Loading

DNS Hijacking nur eine Domainumleitung oder doch ein Horrorszenario?

Posted in Sidetopics on October 8th, 2013
Tags: , , , , , , ,

Gerade geht die Hackergruppe KDMS rund und verteilt Schläge gegen viele bekanntere Webseiten. Zu den Opfern gehören jetzt bereits

  • LeaseWeb (Ein Hosting-Provider),
  • Avira (Anti-Viren-Hersteller),
  • AVG (Anti-Viren-Hersteller),
  • RedTube (Bekannte Pornoseite) und
  • Alexa.

Das sind in der IT-Branche und einige auch darüber hinaus sehr bekannte Namen. Hier der Artiekel von Botfrei.de dazu: DNS-Hijacking: LeaseWeb verlor Firmen-Domain an Cyberkriminelle

Was genau haben die gemacht?

Die Hackergruppe hat die Webseten der entsprechenden Firmen defaced. Bzw. ist das eigentlich gar nicht der Fall. Die Webseite selbst wurde nämlich gar nicht angefasst. Stattdessen hat man der entsprechenden Domain einfach gesagt, das der Inhalt wo anders liegt. Man hat die IP-Adresse in den DNS-Einstellungen verändert. Das nennt man dann DNS-Hijacking.

Wenn ich im Browser eine Domain eingebe, die ich besuchen will (zum Beispiel Avira.de) dann wird erstmal eine Anfrage gestellt auf welchem Server die Webseite überhaupt liegt. Die Antwort ist eine IP-Adresse (also die Internet-Hausnummer der Webseite). Diese Nummer wurde ausgetauscht und gegen eine IP-Adresse getauscht die unter der Kontrolle der KDMS-Hackergruppe ist. In eurem Browser wurde also der Inhalt von diesem Server angezeigt.

Was ist daran so schlimm?

Viele denken jetzt wahrscheinlich: Ach, dann wurde ja nur die Webseite “umgeleitet”, dann ist das ja gar nicht so schlimm. Nein! Das ist falsch. Bleiben wir beim Beispiel Avira. Nicht nur euer Browser spricht über Domainnamen mit dem Internet sondern auch der Avira-Antivirus selbst. Zum Beispiel wenn er Aktualisierungen machen will. Das Programm fragt dann nach der Adresse von zum Beispiel updates.avira.com. Jemand der Zugriff auf die DNS-Einträge von avira.com hat, kann genauso leicht auch die IP-Adresse von updates.avira.com ändern und dann sind wir schon bei viel schlimmeren Folgen für jeden einzelnen Avira-Benutzer. In der Zeit könnten zum Beispiel gefälschte Aktualisierungen auf euer System übertragen worden sein.

Ein zweites Beispiel. Der Angriff auf whatsapp.com war genau der gleiche wie auch bei Avira. Auch die Anwendung WhatsApp spricht über Domainnamen mit den WhatsApp-Servern im Internet. Eine mögliche Subdomain für die Authentifizierung könnte zum Beispiel auth.whatsapp.com sein, oder die Adresse für die Nachrichten messages.whatsapp.com. Beide Einträge können hierbei auch geändert werden, wenn man den Zugriff auf die Domain whatsapp.com hat. Im Falle von WhatsApp bedeutet das: Eure Authentifizierungsdaten und sogar Nachrichten könnten jetzt in der Hand von Cyber-Kriminellen sein.

Das sind konkrete vorstellbare Manipulationsszenarien die direkt dafür Sorgen das Eure Daten gestohlen werden können oder aber euer Computer kompromittiert wurde.

Was mach ich jetzt? 

Im Falle von WhatsApp? Das Programm nicht mehr nutzen. Das würde ich allerdings jedem empfehlen, der ein wenig Wert auf Privatsphäre setzt. Zwar verschlüsselt WhatsApp wohl seit geraumer Zeit die Nachrichten, diese Verschlüsselung ist aber Fehlerbehaftet und damit leicht zu knacken. Alternativen gibt es:

Im Falle von Avira? Jetzt wird es heikel, denn euer Computer könnte Infiziert sein und damit im Prinzip alle Daten die Ihr auf dem Rechner verwendet. Ich empfehle euch auf jeden Fall den Computer von einem anderen Virenscanner (bitte nicht AVG xD) überprüfen zu lassen.

Ihr könnt erst einmal den Online-Check auf Check-and-Secure (Eine Platform der Sicherheitsfirma cyscon GmbH) durchführen und dann den dort angebotenen Hitman.Pro herunterladen. Das ist ein sogenannter “zweite Meinung”-Scanner, den man genau dazu verwendet, eine Kompromittierung auszuschließen oder festzustellen.

Sollte euch das auch noch zu ungenau sein (denn immerhin sind das ja alles nur Programme), dann kann ich euch das Botfrei-Forum empfehlen. Meldet euch da an und macht ein neues Thema auf. Die Experten in diesem Forum schauen sich euren Rechner dann bis in kleinste Detail an und helfen bei der Entfernung der Schadsoftware oder bei dem sicheren Weg: Den Computer neu aufzusetzen.

Also, lieber auf Nummer sicher gehen!

[ Leave A Comment »]

Feng Office und das Update auf die Version 2.3.1.1

Posted in Sidetopics on October 4th, 2013
Tags: , ,

Wer FengOffice verwendet wie ich, regelmäßig die Aktualisierungen durchführt, der stößt schon mal auf ein Problem. In vielen Fällen lassen sich diese Probleme dann mit Hilfe des FengOffice-Forums oder anderer Internet-Blogger lösen. Beim aktuellen Update auf 2.3.1.1 (das betrifft aber auch ein Upgrade auf die ganz aktuelle Version 2.3.2.1) ist das leider nicht der Fall. Ich habe in diesem Fall ganz normal den Upgrade über mein automatisiertes Script ausgeführt, wie jedes mal.

Doch jetzt war dann doch etwas anders. In der FengOffice-Oberfläche war der Overview-Tab nicht mehr zu erreichen und beim Bearbeiten von Objekten jeder Art wurde immer wieder der folgende Fehler angezeigt:

Unknown column ‘member_id’ in ‘field_list’

Gut dachte ich mir. Da ist wahrscheinlich etwas beim Upgrade nicht fertig geworden oder schief gelaufen. Also hab ich einfach versucht, den Upgrade-Prozess noch einmal manuell durchzuführen. Dass könnt Ihr über 2 Wege machen.

  1. Geht im Browser auf http://eureFengDomain/public/upgrade/ und führt das das Upgrade über den Knopf dort nochmal aus.
  2. Geht über die Commandozeile auf euren Webspace und dort in das Home-Verzeichniss der Feng-Installation. Dann führt Ihr folgendes aus:

php public/upgrade/console.php eureJetzigeVersion 2.3.2.1

Das half leider beides nichts. Ok, es werden auch über beide Wege die gleichen Scripte angestoßen, von daher ist es schon logisch, dass beide Wege nicht funktionieren. Der Upgrade-Versuch wird mit der folgenden Fehlermeldung quitiert:

Error: Failed to execute DB schema transformations. MySQL said: Duplicate entry ‘mail’ for key ‘name’
Error upgrading to version 2.3.2.1

Woher kommt der Fehler?

Der Fehler kommt, daher dass das Datenbankschema von Feng bei diesem Upgrade an einer entscheidenden Stelle geändert wurde. Ein Feld, das vorher nicht Eindeutig (Unique) war wurde mit dem neuen Schema Unique gemacht. Nach ein wenig Recherche im Quellcode und etwas Debugging bin ich dann auf die Folgende Abfrage gestoßen:

ALTER TABLE `PREFIX_object_types` DROP INDEX `name`,
ADD UNIQUE INDEX `name` USING BTREE(`name`);

Also wie ich oben beschrieben habe. In der Tabelle object_types wird das Feld ‘name’ eindeutig gemacht, damit dort nicht mehrere Objekte mit dem selben Namen drin stehen können.

Und was ist jetzt das Problem?

Da es vorher durchaus möglich war, dass die Tabelle 2 Datensätze mit dem gleichen Namen befinden, hat sich bei meiner Installation ein solcher Datensatz eingeschlichen. Fragt mich bitte jetzt nicht woher der Datensatz kam, aber bei mir war der folgende Datensatz doppelt (bzw. gab es 2 Datensätze mit dem gleichen Namen):

id: 21
name: mail
handler_class: MailContents
table_name: mail_contents
type: content_object
icon: mail
plugin_id: 4

Der Zweite hatte natürlich eine andere id, war aber sonst völlig identisch.

Was tun?

Das ist eigentlich ganz einfach. Einer dieser Datensätze muss rausfliegen. Am besten nehmt Ihr dazu den Datensatz mit der höheren id. Geht also einfach in eure Feng-Datenbank, sucht euch dort die Tabelle mit dem Namen (EuergewählterPrefix)_object_types raus und lasst euch die Datensätze anzeigen:

select * from (EuergewählterPrefix)_object_types;

Jetzt sucht Ihr nach 2 Datensätzen bei denen das Feld ‘name’ jeweils gleich gefüllt ist und merkt Euch die höhere id. Diesen Datensatz löscht Ihr dann mit

delete from (EuergewählterPrefix)_object_types where id = 22;

Falls Ihr mehrere solcher doppelten Datensätze findet macht Ihr mit denen genau das gleiche. Solange bis jeder Name nur noch einmal in der Tabelle steht.

Wenn Ihr dass geschafft habt, steht einem erfolgreichen Upgrade nichts mehr im Weg. Ihr könnt jetzt wie am Anfang des Artikels erklärt einfach den Upgrade wie von FengOffice vorgesehen durchführen.

Also dann: Viel Spaß mit Feng!

[ Leave A Comment »]

Googlesearchfoo aka TheMudBox auf Youtube

Posted in Sidetopics on September 10th, 2013
Tags: , , ,

Die ist nur eine kurze Ankündigung, dass ich nach meinem Video zu dem Chip-Beitrag meinen Youtube-Kanal mal etwas belebt habe. Ich hoffe, ich halte mich weiter dran und lade fleißig Videos hoch. Meine Themen:

Mikrofon Testaufnahmen

Aus persönlichen Gründen mache ich eine Reihen mit Mikrofon Testaufnahmen. Ich habe jetzt schon sehr viele Mikrofone durchprobiert und ausgerechnet bei dem teuersten Exemplar ist die schlechteste Qualität rum gekommen. Damit anderen das nicht passiert mache ich jetzt einfach eine Videoreihe dazu.

Zur Playlist

Mecker Mecker Mäh!

In dem Bereich lade ich Videos hoch in denen ich mich ein Wenig über Dinge auslasse. Wie im Falle von Chip als man meinen Account wegen “Werbeaccount” gelöscht hat und das nur weil ich die Daten auf der Seite richtig stellen wollte. 

Zur Playlist

Viren und Tools die dagegen helfen.

In dieser Playlist stelle ich Tools vor mit denen Ihr Viren entfernen könnt oder ich mache Videos über spezielle Viren und dort lade ich auch Videos hoch bei denen ich finde, dass sie die Thematik Viren/Botnetze/Trojaner ganz gut erklären.

Zur Playlist

Dann gibt es noch 2 weitere Playlisten die euch aber wahrscheinlich eher weniger interessieren werden. Die eine ist nur unser Videobeitrag dem Botfrei.de-Wettbewerb 2011 und die andere für Commentary-Videos zu League of Legends. Also, vielleicht sieht man sich ja mal auf meinem Kanal. 

[ Leave A Comment »]

3-Facher Fauxpas von Chip.de

Posted in Sidetopics on September 2nd, 2013
Tags: , , , , ,

Heute schreibe ich im Interesse euch über fehlerhafte Recherchen und wie man damit seitens Chip.de umgeht aufzuklären. Es geht erst mal um einen Einzelfall, den ich beschreiben möchte.

Und zwar geht es um zweit Seiten bei Chip.de auf denen das von der cyscon GmbH entwickelte check-and-secure.com beschrieben wird. Über check-and-secure hatte ich bereits in einem älteren Artikel geschrieben.

Chip hat die Webseite nun auf zwei Seiten aufgenommen. Erstens in einer kleinen News. Und zweitens im Verzeichnis der Webapplikationen. Die Webseite ist dort auch sehr beliebt und aktuell auf Platz 1 der beliebtesten Web-Apps dieser Woche. Selbst in der Gesamtübersicht ist die Webseite bereits auf Platz 12 gelandet . Das ist meiner Meinung nach ein echt gutes Ergebnis.

Allerdings haben sich bei den Recherchen zu unserer Webseite wohl 2 Fehler eingeschlichen.

Der erste Fehler mit dem Author auf der Seite der Wep-App

Ich muss dazu sagen, dass die Information aktuell bereits geändert wurde, allerdings immer noch nicht richtig ist. Als Autor ist für die Webanwendung aktuell der “eco – Verband der deutschen Internetwirtschaft” genannt. Noch heute 02.09.2013 um 8 Uhr war dort die Information “Anti-Botnet-Beratungszentrum” hinterlegt.

Richtig ist aber und das ist auch leicht herauszufinden, wenn man sich mal anschaut, wer die Webseite bereitstellt (WHOIS) und einen kurzen Blick ins Impressum wagt, weiterhin die cyscon GmbH. Im Impressum ist noch eindeutig die folgende Information hinterlegt:

Idee, Realisierung und technisch bereitgestellt von:

cyscon GmbH cyscon GmbH, Düsseldorf

Der Autor der Webseite ändert sich dadurch also keinesfalls, der eco Verband und im speziellen das ABBZ geben hier nur Ihren Namen her. Das ist zu Vergleichen mit einem Buch das über einen großen Verlag vertrieben wird. Nehmen wir als Beispiel mal das Buch von Terry Pratchett “Das Jüngste Gericht: Die Wissenschaft der Scheibenwelt 4″. Das Buch wird über den Verlag Piper vertrieben. Niemand würde aber deswegen anzweifeln, dass Terry Pratchett der Autor des Buches ist. Das ist also eine einfache Falschinformation die Chip.de mittlerweile sogar wissentlich ignoriert. Dazu aber später mehr.

UPDATE: Ich habe dazu jetzt auch ein Video auf meinem YouTube-Kanal hochgeladen. Da könnt Ihr sehen, wie einfach zu erkennen ist, was in das Feld Autor wirklich gehört.

Der zweite Fehler bzw. schlecht recherchierte Information in der News

Die News selbst von Chip.de ist tatsächlich nur ein ganz kurzer Artikel aus dem aber ganz klar eine Bewertung herauszulesen ist. Dabei geht es mir um den Folgenden Abschnitt:

Anschließend empfiehlt der Botnet-Check, einen “Impfstoff” herunterzuladen.
Dahinter verbirgt sich der kostenlose Browser-Scanner HitmanPro.Alert, an dessen Stelle Sie jedoch
auch einen Virenscanner wie Avast installieren können.

Ich will Chip.de hier wirklich nichts unterstellen allerdings sieht das für mich ganz klar danach aus, als ob der HitmanPro.Alert nicht getestet wurde. Der HitmanPro.Alert ist eine gute Ergänzung zu einem Anti-Virus und dient keinesfalls als Ersatz zu einem solchen. Das Tool bietet Funktionen die fast kein normaler Anti-Virus bietet. Das schlimme daran: Chip.de empfiehlt mit Avast genau einen solchen Anti-Virus. Avast beinhaltet keinen effektiven Schutz gegen Man-In-The-Browser Angriffe und auch nicht den Mechanismus zum simulieren einer virtuellen Maschine, so das Schadsoftware erst gar nicht anfängt zu arbeiten.

Selbst im Avast-Forum ist man zu dem Schluss gekommen, dass der HitmanPro.Alert eine gute Ergänzung zu ihrem Produkt ist.

Da stellt sich natürlich die Frage wie sich Chip.de über dieses Tool überhaupt informiert hat? Getestet wurde es wahrscheinlich eher nicht. Schade dass man sich dennoch soweit aus dem Fenster lehnt und eine schlechte Empfehlung an die eigenen Benutzer herausgibt. Meiner Meinung nach eine Sache die auf einer Webseite wie Chip.de nicht passieren darf!

Der dritte Fehler bzw. ein Fauxpas im Forum selbst und wie man mit der Richtigstellung von Informationen umgeht

Ich habe genau diese Informationen in einem Post zu dem Artikel hinterlegt. Und zwar in dem Forum, dass eigentlich genau dazu gedacht ist über die Artikel zu diskutieren, die Chip.de schreibt. Und nein, ich werde jetzt nicht von Zensur oder ähnlichem Reden, denn es ist nun mal das Recht von Chip.de Beiträge von mir auch bei reinem Nichtgefallen zu löschen.

Genau das ist auch passiert. Mein Diskussionsthema war von ca. 9 Uhr bis kurz vor 11 Uhr online und wurde von ca. 200 Besuchern gesehen bevor es einfach gelöscht wurde. Ansonsten hätte ich hier auch gerne den Link zu diesem Thema bereitgestellt.

Weiterhin wurde mein Benutzer einfach aus der Benutzerdatenbank gesperrt. Grund: Werbeaccount.

Wie gesagt: Das ist Chip.des gutes Recht. Allerdings finde ich den Umgang dennoch nicht gelungen. Den Benutzern von Chip.de werden damit Informationen geboten die teilweise Falsch sind. Weiterhin finde ich es eine Unart keine genauen Informationen zu geben, warum man diesen Schritt gegangen ist, auch wenn der Betreiber dies natürlich nicht tun muss. Ich persönlich bin mit mehreren Accounts gerne auf Chip.de unterwegs, habe dort öfter schon Benutzern bei Problemen geholfen und muss für mich jetzt einfach die Entscheidung treffen: Wenn so schlecht recherchiert und reagiert wird, dann ist es diese Plattform einfach nicht mehr Wert. Für mich war es das dann mit Chip.de und in meinem Artikel hier will ich zumindest eine Richtigstellung der Informationen bieten die Chip.de nicht bereit ist selbst anzupassen.

Ich habe natürlich auch direkt eine E-Mail an die Redaktion über deren Kontaktformular hinterlassen. Evtl. erhalte ich darüber noch eine bessere Antwort. Ich halte euch auf dem Laufenden, falls sich noch etwas aus dieser Richtung ergibt.

[ Leave A Comment »]

Sicherheitslücke auf der Webseite von Team-Alternate #3

Posted in Uncategorized on August 22nd, 2013
Tags: , , ,

UPDATE: Heute am 27.08.2013 nach also ganzen 11 Tagen ist die Sicherheitslücke behoben.

Es ist mal wieder Soweit. Nachdem ich am 11.10.2012 das erste und am 28.06.2013 das zweite mal eine XSS-Lücke auf der Webseite von Team-Alternate gefunden habe, kommt hier nun die 3. Um vielleicht nochmal klar zustellen warum ich auf der Webseite von Team-Alternate war: Ich bin jedes mal auf die Webseite gegangen weil diese im Zusammenhang mit eSports erwähnt wurde. 2012 war das der Fall, weil ein Spieler von Team-Alternate (unso) Werbung gemacht hat und die beiden anderen Male weil carni (ein ESL-Moderator) auf Twitter etwas von der Seite verlinkt hatte.

Die alte Story?

Die alte Story findet Ihr in meinem Artikel: Sicherheitslücke auf der Webseite von Team-Alternate

Die ganze Story

  • 11.10.2012: Ich Melde das erste Mal die XSS-Lücke auf eurer Webseite. Betroffen war hier die Mitgliedersuche und die Variable “nick” per GET
  • 12.10.2012: Die Lücke wurde behoben.
  • 28.06.2013:Wieder bin ich direkt auf eine Lücke gestoßen: XSS, Variable criteria, Methode POST. Dennoch die selbe Lücke, denn es wird wieder einfach eine Benutzereingabe im Frontend 1zu1 ausgegeben.
  • 08.07.2013: Die Sicherheitslücke wurde gelöst und zwar nach ganzen 10 Tagen. Meiner Meinung nach etwas lange. Reagiert hat man damals erst auf meinen Tweet: https://twitter.com/googlesearchfoo/status/353927677545152513
  • 15.08.2013: Wieder eine Sicherheitslücke. XSS, Variable typ, Methode POST. https://twitter.com/googlesearchfoo/status/367971690052976640 Es handelt sich um die exakt gleiche Sicherheitslücke.
  • 21.08.2013: Heute versende ich das ganze nochmal als E-Mail, weil sich bisher leider bei euch noch nichts getan. Und das nach mehr als 5 Tagen. Leider kam ein Auto-Responder zurück :/
  • 27.08.2013: Die Sicherheitslücke wurde gelöst und zwar nach ganzen 11 Tagen.

Was stört am meisten daran?

Was mich am meisten an der ganzen Sache stört ist die Bearbeitungszeit und die Reaktion. Beim ersten mal wurde die Sicherheitslücke ja relativ schnell gelöst, doch im 2. Fall ist die Bearbeitungszeit meiner Meinung nach einfach zu lang. Außerdem finde ich die Nachhaltigkeit auch ziemlich schlecht. Warum prüft man als Webentwickler zumindest nach der 2. Meldung nicht einmal selbst die gesamte Seite? Es gibt ja das ein oder andere Tool mit dem man dieses Lücke auch leicht gefunden hätte. Zum Beispiel Skipfish.

Ich behaupte mal, dass Webseiten von eSport-Teams als relativ technik-nahe gesehen werden können und finde es daher noch mehr enttäuschend, dass so schlecht auf Sicherheitsmeldungen reagiert wird. Das zieht den Ruf dieses Bereiches einfach runter.

Was ist denn jetzt überhaupt los?

Wie Ihr oben an meiner “Timeline” erkennen könnt handelt es sich wiedermal um eine XSS-Sicherheitslücke. Im Prinzip ist das immer noch das gleiche Problem wie bereits 2012, nur das jetzt eine andere Variable verwendet wird. In der Variablen typ kann man also HTML-Code oder auch JavaScript-Code mitgeben, der einfach innerhalb der Webseite von Team-Alternate ausgeführt wird. So ist es möglich wie in meinem Beispiel zu sehen die Webseite von Team-Alternate sehr einfach zu manipulieren.

[ Leave A Comment »]

Sicherheitslücke in Joomla!-Erweiterung

Posted in Google hacking, Sidetopics on July 13th, 2013
Tags: , , , , ,

Heute mal ein kleiner Artikel über eine Sicherheitslücke in einer Erweiterung von Joomla!. Ich schreibe darüber, weil man die Opfer sehr leicht auch über Google finden kann. Es geht um die Sicherheitslücke, die in der Packetstormsecurity Datenbank zu finden ist: Joomla Attachments Shell Upload

Um was geht es?

Die Erweiterung ermöglicht es Dateien auf Eure Webseite zu laden. Dabei wird allerdings kein Typ ausgeschlossen. Es ist also möglich jede Art von Datei über die Erweiterung auf den Webspace eurer Webseite zu laden.

Ganz schlimm wird es dann, wenn ein Internet-Krimineller eine php-Shell auf euren Webspace lädt. Das ist ein Dateiexplorer der dem Angreifer euren kompletten Webspace “öffnet”. Er kann sich darüber Dateien anschauen aber auch verändern oder gar auf eure Datenbank zugreifen und zwar selbst dann, wenn der Zugriff auf den Webspace selbst beschränkt ist. Denn die Shell liegt ja auf genau diesem.

Hier einmal ein Video in dem man sieht, wie leicht man mit so einer Shell Schabernack treiben kann: Using C99 shell hacking.

Du glaubst das sei nicht wichtig, weil deine Seite eh keiner kennt?

Hier kann ich nur sagen: Bitte täusch dich da mal nicht. Man kann über Google über einen sehr einfachen Suchstring potentielle Opfer finden. Dazu sucht man einfach nach.

inurl:”index.php?option=com_attachments”

Direkt zu Google

Schnell kann in dieser Suche auch Eure Webseite drin sein.

Was ich ganz gut finde: Joomla! reagiert auf solche Sicherheitslücken in Erweiterungen sehr charmant. Auf der Seite der Erweiterungen in der Joomla!-Datenbank wird für dieses Plugin eine Warnung ausgegeben.

Auch der Hersteller des Plugins hat wohl bereits reagiert und einige Sicherheitsabfragen für den Upload von Dateien hinzugefügt. Joomla! selbst hat dazu einen Blogartikel geschrieben.

Aktuell würde ich aber jedem empfehlen die Erweiterung erst einmal zu deaktivieren, bis auch Joomla! Entwarnung gibt und das Plugin auf deren Seite wieder offiziell angeboten wird.

Das hab ich jetzt deinstalliert, was sollte ich außerdem tun?

Du solltest unbedingt nachschauen ob sich auf deinem Webspace vielleicht bereits eine Shell befindet. Eine einfache Möglichkeit dazu wäre zum Beispiel die suche nach “<?php” in dem Verzeichnis der Attachements. Wenn Du dabei fündig wirst, ist eine komplette Forensik von dem Webspace vorzunehmen. Dazu nimmst du die Webseite besser erst einmal offline, denn: Sollte die Webseite von Dritten infiziert worden sein, dann besteht eine akute Gefahr für deine Besucher.

Auch dein Computer könnte dann bei einem Besuch auf deiner eigenen Webseite mit einem Virus infiziert worden sein. Solltest du dir hier unsicher sein empfehle ich einen Besuch auf check-and-secure.com.

[1 Comment »]

Sicherheitslücke auf der Webseite von Team-Alternate

Posted in Sidetopics on July 4th, 2013
Tags: , , ,

Heute mal in einer ganz anderen Sache. Ich habe am letzen Freitag, den 28.06.2013 eine Sicherheitslücke auf der Webseite von Team-Alternate gefunden und natürlich auch sofort an den Webseitenbetreiber gemeldet. Da jetzt, genau 6 Tage nach meiner Meldung, immer noch nichts passiert ist, schreibe ich mal etwas dazu auf meinem Blog.

Was habe ich gefunden?

Gefunden habe ich eine simple XSS-Sicherheitslücke. Diese sind sehr einfach auszunutzen muss man ja nur eine Variable die auf der Seite genutzt wird bestimmte Daten mitgeben. Betroffen ist das Suchfeld auf der Webseite von Team-Alternate-Archive-Seite. In dem Suchfeld kann man einen Suchbegriff eingeben, der dann auch noch 1 zu 1 auf der Webseite wiedergegeben wird. Ein gefundenes Fressen also.

Das ganze hat aber bereits eine Vorgeschichte: Bereits letztes Jahr am 11.10.2012 habe ich eine ähnlich Lücke gefunden. Dabei ging es allerdings um das Suchformular auf der Mitgliederseite. Damals war es sogar noch einfacher als heute, so konnte man den eigenen evtl. schädlichen Inhalt einfach in der URL mitgeben. Das hat Team-Alternate jetzt abgefangen. Die Nutzung der URL-Variable funktioniert also nicht mehr.

Allerdings ist die Lücke immer noch da, wenn man die Variable ganz einfach per POST füllt. Also ist es auch heute immer noch möglich einen von mir selbst bestimmten Inhalt auf der Team-Alternate-Webseite darzustellen. Ich habe dazu mal eine kleine Demo angelegt in der man sieht wie das ganze funktioniert (Quellcode) und wie es auf der Seite von Team-Alternate dargestellt wird. Die Demo findet Ihr hier.

Was ist so schlimm daran?

Wer meine Demo sieht, wird vielleicht glauben es sei nicht so schlimm, weil ich ja ein Formular von meiner eigenen Seite absenden. Dazu kann ich nur sagen: Das Formular kann man auch automatisiert absenden. Es muss keine Aktion vom Benutzer erfolgen und dann landet der Benutzer ganz einfach auf der original Webseite von Team-Alternate die einen von mir bestimmten Inhalt hat. Das könnte ein Exploit sein oder zum Beispiel ein Phishing-Formular. Jemand, der Team-Alternate kennt und auf deren original Seite über meinen Link landet wird nicht stutzig werden, wenn dort auf einmal ein Formular mit der bitte um Zugangsdaten auftaucht. Alternate setzt seine Besucher damit also einer großen Gefahr aus und dass bewusst bereits seit 6 Tagen.

Ist die Lücke schwer zu beheben?

Nein. Das ist Sie ganz und gar nicht. Eines der Grundprinzipien der Webentwicklung habe ich einmal auf dem Botfrei-Blog beschrieben. Felder die dazu dargestellt werden, dass ein Besucher der Webseite frei Daten eingeben kann müssen entsprechend im Programmcode der diese Eingaben behandelt verarbeitet werden. In Richtung SQL-Server werden die Daten im Falle von PHP dazu mysql_escape_string entsprechend umgewandelt. Eine ähnliche Funktion gibt es aber auch für Benutzereingaben die ich auf der Webseite selbst darstellen will. Bevor man die Eingabe ausgibt wandelt man deren Inhalt (wieder ein Beispiel in PHP) einfach mit der Funktion htmlspecialchars um. Diese Funktion ist genau dazu gedacht.

Gibt jetzt ein Benutzer in dem Suchfeld Werte eine wie “<img” werden diese nicht mehr 1 zu 1 auf der Seite dargestellt und damit vom Webbrowser als HTML interpretiert sondern als “&lt;img” an den Browser weitergegeben der daraus einfach den Text “<img” macht und diesen auch als Text darstellt.

So Alternate: Jetzt seid Ihr an der Reihe. Wie lange braucht Ihr noch um diese Lücke zu schließen?

UPDATE: Nachdem ich die Sicherheitslücke am 28.06.2013 per E-Mail gemeldet hatte und danach versucht habe Alternate über Facebook zu erreichen habe ich am 07.07.2013 getwittert. Darauf reagierte Alternate und hat die Sicherheitslücke am 08.07.2013 nach ganzen 10 Tagen geschlossen.

[1 Comment »]

Die neue Elite im Kampf gegen Botnetze

Posted in Sidetopics on July 3rd, 2013
Tags: , , , , , , , ,

Was haben die cyscon GmbH, die Vodafone, die iX, die Avira, Surfright, das Handelsblatt und Incapsula gemeinsam? Ja, Ihr werdet wahrscheinlich noch nicht darauf kommen, aber vielleicht sieht das in ein paar Tagen schon ganz anders aus. Alle Firmen sind Partner des neuen Projektes CHECK AND SECURE der cyscon GmbH.

Worum geht es?

Kurz gesagt, es ist der letzte Schritt in der Botnetzbekämpfung der im Hause cyscon noch gefehlt hat. Eine Hilfsplattform um Computer von Schadsoftware zu befreien. Auf der Seite selbst können Benutzer sehr einfach einen Test durchführen und sich dann entsprechende Hilfsmittel für die Bereinigung herunterladen. Ganz neu ist der sogenannte Impfstoff. Das Penicillin gegen große bekannte Cyber-Schädlinge. Der Impfstoff erkennt deren Aktivitäten im Browser und schützt euch davor.

Wie funktioniert der Test?

Dazu muss man grob verstehen, wie Trojaner und Bots verstehen. Beide Varianten telefonieren nämlich nach “Hause” um entweder Befehle entgegen zu nehmen oder aber die geklauten Zugangsdaten abzuliefern. Der Zugriff geschieht hierbei meistens über Domains. Viele der Schädlinge haben nutzen dazu Algorithmen um Domains zu generieren.  Der Server generiert die Domain, bestellt diese und ist dann über dieses Domain ansprechbar. Der Client generiert mit dem gleichen Algorithmus die Domain und spricht dann darüber den Server an. Diese Domains sehen meist sehr kryptisch aus, wie “jwkjeirji1231kjda.com”. Kluge Köpfe aus der Anti-Malware-Welt knacken genau diese Algorithmen um die Domains vor den Servern des Schädlings selbst zu bestellen. Die Schädlinge selbst, die sich auf dem Rechner befinden bekommen davon nichts mit und sprechen weiterhin mit der Domain.

Diese Domains werden dann auf einen eigenen Server gesetzt um die Verbindungen der Schädlinge entgegen zu nehmen. Jeder Rechner, der sich auf eine bestimmte Weise über diese Domains auf dem Server meldet ist von einem dieser Trojaner oder Viren befallen.

Wir (cyscon GmbH) prüfen auf unserer Webseite dann einfach ob die IP mit der Ihr den Check durchführt in letzter Zeit (~30 Minuten) auf dem Server gesehen wurde. Wenn ja, ist ein Computer hinter eurem Internetanschluss befallen. Eigentlich eine simple aber äußerst effektive Methode und das ganz ohne Virenscanner auf eurem Computer. Das gute ist: Die Tools (Hitman.Pro und Malwarebytes) können die Viren, die wir erkennen auf jeden Fall entfernen.

Auf der Webseite check-and-secure.com wird aber noch mehr angeboten. Ihr könnt über unseren Browsercheck eure Browser und die dort installierten Plugins auf Aktualität prüfen und mit dem Passwordcheck euer Passwort nicht nur nach Konventionen überprüfen sondern auch ob das Passwort 1. auf unserer Plattform bereits gesehen wurde und 2. der Hash des Passwortes in bestimmten Datenbanken bekannt und damit zurückrechenbar ist. Wie Ihr im Quellcode einfach erkennen könnt, wird dazu nicht das Passwort sondern lediglich ein Hash an den Server übertragen. Mehr benötigen wir auch gar nicht für unseren Service.

Warum Elite?

Die cyscon GmbH betreibt schon länger den C-SIRT der jeden Tag mehr als 20.000 infizierte Urls erkennt und diese zu den jeweiligen Providern zur Entfernung weitergibt. Die Seite der Infizierten Webseiten die die Schädlinge verbreiten ist damit abgedeckt. Darüber hinaus werden über den C-SIRT auch Command & Control-Binaries bearbeitet und ebenfalls aufgeräumt.

In diesem Bereich sind wir aber sogar noch einen Schritt weiter. Wir stellen für den Service der Initiative-S die dahinter liegende Infrastruktur. Seitenbetreiber können sich dort eintragen und werden sofort selbst informiert, wenn Ihre Webseite infiziert ist.

Jetzt mit Check-and-Secure decken wir auch noch den Endbenutzer (also die Systeme die mit den Schädlingen infiziert werden) ab. Alles in allem ist das eine elitäre Kombinationslösung zu Bekämpfung von Botnetzen im Internet.

Und: Für uns ist an dieser Stelle noch lange nicht Schluss. Freut euch also schon mal auf weitere Projekte von uns. Wir hören erst auf, wenn die bösen Jungs auf der anderen aufgegeben haben.

[1 Comment »]

Twitter Suchparameter

Posted in Sidetopics on June 27th, 2013
Tags: , , , ,

Analog zu meinem Artikel über die Google Suchparameter habe ich mich nun auch einen Artikel über die Suche von Twitter zu veröffentlichen.

Der Artikel hat als Grundlage die Beschreibung der search/tweets-API, die Suche auf der Webseite akzeptiert nämlich die gleichen Parameter. Die Basis-Url für die Anfragen ist folgende

https://twitter.com/search


Nun zu den Parametern und deren Nutzung.

  • q – der Suchbegriff

Dieser Parameter ist wohl selbsterklärend und der gleiche, wie schon bei der Google-Suche. Hier gebt Ihr euren Suchbegriff an. Das ganze sieht in der URL dann so aus:

https://twitter.com/search?q=passwortsicherheit

Direkt zu Twitter

Es werden euch im Ergebnis nur Tweets angezeigt, die den Suchbegriff enthalten.

  • geocode – Wo befindet sich der Benutzer

Ja richtig. Ihr könnt damit nach Tweets suchen, die von einem bestimmten Ort aus geschrieben wurden. Die Informationen bekommt Twitter von den Mobilfunktgeräten oder der neuen HTML5-Geolocation-Funktionen. In der Webseitensuche scheint der Parameter aber nicht zu funktionieren, weshalb ich ein Beispiel jetzt mal weg lasse.

Stattdessen kann man ‘near’ und ‘within’ direkt im Suchbegriff ‘q’ verwenden. Allerdings müsste Ihr dabei auf die richtige URL-Kodierung aufpassen. Ein Beispiel:

 

https://twitter.com/search?q=near%3A"Gamlen"%20within%3A15km

Direkt zu Twitter

So sucht man zum Beispiel Tweets in der Nähe des Ort Gamlen in einem Umkreis von 15 Kilometern (15km). Einen Suchbegriff könnt Ihr in dem Parameter ‘q’ einfach davor setzen:

https://twitter.com/search?q=auto%20near%3A"Gamlen"%20within%3A15km

Direkt zu Twitter

  • lang – Sprache

Der Parameter dagegen funktioniert wieder. Hier werden ISO 639-1 Ländercodes akzeptiert. Damit kann man seine Suche auf eine bestimmte Sprache beschränken, was vor allem in Fällen Sinn ergibt in denen zum Beispiel im deutsch und englischen das gleiche Wort verwendet wird. Zum Beispiel “auto”. Den Unterschied merkt man direkt bei den Beispielen.

Deutsch:

https://twitter.com/search?q=auto&amp;lang=de

Direkt zu Twitter

Englisch:

https://twitter.com/search?q=auto&amp;lang=en

Direkt zu Twitter

  • locale – Suchsprache

Diese Parameter wird dazu verwendet, die Sprache einzustellen mit der ich meine Suchanfrage abschicke. Laut der Twitter API funktioniert allerdings nur der Wert ja (Japan) daher spare ich mir auch hierzu die Beispiele.

  • result_type – Typ des Tweets

Auch der Parameter wirkt sich nicht auf die Suche über die Webseite aus.

  • count – Anzahl der Tweets

Damit könnt Ihr direkt bestimmen, wie viele Tweets Ihr als Ergebnis sehen wollt. In meinem Beispiel werden nur 2 Tweets angezeigt:

https://twitter.com/search?q=auto&amp;count=2

Direkt zu Twitter

  • until – Bis zu $datum

Über diesen Parameter könnt Ihr bestimmen wie alt die Tweets sein sollen, nach denen Ihr sucht. Das Datum gebt Ihr dazu einfach im Format “YYYY-MM-DD” an also für den 26.06.2013 zum Beispiel “2013-06-26″ um euch alle Tweets anzuzeigen, die älter als der dieses Datum sind.

https://twitter.com/search?q=auto&amp;until=2013-06-26

Direkt zu Twitter

  • since_idmax_id, include_entities, callback

Diese Parameter ergeben meiner Meinung nach nur Sinn, wenn man die Suche über die API automatisiert abfragt. Ich habe an dieser Stelle auch nicht getestet, ob die Parameter auf der Webseite funktionieren.

 

Alle nun folgenden Parameter sind in dem Suchparameter ‘q’ anzugeben und nicht als eigenständiger URL-Parameter. Dabei müsst Ihr vor allem auf die richtige Kodierung achten.

  • #  - Hashtag

Darauf haben viele von euch, wahrscheinlich schon gewartet, weil es ja schließlich um Twitter den Geburtsort der Hashtags geht. Es ist aber viel Simpler als man glauben mag, man sucht danach einfach indem man #deinbegriff in den Suchparameter q eingibt. Wichtig: Wenn Ihr über die URL arbeitet muss ‘#’ URL-Kodiert sein also ‘%23′.

https://twitter.com/search?q=%23hashtag

Direkt zu Twitter

  •  - – Wörter aus der Suche auschließen

Ja. Auch hier hat man sich etwas von der Google-Suche abgeschaut. Will man Wörter von der Suche ausschließen benutzt man das ‘-’. Aber Achtung, das funktioniert nur im Zusammenhang mit einem Suchbegriff und nicht alleine. Man kann sich also nicht alle Tweets die das Wort ‘Penis’ nicht enthalten anzeigen lassen.

https://twitter.com/search?q=auto%20-reifen

Direkt zu Twitter

  • – Genau dieser Satz

Die Anlehnung an die Google-Suche geht weiter. Will man nach exakten Sätzen oder Satzteilen suchen benutzt man auch auf Twitter ”

https://twitter.com/search?q="die%20spinne%20ist"

Direkt zu Twitter

  • OR – Irgendeines dieser Wörter

Die OR Funktion benutzt man, dann wenn man Tweets suchen will die entweder Wort1 oder Wort2 oder Wort3 enthalten. Dazu werden die Begriffe mit kommagetrennt in den Suchbegriff eingegeben. In meinem Beispiel findet man Tweets die entweder den Begriff “auto” oder den Begriff “motorrad” enthalten. ‘%2C” ist die Kodierung für das Komma und %20 wieder die Kodierung für ein Leerzeichen.

https://twitter.com/search?q=auto%2C%20OR%20motorrad

Direkt zu Twitter

  •     :( , :) , ?, include:retweets

Die mach ich jetzt in einem Abwasch. Die ersten 3 sind gar nicht so wichtig. Man kann halt bei Twitter auch nach den beiden Smileys oder dem Fragezeichen suchen. Der dritte Parameter gibt an ob man in der Suche auch Retweets mit einbeziehen soll. Außer beim Fragezeichen ist wichtig, dass das : als %3A codiert ist.

https://twitter.com/search?q=auto%20%3A(

Direkt zu Twitter

So. Das war es erstmal. Wenn Ihr Fragen habt, nutzt einfach die Kommentarfunktion. HF

[ Leave A Comment »]

Passwörter! Wie jetzt richtig, meine Meinung.

Posted in Sidetopics on June 15th, 2013
Tags: , , , , , , , , ,

Sicherheitsexperten sind sich bei Passwortkonventionen selbst nicht einig. Unser BSI hat eine Reihe an Tipps für Passwörter aufgeschrieben. Doch auch diese werden von vielen angezweifelt. Der Grund: Man kann sich diese Passwörter einfach nicht merken.

Was ist der Sinn hinter möglichst langen und komplexen Passwörtern? Kurz erklärt: Wenn ein Passwort in einem Online-System gespeichert wird, dann wissen wir selbst nicht wie dies geschieht. Es kann im Klartext sein, als einfacher Hash oder auch als gesalzener Hash. Bei Klartextpasswörtern hat man für diesen einen Dienst schon verloren, denn der Anbieter hat hier einen sehr großen Fehler gemacht. Einfach gehashte Passwörter können aber ebenfalls unsicher sein, denn es gibt viele Datenbanken die als Wörterbücher für diese Hashes dienen und mit denen man schnell den md5-Hash ’21232f297a57a5a743894a0e4a801fc3′ in das Wort ‘admin’ übersetzen kann. Ob das bei eurem Passwort der Fall ist, könnt Ihr auch der Seite check-my-password.com prüfen. Auch hier hat der Anbieter einen Fehler gemacht. Gesalzene Hashes sind dagegen nicht zu knacken, sofern man das Salz nicht kennt.

Fakt ist: Ihr wisst nicht, wie euer Anbieter die Passwörter speichert. Und selbst wenn gesalzene Hashes eingesetzt werden, kann es sein, dass der Anbieter im Login keinen Brute-Force-Schutz anwendet und man einfach über das Login selbst einen Account knacken kann. Oder eine andere Möglichkeit: Man selbst fällt auf einen Phishing-Angriff herein oder fängt sich einen Trojaner ein.

Was soll man also tun? 

Man sollte Passwörter verwenden, die eben nicht in einfachen Wörterbüchern vorkommen. Das bedeutet vor allem, die Passwörter sollten möglichst lang sein. Jetzt kommt das große Argument, der Gegner der BSI-Tipps: Diese Passwörter kann sich kein Mensch merken. Das stimmt. Der eigene Vorschlag ist meiner Meinung nach allerdings überhaupt nicht gut. Man schlägt vor, für Passwörter Sätze zu verwenden. Bei Twitter zum Beispiel: “Ich loggemichbeiTwitterein” bei Facebook dann “Ich loggemichbeiFacebookein”. Dies Sätze sind dabei immer gleich, denn: Man soll sich die Passwörter ja merken können. Für mich ist das völliger Blödsinn aus 2 Gründen:

  1. Diese Vorschläge werden wahrscheinlich 1zu1 von den Lesern dieser Vorschläge adabtiert und sind daher auch bekannt. Was eine schlechte Eigenschaft für ein Passwort ist.
  2. Wenn man auf eine Phishing-Seite hereinfällt oder von einem Trojaner befallen ist, dann ist nicht nur ein, sondern viele weitere Logins kompromittiert. Für mich ist diese Art genau so als würde man für alle Zugänge das gleiche “sichere” Passwort verwenden. Und wenn man anfängt bei den Passwörtern abzuweichen “Ichloggemichbei Facebook ein” dann kann man sich die Passwörter wieder nicht merken.

Meiner Meinung nach sollten Passwörter überhaupt keinen Rückschluss auf die Plattform geben bei der man sich anmeldet. Ich empfinde 8 Zeichen, wie vom BSI empfohlen zwar auch für zu kurz aber die weiteren Konventionen sind absolut richtig, denn so generiert man Passwörter die keinen Rückschluss auf die Plattform oder sich selbst zulassen und genau das ist dann ein gutes Passwort. Auch das verwendet man dann natürlich nicht für alle Passwörter sondern eben für jede Plattform ein eigenes.

Und wie merke ich mir die jetzt?

Macht euch das Leben doch nicht so schwer, Leute. Benutzt Passwortmanager. Ihr könnt euch Kilometerlange nichtssagende Zeichenkentten als Passwort erzeugen und habt das Passwort dank den Managers immer zur Hand. KeePass ist zum Beispiel ein guter Passwortmanager.

Werdet Ihr abgephisht, dann ist wirklich nur der eine Account gephishd und man kann euch nicht mit einem Passwort auch auf eBay, Twitter und Amazon gleichzeitig abziehen.

So ist man Sicher. Meiner Meinung nach.

[ Leave A Comment »]
Blogverzeichnis - Blog Verzeichnis bloggerei.de Blogverzeichnis