie schmunzelnswert. Vor allem, wenn diese Daten nicht auf irgendeinem geheimen supersicheren Server liegen, sondern von einem Agenten (in dessen Haut ich nicht stecken würde) als CSV-Datei auf dem Rechner gespeichert sind und dieser Rechner für das kürzlich entdeckte Java Zero Day anfällig war.

Heise hat deutlich mehr Infos dazu, auch wie man an die Daten kommt.

Anonymous fasst die ganze Aktion in ihrer Stellungnahme auf Pastebin ganz gut zusammen

so…penis.

Dem wäre dann nichts mehr hinzuzufügen.

 

… dann klingt das zu gut um wahr zu sein. Und leider, leider ist es das auch, da bin ich mit den Kollegen zu früh losgesprungen, in der Hoffnung auf Leser uns Besucher. Aber was David Schuetz von der Intrepidus Group herausgefunden hat, ist eigentlich noch interessanter.

Nicht das FBI ist die Quelle der UUIDs, sondern Blue Toad, ein Anbieter, der Magazine in iPad-Form bringt.

Twitter FBIPressOffice Statement

Twitter FBIPressOffice Statement

Nochmals, sorry. Lesenswert ist aber auf alle Fälle der Blogeintrag von Schuetz, in dem er genau erklärt, wie er die UUIDs zur Quelle zurückverfolgt hat und wie die Kontaktaufnahme mit Blue Toad lief.

 

 

Hackers on a Plane: Lufthansa Board Connect

  von Mo | 3 September, 2012 - 15:45 |
Hinterlasse einen Kommentar
boardconnectaufmacher

Die Lufthansa Systems, eine Tochter der Lufthansa, hat die (selbsternannte) nächste Generation des In-Flight-Entertainments vorgestellt: Bord Connect, ab September im Testbetrieb in einigen Condor und Lufthansa-Maschine. Die Idee hinter Bord Connect ist simpel: Niemand mag zentrale Fernseher im Flieger, um ein fest definiertes Programm sehen zu müssen, und die meisten Passagieren haben auf Flügen eh ein Notebook oder ein Tablet (oder wie ich meist Notebook und Tablet und Kindle und Smartphone und vielleicht ein zweites Tablet) dabei. Also, warum stellt man nicht einfach einen Media-Server in die Kabine, schraubt ein paar WLAN-Hotspots in die Decke und gibt so jedem Nutzer von seinem Gerät aus Zugriff auf die Media-Daten. Wer kein eignes Gerät hat, dem kann man ja ein günstiges PED (für Personal Entertainment Device).

(weiterlesen …)

Übersicht: Web-Dienste mit Zwei-Faktor-Authentifizierung

  von Mo | 27 August, 2012 - 18:01 | , ,
1 Kommentar

Seit den 80gern hat sich die Anmeldeprozedur bei Webdiensten nicht wirklich geändert: Ein Nutzername, das passende Kennwort und man hat Zugriff auf die Daten und Dienste. Das ist komplett diametral zur Popularität von Cloud-Angeboten. Mails liegen bei Googlemail, Yahoo oder Outlook.com, Daten sind bei Ubuntu One, Dropbox oder Skydrive, Passwörter bei LastPass, KeePass und Co. Der größte Schutz ist noch immer ein starkes Passwort, was allerdings wenig hilft, wenn der jeweilige Dienst die komplette Datenbank verliert.

Eine der wenigen zusätzlichen Schutzfunktionen, ist die Zwei-Faktor-Authentifizierung. Dabei wird neben dem Kennwort bei der Anmeldung ein zusätzlicher PIN-Code abgefragt, der ständig neu geniert wird und nur kurze Zeit gültig ist. Dieser PIN wird normalerweise nicht auf dem Computer angezeigt, sondern auf einer zusätzlichen Komponente, dem so genannten Token. Klassischerweise werden diese Token von Unternehmen genutzt, um den externen Zugang zu Diensten oder VPN-Verbindungen abzusichern.

(weiterlesen …)

Betriebssystems-News: Backtrack 5 R3 und Windows 8 fertig

  von Mo | 16 August, 2012 - 09:32 |
Hinterlasse einen Kommentar

Zwei meiner wichtigsten Betriebssysteme wurden in der letzten Woche aktualisiert, bzw stehen fertig zum Download bereit:

Alphabetisch zuerst: Die Sicherheitsdistribution Backtrack gibt es nun in Version 5, R3 zum Download. Wie immer als Gnome und KDE, 32- oder 64-Bit und für die “echte” Installation oder als VM. Bugfixes und mehr als 60 neue Tools sind drin, darunter eine komplett neue Rubrik, die sich mit programmierbaren Boards auf Basis von Arduino und Co auseinandersetzt. Wer die Systeme schon installiert hat, der kann die Neuerungen per apt-get dist-upgradeeinspielen. Das ist mein bevorzugter Weg, schließlich lasse ich Backtrack in einer virtuellen Maschine laufen und da musste ich ein paar Zusatz-Patches einspielen, damit meine USB-WLAN-Karte mit rtl8187-WLAN-Chipsatz einwandfrei arbeitet. Wie genau das geht, lest ihr in meinem Beitrag beim TecChannel. Es kann übrigens sein, dass die R3-Version diese Neuerung bereits mitbringt, mein mon0 funktioniert nach dem Update immer noch gut.

(weiterlesen …)

Blizzard und Battle.Net: Passwörter weg, bitte ändern

  von Mo | 10 August, 2012 - 13:11 |
Hinterlasse einen Kommentar

Nun hat es den nächsten großen Anbieter erwischt: Blizzard fordert seine Kunden auf der Webseite auf, die Passwörter zu ändern, da diese wohl bekannt wurden. Genauer gesagt schreiben sie hier

Diese Woche hat unser Sicherheitsteam einen nicht autorisierten und illegalen Zugriff auf unser internes Netzwerk hier bei Blizzard festgestellt. Wir haben diesen Zugriff sofort eingefroren und begonnen, zusammen mit den Behörden und Sicherheitsexperten zu ermitteln, was vorgefallen ist.

Nunja, soweit, so gut, eigentlich sollte man die Kennwörter ja eh regelmäßig wechseln. Deutlich kritischer ist da schon dieser Teil:

Für Spieler auf nordamerikanischen Servern (wozu normalerweise Spieler aus Nordamerika, Lateinamerika, Australien, Neuseeland und Südostasien gehören) sind zusätzlich die Antworten zu der Geheimen Sicherheitsfrage und Informationen im Zusammenhang mit dem Mobile Authenticator und dem Dial-In Authenticator betroffen.

Das ist eher ein Problem. Ich nutze den Authenticator, ich hab mir einfach angewöhnt, eine Zwei-Faktor-Authentifizierung herzunehmen, wo sie der Hersteller anbietet.  Mit diesen Daten könnten die Diebe unter Umständen die Authenticatoren zurücksetzen und so auch an Konten kommen, die neben dem Passwort das Token nutzen. Theoretisch.

Immerhin scheint Blizzard mit dem Zwischenfall aktiv umzugehen. Ich hab ein paar der Social Media Accounts geprüft (Blizzard, Starcraft, Starcraft-DE) und überall verweisen sie auf den Eintrag. Außerdem haben sie einen umfangreichen Beitrag online gestellt, wer wann und wo betroffen ist.

Ganz ehrlich: Wer seine Passwörter regelmäßig ändert (ja, ich weiß, es ist nervig) und wo möglich die Zwei-Faktor-Authentifzierung nutzt, der sollte vor dem Otto-Normal-Datenbank-Hack relativ sicher sein. Problematisch wird es da, wo eine Mehrfachnutzung von Passwörtern erfolgt oder wo sowieso schwache Kennwörter eingesetzt werden. Ich hab noch keinen Dump der Datenbank gesehen, aber ich bin mir fast sicher, dass so Perlen wie “password1″, “starcraftFTW” oder “wownumber1″ mit drin sind.

 

Microsoft-Punkte und WoW-Gold umsonst? Ja, genau.

  von Mo | 21 Februar, 2012 - 17:18 |
3 Kommentare
teaserMalware

Als Journalist im Fachbereich IT-Sicherheit übt Malware verständlicherweise einen großen Reiz auf mich aus. Ich finde die Programme faszinierend und verschlinge gerne die Reports zu Stuxnet und Co, wenn sie denn von den Analysten bei Symantec, F-Secure, Kaspersky, Sophos und Co veröffentlicht werden. Nur die fertigen Berichte zu lesen wird aber irgendwann langweilig, schon länger will ich mich selbst an so etwas versuchen. Dazu muss ich allerdings zugeben: Wenn es um das Thema Programmieren geht, hab ich höchstens gefährliches Halbwissen. Aber ich verstehe die Zusammenhänge. Ich kann einen Quelltext soweit interpretieren und den Kontext analysieren, dass ich verstehe, was eine Webseite oder ein Programm da veranstaltet. Ein kleines Wort zum Start noch: Ich bin da komplett neu, wenn ich also Fehler mache oder etwas falsch interpretiere, sagt mir bitte Bescheid, bevor ihr den Beitrag komplett niedermacht.

Zwei Dinge haben mir dabei deutlich weitergeholfen: Die Veröffentlichung des Buches „Practical Malware Analysis“ und ein Artikelauftrag der GameStar (noch nicht online, Link reiche ich nach). Im Artikel ging es u.a. darum, warum und wie sich Kriminelle Zugang zu den Konten der Spieler verschaffen.

MS Points und WoW Blaster

MS Points und WoW Blaster

Vor allem auf YouTube finden sich massig Links zu „Hacks“ und „Generatoren“. Diese Programme versprechen nahezu alles, was man sich vorstellen kann: Microsoft Points, Gold für WoW, Spiele für Steam oder Origin. Der Modus Operandi ist nahezu immer gleich: Ein YouTube-Video zeigt das Tool in Aktion, die Beschreibung dazu enthält den Link zum Download und oft eine Geschichte. Diese erklärt wie ein „Hacker“ eine Schwachstelle bei Microsoft/Valve/EA/Blizzard gefunden hat und diese nun mit allen Nutzern im Internet teilt, etwa um gegen hohe Spielepreis zu demonstrieren oder um es „the Man“ einfach mal zu zeigen. Das Video unten ist so ein Beispiel: Ich habe es aus YouTube exportiert und hier wieder hochgeladen, um diesen Idioten keine zusätzlichen Views zu geben.

MS Point Generator

Get the Flash Player to see this player.

50 Prozent der Links führen zu Filehostern (Megaupload war bei meiner letzten Suche noch immer stark vertreten) und zum Download von Programmen. Die andere Hälfte gibt die (laut den Beschreibungen deutlich überlegenen Tools) nur frei, wenn mindestens eine Umfrage ausgefüllt wird. Überraschung: Selbst wenn man durch die Fragen durch ist, klappt das mit der Freigabe nicht, man möge doch noch eine weitere Umfrage ausfüllen usw usf. Deutlich seltener ist Social Engineering, wie etwa dieses Bild schön zeigt

Xbox Live Gold und MS Points

Xbox Live Gold und MS Points

Ich finde den Hinweis am Ende nett: Kein Passwort eingeben (Braucht er auch nicht, weil er dank geheimer Frage und Antwort das Kennwort bequem zurücksetzen kann).

Die Apps sind alle relativ einfach: Man müsse nur Nutzername und Passwort eingeben, einen Knopf drücken und schon hat man Spiele/Gold/MS Points/usw. Ich hab mir eine isolierte virtuelle Maschine hergerichtet (teil meines Setups hier) und zwei Programme vorgenommen: den WoW Blaster und Microsoft Point Generator V5.

Beide sind offensichtlich in Visual Basic erstellt und laufen nur mit dem .Net Framework. Ich hab es zunächst mit Strings und IDA Pro probiert, beides liefert aber nicht wirklich aussagekräftige Ergebnisse. Ein wenig googeln hat mich zum MSIL Disassembler-Tool gebracht. Und hey, das Ding ist cool. Es zerlegt das Programm komplett und zeigt die Innereien als Plaintext.

Ziemlich schnell bestätigt sich mein Verdacht: Von wegen ausgefeiltes Hacking. Beide Apps nehmen die Daten der Nutzer, packen sie in eine E-Mail und verschicken sie über die Funktion „System.Net.Mail“ an den Macher der Malware. Interessant ist, dass beide den Google-SMTP nutzen. Hier zeigt sich dann meine fehlende Erfahrung: Ich weiß, dass irgendwo ein Passwort für den SMTP stecken muss, ich finde es allerdings nicht. Vielleicht habe ich mit einem gespooften DNS und Wireshark mehr Glück.

Der WoW Blaster macht noch ein wenig mehr als „nur“ die Zugangsdaten zu verschicken: Er nimmt sich die Hosts-Datei von Windows vor und biegt zahlreiche Einträge um. Googles-Mailserver, Yahoo, Comcast und RedTube (die Macher wissen, was WoWler brauchen…) werden alle auf eine IP in Portugal umgebogen, hinter der allerdings scheinbar nichts mehr läuft.

Hosts-Attacke

Hosts-Attacke

Soviel also zu meinem ersten Versuch mit Malware und Disassemblierung. Ich find es spannend und versuche dranzubleiben – das Buch ist eine großartige Hilfe und vielleicht wird daraus ein schönes neues Fachgebiet.

Spaß mit der WPS-Schwachstelle

  von Mo | 5 Januar, 2012 - 14:27 |
3 Kommentare

Ohboyohboyohboyohboy – 2012 wird großartig. Zumindest wenn es so weitergeht, wie es gestartet hat. Was ich meine? Die WPS-Lücke, die Stefan Viehböck zwischen den Jahren in diesem Blogeintrag dokumentiert hat. Wer es noch nicht gelesen hat: WPS steht für Wi-Fi Protected Setup, eine Technik, die das Wi-Fi-Konsortium nachträglich eingeführt hat. Mit Hilfe von WPS kann man Geräte mit einem Knopfdruck oder einer PIN zu einem sicheren WLAN hinzufügen. Das ist beispielsweise dann praktisch, wenn der Admin einen richtig langen Schlüssel für die WPA/WPA2-Verschlüsselung vergibt – der Nutzer muss nur einen Knopf drücken oder eine PIN eingeben.

(weiterlesen …)

Behold, mein neues virtuelles Testlabor

  von Mo | 9 Dezember, 2011 - 12:44 | , ,
1 Kommentar

Endlich hatte ich genügend Zeit um ein lang auf die Bank geschobenes Projekt zu verwirklichen: Ein auf VMware Workstation basierendes virtuelles Testlabor, mit dem man auch mal ein paar bösartige Dinge untersuchen kann. Nach ein bisschen herumbasteln bin ich auf eine überraschen simple und elegante Lösung gestoßen:

Virtuelles Testlabor

Virtuelles Testlabor

Realisiert ist alles mit VMware Workstation 8. Die drei virtuellen Maschinen sind alle in einem Team zusammengefasst (ein neues Feature in Workstation 8, es würde auch mit den Gruppen in Workstation 7 klappen). Grundsätzlich sollte sich das aber auch mit Virtualbox und Co realisieren lassen, wichtig ist, dass ihr einen virtuellen Switch habt, der mehrere Netzwerke unterstützt. Aktuell sind es drei VMs: die pfSense-Appliance sowie ein Windows 7 und ein XP SP3.

pfSense ist ein Router/Firewall-System auf FreeBSD-Basis (hey, Linux kann ja jeder :) ). Ich kann nicht genau sagen, warum ich mich für pfSense und nicht IPCop entschieden habe (vielleicht, weil der Herr Donauer von den Bitblokes immer IPCop nimmt und ich mich von ihm absetzen muss ;) ), aber das Ding bietet für den Anfang (und wahrscheinlich für immer) alle Funktionen, die ich brauche. pfSense hat zwei virtuelle Netzwerkkarten: Eine für den WAN-Zugriff (den Pfeil), eine für das LAN. Die WAN-Ethernetkarte ist gebridged, greift also auf mein “normales” Netzwerk zu und kann mit dem Internet kommunizieren. Die LAN-Karte ist im Host-Only-Modus und einem separaten Netzwerk für das virtuelle LAN. Im Grunde hab ich einfach das gemacht, was ein Router im normalen Netzwerk übernimmt: Das Internet ist in dem Fall mein lokales Netzwerk, pfSense erhält seien IP von meinem eigentlich Router und kann über den Traffic ins “wirkliche” Internet leiten. Das hat den großen Vorteil, dass ich die Konfigurationsseite von pfSensen von meinem Produktivsystem aus erreichen kann – das ist bequemer als wenn ich ständig von einer der virtuellen Maschinen aus zugreifen muss.

pfSense

pfSense

Die beiden Windows-System wiederum erhalten ihre IP vom DHCP-Server von pfSense – die beiden Systeme kennen nur sich selbst, dass ist quasi wie bei The 13th Floor (ach, hätte Matrix nur auch so geendet, aber ich schweife ab). Beides sind Standard-Windows-Installationen, deren Status natürlich in einem Snapshot gesichert wurde. Zusätzlich hab ich auf beiden ein nettes Tool installiert, den Windows System State Analyzer (WSSA) sowie dem Windows System State Monitor (WSSM). Der WSSA erlaubt es mir, einen Snapshot des Systemzustandes anzulegen und diesen mit einem späteren Snapshot (etwa nach der Installation eins verdächtigen Programmes) zu vergleichen. Dadurch sollte ich relativ schnell sehen, was eine Software an Unfug anstellt (an so spaßige Dinge wie und Co traue ich mich noch nicht ran). Der WSSM zeigt Zugriff im Live-Betrieb an, mal schaun, was mir besser gefällt. Anschließend werden die Systeme zurückgesetzt und alles ist wieder sauber. Beide Tools sind im Paket des Server Logo Program Software Certification Tool enthalten. Aktuell ist das Tool nur auf dem Windows 7 System eingerichtet, auf XP sollte es aber auch gehen.

Oh, eine weiter großartige Sache von pfSense ist die Logging-Funktion. Das System bringt tcpdump mit und kann den kompletten Traffic protokollieren, der über den Router ins Web geht (SSL ausgenommen, aber das kann ich ja später probieren, für den Anfang sollte normaler Traffic reichen) . Die Datei kann ich anschließend runterladen und über WireShark oder CloudShark analysieren. Cool.

Was bringt mir jetzt das Ganze? Zum einen habe ich ein schöne Laborumgebung, mit der ich ein wenig herumspielen kann, ohne dass ich mein Produktivnetz (in dem auch noch ein paar andere Rechner von Mitbewohnern hängen) in Gefahr bringe. Sollte ich wirklich mal einen Virus analysieren wollen, kann ich die Verbreitung mit ein paar Firewall-Regeln (wohl) recht gut in den Griff kriegen. Und ich lerne neue Funktionen kennen und kann neue Dinge ausprobieren (pfSense kann auch massig neue Pakete nachladen, so dass ich das Teil auch in eine Snort-Installation oder einen VPN-Server umbauen kann – was zahlreiche neue Workshops ermöglicht). Dank dem VMware-Setup kann ich auch relativ leicht neue Systeme dazuhängen oder abschalten (etwa, wenn ich mich endlich mal ans Aufsetzen einer Domain wage). Und ich lerne neue Tipps und Tricks kennen.