Web-Sicherheit

August 22, 2017

Neustart der OWASP Top Ten

Filed under: Allgemein — sebastiankuebeck @ 07:29
Tags: , ,

Nach den langen Diskussionen und Verzögerungen hat sich die Leitung der OWASP Top Ten für einen Neustart entschieden. Bleibt zu hoffen, dass etwas vernünftiges dabei herauskommt.

Mai 31, 2017

Die wahren OWASP Top 10

Filed under: Allgemein — sebastiankuebeck @ 11:13
Tags:

Über Jahre hinweg waren die OWASP Top 10 für zahllose Webentwickler der Erste Berührungspunkt mit dem Thema Web-Sicherheit. Leider steckt das Projekt seit Jahren in der Krise und die Autoren konnten sich seit 2013 auf keine neue Version einigen. Praktischerweise arbeitet die OWASP sehr transparent und die Rohdaten stehen jedermann zur Verfügung. Ich habe nun die Rohdaten genommen und mit dem aktuellen Draft verglichen. Das Ergebnis war sowohl überraschend als auch besorgniserregend… The Real OWASP Top 10.

Dezember 22, 2016

Schützen Sie sich vor Cyberattacken!

Filed under: Allgemein — sebastiankuebeck @ 15:23

Anmerkung: der „Eisene Vorhang“ funktioniert leider nicht aber sonst liegt der Karikaturist Michael Pammesberger vollkommen richtig.

Dezember 14, 2016

Kinder und Social Networks

Filed under: Allgemein — sebastiankuebeck @ 14:38

Philipp Schaumann hat seine Webseite bezüglich Kinder und Social Networks überarbeitet. Er bietet dort Links zu nützlichen Artikeln, die sich unter anderem mit folgende Fragen befassen:

  • ab wann dürfen Kinder in Social Networks?
  • welche Gefahren drohen ihnen dabei?
  • wie können Eltern die Computer und Smartphones ihrer Kinder sicherer konfigurieren?

Zum dritten Punkt sollte erwähnt werden, dass es natürlich keine absolute Sicherheit im Internet oder im Gebaruch von Social Networks gibt. Es ist also unerlässlich, Kinder über die Schattenseiten des Internets zu informieren.

April 1, 2012

Facebook-Spiel DataDealer simuliert Datenhändler

Filed under: Allgemein — sebastiankuebeck @ 09:07
Tags: , , , ,

Ein kleines Team aus Wien entwickelt unter dem Titel Data Dealer ein Online-Spiel, das sich mit dem Thema persönlicher Daten im digitalen Zeitalter widmet. Der Spieler schlüpft dabei in die Rolle eines Datenhändlers der mit persönlichen Daten sein Unwesen treibt. Ziel des Spiels is es daher, möglichst viele persönliche Daten zu sammeln und zu verwerten.

Es stellt sich jetzt natürlich die Frage, ob dieses Spiel nicht auch Leute dazu ermutigt, Datenhändler zu werden. Die Reaktion meines Unterbewusstseins auf den Film Super Size Me war zum Beispiel, dass ich nach dem Kinobesuch unheimlichen Hunger auf Fastfood hatte. Die abschreckenden Szenen haben mein Unterbewusstsein also viel weniger beeindruckt als die Aussicht auf massenweise Fett und Zucker.

Trotzdem finde ich die Idee mit dem Spiel interessant und ich wünsche den Machern viel Erfolg!

Global Payments verliert Kreditkartendaten von 1,5 Millionen Karteninhabern

Filed under: Allgemein — sebastiankuebeck @ 08:41
Tags: , , , ,

gestern berichtete der Sicherheitsexperte Brian Krebs auf seinem Blog, das die Kreditkartenunternehmen MasterCard und Visa vor einem Sicherheitsvorfall bei einem US-amerikanischen Kreditkartenprozessor warnen. Einige Stunden später bestätigte der Kreditkartenprozessor Global Payments, dass Kreditkartendaten von über 56.000 Karteninhabern zwischen 21. Jänner und 25. Februar dieses Jahres entwendet wurden.

Entdeckt wurde dieser Vorfall aber erst Anfang März. Der Finanzdienstleister Public Service Credit Union (PSCU) berichtet, dass bereits bei 876 Visa- und MasterCard-Konten illegale aktivitäten ausgemacht wurden. Wie es zur Zeit aussieht, scheinen Europäische Karteninhaber nicht betroffen zu sein. Über die Details des Vorfalls hüllen sich sowohl Global Payments als auch die Kreditkartengesellschaften derzeit noch in Schweigen.

Update 2.4.2012

Inzwischen hat Global Payments eingestanden, dass bereits Kartendaten von 1,5 Millionen Karteninhabern entwendet worden sind. Visa hat bereits reagiert: Wie die New York Times und andere berichten, streicht der Kreditkartenkonzern Global Payments von der Liste der vertrauenswürdigen Dienstleister. Forensische Analysen und ausführliches Monitoring hätten nach Unternehmensangaben gezeigt, dass das Problem inzwischen unter Kontrolle sei.

Hintergrund

Ein Kreditkartenprozessor ist ein technischer Dienstleister, der im Auftrag von Kreditkartengesellschaften deren Zahlungsverkehr abwickelt. Er ist also keine Bank. Das Geschäft wird von einigen wenigen globalen Playern beherrscht, zu denen auch First Data und Global Payments gehören. Laut diesem Artikel im Wall Streat Journal verarbeitete allein Global Payments im letzten Jahr Kreditkartentransaktionen in Höhe von 120,6 Milliarden US-Dollar – 11% mehrt als im Jahr davor.

First Data und Global Payments haben in den letzten Jahren im großen Stil Prozessoren in Europa aufgekauft. So ist die deutsche GZS heute ein Teil von First Data Germany und die österreichische APSS nennt sich heute First Data Austria.

Da die Verarbeitung von Kreditkartendaten nun in der Hand einiger weniger Player ist, verarbeiten diese auch einen großen Teil der Kreditkartentransaktionen und schaffen es Hacker, in diese Systeme einzudringen, können sie auf einen Schlag unzählige Kreditkartendaten erbeuten.
Vielleicht noch brisanter ist, dass First Data einer der treibenden Kräfte hinter PCI DSS, dem Sicherheitsstandard der Kreditkartenunternehmen ist. Ein nicht unbeträchtlicher Beitrag zu diesem Standard stammt von Mitarbeitern der First Data. Das hat zur Folge, dass die, die sich dem Standard unterwerfen müssen jene sind, die ihn definieren. Was die eine oder andere vom Standpunkt der Sicherheit her seltsam anmutende Regelung in diesem Standard erklären könnte…

Januar 18, 2012

BSI: Gezieltes Hacking von Web-Servern derzeit die größte Bedrohung

Filed under: Allgemein — sebastiankuebeck @ 20:13
Tags: , , , ,

Laut diesem Artikel warnt das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) vor sechs Formen von Cyber-Angriffen. An erster Stelle wird das „gezielte Hacking von Webservern“ genannt – entweder zur Platzierung von Schadsoftware oder zur Vorbereitung von Datenbank-Spionage.

Wenn man bedenkt wie gering der Aufwand ist, beispielsweise über einen SQL-Injection-Angriff in einen Webserver (oder eigentlich Datenbankserver) einzudringen und welch rasante Fortschritte Werkzeuge zum automatischen Aufspüren von Schwachstellen in Webanwendungen in den letzten Jahren gemacht haben, wundert das nicht.

Januar 12, 2012

Interview mit Security-Legende Bruce Schneier auf PaulDotCom

Filed under: Allgemein — sebastiankuebeck @ 17:55
Tags: , , ,

Security-Legende Bruce Schneier präsentiert sein neues Buch Liars and Outliers in der aktuellen Episode von PaulDotCom.

Januar 9, 2012

Shreeraj Shah präsentiert Angriffstechniken auf aktuelle Webtechnologien

Filed under: Allgemein — sebastiankuebeck @ 22:34
Tags: , , , , , , , , ,

Shreeraj Shahs Präsentation von der AppSecUS 2011 (die er auch auf der Blackhat- und OWASP-Konferenz gehalten hat) über Angriffstechniken auf aktuelle Webtechnologien HTML5, XHR and DOM Security ist nun online verfügbar, zusammen mit seinem Paper Reverse Engineering Browser Components – Dissecting and Hacking Silverlight, HTML 5 and Flex.

Wie der Titel schon andeutet, geht es dabei nicht um HTML 5 alleine sondern auch umd das Zusammenspiel von Browsern und Plugins wie Flash und Silverlight. Er beschreibt darin detailliert, wie man aktuelle Webanwendungen gezielt auf Schwachstellen untersucht und diese dann ausnutzt.

Es werden dabei kaum  grundsätzlich neue Angriffstechniken vorgestellt, sondern gezeigt, wie bestehende Angriffstechniken (Cross-Site Scripting, Cross-Site Request Forgery, Clickjacking) mit aktuellen Browsern und Plugins noch wirksamer eingesetzt werden können.

Januar 7, 2012

Erneut Massenattacken auf SQL-Injection-Schwachstellen

Filed under: Allgemein — sebastiankuebeck @ 15:08
Tags: , , , ,

Mark Hofman berichtete kürzlich auf der Webseite des Internet Storm Center (ISC), dass inzwischen mehr als eine Million Webseiten (davon zehntausende deutsche Webseiten) Opfer von automatisierten Angriffen auf SQL-Injection-Schwachstellen geworden sind. Betroffen sind offenbar ausschließlich Coldfusion-Installationen die mit dem Microsofts Internet Information Server (IIS) und SQL Server betrieben werden. Die Angreifer binden dabei Code in die Webseite ein, der Besucher auf die Domain Lilupophilupop.com umleitet, auf der Scareware angeboten wird.

Ob eine Webseite infiziert wurde, kann beispielsweise mit Hilfe von Google ermittelt werden. Liefert die Suche mit der Zeichenkette <script src="http://lilupophilupop.com/" sowie dem Parameter site samt einer verdächtigen Webadresse ein positives Ergebnis, ist diese infiziert.
Alle betroffenen Webseiten der Domäne .de lassen sich durch folgende Suche ermitteln:

  <script src="http://lilupophilupop.com/" site:de

Der Datensatz, mit dem die Webseiten manipuliert werden enthält folgenden Code, den Coldfusion offenbar ungefiltert an die Datenbank weiterleitet und so zur Ausführung bringt (siehe Mark Hoffmans Post von Anfang Dezember) …

declare+@s+varchar(4000)+set+@s=cast(0xset ansi_warnings off DECLARE @T VARCHAR(255),
@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR select c.TABLE_NAME,c.COLUMN_NAME
from INFORMATION_SCHEMA.columns c, INFORMATION_SCHEMA.tables t where c.DATA_TYPE in
('...IN EXEC('UPDATE ['+@T+'] SET ['+@C+']=''">''">

Laut den Kommentaren ist das keine Schwachstelle im Coldfusion-Server selbst sondern es handelt sich um Schwachstellen in den Coldfusion-Skripten der betroffenen Webseiten. Mark Hofman rät, die betroffenen Seiten über die Log-Einträge zu identifizieren und die Schwachstellen dort zu beheben. Wie das geht ist beispielsweise in folgendem Artikel beschrieben: Secure your ColdFusion application against SQL injection attacks.

Massenattacken auf SQL-Injection-Schwachstellen kommen inzwischen häufig vor und keine gängige Webtechnologie bleibt von ihnen verschont (siehe LizaMoon vor einem Jahr und dieser Angriff auf ISS-Installationen aus dem Jahr 2010). Höchste Zeit also, die eigene Webseite abzusichern.

Nächste Seite »

Bloggen auf WordPress.com.