Web-Sicherheit

August 22, 2017

Neustart der OWASP Top Ten

Filed under: Allgemein — sebastiankuebeck @ 07:29
Tags: , ,

Nach den langen Diskussionen und Verzögerungen hat sich die Leitung der OWASP Top Ten für einen Neustart entschieden. Bleibt zu hoffen, dass etwas vernünftiges dabei herauskommt.

April 1, 2012

Facebook-Spiel DataDealer simuliert Datenhändler

Filed under: Allgemein — sebastiankuebeck @ 09:07
Tags: , , , ,

Ein kleines Team aus Wien entwickelt unter dem Titel Data Dealer ein Online-Spiel, das sich mit dem Thema persönlicher Daten im digitalen Zeitalter widmet. Der Spieler schlüpft dabei in die Rolle eines Datenhändlers der mit persönlichen Daten sein Unwesen treibt. Ziel des Spiels is es daher, möglichst viele persönliche Daten zu sammeln und zu verwerten.

Es stellt sich jetzt natürlich die Frage, ob dieses Spiel nicht auch Leute dazu ermutigt, Datenhändler zu werden. Die Reaktion meines Unterbewusstseins auf den Film Super Size Me war zum Beispiel, dass ich nach dem Kinobesuch unheimlichen Hunger auf Fastfood hatte. Die abschreckenden Szenen haben mein Unterbewusstsein also viel weniger beeindruckt als die Aussicht auf massenweise Fett und Zucker.

Trotzdem finde ich die Idee mit dem Spiel interessant und ich wünsche den Machern viel Erfolg!

Global Payments verliert Kreditkartendaten von 1,5 Millionen Karteninhabern

Filed under: Allgemein — sebastiankuebeck @ 08:41
Tags: , , , ,

gestern berichtete der Sicherheitsexperte Brian Krebs auf seinem Blog, das die Kreditkartenunternehmen MasterCard und Visa vor einem Sicherheitsvorfall bei einem US-amerikanischen Kreditkartenprozessor warnen. Einige Stunden später bestätigte der Kreditkartenprozessor Global Payments, dass Kreditkartendaten von über 56.000 Karteninhabern zwischen 21. Jänner und 25. Februar dieses Jahres entwendet wurden.

Entdeckt wurde dieser Vorfall aber erst Anfang März. Der Finanzdienstleister Public Service Credit Union (PSCU) berichtet, dass bereits bei 876 Visa- und MasterCard-Konten illegale aktivitäten ausgemacht wurden. Wie es zur Zeit aussieht, scheinen Europäische Karteninhaber nicht betroffen zu sein. Über die Details des Vorfalls hüllen sich sowohl Global Payments als auch die Kreditkartengesellschaften derzeit noch in Schweigen.

Update 2.4.2012

Inzwischen hat Global Payments eingestanden, dass bereits Kartendaten von 1,5 Millionen Karteninhabern entwendet worden sind. Visa hat bereits reagiert: Wie die New York Times und andere berichten, streicht der Kreditkartenkonzern Global Payments von der Liste der vertrauenswürdigen Dienstleister. Forensische Analysen und ausführliches Monitoring hätten nach Unternehmensangaben gezeigt, dass das Problem inzwischen unter Kontrolle sei.

Hintergrund

Ein Kreditkartenprozessor ist ein technischer Dienstleister, der im Auftrag von Kreditkartengesellschaften deren Zahlungsverkehr abwickelt. Er ist also keine Bank. Das Geschäft wird von einigen wenigen globalen Playern beherrscht, zu denen auch First Data und Global Payments gehören. Laut diesem Artikel im Wall Streat Journal verarbeitete allein Global Payments im letzten Jahr Kreditkartentransaktionen in Höhe von 120,6 Milliarden US-Dollar – 11% mehrt als im Jahr davor.

First Data und Global Payments haben in den letzten Jahren im großen Stil Prozessoren in Europa aufgekauft. So ist die deutsche GZS heute ein Teil von First Data Germany und die österreichische APSS nennt sich heute First Data Austria.

Da die Verarbeitung von Kreditkartendaten nun in der Hand einiger weniger Player ist, verarbeiten diese auch einen großen Teil der Kreditkartentransaktionen und schaffen es Hacker, in diese Systeme einzudringen, können sie auf einen Schlag unzählige Kreditkartendaten erbeuten.
Vielleicht noch brisanter ist, dass First Data einer der treibenden Kräfte hinter PCI DSS, dem Sicherheitsstandard der Kreditkartenunternehmen ist. Ein nicht unbeträchtlicher Beitrag zu diesem Standard stammt von Mitarbeitern der First Data. Das hat zur Folge, dass die, die sich dem Standard unterwerfen müssen jene sind, die ihn definieren. Was die eine oder andere vom Standpunkt der Sicherheit her seltsam anmutende Regelung in diesem Standard erklären könnte…

Januar 18, 2012

BSI: Gezieltes Hacking von Web-Servern derzeit die größte Bedrohung

Filed under: Allgemein — sebastiankuebeck @ 20:13
Tags: , , , ,

Laut diesem Artikel warnt das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) vor sechs Formen von Cyber-Angriffen. An erster Stelle wird das „gezielte Hacking von Webservern“ genannt – entweder zur Platzierung von Schadsoftware oder zur Vorbereitung von Datenbank-Spionage.

Wenn man bedenkt wie gering der Aufwand ist, beispielsweise über einen SQL-Injection-Angriff in einen Webserver (oder eigentlich Datenbankserver) einzudringen und welch rasante Fortschritte Werkzeuge zum automatischen Aufspüren von Schwachstellen in Webanwendungen in den letzten Jahren gemacht haben, wundert das nicht.

Januar 12, 2012

Interview mit Security-Legende Bruce Schneier auf PaulDotCom

Filed under: Allgemein — sebastiankuebeck @ 17:55
Tags: , , ,

Security-Legende Bruce Schneier präsentiert sein neues Buch Liars and Outliers in der aktuellen Episode von PaulDotCom.

Januar 7, 2012

Erneut Massenattacken auf SQL-Injection-Schwachstellen

Filed under: Allgemein — sebastiankuebeck @ 15:08
Tags: , , , ,

Mark Hofman berichtete kürzlich auf der Webseite des Internet Storm Center (ISC), dass inzwischen mehr als eine Million Webseiten (davon zehntausende deutsche Webseiten) Opfer von automatisierten Angriffen auf SQL-Injection-Schwachstellen geworden sind. Betroffen sind offenbar ausschließlich Coldfusion-Installationen die mit dem Microsofts Internet Information Server (IIS) und SQL Server betrieben werden. Die Angreifer binden dabei Code in die Webseite ein, der Besucher auf die Domain Lilupophilupop.com umleitet, auf der Scareware angeboten wird.

Ob eine Webseite infiziert wurde, kann beispielsweise mit Hilfe von Google ermittelt werden. Liefert die Suche mit der Zeichenkette <script src="http://lilupophilupop.com/" sowie dem Parameter site samt einer verdächtigen Webadresse ein positives Ergebnis, ist diese infiziert.
Alle betroffenen Webseiten der Domäne .de lassen sich durch folgende Suche ermitteln:

  <script src="http://lilupophilupop.com/" site:de

Der Datensatz, mit dem die Webseiten manipuliert werden enthält folgenden Code, den Coldfusion offenbar ungefiltert an die Datenbank weiterleitet und so zur Ausführung bringt (siehe Mark Hoffmans Post von Anfang Dezember) …

declare+@s+varchar(4000)+set+@s=cast(0xset ansi_warnings off DECLARE @T VARCHAR(255),
@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR select c.TABLE_NAME,c.COLUMN_NAME
from INFORMATION_SCHEMA.columns c, INFORMATION_SCHEMA.tables t where c.DATA_TYPE in
('...IN EXEC('UPDATE ['+@T+'] SET ['+@C+']=''">''">

Laut den Kommentaren ist das keine Schwachstelle im Coldfusion-Server selbst sondern es handelt sich um Schwachstellen in den Coldfusion-Skripten der betroffenen Webseiten. Mark Hofman rät, die betroffenen Seiten über die Log-Einträge zu identifizieren und die Schwachstellen dort zu beheben. Wie das geht ist beispielsweise in folgendem Artikel beschrieben: Secure your ColdFusion application against SQL injection attacks.

Massenattacken auf SQL-Injection-Schwachstellen kommen inzwischen häufig vor und keine gängige Webtechnologie bleibt von ihnen verschont (siehe LizaMoon vor einem Jahr und dieser Angriff auf ISS-Installationen aus dem Jahr 2010). Höchste Zeit also, die eigene Webseite abzusichern.

Januar 5, 2012

Cross-Site-Scripting-Angriffe auf Smartphone-Apps und Desktop-Applikationen

Filed under: Allgemein — sebastiankuebeck @ 09:13
Tags: , , , , , ,

Cross-Site-Scripting-Schwachstellen sind generell als Websiten- oder Browser-Schwachstellen bekannt. In heutigen Desktop-Anwendungen und Smartphone-Apps ist es allerdings nicht unüblich, Web-Technologien wie HTML und JavaScript in die Anwendung einzubinden, was diese Anwendungen wiederum anfällig für Cross-Site-Scripting-Angriffe macht. Im Gegensatz zu reinen Webanwendungen ermöglichen es diese „hybriden“ Anwendungen Angreifern in manchen Fällen direkt auf das Betriebssystem zuzugreifen.

In letzter Zeit wurden solche Schwachstellen in Skype und ICQ identifiziert und auch bereits für Angriffe ausgenutzt. In seiner Präsentation auf der Derbycon 2011 zeigt Kyle Osborne (kos), wie man diese Schwachstellen beispielsweise in Instant-Messaging-Clients findet und ausnutzt.

Januar 4, 2012

Studie: Zahlreiche Datenlecks in populären Webseiten

Filed under: Allgemein — sebastiankuebeck @ 08:28
Tags: , , , , ,

Eine Studie der US-amerikanischen Standford-Universität deckte vor einiger Zeit auf, wie Webseitenbetreiber personenbezogene Informationen oft unbeabsichtigt an andere Webseiten weiterleiten.

Balachander Krishnamurthy und seine Autorenkollegen deckten dabei auf, dass die Beteuerungen auf der Webseite, dass Benutzerinformationen nur anonymisiert weitergegeben würden, offensichtlich Wunschdenken sind. Die Webseitenbetreiber verpacken nämlich Informationen wie den Benutzernamen oder des Alter des Benutzers oft direkt in die URL, mit der sie im Hintergrund eine externe Webseite aufrufen. Meist geschieht dieses nicht aus purer Absicht sondern schlicht aus Unachtsamkeit.

In diesem Fall wird sogar die E-Mail-Adresse an den Werbepartner übermittelt…

GET http://ad.doubleclick.net/adj/...
Referer: http://submit.SPORTS.com/...?email=jdoe@email.com
Cookie: id=35c192bcfe0000b1...

Manche Seiten leiten auch Suchanfragen direkt weiter, was für Seiten, die Leute mit gesundheitlichen Problemen aufsuchen, datenschutzrechtlich höchst bedenklich ist.

GET http://pixel.quantserve.com/pixel;r=1423312787...
Referer: http://search.HEALTH.com/search.jsp?q=pancreatic+cancer

In diesem Fall lädt die Webseite lediglich ein Bild von einer anderen, dabei wird aber unbeabsichtigterweise auch die Suchanfrage übergeben. Diese Praxis könnte von der anderen Webseite beispielsweise ausgenutzt werden, um so ermittelte Daten gesundheitlich beeinträchtigter Besucher an Quacksalber zu verkaufen, die das Unglück der Besucher dann schamlos ausnützen können…

Januar 3, 2012

750 Unternehmen von RSA-Hack betroffen

Filed under: Allgemein — sebastiankuebeck @ 12:18
Tags: , , , ,

Ende Oktober letzten Jahres wurde eine Liste von Organisationen, die durch den Einbruchs bei RSA Security im März 2011 in Mitleidenschaft gezogen worden sind, dem US-Kongress vorgelegt.

Offenbar konnten die Einbrecher mithilfe der Informationen, die sie bei dem Hackerangriff auf RSA Security erbeutet hatten, genügend Informationen über das Sicherheitssystem SecureID sammeln, um damit in die Computersysteme namhafter Kunden von RSA Security einzubrechen (Details zu diesem Angriff findet der interessierte Leser unter anderem hier).

Der Sicherheitsanalyst Brian Krebs veröffentlichte daraufhin diese Liste auf seinem Blog. Unter den Organisationen befinden sich unter anderem 100 Unternehmen der Fortune 500. Auch zahlreiche Europäische Organisationen befinden sich unter den Betroffenen. Am Ende der Liste befindet sich eine Verteilung der IP-Adressen, welche von den Angreifern auf den gehackten Systemen zurückgelassen wurden. Die überwiegende Mehrheit stammt dabei aus der Region Peking.

Erster Phish im neuen Jahr

Filed under: Allgemein — sebastiankuebeck @ 09:27
Tags: , , , , , ,

Manche Phisher glauben offenbar, dass zahlreiche Kreditkarteninhaber die Silvesterfeierlichkeiten bis heute ausgedehnt haben und so alles ausfüllen und unterschreiben, was ihnen per E-Mail untergejubelt wird.

Wünsche also neues gutes Jahr mit neues, nicht sonderlich ambitioniert gestaltetes Phish! 😉

Betreff: Neuen 2012 Wichtige Updates !

Sehr geehrter Inhaber der Kreditkarte,

Ihre Kreditkarte wird vorübergehend für neue Sicherheits-Updates 
gesperrt.
Wir müssen unsere Datenbank zu aktualisieren jedes Jahr.
Aus diesem Grund haben wir vorübergehend Ihre Kreditkarte 
gesperrt.
Ihre Kreditkarte wird freigeschaltet, nachdem Sie und laden Sie 
das beigefügte Formular werden.

Danke,
Visa und Mastercard Support Team.
 © Copyright Visa Europe 2012

Die Hinweise auf Sparkasse.de gelten natürlich auch in diesem Fall sowie für jede andere Bank und Kreditkartengesellschaft von hier bis mindestens Westsamoa…

Geben Sie niemals Ihre PIN und TAN heraus! Auch wenn Sie von scheinbar seriöser Stelle dazu aufgefordert werden. Die Sparkassen [Visa, MasterCard, oder welcher Finanzdienstleister auch immer] werden Sie weder per E-Mail noch persönlich am Telefon auffordern, Ihre Zugangsdaten zum Online-Banking preiszugeben oder aus einer E-Mail heraus Webseiten zu öffnen, um dort Kontodaten oder Kreditkarten-Nummern einzugeben.

Nächste Seite »

Bloggen auf WordPress.com.