Komentarspam

Falls Sie nicht zufälligerweise einen medizinischen oder pharmakologischen Blog betreiben, dann benötigen Sie sicherlich keine Kommentare, die folgende Stichworte enthalten:

'amlodipine',' amoxicillin',' arimidex',' atarax',' atorvastatin',' augmentin',' azithromycin',' baclofen',' bactrim',' benadryl',' bupropion',' bupropionfamvir',' buspirone',' cabergoline',' captopril',' cardioprotective',' carvedilol',' celebrex',' celexa',' chloramphenicol',' cialis',' cipro',' citalopram',' clomid',' cymbalta',' cytotec',' dostinex',' doxepin',' duloxetine',' effexor',' esomeprazol',' estrace',' estradiol',' ethinylestradiol',' famvir',' fexofenadine',' finasteride',' flagyl',' fluoxetine',' kesuburan',' lamisil',' lasix',' levitra',' levofloxacin',' levonorgestrel',' lexapro',' linezolid',' lipitor',' lisinopril',' luvox',' mangiare',' meloxicam',' metformin',' micardis',' naproxen',' neurontin',' nexium',' nizoral',' paroxetine',' penicillin',' prednisone',' propecia',' propranolol',' provera',' prozac',' raloxifene',' seroquel',' sertraline',' strattera',' synthroid',' tadalafil',' tamoxifen',' tetracycline',' thyroxin',' tofranil',' torsemide',' trazodone',' tylenol',' valacyclovir',' valsartan',' verapamil',' viagra',' wellbutrin',' xenical',' zithromax',' zovirax',' zyprexa'

Diese Liste ist sicherlich unvollständig, kann aber dazu beitragen einen Blacklist-Filter zu befüllen.

 

Webseiteneindringlinge, Servereindringlinge

Mit der Zerstörung einer Webseite und/oder dem Defacment ist die Sache klar. Die Seite wurde gehackt.

Erste Maßnahmen:

  • Seite vom Netz nehmen
  • alle Zugangspassworte ändern und Sicherheitsstärke erhöhen
  • sichern der kompromitierten Seite, sonst. mögliche Spuren sichern (log-Dateien), soweit vorhanden Analyse der Spuren
  • Sicherheitsniveau erhöhen, aktualisieren der beteiligten Komponenten, Deaktivierung und Deinstallation von nicht notwendigen Modulen, Komponenten, Plugins
  • einspielen von Backups

Zum Glück gibt es Hashwerte vom Programmcode oder wenigstens mehrere Versionen von Sicherungen, die auf der Ebene des Programmcodes und der Datenbankeinträge miteinander verglichen werden können. Sofern keine Veränderung festgestellt werden konnte, bzw. rückgängig gemacht wurde, kann auf einem höheren Sicherheitsniveau ein Neustart gemacht werden.

Über die Architektur von PharmacyHacks, Blackhole Exploit Kits (oder auch diese Beschreibung) und Darkleech kann man nur staunen. Für das Verständnis und das Ausmaß der Bedrohung lohnt sich unbedingt ein Studium.

Zwar kann ein Tool keine absolute Gewissheit für Infektionsfreiheit einer Webseite liefern, aber trotzdem als Einstieg hilfreich sein. Zur verdachtslosen Kontrolle benutzen wir:

Logfiles – keine Stiefmutter

Wer sich exponiert, sollte sich bewusst machen, dass neben der eigenen Fehlbarkeit auch die Fehlbarkeit der Technik nie auszuschliessen ist. Aber auch wenn alles in Ordnung scheint, muss nicht alles in Ordnung sein. Der Erfolg eines intelligenten Angriffs liegt in seiner subtilen Ausführung, die Spuren sind längst beseitigt und eine erfolgreiche Kompromitierung wird Aufdeckungs- und Bekämpfungsmassnahmen konterkarieren, um solange wie möglich unentdeckt zu bleiben. Fatalistisch gesprochen ist dies ein goldenes Handwerk der innovativen 1. und 2. Hackerriege.

Dennoch, eine Betrachtung der Log-Dateien fördert so manches komische, bekannte Viech zu Tage aus dem man etwas lernen kann. Die Beschäftigung mit den Einträgen trägt zum besseren Verständnis bei, was Legionen von Hackern der 3. und 4. Riege, bzw. automatisierte Angriffe wollen und wie sie versuchen ihre Ziele zu erreichen. Richtet sich ein Angriff gegen die Schwachstellen der Hardware, gegen Expolits der Software oder gegen die Schwächen ihrer menschlichen Benutzer. Hier findet keine “Innovation” statt. Alte Techniken werden aufgewärmt oder bestenfalls modifiziert. Aber auch ein Hacker der 3. und 4. Riege bezieht seine Motivation aus dem Erfolg. Deshalb geht es darum dem Angreifer Hürden und Hindernisse in den Weg zu stellen, denn schliesslich ist ein gescheiterter Versuch Ihr Erfolg.

Exemplarische Urviecher:

  • /HNAP1/ : Ein Scanner probiert aus, ob eine altbekannte Schwachstelle in Zusammenhang mit dem HNA-Protokoll (Home Network Administration) eines Routers verfügbar ist (vertiefend: http://www.com-magazin.de/news/sicherheit/d-link-router-verschenken-admin-rechte-4182.html)
  • /phpTest/zologize/axa.php: Jemand prüft auf Intrusion
  • /phpMyAdmin/scripts/setup.php; /myadmin/scripts/setup.php; /pma/scripts/setup.php: Jemand versucht Zugriff auf die Setup-Funktionen von installierter Software zu bekommen (hier phpMyAdmin). Dies ist eine gute Gelegenheit nach setup und install-Dateien zu schauen und ggf. zu löschen oder zu sichern.
  • wp-login.php als admin: Brute-Force- oder Dictionary-Angriff gegen einen Adminzugang.
  • Bsp.:1  veraltetes Theme: /wp-content/themes/clockstone/theme/; Bsp.:2, veraltetes Plugin: /wp-content/plugin/advanced-custom-fields/: es wird gescanned, ob z.B. auf einer WordPress-Seite bestimmte Versionen von veralteten Plugins erreichbar sind, oft wird eine ungesicherte upload-Funktion gesucht um Schadsoftware nachzuschieben (siehe z.d. Versionen u.a. Bild1 und Bild2. Generell ist ein Abgleich der eingesetzten Themes und Plugins z.B. gegen exploit-db.com hilfreich).
  • Liste wird forgesetzt
clockstone
veraltetes Theme, als Beispiel einer Gefahrenlage

advancedcustomfields

Mailvelope – sicher ist sicher

Eine Bemerkung vorweg! Dieser Artikel sollte nicht so verstanden werden, dass eine betriebliche Sicherheitsregel leichtfertig ausser Kraft gesetzt werden darf. Sofern der Betrieb Sicherheitsregeln erstellt hat, was leider in kleineren und mittleren Betrieben keine Selbstverständlichkeit ist, müssen sie eingehalten werden.

Ein Auszug aus den betrieblichen Sicherheitsregeln könnte z.B. so aussehen:

Email-Kommunikation:
- für eine verschlüsselte Email-Kommunikation ist das Programm Thunderbird (oder Claws-Mail) zu verwenden. Die Verschlüsselung erfolgt grundsätzlich als PGP Mime. Die Verwendung von Outlook oder eines Webmailers ist nicht erlaubt.

Vielmehr soll dieser Artikel dazu beitragen eine allzu menschliche Sicherheitslücke zu schliessen, nämlich “mal eben schnell” den Webmailer direkt zur Email-Korrespondez zu benutzen.

Die gute Nachricht ist, dass eine Verschlüsselung von Webmails möglich ist. Mailvelope (http://www.mailvelope.com/) hat auf Basis von OpenPGP.js ein Browser-Plugin (für Chrome, Firefox) entwickelt, dass zur Verschlüsselung von Emails über Webmailer dient. Es kann leicht angepasst werden, bzw. ist für gängige Webmailer(Gmail, Yahoo, GMX) schon vorbereitet. Es müssen lediglich die öffentlichen Schlüssel der Kommunikationspartner importiert werden. Der Benutzer entscheidet von Fall zu Fall, welche Botschaft verschlüsselt wird. Dazu startet der Benutzer über ein eingebettetes Icon den Composer. Die Ende-zu-Ende-Verschlüsselung wird über den lokal ausgeführten Composer gewährleistet. Erst die verschlüsselte Nachricht wird über den Webmailer transferiert.

Wer allerdings zur Verschlüsselung mit einem geeigneten Mailprogramm PGP Mime verwendet, der wird in Mailvelope etwas ausgebremst. Anhänge bleiben bisher unverschlüsselt, d.h., um die Verschlüsselung von Anhängen muss sich der Benutzer wieder selber kümmern. Dies ist allerdings mit Hilfe von Kleopatra (Teil von pgp4win) auch kein Problem. Interessanterweise lassen sich auf diese Weise, mit einer separaten Verschlüsselung von Inline-Nachricht und Anhang, ein 4-Augenprinzip realisieren. Dazu würde man den Anhang mit einem zweiten öffentlichen Schlüssel verschlüsseln (kleines Gedankenspiel).

Falls die Verwendung eines Mailprogramms, dass die Verwendung von GnuPG vollständig unterstützt (z.B.: Thunderbird, Claw Mail,etc.), nicht möglich ist, man sogar grundsätzlich auf Webmail (z.B. Gmail) zurückgreifen will oder als Einstieg in die Nachrichtenverschlüsselung ist Mailvelope ein gutes Stück mehr an Sicherheit.

Widerspruchszertifikat erstellen

Gpg4win (GNU Privacy Guard for Windows) ist ein Kryptografie-Werkzeugkasten zum Verschlüsseln und Signieren unter Windows. Der leichte Einstieg in die Datei- und Email-Verschlüsselung auf Windows Betriebssystemen ist also dank www.gpg4win.de schnell möglich.

Kurzer Hinweis für einen problemlosen Einstieg:
Während der Installation kann ein kurzzeitiges Abtrennen vom Internet und Abschaltung des Virenschutzes hilfreich sein. Benutzen Sie Kleopatra als Zertifikatsmanager und verzichten Sie auf die Installation von GPA. Der alternativ angebotene GPA machte bei allen unseren Installationen Probleme. Entweder stürzte der Manager während der Sitzung ab oder quittierte schon im Vorwege den Dienst durch den Hinweis auf einen fatalen Fehler, der durch eine fehlerhafte Bibliothek verursacht wurde.

  • Kleopatra: Ein Zertifikatsmanager für OpenPGP und X.509 (S/MIME); stellt einheitliche Benutzerführung für alle Krypto-Dialoge bereit.
  • GPA Ein alternativer Zertifikatsmanager für OpenPGP und X.509 (besser nicht benutzen).

Nach dem die freie Software, die im übrigen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bei GnuPG beauftragt wurde und als offizielle GnuPG-Distribution für Windows gilt, installiert ist. Kann man mittels Kleopatra den privaten (geheimen) und öffentlichen Schlüssel erzeugen. Grundsätzlich kann die Bereitstellung des öffentlichen Schlüssels auf einem öffentlichen Schlüsselserver (Public Key-Server, ) sinnvoll sein. Die Übermittlung kann Kleopatra übernehmen. In jedem Fall warnt uns der Zertifikatsmanager auch ein Widerspruchszertifikat (revocation certificate) zu erzeugen, damit man einen kompromitierten Schlüssel für ungültig erklären kann. Leider ist nicht sofort ersichtlich wie und ob man dies mit Kleopatra bewerkstelligen kann.

Deshalb hier nun ein kurzes Tutorial, wie wir dies erledigen:
Schritt 1
Passphrase bereithalten und folgende Kommandozeile vorbereiten:
cmd /K gpg --output test_XXXXXXXX_revoke.asc --gen-revoke XXXXXXXX
Danach starten wir Kleopatra und rufen in der Zertifikatsübersicht per Doppelklick das entsprechende Zertifikat auf. Wir erhalten dann in etwas folgende Ansicht. Von dort kopieren wir die Schlüssel-Kennung heraus und übertragen sie in die vorbereitete Kommandozeile.
revoke_1

Schritt 2
Die Kommandozeile wird in das Suchfeld über dem Start-Knopf eingetragen. Wobei cmd die Eingabeaufforderung startet und mit dem Parameter /K die Eingabeaufforderung aktiv hält.  Der erweiterte Eintrag startet das Programm gpg, um für den entsprechenden Schlüssel das Widerspruchszertifikat zu erzeugen (--output ... --gen revoke ...). Hinter output legen wir einen sprechenden Namen fest und hinter revoke folgt die Schlüssel-Kennung.
revoke_2
Schritt 3
gpg fordert uns zur Eingabe von ein paar Informationen auf. Hier kann man getrost z.B. 1 Wählen und als Grund z.B. “Schlüssel wurde ausgespäht” eintragen.
revoke_3
Nach dem die Fragen beantwortet wurden, fordert das Programm die Passphrase an. Da es nur ein kurzes Zeitfenster für die Eingabe gibt, ist es sinnvoll die Passphrase schon bereitzuhalten, sofern man diese nicht auswendig kennt. Nach der korrekten Eingabe der Passphrase wird im aktiven Benutzerverzeichnis das Widerspruchszertifikat angelegt. Es ist eine ASCII-Datei und hat in etwa folgendes Aussehen:
revoke_4
Das Widerspruchszertifikat (revocation certificate) verdient eine ebenso sorgfältige Aufbewahrung wie der private (geheime) Schlüssel. Ob dies nun mehrfach redundant an sicheren Speicherorten passiert, als Textausdruck oder als Bild eines QR-Codes ist eine Frage des persönlichen Geschmacks. Es sollte einem nur klar sein, dass jeder mit dem Widerspruchszertifikat auf dem Public Key-Server das Zertifikat aushebeln kann.

Viel Spass beim revoken!

Backscatting Blacklisted

Backscatter oder Backscatting. Die Vorstellung darüber, was es damit genau auf sich hat, lässt sich beleben, wenn wir uns eine kurze Definition auf Wikipedia anschauen.

Rückstreuung [engl. backscatting] bezeichnet den Anteil einer Welle oder eines Partikelstroms, den ein getroffenes Objekt in die Richtung der Quelle zurückwirft.

Was hat dies nun genau mit dem Thema Backscatter Blacklisted zu tun und warum ist dies ein Sicherheitsthema?

Fundamental geht es um bestimmte Einstellungen bzw. unterlassene Einstellungen eines Mailservers und natürlich geht es deshalb um die Reputation aller unter dieser IP gelisteten EMail-Clients.  Wer sieht sich schon gerne auf einer Spam-Blacklist aufgeführt?  Man hat den Spott und den Schaden, was aber viel entscheidender ist, der eigene zuständige Mailserver kann für einen Denial of Service-Angriff mißbraucht werden und damit Teil eines größeren Problems werden.

Was zunächst vielleicht als gute Idee gemeint war, nämlich den eigenen Mailserver mit einem höflichen Bounce auf einen unbekannten Empfänger antworten zu lassen, kann sich als Bärendienst erweisen. Beim bouncen entsteht unnötiger Emailverkehr darüber, dass der Empfänger einer Nachricht unbekannt ist. Das kann ziemlich geschwätzig werden (Jargon: Non-Delivery Reports) oder bildlich gesprochen: die Welle schwappt zurück.  Die guten Absichten werden zum Problem, wenn der eigene Mailserver und noch zig-tausend weitere, die alle mit freundlichen Non-Delivery Reports dienen, von einem gefälschten Absender, auf ein Opfer-Mailserver zurückschwappen. Damit wird das Opfer mit freundlicher Hilfe zugeschwallt und im schlimmsten Fall außer Dienst gesetzt.

Es ist gute Praxis auf Bouncing zu verzichen und statt dessen die Nachricht für unbekannte Empfänger einfach nur auszusortieren (reject).

MxToolBox

Ein Zwischenstopp auf der Seite von MxToolBox gibt einen ersten schnellen Überblick über Probleme, die im Zusammenhang mit dem Betrieb einer Seite auftreten könnten. Die Werkzeuge sind hilfreich und außerdem frei, schnell und akkurat.

Services von MxToolBox:

  • MX Lookup
  • Blacklists
  • Diagnostics
  • Domain Health
  • Analyze Headers
  • Free Monitoring
  • DNS Lookup

Genug Stoff, um sich mit Lookups und Nameserver-Diagnose näher zu beschäftigen.

Project Honeypot

Honigtopf im Allgemeinen

Ein Honigtopf versinnbildlicht die gewünschte Ablenkung, die den Angreifer von einem lukrativen Ziel ablenken soll. Auf diese Weise gewinnt das Opfer Zeit zur Gegenwehr. Es gibt sehr ausgefeilte Mechanismen die in der IT-Sicherheit über diverse Schichten von bestimmten Zielen ablenken (siehe hierzu z.B.: Wikipedia: Honeypot).

Über das Project Honeypot

Project Honeypot ist ein verteiltes System um Spammer zu identifizieren.
Was vor den Augen eines gewöhnlichen Benutzers verborgen bleibt, stellt für einen Bot oder Harvester eine Verlockung dar, er folgt dem verborgenen Link zu einer aufgestellten Falle, dem Honigtopf. Dazu ist nichts weiter notwendig, als einen vom Project Honeypot bereitgestellten Programmcode (der Honigtop) auf ihrer Seite zu installieren.

Der Spammer wird mit einer hinterlegten, eindeutigen Mail-Adresse verführt. Das System hinter dem Projekt protokolliert den Mißbrauch und teilt diese Informationen mit anderen Projekten, um den nächsten Schritt in der Spamabwehr zu gehen. Auf diese Weise gelangen IP-Adressen, die aggressiv Spam verbreiten, schnell auf sog. Blacklists und werden dadurch vom regulären E-Mailverkehr abgeschnitten.

Falls sich ihre IP-Adresse also auf einer Blacklist befindet, kann dies bedeuten, dass ihre Seite als “willenloser Zombie” missbraucht wird. Sie sollten in diesem Fall schnell Gegenmaßnahmen ergreifen, um die Nachteile aus dieser Situation so klein wie möglich zu halten.

Eine schnelle Blacklist-Prüfung ist bei MxToolBox möglich.

 

Project Honeypot: http://www.projecthoneypot.org/

Herzlich willkommen

Diese Seite befindet sich aktuell im Aufbau.
Sie werden hier zur Zeit also nicht viel interessantes finden.

Dennoch, es zeigt, dass Sie an dem Thema Sicherheit im Web interessiert sind und das ist der erste Schritt für eine erfolgreiche Verteidigung gegen diverse Angriffe und Beseitigung lästiger Bugs.

 

2control – i.G. — digitale Selbstverteidigung