Loading

Mein Browser – Meine Burg! Oder doch eher das offene Scheunentor?

Posted in Sidetopics on May 27th, 2013
Tags: , , , ,

Worum geht es?

Die meisten Infizierungen von privaten Computern kommen nicht über irgendeinen infizierten USB-Stick, der in die privaten Räumlichkeiten eingeschleust wurde. Die Infizierungen von Heimcomputern sind zum Großteil auf 2 Wege zurückzuführen.

  1. Verwendung von Raubkopien (ja, viele der tollen Kopien sind entweder komplett nicht echt oder zusätzlich infiziert) und Key-Generatoren.
  2. Exploits im Netz die auf unsichere Plugins oder Browser ausgelegt sind.

Um 2. wollen wir uns heute mal kümmern. Viele verwenden Ihre Browser mit Plugins wie Flash, Java, DivX oder Ähnliche. Diese müssen allerdings genauso aktuell gehalten werden, wie der Rest der Software auf eurem Computer wozu natürlich auch der Browser selbst gehört. Gerade Java war Anfang dieses Jahres sehr häufig ein Thema, weshalb man bei Botfrei.de auch dazu aufgerufen hat, das Plugin komplett zu deaktivieren.

Schnell kann so der eigene Rechner zum Bot werden und andere Systeme im Internet angreifen, oder er wird zur eigenen Falle indem er Bankdaten und weitere Zugangsdaten die auf dem System verwendet werden mit liest und weitergibt, es werden Daten auf dem System selbst so gesperrt, dass man selbst (ohne Backup) keinen Zugriff mehr darauf hat wie im Falle des Verschlüsselungs-Trojaners oder man hat es auf einmal mit viel schlimmeren Material wie Kinder pornografischen Bildern.

Was aber tut man dagegen? 

Ganz einfach: Haltet eurer System aktuell! Was selbstverständlich sein sollte ist es leider nicht immer, Software muss aktuell gehalten werden. Neue Versionen bringen nicht nur neue Funktionen, Änderungen am Design sondern auch sehr wichtige Sicherheitsupdates.

Wie überprüfe ich mein System?

Es gibt für jeden Bereich nicht nur die Möglichkeit selbst die Versionen der Programme und Plugins zu überprüfen sondern eben auch Hilfssoftware um die einem Dabei hilft.

Was tun, wenn mein PC sich schon seltsam verhält? 

Das ist ebenfalls eine sehr wichtige Frage. Wenn euer eigener Virenscanner nicht angeschlagen hat, dann könnt Ihr einen sogenannten “Second Opinion”-Scanner verwenden. Ich empfehle dazu HimanPro zu dem Botfrei bereits einen ausführlichen Atrikel geschrieben hat.

Zuletzt sei natürlich noch gesagt: Wenn ein System infiziert ist, dann ist es immer der sicherste Weg, wenn man das System einfach neu Installiert. Selbst auf spezialisierte Software sollte man sich nicht 100% verlassen, es können immer Rückstände der Schadsoftware auf dem System zurück bleiben. Also bleibt’ sicher!

[ Leave A Comment »]

[C-SIRT.ORG] Neues Projekt und warum hier aktuell so wenig los ist.

Posted in Sidetopics on July 30th, 2012
Tags: , , , , , ,

Jetzt muss ich ja doch mal etwas dazu schreiben, warum hier aktuell so wenig los ist. Das liegt zum Großteil daran, dass ich seit Ende letzten Jahres an einem neuen Projekt arbeite. Seit  dem bin ich mit Gesellschafter bei der cyscon GmbH und arbeite sehr engagiert als Hauptprogrammierer an dem Projekt c-sirt.org. Dort bringe ich all meine Erfahrung im Bereich Software-Entwicklung und der Erkennung und Verarbeitung von Abuse-Beschwerden ein um der ganzen Malware/Phishin-Seiten im Internet den Kampf anzusagen.

Was genau macht C-SIRT.ORG?

Das ist einfach erklärt. Wir verarbeiten viele verschiedene Arten von Beschweren über URLs indem wir diese

  • Herunterladen, (Wir laden die gemeldeten URLs mit verschiedenen “Browsereinstellungen” herunter)
  • Klassifizieren und (Die Dateien werden über eine Anti-Viren-Infrastruktur gejagt und anhand der Signaturen entsprechend Klassifiziert)
  • die entsprechenden Fälle dann an die AS-Besitzer melden.(Über eine Selbst gepflegte Datenbank)

Findet Ihr denn damit alles?

Ganz klar: Nein. Alles können wir damit nicht finden und klassifizieren. Die Erkennungsmechanismen der Anti-Viren sind natürlich nicht lückenlos und bergen teilweise auch gefahren von falschen Erkennungen. Aber wir kommen gerade bei Textbasierten Dateien an eine sehr hohe Erkennungsrate. Wie wir das machen? Ganz einfach: Wir bilden eigene Pattern zur Erkennung von nicht erkannten Threads. Deswegen ist unsere Infrastruktur gerade im Bereich von Defacements, PHP-Shells und vor allem Phishing sehr stark.

Wo kommen die URLs her?

Es gibt verschiedene Quellen die ich hier aber nicht im einzelnen offen legen möchte. Fakt ist, jede URL die bei uns im System landet wurde an irgendeiner Stelle als verdächtig gemeldet. Einen nicht zu verachtenden Anteil erhalten wir dabei direkt über unser eigene Formular auf c-sirt.org. Dort kann jeder Internet-Nutzer URLs anonym melden um diese durch unserer Infrastruktur zu jagen. Gerade die Fälle, die darüber eingetütet werden, haben bei uns einen großen Stellenwert. Jede böse URL die darüber kommt und nicht erkannt wird, wird von uns in einem Pattern verarbeitet und dann an den Provider entsprechend gemeldet.

Was passiert, wenn die Meldung raus ist?

Die Provider reagieren auf unsere Meldungen dann mit Ihrem entsprechendem Prozess. Die Wege sind da völlig unterschiedlich, weil es keine Richtigen Standard in der Abuse-Bearbeitung gibt. Einige leiten unsere Beschwerde einfach an ihren Endkunden weiter, andere kommunizieren in eigenen Prozessen mit den Kunden und wieder andere bearbeiten den Fall selbst für ihren Kunden. Unsere URLs werden aber auch für andere Zwecke verwendet. Wir füttern damit bereits jetzt Blacklisten basierte Blockademöglichkeiten um gerade bei Phishing möglichst schnell reagieren zu können. Wir sind also beim blockieren von URLs sehr schnell, auch wenn der Provider vielleicht noch nicht entsprechend reagiert hat.

Natürlich gibt es auch bei den Providern hier einige schwarze Schafe, die nichts mit Abuse-Beschwerden anfangen können, aber in vielen Fällen können wir diese davon überzeugen es eben doch und vor allem richtig zu tun.

Warum macht Ihr das?

Tja, des Geldes wegen jeden Falls nicht. Denn anders als Ihr vielleicht denkt, bringt das Projekt c-sirt.org kein Geld. Wir machen das, weil wir das Internet sicherer machen wollen. Wir schalten so viel Malware und Phish im Internet ab, wie es uns möglich ist. Security is our Business!

Was sonst noch dabei herauskommt?

Da wir in unserer URL-Datenbank nicht nur das Aufkommen einer URL sondern eben auch das abschalten eben dieser beobachten, sind bei dem Projekt ein paar wertvolle Ergebnisse herausgekommen. Wir können damit nämlich auf faire Art und Weise die Qualität einer Abuse-Abteilung messen. Dazu etablieren wir den Anti-Abuse Performance-Index. Abuse-Abteilungen auf der ganzen Welt können sich an diesen Werten messen, denn bei unseren Zahlen

  • kommt es nicht auf die Größe des Netzes an,
  • zählen die reinen nackten Zahlen,
  • vergleichen wir eben nicht direkt mit anderen.

Wir stellen hier absichtlich nur die besten 10 auf unserer Seite dar, denn unserer Meinung nach muss man sich immer mit den Besten messen um selbst voran zu kommen. Zahlen wie: Bin ich besser oder schlechter als der Durchschnitt bringen die Abteilungen da nicht weiter. Wer gut sein will, der will auch ganz oben stehen!

[ Leave A Comment »]
Blogverzeichnis - Blog Verzeichnis bloggerei.de Blogverzeichnis