Loading

Mein Browser – Meine Burg! Oder doch eher das offene Scheunentor?

Posted in Sidetopics on May 27th, 2013
Tags: , , , ,

Worum geht es?

Die meisten Infizierungen von privaten Computern kommen nicht über irgendeinen infizierten USB-Stick, der in die privaten Räumlichkeiten eingeschleust wurde. Die Infizierungen von Heimcomputern sind zum Großteil auf 2 Wege zurückzuführen.

  1. Verwendung von Raubkopien (ja, viele der tollen Kopien sind entweder komplett nicht echt oder zusätzlich infiziert) und Key-Generatoren.
  2. Exploits im Netz die auf unsichere Plugins oder Browser ausgelegt sind.

Um 2. wollen wir uns heute mal kümmern. Viele verwenden Ihre Browser mit Plugins wie Flash, Java, DivX oder Ähnliche. Diese müssen allerdings genauso aktuell gehalten werden, wie der Rest der Software auf eurem Computer wozu natürlich auch der Browser selbst gehört. Gerade Java war Anfang dieses Jahres sehr häufig ein Thema, weshalb man bei Botfrei.de auch dazu aufgerufen hat, das Plugin komplett zu deaktivieren.

Schnell kann so der eigene Rechner zum Bot werden und andere Systeme im Internet angreifen, oder er wird zur eigenen Falle indem er Bankdaten und weitere Zugangsdaten die auf dem System verwendet werden mit liest und weitergibt, es werden Daten auf dem System selbst so gesperrt, dass man selbst (ohne Backup) keinen Zugriff mehr darauf hat wie im Falle des Verschlüsselungs-Trojaners oder man hat es auf einmal mit viel schlimmeren Material wie Kinder pornografischen Bildern.

Was aber tut man dagegen? 

Ganz einfach: Haltet eurer System aktuell! Was selbstverständlich sein sollte ist es leider nicht immer, Software muss aktuell gehalten werden. Neue Versionen bringen nicht nur neue Funktionen, Änderungen am Design sondern auch sehr wichtige Sicherheitsupdates.

Wie überprüfe ich mein System?

Es gibt für jeden Bereich nicht nur die Möglichkeit selbst die Versionen der Programme und Plugins zu überprüfen sondern eben auch Hilfssoftware um die einem Dabei hilft.

Was tun, wenn mein PC sich schon seltsam verhält? 

Das ist ebenfalls eine sehr wichtige Frage. Wenn euer eigener Virenscanner nicht angeschlagen hat, dann könnt Ihr einen sogenannten “Second Opinion”-Scanner verwenden. Ich empfehle dazu HimanPro zu dem Botfrei bereits einen ausführlichen Atrikel geschrieben hat.

Zuletzt sei natürlich noch gesagt: Wenn ein System infiziert ist, dann ist es immer der sicherste Weg, wenn man das System einfach neu Installiert. Selbst auf spezialisierte Software sollte man sich nicht 100% verlassen, es können immer Rückstände der Schadsoftware auf dem System zurück bleiben. Also bleibt’ sicher!

[ Leave A Comment »]

citydeals.de und Tipp24.com haben ein Datenloch (sind gehackt?)

Posted in Sidetopics on March 26th, 2013
Tags: , , , , , ,

Starke Vorwürfe. Aber wie komme ich darauf?

Das ist eigentlich ganz einfach. Seit einigen Jahren benutze ich immer eindeutige E-Mail-Adressen für jeden Dienst an dem ich mich im Internet anmelde. Dafür habe ich ein ganz einfaches System. Ich nehme den Domainnamen und das Datum der Anmeldung.

Ein Beispiel: Gehen wir davon aus, ich habe mich am 22.03.2013 bei Facebook angemeldet, dann lautet die E-Mail-Adresse die ich zur Anmeldung verwende “facebook.com_20130322@meinedomain.de”. Dies lässt sich bei Providern wie der 1&1 Internet AG ganz leicht über sogenannte Catch-All-Adressen handeln. Man legt einfach die Adresse E-Mail-Adresse “*@meinedomain.de” an und empfängt damit jede E-Mail, die an irgendeine Adresse dieser Domain gesendet wird.

Warum mache ich das?

Ich mache das, weil ich damit für jeden dienst eine eindeutige Anmeldung habe und auch eine E-Mail-Adresse verwende die nicht zu erraten ist. Ich habe damit volle Kontrolle ob ein Service meine Daten weitergibt oder nicht, denn erhalte ich auf eine dieser Adressen eine E-Mail die nicht von dem Dienst stammt (im Beispiel also nicht von Facebook) dann wurde meine E-Mail-Adresse irgendwie an Dritte weitergegeben oder Sie wurde von Dritten gestohlen.

Was ist jetzt passiert?

Ganz einfach. Ich habe auf beide E-Mail-Adressen also sowohl die Adresse die ich zur Anmeldung bei citydeals.de verwendet habe als auch auf die Adresse die ich zur Anmeldung bei Tipp24.com verwendet habe Spam bekommen. Das bedeutet das die E-Mail-Adressen entweder von diesen Diensten weitergegeben wurden oder das die Datenbank der beiden Dienste gehackt wurden und die Adressen deswegen an den Spammer gelangten.

Mit Tipp24 habe ich bereits eine Konversation zu dem Thema geführt, man konnte mir dort aber keine klare Auskunft geben. Stattdessen wurde ich mit Standardantworten abgefrühstückt. Jetzt reicht es mir aber, deswegen schreibe ich diesen Blogbeitrag.

Hier der Text, der Spam E-Mail die ich wegen der Lecks dieser Dienste erhalte:

Hallo!
Wir möchten Sie persönlich einladen, sich in unserer wundervollen Casinowelt im Ruby Palace anzumelden.

Wir bieten eine riesige Spieleauswahl einschließlich Black Jack, Poker, Roulette, Video Slots und vielen anderen Spielen.

Melden Sie sich noch heute an und beantragen Sie einen exklusiven 200% Willkommens-Bonus, der Ihre 1. Einzahlung verdreifachen wird.

Werden Sie noch heute ein Mitglied unserer gewinnbringenden Welt!

Mit freundlichen Grüßen

http://XXXXXXXX

Warnung vor beiden Diensten!

Ich kann euch alle nur vor der Nutzung beider Dienste warnen. Beide scheinen eure Daten nicht wirklich im Griff zu haben, egal ob die Adressen nun weitergegeben oder gestohlen wurden. Mein Fazit aus dieser Geschichte ist, meidet beide Webseiten!

[1 Comment »]

[Initiative-S] Überprüfe deine Webseite auf Virenalarm!

Posted in Sidetopics on October 29th, 2012

Und weiter geht es. Nachdem ich euch in meinem letzten Artikel über C-SIRT.ORG erzählt habe, kommt dieses mal schon wieder etwas neues. Wir haben zusammen mit dem eco e.V. die Initiative-S ins Leben gerufen.

Ich selbst war maßgeblich an der Entwicklung dort beteiligt und war deshalb wiedermal einige Zeit still hier. Ich befürchte, dass es bei mir die nächste Zeit so weiter gehen wird. Das ist aber auch gut, denn: Sicherheit liegt mir am Herzen. Solche Projekte machen Spaß und helfen wirklich.

Was ist die Initiative-S?

Die Initiative-S stellt euch eine Plattform zur Verfügung auf der Ihr ganz einfach eure Domain eintragen könnt. Dazu braucht Ihr lediglich die Domain selbst und eine zur Domain passende E-Mail-Adresse angeben. Das System ist damit sehr sparsam mit den Daten die es von euch haben will. Ihr müsst keine Adresse, keine Telefonnummer oder ähnliches angeben und vor allem: Kein Passwort! Ihr verifiziert euch als Webseitenbetreiber einfach indem Ihr eine der vorgegebenen E-Mail-Adressen anlegt.

Dazu gibt es natürlich auch noch eine Alternative: Ähnlich wie bei Google, könnt Ihr euch auch mit einem Hash-Wert auf eurer Webseite verifizieren. Dann könnt Ihr eine beliebige E-Mail-Adresse verwenden. Dazu müsst Ihr euch allerdings an den Support wenden.

Warum sollte ich mich da eintragen?

Jeder, der schon einmal von Google in der “Schwarzen Liste” geführt wurde kennt die Problematik. Webseitenbesucher, die über den Firefox, Google Chrome oder einfach nur die Google-Suche zu Eurer Webseite wollen, erhalten eine Warnmeldung. Eure Webseite ist infiziert und beim Besuch kann ich mir den Computer mit anstecken. Das ist ein Supergau. Eure Webseite wird diesen Besuchern in sehr schlechter Erinnerung bleiben.

Und selbst wenn Google nicht reagiert, kann eure Webseite unter einer solchen Infektion leiden:

  • Virenscanner erkennen eure Webseite als Schädlich und schlagen ebenfalls Alarm.
  • Wenn euer Provider reagiert, schaltet dieser Eure Webseite möglicherweise einfach ab.

Darüber hinaus kommt natürlich noch die Tatsache, dass Ihr und eure Besucher sich bei einem Besuch auf eurer Webseite mit einem gefährlichen Virus infizieren können.

Die Initiative-S hilft! Ganz einfach indem Sie eine Infektion früher erkennt. Ihr werdet dann über die Infektion informiert bevor Google eingreift, bevor die Virenscanner alarmieren und bevor euer Provider reagiert.Der Webseitenbetreiber erhält bei einer erkannten Infektion eine E-Mail mit Handlungsanweisungen.

Über den Dienst selbst hinaus gibt die Initiative-S auch Tipps an Webseitenbetreiber und Hilfe, wenn es zu einer Infektion gekommen ist. Neben dem Blog wird hierzu auch das schon von Botfrei bekannte Forum mit verwendet.

Wie werden die Infektionen erkannt?

Das System der Initiative-S untersucht die Webseite mit vielen verschiedenen bekannten Virenscannern und auch einer eigenen Engine mit Daten vom C-SIRT.ORG. Virenscanner erkennen schon viele Infektionen und mit den Daten des C-SIRTs hat man hier schon eine sehr gute Erkennungsrate. Da geht wirklich kaum noch etwas dran vorbei.

Was halte ich von der Initiative?

Ich finde die Initiative sehr gut. Mir ist klar, dass es keinen rundum Schutz darstellt, aber hier werden Webseitenbetreiber betreut und vor allem auch sensibilisiert. Vielen ist gar nicht bewusst, dass Ihre Webseite zum Ziel von Angriffen werden kann. Viele denken auch “Ach, meine Webseite, die kennt doch keiner. Ausserdem, warum will einer mich Angreifen?”. Das ist genau die falsche Denkweise. Viele geraten nämlich nicht ins Visier weil Ihr Geschäft geschädigt werden soll, sondern weil ein bestimmtes CMS oder eine bestimmte Programmierweise für die Homepage verwendet wird -> Jeder kann zum Opfer werden!

[1 Comment »]

[C-SIRT.ORG] Neues Projekt und warum hier aktuell so wenig los ist.

Posted in Sidetopics on July 30th, 2012
Tags: , , , , , ,

Jetzt muss ich ja doch mal etwas dazu schreiben, warum hier aktuell so wenig los ist. Das liegt zum Großteil daran, dass ich seit Ende letzten Jahres an einem neuen Projekt arbeite. Seit  dem bin ich mit Gesellschafter bei der cyscon GmbH und arbeite sehr engagiert als Hauptprogrammierer an dem Projekt c-sirt.org. Dort bringe ich all meine Erfahrung im Bereich Software-Entwicklung und der Erkennung und Verarbeitung von Abuse-Beschwerden ein um der ganzen Malware/Phishin-Seiten im Internet den Kampf anzusagen.

Was genau macht C-SIRT.ORG?

Das ist einfach erklärt. Wir verarbeiten viele verschiedene Arten von Beschweren über URLs indem wir diese

  • Herunterladen, (Wir laden die gemeldeten URLs mit verschiedenen “Browsereinstellungen” herunter)
  • Klassifizieren und (Die Dateien werden über eine Anti-Viren-Infrastruktur gejagt und anhand der Signaturen entsprechend Klassifiziert)
  • die entsprechenden Fälle dann an die AS-Besitzer melden.(Über eine Selbst gepflegte Datenbank)

Findet Ihr denn damit alles?

Ganz klar: Nein. Alles können wir damit nicht finden und klassifizieren. Die Erkennungsmechanismen der Anti-Viren sind natürlich nicht lückenlos und bergen teilweise auch gefahren von falschen Erkennungen. Aber wir kommen gerade bei Textbasierten Dateien an eine sehr hohe Erkennungsrate. Wie wir das machen? Ganz einfach: Wir bilden eigene Pattern zur Erkennung von nicht erkannten Threads. Deswegen ist unsere Infrastruktur gerade im Bereich von Defacements, PHP-Shells und vor allem Phishing sehr stark.

Wo kommen die URLs her?

Es gibt verschiedene Quellen die ich hier aber nicht im einzelnen offen legen möchte. Fakt ist, jede URL die bei uns im System landet wurde an irgendeiner Stelle als verdächtig gemeldet. Einen nicht zu verachtenden Anteil erhalten wir dabei direkt über unser eigene Formular auf c-sirt.org. Dort kann jeder Internet-Nutzer URLs anonym melden um diese durch unserer Infrastruktur zu jagen. Gerade die Fälle, die darüber eingetütet werden, haben bei uns einen großen Stellenwert. Jede böse URL die darüber kommt und nicht erkannt wird, wird von uns in einem Pattern verarbeitet und dann an den Provider entsprechend gemeldet.

Was passiert, wenn die Meldung raus ist?

Die Provider reagieren auf unsere Meldungen dann mit Ihrem entsprechendem Prozess. Die Wege sind da völlig unterschiedlich, weil es keine Richtigen Standard in der Abuse-Bearbeitung gibt. Einige leiten unsere Beschwerde einfach an ihren Endkunden weiter, andere kommunizieren in eigenen Prozessen mit den Kunden und wieder andere bearbeiten den Fall selbst für ihren Kunden. Unsere URLs werden aber auch für andere Zwecke verwendet. Wir füttern damit bereits jetzt Blacklisten basierte Blockademöglichkeiten um gerade bei Phishing möglichst schnell reagieren zu können. Wir sind also beim blockieren von URLs sehr schnell, auch wenn der Provider vielleicht noch nicht entsprechend reagiert hat.

Natürlich gibt es auch bei den Providern hier einige schwarze Schafe, die nichts mit Abuse-Beschwerden anfangen können, aber in vielen Fällen können wir diese davon überzeugen es eben doch und vor allem richtig zu tun.

Warum macht Ihr das?

Tja, des Geldes wegen jeden Falls nicht. Denn anders als Ihr vielleicht denkt, bringt das Projekt c-sirt.org kein Geld. Wir machen das, weil wir das Internet sicherer machen wollen. Wir schalten so viel Malware und Phish im Internet ab, wie es uns möglich ist. Security is our Business!

Was sonst noch dabei herauskommt?

Da wir in unserer URL-Datenbank nicht nur das Aufkommen einer URL sondern eben auch das abschalten eben dieser beobachten, sind bei dem Projekt ein paar wertvolle Ergebnisse herausgekommen. Wir können damit nämlich auf faire Art und Weise die Qualität einer Abuse-Abteilung messen. Dazu etablieren wir den Anti-Abuse Performance-Index. Abuse-Abteilungen auf der ganzen Welt können sich an diesen Werten messen, denn bei unseren Zahlen

  • kommt es nicht auf die Größe des Netzes an,
  • zählen die reinen nackten Zahlen,
  • vergleichen wir eben nicht direkt mit anderen.

Wir stellen hier absichtlich nur die besten 10 auf unserer Seite dar, denn unserer Meinung nach muss man sich immer mit den Besten messen um selbst voran zu kommen. Zahlen wie: Bin ich besser oder schlechter als der Durchschnitt bringen die Abteilungen da nicht weiter. Wer gut sein will, der will auch ganz oben stehen!

[ Leave A Comment »]

Werbung in eigener Sache: Video und Webseite zu Botfrei.de

Posted in Uncategorized on August 16th, 2011
Tags: , ,

Botfrei.de hat im Artikel “It’s more than a game, it’s your life” – Experten auf der gamescom, Köln zu einem Wettbewerb aufgerufen.

  • Lass’ Deiner Kreativität freien Lauf. Ob Du einen Film drehst und diesen bei Youtube, MySpace einstellst, einen Podcast erstellst und auf Deinem Blog veröffentlichst, ein Bild malst und bei Facebook, Flickr oder ähnlichem hochlädst und verlinkst … Deiner Phantasie sind dabei keine Grenzen gesetzt.
  • Einzige Vorgabe: Stelle darin https://www.botfrei.de oder dieses Blog (http://blog.botfrei.de) vor und mache darauf aufmerksam, wie wichtig es ist sich zu diesem Thema zu informieren und vorzubeugen.
  • Stelle Deinen Vorschlag hier (über die Kommentar-Funktion oder per Mail an technik@botfrei.de) bis zum 15. August 2011 23:59 Uhr vor und schon nimmst Du teil

Dazu habe ich gleich 2 Beiträge geleistet. Ich habe mit meinem Kollegen von pixel-foo.de ein Video zum Thema gedreht und es auf Facebook hoch geladen. Und eine Webseite erstellt auf der man sich als Botfreier Internet-Benutzer präsentieren kann. Auf der Webseite muss man nur einmal die Facebook-Erlaubnis erteilen und dann wird automatisch der Name, die erste Webseite, das Benutzerbild und die Benutzer-ID gespeichert. Weitere Daten werden nicht abgefragt. Wenn man das gemacht hat steht man mit Link zu seiner Websetie auf ichbinbotfrei.de.

Die Beiträge:

Ich hoffe euch gefällt das! 🙂

[ Leave A Comment »]

Google+ die Konkurrenz zu Facebook?

Posted in Sidetopics on July 5th, 2011
Tags: ,

Viele von euch haben es wahrscheinlich bereits gehört. Es gibt nun eine große Konkurrenz zu Facebook. Und dieses mal mit einem großen Namen: Google

Nach dem eher erfolglosem Versuch mit Buzz hat Google nun mit Google+ ein komplett neues Social-Network aufgesetzt. Wer von Facebook rüber kommt wird sich schnell mit der Bedienoberfläche anfreunden können. Mir persönlich kommt diese sogar noch etwas aufgeräumter vor.

Als Besonderes Feature bietet Goolge+ die verschiedenen Circles (Kreise) an. Hier kann man seine Kontakte gruppieren. So hat man am Anfang schon Kreise für Freunde, Bekannte, Familie und ‘nur Folgen’. Das Konzept dahinter sieht ganz einfach aus: Mit meine Freunden will ich andere Informationen teilen, als mit der Familie oder nur Bekannten. Mit dem ‘nur Folgen’ Kreis ersetzt man im Prinzip die Facebook Seiten. Jeder, ob Person oder Firma hat einen Google+-Account und kann in dem Netzwerk nun Social aktiv werden. Außerdem kann man jederzeit eigene neue Kreise erstellen.

Mit dem Google+-Account hat man auch Zugang zu Googles-Jabber-Servern talk.google.com. Das Protokoll von Jabber xmpp wird von fast jedem gängigen Multi-Messenger unterstützt. Eine Liste gibt es direkt bei Jabber.org.

Ein weiteres großes Feature von Google+ ist Hangout. Das ist ebenfalls ein Nachrichtensystem nur besser. Hier kann man sich mit mehrere Freunden in einem Hangout-Raum treffen mit Webcams rumalbern, chatten, reden und zum Beispiel direkt zusammen YouTube-Videos schauen. Alles innerhalb dieser Anwendung. Dazu ist lediglich die Installation eines Browser-Plugins notwendig.

Die Sonstige Funktionalität ist ähnlich wie bei Facebook (+1 anstelle von ‘Gefällt mir’ ‘Stream’ statt ‘Pinwand’) nur halt mehr: Mit dem Google+-Account kann man nämlich auch sämtliche andere Anwendungen von Google nutzen. Dazu zählen:

  • Die Dokumentverwaltung Text & Tabellen
  • Google-Mail
  • Kalender
  • RSS-Reader
  • Picasa
Viele dieser Anwendungen sind meiner Meinung nach in Ihrem Bereich konkurrenzlos. Wer Google-Mail nutzt, wird es lieben. Einen besseren RSS-Reader habe ich noch nicht verwendet. Picasa ist ein sehr guter Ersatz für zum Beispiel flickr.com und hat ab sofort unbegrenzten Speicherplatz.
Bisher sind die Benutzer von Google+ die ich kenne durch die Bank weg sehr begeistert. Von ein paar Seiten kommt Kritik aller: Google die Datenkrake, aber dieses Argument zählt für mich nicht, wenn aktuell schon Facebook genutzt wird. Hier werden gleichermaßen Daten Erhoben und auch ausgewertet.
Also, komm auch du zu Google+.
[ Leave A Comment »]

Wie finden Angreifer eigentlich Ihre Opfer?

Posted in cms-systeme, custom search, Google hacking on June 30th, 2011
Tags: , ,

Ja mancher mag sich das wirklich fragen. Man erstellt sich eine eigene Seite anhand eines Tutorials oder ganz selbst oder man nutzt ein gängiges CMS und irgendwann wird man angegriffen. Nach dem ersten Schock stellt man sich dann meistens die eine Frage: Warum ich?

Diese Frage ist eigentlich ganz einfach zu beantworten: Weil du unsichere Software auf der Webseite benutzt. Bei den meisten Angriffen im Internet geht es nämlich nicht darum dem Webseitenbetreiber zu schaden, sondern um von dem Server des Seitenbetreibers Spam zu versenden, weitere Systeme anzugreifen oder auch Viren zu verteilen.

Angreifbare Systeme sind dabei meist sehr einfach zu finden. Dazu benötigt man nur die richtigen Patterns, mit der man die Google-Suche füttern kann. Für die selbst geschriebenen Seiten haben ich für das Projekt Der WebWart einen bereits einen entsprechenden Artikel geschrieben: Remote-File-Inclusion / Local-File-Inclusion – Warum ich?

Dort wird sehr einfach erklärt warum man auch mit einer eigenen Webseite schnell zum Angriffsziel für Remote-File-Inclusion und Local-File-Inclusion-Angriffe werden kann und was man dagegen tun kann. Allerdings fehlt noch ein Tipp in diesem Artikel: Parameter verstecken!

Man kann die URL einer Webseite so umschreiben, dass diese über eine Google-Suche, die zum Beispiel über die inurl-Suche gemacht wird, nicht als PHP-Script mit Parametern erkannt wird. Damit macht man dann aus ‘index.php?seite=start’ einfach ‘/start’ . Der Suchstring ‘inurl:php?page=home’ findet diese Seite dann einfach nicht mehr. Benötigt wird hierzu nur die installierte Apache-Mod mod_rewrite und eien entsprechende Regel. Das Modul wird ausführlich auf apache.org erklärt. Für das genannte Beispiel sähe es wie folgt aus:

RewriteEngine on
RewriteRule ^/(.*)$ /index.php?seite=$1

Aber nicht nur mit der Programmierung und dem Einsatz einer eigenen Software begibt man sich in diese Gefahr. Auch angreifbare CMS kann man über Google recht gezielt suchen. In zum Beispiel der exploit-db findet man jede Menge Angriffsvektoren und kann daraus sehr einfach Patterns für die Google-Suche bilden. Zum Beispiel für diesen Exploit: Joomla Component (com_sef) RFI

Über die Sicherheitslücke kann man ein beliebiges externes Skript in die Seite einbinden und damit sehr großen Schaden anrichten. Das Sicherheitsloch ist hier die Variable ‘mosConfig.absolute.path’ die zum includieren von Dateien im Joomla!-System verwendet wird. Man kann nun über Google gezielt nach Joomla!-Versionen suchen, die die Komponente com_sef einsetzen. Das geht so einfach, weil die Information mit in der URL drin steht ‘ption=com_sef’. Der Google-String sieht dann so aus:

inurl:'option=com_sef' + inurl:'mosConfig.absolute.path='

Direkt zu Google
Die Ergebnisse kann man dann über ein Script automatisiert durchlaufen lassen und findet damit sehr schnell die Angreifbaren Versionen heraus.
Ähnliches kann man machen um sich gezielt Content-Management-Systeme aus Google zu ziehen. Viele System verraten schon über die URL was Sie sind. So kann man WordPress-Installation über

inurl'wp-admin/index.php'

finden. Den Verzeichnis-Prefix ‘wp-‘ verwendet sonst kein CMS. Gleiches funktioniert zum Beispiel auch für Joomla! mit

inurl'administrator/index.php'

Die meisten anderen CMS verwenden als Namen für das Administrationsverzeichnis ‘admin’, daher findet man darüber sehr eindeutig Joomla!-Installationen. Warum sind Angreifer interessiert an den Administrationsverzeichnissen? Ganz einfach: Auf die Anmeldeseiten kann man sehr leicht einen Brute-Force-Angriff starten. Die meisten CMS sind dagegen nicht abgesichert. Ist man als Angreifer dann einmal im Administrationsbereich drin, kann man sehr schnell Zugriff auf den ganzen Webspace/Server bekommen. Man platziert zum Beispiel einen Shell-Code in einer Template-Datei.

Goldene Regeln:

  1. Benutzereingaben niemals ungeprüft weiter verarbeiten. Wenn man nur bestimmte Eingaben erwartet, dann sollte man diese auch Prüfen.
  2. Benötigt man die Funktion um externe Dateien zu laden überhaupt? Wenn nicht kann man entsprechende Variablen für PHP abschalten. Für php4 ‘allow_url_fopen’ für php5 ‘allow_url_include’ und ‘allow_url_include’.
  3. Versteckt eure Angriffsvektoren zum Beispiel über mod_rewrite.
  4. Aktualisiert eure CMS regelmäßig. Das schlimmste ist eine Software die man hoffnungslos auf dem Webspace/Server veralten lässt.
  5. Nehmt Dateien und Verzeichnisse die nichts in der Google-Suche verloren haben aus dem Index raus. Das könnt Ihr über eine robots.txt steuern oder gleich die ganze Datei oder das Verzeichnis mit eienr .htaccess für den Zugriff sperren.
[ Leave A Comment »]

Die Google-Suche auch für die eigene Webseite?

Posted in custom search, Google Eigenarten on June 27th, 2011
Tags: ,

Ja das funktioniert. Und ich habe es bei mir nun auch implementiert. Die Google-Suche. Zuverlässig wie die WordPress-Suche und kann sogar noch mehr. Die Ergebnisse werden zum Beispiel dynamisch auf der selben Seite angezeigt und auch die von Google gewohnte Autovervollständigung ist mit am Start.

Und das Tolle ist: Es ist ganz einfach. Man besuche einfach http://www.google.de/cse. Dort kann man sich den benötigten Quellcode für die eigene Suche einfachst zusammenklicken. Der Rest ist dann nur noch Kopieren und Einfügen.

[ Leave A Comment »]

Die Zugangsdaten der anderen.

Posted in Google hacking on June 20th, 2011
Tags: ,

Mancher von euch überlegt jetzt sicher: ‘Hatten wir das nicht schon?’ Das stimmt auch fast, ich habe bereits einen ähnlichen Artikel geschrieben. In diesem ging es aber speziell um pastie.org. Das Portal ist aber nicht das einzige dass zum ablegen von Zugangsdaten genutzt wird. Auch kompromittierte Internet-Seiten oder Datei-Upload-Dienste die nicht korrekt prüfen was man hoch lädt werden als sogenannte Drop-Zone missbraucht.

Wer meinen alten Artikel (pastie.org – Das Portal zu den Zugangsdaten der Anderen.) aufmerksam gelesen hat und auch fündig geworden ist, wird hier wahrscheinlich nichts viel neues finden. Dennoch will ich es einmal erklären.

Der Inhalt der Dokumente sah immer so aus

http://benutzername:passwort@domain.de/url

oder so

Webseite: http://domain.de/url
Benutzername: Benutzername
Passwort: Passwort

Mit der URL steht uns also eine wichtige Information zur Verfügung. Diese kann man auch gezielt abfragen. Als Beispiel nehmen wir jetzt einmal Amazon. Die deutsche Anmeldeseite hat folgende URL ‘https://www.amazon.de/ap/signin’. Genau danach suchen wir jetzt einfach mal bei Google

"amazon.de/ap/signin"


Direkt zu Google

Schon damit fallen uns die ersten Zugangsdaten in die Hände. Das Spiel lässt sich nun beliebig weiterspielen. Fast jedes Portal bietet in der URL genügend Eindeutigkeit um damit gezielt nach diesen Dateien zu suchen. Ein weiteres Beispiel ist Ebay. Allerdings findet hier die reine Suche nach der Login-URL zu viele schlechte Ergebnisse. Auch das hinzufügen von “Passwort” oder “Benutzername” führt nicht zum gewünschten Ergebnis. Was also tun? Ganz einfach. In vielen Fällen werden diese Dateien als TXT-Dateien abgelegt. Damit lässt sich die Suche dann genügend verfeinern um gute Ergebnisse zu erhalten.

"signin.ebay.de"  filetype:txt

Direkt zu Google

Also hier noch einmal die Warnung: Eure Zugangsdaten sind wie euer Haustürschlüssel. Hütet diese. Auf dem Blog des Internet-Projektes ‘Der WebWart‘ das ich mit 3 weiteren Personen betreibe haben wir vor kurzem einen ausführlichen Artikel zur Passwortsicherheit geschrieben. Ich empfehle: Lesen!

Um herauszufinden ob euer Passwort bereits im Internet zu finden ist empfehle ich einfach mal danach zu googlen.

[ Leave A Comment »]

Google Logos (Doodles)

Posted in Google Eigenarten on June 9th, 2011
Tags: , ,

Google ist bekannt dafür das Logo auf der Startseite immer wieder historischen oder aktuellen Ereignissen anzupassen. So konnte man am 21. Mai 2010 Pac-Man im Logo spielen, zur WM gab es angepasste Fußball-Logos und heute am 09. Juni 2011 kann man zu Ehren von Les Paul Gitarre spielen.

Allerdings ist jedes Logo nur für eine bestimmte Zeit (meist einen Tag) verfügbar. Was wenn ich ein cooles Logo nochmal ansehen und ausprobieren möchte? Ganz einfach: Google stellt hierzu ein Archiv zu Verfügung. Zu finden unter: http://www.google.com/logos/index.html

Hier sieht man nicht nur die alten Logos, sondern kann auch die Funktionalität weiter nutzen. Dazu klickt man einfach auf das entsprechende Logo drauf. Einer meiner Favoriten: Pac-Man

[ Leave A Comment »]
Blogverzeichnis - Blog Verzeichnis bloggerei.de Blogverzeichnis