Web-Sicherheit

Januar 4, 2012

Buchempfehlung auf sein.de

Filed under: Allgemein — sebastiankuebeck @ 16:45
Tags:

Schmeichelhafte Buchempfehlung auf sein.de.
Besonders freut mich natürlich das Fazit:

Selbst Laien, die allerdings über ein fundiertes Grundverständnis des Internets verfügen sollten, können bei der Lektüre dieses fachspezifischen Buches einiges lernen. Die in verständlicher Sprache formulierten und für Interessierte durchaus spannenden Erklärungen, die erläuternden Abbildungen und zahlreichen Screenshots machen viele Abläufe, die vorher wie ein Buch mit sieben Siegeln erschienen, nachvollziehbar. So wird Verständnis und damit die Möglichkeit geschaffen, Fehler zu vermeiden und seine private oder gewerbliche Webseite in Zukunft besser schützen (lassen) zu können.

Studie: Zahlreiche Datenlecks in populären Webseiten

Filed under: Allgemein — sebastiankuebeck @ 08:28
Tags: , , , , ,

Eine Studie der US-amerikanischen Standford-Universität deckte vor einiger Zeit auf, wie Webseitenbetreiber personenbezogene Informationen oft unbeabsichtigt an andere Webseiten weiterleiten.

Balachander Krishnamurthy und seine Autorenkollegen deckten dabei auf, dass die Beteuerungen auf der Webseite, dass Benutzerinformationen nur anonymisiert weitergegeben würden, offensichtlich Wunschdenken sind. Die Webseitenbetreiber verpacken nämlich Informationen wie den Benutzernamen oder des Alter des Benutzers oft direkt in die URL, mit der sie im Hintergrund eine externe Webseite aufrufen. Meist geschieht dieses nicht aus purer Absicht sondern schlicht aus Unachtsamkeit.

In diesem Fall wird sogar die E-Mail-Adresse an den Werbepartner übermittelt…

GET http://ad.doubleclick.net/adj/...
Referer: http://submit.SPORTS.com/...?email=jdoe@email.com
Cookie: id=35c192bcfe0000b1...

Manche Seiten leiten auch Suchanfragen direkt weiter, was für Seiten, die Leute mit gesundheitlichen Problemen aufsuchen, datenschutzrechtlich höchst bedenklich ist.

GET http://pixel.quantserve.com/pixel;r=1423312787...
Referer: http://search.HEALTH.com/search.jsp?q=pancreatic+cancer

In diesem Fall lädt die Webseite lediglich ein Bild von einer anderen, dabei wird aber unbeabsichtigterweise auch die Suchanfrage übergeben. Diese Praxis könnte von der anderen Webseite beispielsweise ausgenutzt werden, um so ermittelte Daten gesundheitlich beeinträchtigter Besucher an Quacksalber zu verkaufen, die das Unglück der Besucher dann schamlos ausnützen können…

Januar 3, 2012

750 Unternehmen von RSA-Hack betroffen

Filed under: Allgemein — sebastiankuebeck @ 12:18
Tags: , , , ,

Ende Oktober letzten Jahres wurde eine Liste von Organisationen, die durch den Einbruchs bei RSA Security im März 2011 in Mitleidenschaft gezogen worden sind, dem US-Kongress vorgelegt.

Offenbar konnten die Einbrecher mithilfe der Informationen, die sie bei dem Hackerangriff auf RSA Security erbeutet hatten, genügend Informationen über das Sicherheitssystem SecureID sammeln, um damit in die Computersysteme namhafter Kunden von RSA Security einzubrechen (Details zu diesem Angriff findet der interessierte Leser unter anderem hier).

Der Sicherheitsanalyst Brian Krebs veröffentlichte daraufhin diese Liste auf seinem Blog. Unter den Organisationen befinden sich unter anderem 100 Unternehmen der Fortune 500. Auch zahlreiche Europäische Organisationen befinden sich unter den Betroffenen. Am Ende der Liste befindet sich eine Verteilung der IP-Adressen, welche von den Angreifern auf den gehackten Systemen zurückgelassen wurden. Die überwiegende Mehrheit stammt dabei aus der Region Peking.

Erster Phish im neuen Jahr

Filed under: Allgemein — sebastiankuebeck @ 09:27
Tags: , , , , , ,

Manche Phisher glauben offenbar, dass zahlreiche Kreditkarteninhaber die Silvesterfeierlichkeiten bis heute ausgedehnt haben und so alles ausfüllen und unterschreiben, was ihnen per E-Mail untergejubelt wird.

Wünsche also neues gutes Jahr mit neues, nicht sonderlich ambitioniert gestaltetes Phish! 😉

Betreff: Neuen 2012 Wichtige Updates !

Sehr geehrter Inhaber der Kreditkarte,

Ihre Kreditkarte wird vorübergehend für neue Sicherheits-Updates 
gesperrt.
Wir müssen unsere Datenbank zu aktualisieren jedes Jahr.
Aus diesem Grund haben wir vorübergehend Ihre Kreditkarte 
gesperrt.
Ihre Kreditkarte wird freigeschaltet, nachdem Sie und laden Sie 
das beigefügte Formular werden.

Danke,
Visa und Mastercard Support Team.
 © Copyright Visa Europe 2012

Die Hinweise auf Sparkasse.de gelten natürlich auch in diesem Fall sowie für jede andere Bank und Kreditkartengesellschaft von hier bis mindestens Westsamoa…

Geben Sie niemals Ihre PIN und TAN heraus! Auch wenn Sie von scheinbar seriöser Stelle dazu aufgefordert werden. Die Sparkassen [Visa, MasterCard, oder welcher Finanzdienstleister auch immer] werden Sie weder per E-Mail noch persönlich am Telefon auffordern, Ihre Zugangsdaten zum Online-Banking preiszugeben oder aus einer E-Mail heraus Webseiten zu öffnen, um dort Kontodaten oder Kreditkarten-Nummern einzugeben.

Dezember 9, 2011

Neue Rezension im Linux Magazin

Filed under: Allgemein — sebastiankuebeck @ 15:52
Tags: , , , ,

Im aktuellen Linux Magazin befindet sich in der Rubrik Tux Liest eine freundliche Rezension von Mathias Huber und Mark Vogelsberger. Der Empfehlung der Rezensenten, dass sich weniger erfahrene Programmierer ein gutes Programmierbuch zur verwendeten Programmiersprache zulegen sollten, bevor sie sich mit der Web-Sicherheit näher befassen, kann ich nur zustimmen. Schließlich kann man erst dann sicher programmieren, wenn man zumindest mit den Grundlagen der Softwareentwicklung vertraut ist und die verwendete Webtechnologie zumindest halbwegs sicher beherrscht.

Dezember 4, 2011

Wie aus einer Pumpen-Wartung eine Hacker-Attacke wurde

Filed under: Allgemein — sebastiankuebeck @ 12:54
Tags: , , ,

Es wäre ein gefährlicher Präzedenzfall gewesen, ein wahr gewordener Albtraum: Das erste Mal, dass es einem Computerhacker gelang, sogenannte „kritische Infrastruktur“ wie Wasserwerke oder Energieanlagen zu beschädigen. Ein US-Sicherheitszentrum behauptete Mitte November, Indizien dafür zu haben, dass der Ausfall einer Pumpe im Wasserwerk der Stadt Springfield im Bundesstaat Illinois die Folge einer IT-Attacke aus Russland gewesen sei. Jetzt, nach Dementis des US-Heimatschutzes und des FBI, kommt allmählich zutage, wie lückenhafte Informationen, die Erwartung einer Cyberattacke und ein Trittbrettfahrer aus einer Routine-Wartung eine falsche Nachricht werden ließen, die um die Welt ging.

Zum Artikel…

Oktober 25, 2011

Durch Fehler in Flash lassen sich Computerbenutzer über die Webcam ausspionieren

Filed under: Allgemein — sebastiankuebeck @ 14:14
Tags: , , , , , , , ,

In Abschnitt 10.5 meines Buches beschreibe ich Clickjacking, eine Angriffstechnik, mit der Angreifer Teile einer Webseite auf ihrer eigenen einblenden, um Besucher dazu zu bringen, Aktivitäten auf der legitimen Webseite durchzuführen, die der Benutzer gar nicht beabsichtigt. Es ist also eine Variante von Cross-Site Request Forgery für die allerdings gar keine Schwachstelle in der Webanwendung notwendig ist. Damit der Benutzer nur jene Teile zu sehen bekommt, die ihm der Angreifer zeigen will, verwendet letzterer beispielsweise ein DIV-Element das er vor einem IFrame platziert.

„Klassischer“ Clickjaking-Angriff auf Facebook von 2010.

Da sich auch Flash-Inhalte durch ein DIV-Element abdecken lassen, war es bis vor einiger Zeit möglich, den arglosen Benutzer dazu zu bringen, die Webcam aufzudrehen. So konnte der Angreifer alles mitverfolgen, was die Webcam des Benutzers erfasste, wie folgendes Video demonstriert.

Clickjaking-Angriff auf Webcam des Seitenbesuchers 2008.

Inzwischen hat Adobe das Problem durch ein Update das Flash-Plugins behoben, indem das Plugin eine Technik namens Framebusting verwendet, die das Anzeigen des Plugins (genauer gesagt, das Anzeigen der Dialogbox, mit der der Benutzer das Aktivieren der Webcam genehmigt) innerhalb eines IFrames verhindert. Wie sich allerdings inzwischen herausstellt, lässt sich dieser Schutz umgehen. Feross Aboukhadijeh, Student der Stanford Universität, fand einen Weg, den Framebusting-Code des Plugins (Details dazu sind in meinem Buch und in diesem Paper zu finden) zu umgehen: Dazu platzierte er einfach die SWF-Datei für die Einstellungen in einem IFrame, was Clickjaking-Angriffe wieder möglich macht.

Feross Aboukhadijeh’s erweiterter Clickjaking-Angriff, der den Schutz des Flash-Plugins umgeht.

Laut Feross Aboukhadijeh funktioniert der Angriff mit allen Flash-Plugin-Versionen, die er getestet hat, für den Mozilla Firefox und den Safari-Browser auf dem Mac. Durch einen Fehler in der CSS-Implementierung funktioniert der Angriff weder auf dem Chrome-Browser für den Mac noch auf den meisten Windows und Linux-Brwosern. Aboukhadijeh veröffentlichte einen Proof-Of-Concept-Code (PoC) auf seinem Blog, nachdem Adobe nicht auf seinen Fehlerbericht reagiert hatte.
Wie es aussieht hat Adobe inzwischen eine Lösung für das Problem gefunden.

Auch wenn das Problem jetzt behoben zu sein scheint, sollte man die Webcam hardwareseitig (oder softwareseitig, wenn das hardwareseitig nicht möglich ist) deaktivieren, wenn man sie nicht benötigt. In der Vergangenheit wurden Webcams bereits dazu missbraucht, Kinder bei der Bedienung ihrer Notebooks zu beobachten.

Oktober 24, 2011

Facebook patentiert Verfahren zur Überwachung von Benutzern, die nicht bei Facebook angemeldet sind

Filed under: Allgemein — sebastiankuebeck @ 14:50
Tags: , , , , , ,

Das Patent Nummer 2,011,023,240 das am 22 September 2011 vom US-amerikanischen Patentamt USPTO genehmigt wurde, ermöglicht Facebook auch Benutzer zu überwachen, die nicht bei Facebook angemeldet sind.

Kommunizieren von Informationen in einem sozialen Netzwerk über Aktivitäten einer anderen Domain

In einem Abschnitt wird eine Methode zur Verfolgung von Informationen über die Aktivitäten von Benutzern eines sozialen Netzwerks während sich diese auf einer anderen Domäne befinden. Die Methode beinhaltet das erstellen eines Profils für jedes Mitglied eines oder mehrerer sozialen Netzwerke, wobei jedes Profil eine Verbindung zu einem oder mehreren anderen Benutzern identifiziert und Informationen über den Benutzer beinhaltet. Die Methode beinhaltet auch ein Verfahren das Informationen des Benutzers wobei für jedes Profil eine Verbindung zu einem anderem Benutzer Identifiziert wird. Darüber hinaus beinhaltet die Methode das entgegennehmen von Kommunikationsdaten von einer fremden Webseite die sich in einer anderen Domäne befindet, wie das Sozialen Netzwerk, wobei jede Nachricht eine Aktivität des Benutzers das sozialen Netzwerks auf der fremden Webseite beschreibt. Die Methode beinhaltet weiters das Loggen der Aktivitäten des Benutzers auf der fremden Webseite inklusive Details dieser Aktivitäten. Die Methode beinhaltet weiters das Abgleichen der geloggten Aktivitäten mit einem oder mehreren Inserenten, die den Benutzern auf der fremden Webseite präsentiert werden und das Abgleichen der geloggten Aktivitäten mit denen eines Benutzers des sozialen Netzwerks.

Facebook beteuert, dass dieses Patent nicht diesem Zweck dient. Obwohl Facebook Benutzer zu überwachen scheint, die nicht bei Facebook angemeldet sind, genauso wie Benutzer, die gar nicht auf Facebook sind. Letzteres hat Facebook inzwischen bestätigt – mit der Einschränkung, das Facebook diese Daten für ihr Profiling verwende.

Das klingt wohl nicht nur für Bruce Schneier nach Haarspalterei. Dieser behauptet, er bekommt E-Mails von Facebook mit Listen von Freunden, die sich bereits auf Facebook befinden, und das, obwohl er gar nicht auf Facebook ist.

Man kann also der Datenkrake Facebook nicht entkommen, auch wenn man gar nicht auf Facebook ist. Es genügt, dass Freunde oder Bekannte auf Facebook sind und schon schlingen sich Facebooks virtuelle Tentakel unbemerkt um einen…

Ja, auch die Bundesangie ist auf Facebook. Quelle: Desparada News

Oktober 18, 2011

Sony sperrt Benutzerkonten

Filed under: Allgemein — sebastiankuebeck @ 06:29
Tags: , , , , , , ,

Sony sperrte letzte Woche 93.000 Benutzerkonten des PlayStation Network und des Sony Entertainment Network. Das geschah nachdem das Unternehmen zahlreiche Benutzeraktivitäten mit dem Zweck, in die inzwischen gesperrten Benutzerkonten einzudringen, beobachtet hatte. Laut Sony konnten die Hacker Benutzernamen und Passwörter ermitteln, bevor die zugehörigen Benutzerkonten gesperrt wurden. Die betroffenen Kunden wurden via E-Mail verständigt.

Bereits Ende April konnten Hacker in Sonys PlayStation Network eindringen und Millionen von Kundendaten entwenden. Danach wurde das PlayStation Network einen Monat lang immer wieder vom Netz genommen, was zahlreiche Gamer verärgerte. Inzwischen versucht Sony, die Gamer mit Gratisspielen und einer Versicherung in Höhe von einer Million Dollar pro Benutzer wieder zurückzuholen. Diese Aktivitäten werden durch die jüngsten Angriffe sicher nicht erleichtert.

Bei den Angriffen handelte es sich also offenbar um Brute-Force-Angriffe. Als Benutzer eines der Sony-Netze kann man sich bis zu einem gewissen Grad dadurch schützen, dass man Passwörter verwendet, die schwer zu ermitteln sind. Es gibt mehrere Möglichkeiten, sichere Passwörter zu finden, die trotzdem leicht zu merken sind. Eine der bekannteren ist, Sätze statt Wörter zu verwenden, wie XKCD demonstriert (in Wahrheit ist XKCDs Berechnung nicht ganz korrekt, da er fälschlicherweise davon ausgeht, dass der Angreifer Informationen über den formalen Aufbau eines Passwortes hat, also ist das erste Passwort sicherer, als XKCD das berechnet hat). Eine zweite, besonders kreative Möglichkeit ist Steven Gibsons Methode, Passwörter mit beliebigen Zeichen zu verlängern.

Oktober 17, 2011

Microsoft-Sicherheitsbericht: IT-Sicherheit im Ländervergleich

Filed under: Allgemein — sebastiankuebeck @ 08:30
Tags: , , , , , , ,

Laut Microsofts jüngstem Sicherheitsbericht erfolgten im beobachteten Zeitraum nur 5,6 Prozent aller Infektionen mit Schadsoftware durch Sicherheitslücken. 45% der Nutzer infizierten sich hingegen selbst.

Von 1000 Computer sind so viele mit Schadsoftware infiziert.

Dabei sind 26 Prozent aller Angriffe sind durch infizierte USB-Speichermedien erfolgt. Hierfür ist die USB-Autorun-Funktion verantwortlich, die nur bis Vista in Windows enthalten war und von Microsoft im Februar dieses Jahres durch ein Update lahm gelegt wurde. Ganze 17,2 Prozent der Angriffe sind über verseuchte Netzwerkfreigaben erfolgt, in 4,4 Prozent der Fälle hat sich der Schädling verbreitet, indem er sich in harmlose Dateien eingenistet hat. Diese hat dann der Benutzer unwissentlich selbst weitergeleitet, wodurch weitere Rechner infiziert worden sind.

Im Ländervergleich liegen Deutschland, Österreich und die Schweiz bei mit Schadsoftware infizierten Computern weit unter dem weltweiten Durchschnitt. Das liegt vermutlich daran, dass in diesen Ländern weniger raubkopierte Betriebssysteme im Einsatz sind. Da diese von Microsoft automatisch gepatcht werden, kann sich Schadsoftware dort schwieriger Einnisten, als auf Computern, die mit ungepatchten Raubkopien (von meist Windows XP) betrieben werden.

Von 1000 Computer sind soviele mit Schadsoftware infiziert.

Bei der Schadsoftware dominiert in den genannten Ländern Adware, also Software, die den Benutzer mit unerwünschter Werbung nervt. Conficker hat es mit Ausnahme von Österreich nicht mehr in die Top 10 geschafft.

Die Anzahl der Phishing-Sites, also Webseiten, die zu dem Zweck geschaffen wurden, um Benutzer dahingehen zu täuschen, dass sie sensible Daten verraten, ist ebenfalls in den ausgewählten Ländern rückläufig, wobei sich in der Schweiz im zweiten Quartal 2011 eine Trendumkehr abzeichnet.

Von 1000 Webseiten (hosts) sind so viele Phishing-Sites

Die Anzahl der Webseiten, die freiwillig oder unfreiwillig Schadsoftware verbreiten, ist in Deutschland Anfang 2011 dramatisch eingebrochen. Lag die Infektionsrate 2011 noch deutlich über dem weltweiten Durchschnitt, nähern sich die Werte 2011 denen von Österreich und der Schweiz an. Offenbar haben also deutsche Webseitenbetreiber in deutlich größerem Umfang infizierte Seiten geflickt, als Betreiber in anderen Ländern.

Von 1000 Webseiten (Hosts) verbreiten so viele Schadsoftware.

Die niedrige Infektionsrate österreichischer Computer ist Microsoft übrigens schon im vorigen Jahr aufgefallen. Tim Rains von Microsoft versuchte im August in seinem Artikel Austria – Lessons from Some of the Least Malware Infected Countries in the World eine Erklärung für dieses Phänomen zu finden. Seiner Meinung nach sind die geringe Verbreitung von Raubkopien, die strikte Vorgehensweise österreichischer ISPs gegen infizierte Computer und die vergleichsweise hohe Verfügbarkeit von schnellen Internetverbindungen in Österreich, durch die Aktualisierungen schneller eingespielt werden als anderswo, die Hauptgründe für die niedrige Infektionsrate.

« Vorherige SeiteNächste Seite »

Bloggen auf WordPress.com.