25. Oktober 2007
Ich bin ja froh, dass ich mit meinem Blog kein Geld verdiene (und auch nicht muss). So ein Blog kann schnell mal gehackt werden, z.B. durch einen PHP Fileinjection-Bug oder eine falsch initialisierte Variable und selbst die diversen Einstellungen wie „register_globals“ oder „allow_url_include“ genügen manchmal einfach nicht mehr.
Robert Basic berichtet vom Werbeblogger, der wegen ein paar versteckten Links aus dem Google Index geflogen ist:
„In diversen Seiten über den Tags, versteckt mit „position:absolute; top:-3333px; left:-2222px“…“
Das ist dann natürlich Pech. Ich verweise nur auf diesen Beitrag, der ein paar wichtige Einstellungen aufzählt.
Auf diversen Seiten und in den Kommentaren findet man auch Tipps, was man dagegen tun kann:
- Source Code der Seiten anschauen, insbesondere Links mit seltsamen Positionen
- Blogsuche nach typischen Spam-Keywörtern wie Cialis, Viagra, etc. (Mist, jetzt wird in Zukunft immer dieser Beitrag gefunden 🙂 )
- Blogsuche nach „geturls“
- Referrer-Statistik nach ungewöhnlichen Keywörtern auswerten
- Auswertung der Links einer Seite mit dem Firefox-Addon „Link Grab!„
- Google-Suche mit dem „site:“-Operator nach Spam-Keywörtern
- und natürlich aktuelle Software verwenden
Also, Augen auf beim Bloggen …
24. Oktober 2007
Das Web Application Security Consortium (WASC) hat einen Open Proxy Honeypot entwickelt, mit dem sich Angriffe auf Webserver beobachten lassen.
Der Proxy sieht von außen aus wie ein normaler Open Proxy, läuft jedoch in einem VMWare-Image und protokolliert detailliert die durch ihn durchgeführten Angriffe mit. WASC hofft dadurch, ausreichend HTTP-Traffic zum Beobachten zu bekommen,um Angriffe zu analysieren und besser verstehen zu können.
Ach ja, und sie suchen noch Freiwillige, die ihren Proxy hosten.
Ich frag mich ja … wenn durch so einen Proxy ein System kompromittiert wird. Die IP-Adresse des Angreifers ist ja dann meine. Zivilrechtlich besteht in Deutschland vermutlich Anspruch auf Unterlassung wegen Mitstörerhaftung. Strafrechtlich ist vielleicht nicht unbedingt was zu befürchten, aber wir kennen das ja von den TOR-Betreibern. Die Freunde in den silber-grünen Autos treten gerne zuerst mal die Tür ein um dann erst zu ermitteln, worum es eigentlich geht. Wie hoch ist da denn das Risiko? Liest zufällig ein Anwalt mit?
Naja, laut FAQ sagen sie den Hackern, dass diese überwacht werden und die Angriffe werden auch nicht weitergeleitet. Lustig, diese Amis.
18. Oktober 2007
Ich hatte ja vorgestern die Frage gestellt, ob bzw. ab wann man inoffizielle Patches einspielen kann. Natürlich fliegt mir das Thema heute schon um die Ohren, weil der Patch offensichtlich grottenschlecht ist.
Aber die Frage bleibt im Raum stehen: In welcher Situation würde man so einen inoffiziellen Patch einspielen? Was sagt das Risikomanagement dazu?
12. Oktober 2007
Mit Viren und Schadprogrammen kann man bekanntlich richtig viel Spaß haben.
Dazu gehört beispielsweise der Download gängiger Construction Kits bei VX Heavens, die man dann gegen ein nicht besonders geschütztes System laufen lassen kann. Spezielle aktuelle Schadprogramme lassen sich oft bei Offensive Computing herunterladen und natürlich gibt es auch noch den üblichen Schadprogramme-Spam. Zum ausprobieren und rumspielen bietet sich ein virtuelles System in VM-Ware an, da kann man am wenigsten kaputt machen.
Bei dieser Gelegenheit kam die Frage auf, was einen guten Virus auszeichnet und wir haben uns da ein paar Gedanken gemacht:
- E-Mail Viren müssen den Anwender neugierig machen
- Die richtige Ausbreitungsgeschwindigkeit entscheidet den Erfolg
- Vor dem Verbreiten die Viren unbedingt ausgiebig Testen
- Ein guter Virus wird von gängigen Virenscannern nicht erkannt
- Der Virus sollte leicht um neue Funktionen erweiterbar sein
- Der Virus sollte unter der GPL (oder ähnlich) lizenziert werden
- Der Virus sollte sich intelligent in Windows einklinken
- Der Virus sollte ein brauchbares Rootkit mitbringen
- Der Virus sollte dem Entwickler einen finanziellen Gewinn bringen
- Der Entwickler sollte den Namen des Virus festlegen können
Alles weitere in der Mitternachtshacking-Präsentation Spaß mit Viren (PDF, 960 KB)
10. Oktober 2007
Die Schweizer „Die Wochenzeitung“ hat einen ganz netten Artikel über Computerviren zusammengestellt. Der Anlaß ist der 25. Jahrestag des ersten weiter verbreiteten Virus Elk Cloner.
„Zu Weihnachten 1981, so will es der Mythos, bekam Richard Skrenta, ein fünfzehnjähriger Highschoolstudent aus Pittsburgh, einen der damals verbreiteten Apple-II-Kleincomputer geschenkt. Um seine Schulkollegen zu ärgern, schrieb er im Jahr darauf ein kleines, sich selbst reproduzierendes Programm, das sich über Floppydisketten verbreitete. Der «Elk Cloner» gilt als erstes Computervirus «in freier Wildbahn».“
Sehr schön, so ein wenig Historie. Heute ist leider alles viel schlimmer.
zum WOZ-Artikel
Nur ein Link: ftp://ftp.ox.ac.uk/pub/wordlists/
kann man immer mal brauchen 🙂
5. Oktober 2007
Der Storm Worm bildet inzwischen das größte globale Botnetz aller Zeiten mit 1,8 Millionen kompromittierten Maschinen. Peter Gutman (ja, der mit der Vista-Kritik) hat errechnet, dass die Leistung des Botnetzes locker die der größten Supercomputer übertrifft.
Bruce Schneier hat eine Analyse des Storm Worm zusammengefasst. Er spricht von der Zukunft des Schadcodes.
- Der Wurm ist geduldig. Er greift nicht permanent an sondern führt einige Angriffe durch und versteckt sich dann wieder um nicht erkannt zu werden.
- Der Wurm verwendet Aufgabenteilung wie in einem Ameisenhaufen. Einige Instanzen verbreiten den Wurm weiter, andere dienen als Kontrollzentren, die restlichen warten auf Anweisung. Dadurch wird der Wurm immun gegen das Abschalten einzelner Systeme.
- Storm verursacht keine spürbaren Schäden an komprimittierten Systemen. Die Anwender merken keine Änderung im Verhalten, das einen Administrator alarmieren könnte.
- Der Storm Wurm verwendet zur Kommunikation Peer-to-Peer Funktionen statt eines zentralen Servers. Auch dadurch wird es fast unmöglich, den Wurm auszuschalten.
- Die Kontrollsysteme sind nicht nur durch Peer-to-Peer Techniken geschützt, sie verstecken sich auch im DNS durch „Fast Flux“, d.h. ständig wechselnde DNS-Einträge.
- Die Schadroutinen von Storm verändern sich durch Code-Morphing automatisch, was eine Erkennung durch Virenscanner erschwert, da feste Signaturen nicht verwendet werden können.
- Die Verbreitungsverfahren des Wurms werden auch ständig angepaßt. Per Mail, als Einladung zu einer Webseite, über Lücken im Browser … sobald eine Lücke geschlossen wird, greift der Wurm auf eine andere zu.
- Die zur Verbreitung verwendeten E-Mails, sowohl Subject als auch Inhalt werden ständig an aktuelle Ereignisse angepasst. Wenn die NFL eröffnet werden Tickets angeboten, bei schweren Stürmen Wetterinformationen, etc.
- Der Wurm greift gezielt Anti-Spam-Seiten an, die seine Verbreitung behindern sowie Forscher, die ihn analysieren. Damit soll das Wissen über den Wurm beschränkt werden, um die Ausbreitung nicht weiter zu gefährden.
Eigentlich bestätigt das nur, was ich seit geraumer Zeit in meinen Vorträgen erzähle. Schadprogramme werden von organisierten Banden geschrieben und nicht mehr von gelangweilten Jugendlichen im elterlichen Kinderzimmer.
Nur F-Secure ist anderer Meinung.
4. Oktober 2007
27. September 2007
Nur ein paar Links:
Aber vorsicht, es könnte auch ein Honeypot Proxy sein!
19. September 2007
Ok, es ist vorbei. Das ganze Thema „Hacking“ ist offensichtlich gelaufen. Wir sind jetzt endgültig absolut sicher. Aber nicht wegen dem § 202c, nein, nein. Statt dessen haben wir das der EADS und ihrem Ectocrypt-System zu verdanken.
„A team of researchers and engineers at a UK division of Franco-German aerospace giant EADS has developed what it believes is the world’s first hacker-proof encryption technology for the internet.“
Quelle: Telegraph.co.uk. Hier gibt es sogar ein lustiges Video und ein Datenblatt (PDF) dazu.
Hmm, mal testen …
- Secret System … ja, geheime EADS Technologie ohne veröffentlichten Details
- Technobabble … ja, z.B. „High Assurance Internet Protocol Encryptor (HAIPE)“, „lightning speed key scambling and re-formatting“
- Unbreakable … ja, offensichtlich
- One-time Pads … nein, leider nicht
75% Übereinstimmung mit der Definition für Snake Oil Cryptography.
Ich persönlich gebe der Technologie ja so ca. 12 Monate, bevor die NSA eine fette Lücke gefunden hat und das System wertlos ist. Ich fürchte, die Jungs bei der EADS sollte nicht so viel Ghostbusters kucken. Viel witziger hätte ich ja gefunden, wenn die Jungs ihre Verschlüsselung „Clearstream“ genannt hätten. 🙂