TLS-Gate – Online-Banking-Check

Posted on 19. Juli 2019 by marius

Schlechte Nachrichten für Eure Online-Banking Sicherheit:

18 von 20 getesten Online-Banking-Webseiten erlauben gebrochene Krypto!

In einem kleinen Test mit zufällig ausgewählten Online-Banking Webseiten, haben nur zwei Vertreter schon mal etwas von Security gehört. Die in der Liste grün hervorgehobenen Banken hatten nur TLS 1.2+ im Einsatz, wohin gegen die Anderen TLS 1.0 und TLS 1.1 neben TLS 1.2 erlaubt haben.

Damit sind Szenarien möglich, bei der es Angreifer schaffen, das SSL-Protokoll auf TLS 1.1 zu drücken, oder das gleich uralte Browser und Betriebssysteme zum Einsatz kommen, die von selbst mit gebrochener Krypto Verbindung zur Bank aufnehmen.

So oder so, ein Fest für Abhörer und Kriminelle.

Alle Banken hatten keine Probleme mit TLS 1.2, so daß ein aktueller Browser sich mit einer sicheren Verbindung zur Bank verbunden hat. Eure Sicherheit ist also nur dann gefährdet, wenn Euch jemand angreift und das ist genau das, was man mit guter Security verhindert. Wenn der Bankwebserver kein TLS 1.0 anbietet, würde so ein Angriffsszenario, bei dem die Verbindung derart gestört wird, daß TLS 1.2 nicht zu stande kommt, gar nicht erst funktionieren können.

Dummerweise gabs es in der Vergangenheit genug Beispiele, wie man solche Angriffe auf SSL-Verbindungen durchführt. Es ist also nicht ausgeschlossen, daß es jemand auch bei Euch schafft.

Domainname[:443]	TLS 1.0	TLS 1.1	CA
www.commerzbank.de	+	+	Digicert
www.nordlb.de	+	+	Digicert
www.ksk-stade.de	+	+	Digicert
meine.postbank.de	+	+	Digicert
meine.deutsche-bank.de	+	+	Digicert
www.berliner-sparkasse.de	+	+	Digicert
www.bv-activebanking.de	–	–	Digicert
meine.norisbank.de	+	+	Digicert
www.dkb.de	+	+	Digicert
www.sparda-b.de	+	+	QuoVadis
www.vrbankmecklenburg.de	+	+	QuoVadis
www.volksbank-demmin.de	+	+	QuoVadis
calenberger.de (Calenberger Kreditverein)	+	+	Lets Encrypt!
www.ksk-walsrode.de	+	+	Digicert
www.diebank.de	+	+	QuoVadis
www.sparkasse-celle.de	+	+	Digicert
banking.seeligerbank.de	–	–	Digicert
www.sparkasse-nordhorn.de	+	+	Digicert
hbciweb.olb.de	+	+	D-Trust GmbH
www.apobank.de	+	+	QuoVadis

Wie kommt das zu Stand?

Wie man das erwarten würde, gibt es Gruppen von „Banken“ die eigentlich nur Filialen eines Konzerns sind. Mag sein, daß der eine oder andere örtliche Bankvorstand das anders sieht, aber spästens wenn jemand mal Geld nachschiessen muß, sieht man, wer mit wem verbandelt ist.

Die Sparkassen haben daraus gleich eine Tugend gemacht und einen eigenen Sparkassen Webframework gebaut. Im Prinzip ist die Online-Bankingseite für alle Sparkassen gleich, lediglich das Logo und Name & Anschrift der Bank in Texten sind angepaßt. Da Banken und Sparkassen nicht in jedem x-beliebigen Rechenzentrum hosten dürfen, gibt es nur wenige Anbieter auf die sich die Dienste verteilen.

Folge, so wie jetzt, fällt eine Webseite negativ auf, sind alle Seiten des Konglomerats betroffen.

Es ist an Euch das zu ändern in dem Ihr selbst zu Eurer Bank geht und das moniert.

Wie beweist Ihr das?

Man verbindet sich mit der Bankseite und sagt openssl nur TLS 1.0 anzubieten :

openssl s_client -connect www.apobank.de:443 -tls1
…
New, TLSv1.0, Cipher is ECDHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : ECDHE-RSA-AES256-SHA
Session-ID: 9F46E16A883DB49FA5A516BCDB23B67F24ED12E5EA6F9F83C504A6CF4CA96A24
Session-ID-ctx:
Master-Key: 4166D9B1C922F2410E6C0BF98BBE1D4B9BA03F238A6112F7FFA6B624F0BDFD8F7F759D97BDCB108CC3E4E635EBA17E24
…

Kommt eine Session und Key zustande, hatte man mit seiner Bank leider Pech 🙂

So sieht das aus, wenn man mit der Bank Glück hatte :

New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1563537522
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no

Keine Session. Kein Key. Kein Problem!

Update: Fedora: Probleme mit hwdata und Asus Mainboards

Posted on 16. Juli 2019 by marius

Wie bereits vor zwei Tagen mitgeteilt, gibt es bei Fedora ein Problem mit dem Paket hwdata. Darin sind die PCI Ids der Geräte und Hersteller enthalten. Die Quelle der Daten wird bei Github gepflegt und damit betrifft es nicht nur Fedora, sondern alle Distributionen, die Ihre Daten von dort beziehen.

Die Datei oui.txt (Organisational Unit Ids) verursacht dies, offensichtlich sind dort Kennungen falsch eingetragen oder verloren gegangen, so das Wechselmedien nicht sauber erkannt werden.

Kuriose an der Sache: Der eingesteckte USB Stick war für Root gemountet und nicht für den angemeldeten User.

Wie eine falsche OUI das auslösen kann, wird derzeit geprüft. Ich meine, da liegt ein ziemlich dicker Bug kurz vor seiner Entdeckung.

Munin: Could not draw graph

Posted on 12. Juli 2019 by marius

Kommt Euch bekannt vor ? „Could not draw graph „/var/lib/munin/cgi-tmp/munin-cgi-graph/…png?&lower_limit=&upper_limit=&size_x=800&size_y=400“

Wenn Ihr Upper & Lower – Limit auch nicht gesetzt habt, dann prüft doch mal , ob in der /var/www/cgi-bin/munin-cgi-graph das hier drinsteht: so um Zeile 462

my $upper_limit = CGI::param("upper_limit");
if ( $upper_limit eq "" ) {
   $upper_limit = "100000000";
}
push @params, "--upper_limit", $upper_limit if defined $upper_limit;

my $lower_limit = CGI::param("lower_limit");
if ( $lower_limit eq "" ) {
     $lower_limit = "0";
}
push @params, "--lower_limit", $lower_limit if defined $lower_limit;Falls nicht

Falls nicht, dann fixt das doch mal eben selber 😉 Seitdem geht unser Munin wieder.

Games: Sam & Max sind wieder da!

Posted on 7. Juli 2019 by marius

Wie wir aus informierten Kreisen erfahren haben, sind die brutalsten Ermittler der 80er und 90er Jahre wieder im Einsatz. Diesmal ermitteln Sie gegen die Untergrundmafia. Ermittler Max dazu: „Dieser Hamster fühlt sich bereits an wie Gummi!“ Das verwundert kaum, da besagter Hamster bereits seit über 4 Stunden in der Hand des als gewaltbereit geltenden Max ist. Zeugen des Verhöres konnten ein Bild aus dem Tollhaus schmuggeln:

Weiterhin wurde bekannt, daß ein bekannter Mediziner in die Ermittlungen von Sam & Max involviert ist. Der als verschroben geltende Doktor betreibt ein erfolgloses Landhotel in der Nähe von Freelance, in dem einst der Strom entdeckt wurde und einige andere, etwas bizzare Dinge. Doktor E. , dereinst von dem Physikstudenten B.B. aus Freelance, eines Umweltverbrechens überführt, scheint heute als Unschuldiger in den Akten geführt zu werden, was bezweifelt werden darf, traut man den Insiderinformationen einer gewissen Laverne, nebenfalls von Beruf Studentin.

Im Fokus der Ermittlungen steht ein Hamster, der ohne Beweise von Sam & Max in einem der Hotelzimmer verhört wird. Dies wird solange der Fall sein bis laut Sam: „Jemand einen anderen Verdächtigen beschafft.“ Wir wissen nicht, wer diesen Verdächtigen „besorgen“ soll. Kennen Sie zufällig so jemanden?

Hallo und herzlich willkommen zu …

…dem Prologue zum Fanspiel von David Schornsheim und Stefanie Enge. Ihr hattet jetzt Sam & Max II erwartet oder? Reingelegt 🙂 Aber, die kommen natürlich auch vor, sonst hätte ich das nicht erwähnt 😉 Das Spiel ist für Linux verfügbar, da es mit der Unity Engine gemacht wurde, die für alle Majorplattformen eine Version erstellen kann. Wer sich ein Bild von der Sache machen will, kann sich ein kleines Let’s Play von mir ansehen. Lediglich die erste halbe Stunde wird gezeigt, das noch nicht ganz fertige Spiel dauert aber bequem 2 Stunden und hält eine Reihe von wahnsinnigen Stunts bereit 😀

Der inoffizielle Nachfolger von Day of the Tentacle macht dem Original alle Ehre und kommt in moderner 3k Auflösung daher, die man aber auf eigenen Wunsch hin, wieder in die Zeit der 80er Jahre verwandeln kann 🙂 Genau wie in Day of the Tentacle dreht sich alles um zeitreisende Hamster, ein verschrobenes Genie, dicke Bandmitglieder und eine Lila Tentakel! Das Nicht-Seefood will wieder die Welt erobern und ist noch mächtiger und böser als im ersten Teil, denn diesmal steht auch das Schicksal des Universums auf dem Spiel! Gemäß dem Schurken Motto: „Die Welt ist nicht genug!“

Genug der Worte, lasst Bilder sprechen !! Mu har har !!!

Return of the Tentacle ist noch nicht ganz fertig, da die zweite Hälfte des Spiel noch in der Mache ist. Bis dahin haben wir aber locker 2 Stunden Spielspaß vor uns! Wer Day of the Tentacle kennt, wird sich gleich richtig zurecht finden, besonders da die Steuerung des Spiel sagenhaft einfach geworden ist. „Nimm“ „Gib“ „Benutze“ usw. sind einer intuitiven Maussteuerung gewichen, was leider zum einzigen Schwachpunkt des Spiels wird: Touchpads, und damit Tablets, kann man leider nicht benutzen.

Wer das (unfertige) Spiel downloaden will, kann das hier tun:

https://catmic.itch.io/return-of-the-tentacle

Neben Deutsch und Englisch als Tonspur sind eine Menge übersetzte Untertitel für eine Vielzahl von Sprachen verfügbar.

Ich wünsche allen ganz viel Spaß mit dem Spiel! Und DANKE an die Macher!

Firefox: ungepatchte 17 Jahre alte Sicherheitslücke

Posted on 4. Juli 2019 by marius

Wie uns die TheHackerNews heute mitteilen, gibt es im Firefox eine ungepatche Sicherheitslücke, die streng genommen, seit 17 Jahren im Firefox schlummert.

Same-Origin-Policy versagt

Die Same-Origin-Policy versagt bei Zugriffen auf „file://“ URLs. Was andere Browser schon vor Jahren behoben haben, ist für die Firefox Entwickler nicht wichtig, da es bislang keinen Exploit dafür gab. Das hat sich geändert:

Was wir hier sehen, wenn das Bild denn scharf wird (runterladen per youtube-dl hilft dabei), ist folgendes:

Eine Email mit einem HTML Attachment wird in einem Webmail geöffnet.
Die HTML Datei wird von Firefox abgespeichert, wie man sieht im HOME des Users!
Die HTML Datei wird mit Firefox über file://… geöffnet und ..
präsentiert uns den Inhalt des Verzeichnisses.

Die HTML Seite enthält Javascriptcode, der über die File und Fetch Api vom Browser das Verzeichnis und die Dateien ausliest und dann mit AJAX die Daten exfiltriert.

Ein Patch dafür ist nicht in Arbeit, da Mozilla die Lücke nicht als solche anerkennt. Mal sehen ob sich das jetzt ändert 😉

Quelle: https://thehackernews.com/2019/07/firefox-same-origin-policy-hacking.html

Marius Welt

Category Archives: Linux