BSI aktualisiert Mailserver auf TLS 1.2.. ABER

„Nein! Doch!! OOOHHHH!“ Es ist vollbracht. Das BSI hat den Newsletterserver für das Bürger-CERT nach 13 Monaten endlich auf TLS 1.2 gehievt, also auf den Stand der Technik vom Jahr 2008.  \o/

Delivery-date: Wed, 13 Mar 2019 15:27:52 +0100
Received: from newsletter.bund.de ([77.87.229.56])
	by XXXXXXXXXXXXX.de with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(Exim 4.90_1)
	(envelope-from <buerger-cert-newsletter@newsletter.bund.de>)
	id 1h44rG-0001dj-FW
	for XXXXXXXXXXXXXXXX.de; Wed, 13 Mar 2019 15:27:52 +0100

Bin mal gespannt, ob der 2030 endlich TLS 1.3 kann 😀

OHHHH NEEEEIIIINN!!!!

KEIN TLS IM SERVER

Das kann jetzt echt nicht wahr sein, aber der gleiche Server, der beim Senden TLS 1.2 nimmt, bietet nicht mal TLS an, wenn er was empfangen soll!

Trying TLS on newsletter.bund.de[77.87.229.56:25] (10):

secondstest stage and result
[000.106]Connected to server
[000.292]<–220 ESMTP
[000.293]We are allowed to connect
[000.293] –>EHLO www6.CheckTLS.com
[000.399]<–250-newsletter.bund.de
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[000.399]We can use this server
[000.399]TLS is not an option on this server
[000.400] –>MAIL FROM:<test@checktls.com></test@checktls.com>
[000.506]<–250 2.1.0 Ok
[000.506]Sender is OK
[000.506] –>QUIT
[000.612]<–221 2.0.0 Bye

Geht noch mehr FAIL ?

Mehr zu dem Thema : Mailserver – Gebrochenes TLS im Einsatz

GNOME – Endlich mal Was Cooles

Ihr erinnert Euch an den Abspann von 22 Jump Street ? Ganz in dem Sinne habe ich hier was von Gnome für Euch:

Ihr seht richtig: Ein USB Deviceverweigerer, der einen davor schützt, daß jemand in Abwesenheit einfach mal einen USB Stick in das Laptop/Sportgerät steckt und was auslöst.

Das finde ich super wichtig. Beste Entwicklung in der letzten Zeit und schon laaaaaaaaange überfällig.

Quelle & More : https://ryuzakikk.github.io/gnome/internship-update-6/

Eagle 804 Android-Tablet kommt mit SpyApp

Man hört ja immer mal wieder, daß frisch produzierte Hardware beim Kunden plötzlich mehr wiegt als sie sollte. Ein Softwareäquivalent dazu ist es, wenn ein Android Tablet mit vorinstallierter SpyWare daher kommt. Das BSI hat dazu eine (hier leicht gekürzte) aktuelle Warnung herausgegeben:

Empfehlung:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, von einer Nutzung des 
Gerätes abzusehen.

Beschreibung:
Das Eagle 804 ist ein Android-Tablet des Herstellers Krüger&Matz.
Betroffene Systeme:
Krüger&Matz Eagle 804, Model-Nr: KM0804_01,
Build-Nr: Kruger&Matz_KM0804_1_V01_20170721
____________________________________________________________________________________________________
Zusammenfassung:
BSI-eigene Analysen [1] haben ergeben, dass eine vorinstallierte, bösartige App Geräteinformationen 
sammelt und diese an ein entferntes System sendet. Darüber hinaus meldet die Schadsoftware die 
Installation und Deinstallation von Apps durch den Benutzer an einen Server. Hierbei handelt es 
sich um eine Variante des in [2] beschriebenen Schadprogramms. Zusätzlich verfügt die genannte App 
über die Möglichkeit, unbemerkt über ein Netzwerk zu kommunizieren und bietet eine Hintertür zur 
Fernsteuerung des Geräts durch einen Angreifer an. Über diese sind unter anderem der Download sowie 
die Installation weiterer Schadprogramme möglich.
____________________________________________________________________________________________________
Quellen:
- https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Warnung_vorinst_Schadsoftware_260219.html
- https://news.sophos.com/en-us/2018/10/02/the-price-of-a-cheap-mobile-phone-may-include-your-privacy/

Wie findet man so eine Spyware ?

Wenn der Rootkit schon ab Werk drin ist, wird er sicher Maßnahmen dagegen getroffen haben, daß Programme ihn enttarnen können. Seinen Netzwerktraffic kann er aber nicht verstecken.

Mit einem Linux Laptop und der hostap Software, kann man sich einen eigenen Accesspoint aufbauen. Wenn man den nicht gerade Honeypot nennt, ist der nicht von einem normalen Accesspoint zu unterscheiden. Alles was man dann noch braucht ist tcpdump…. Apropos tcpdump.. das hatte im Dezember eine Lücke, über die erst heute berichtet wurde: Tcpdump CVE-2018-19519 Stack Based Buffer Overflow Vulnerability . Nicht, daß Ihr eine alte Softwareversion einsetzt und dann beim Überwachen der Hacker selbst gehackt werdet 😉

Wenn der Accesspoint steht und tcpdump läuft muß man nur darauf achten, was kontaktiert wird. Da man den Traffic auch auf die Platte bannen kann, sollte das nicht schwer werden. Filtert man dann alle regulären Zugriffe aus, muß, wenn etwas übrig bleibt, es von so einem Prozess stammen. Natürlich kann auch der Google PlayStore, Facebook oder sonst eine Bloatware Daten übertragen, aber da würde man am Ziel sicherlich erkennen können, ob es „legitim“ war.

Link: Was man sonst noch schönes mit einem eigenen mobilen AP machen kann…

Schwieriger etwas zu finden ist es, wenn der Rootkit nur auf Mobilfunk reagiert. Das läßt sich sehr schwer überwachen. So eine Femtozelle gibt es zwar für unter 1.000 €, aber trotzdem wird die kaum einer haben. Vodafone hat da Kunden mal so ein Leasingmodell angeboten, aber ob das noch steht? Mit so einer Femtozelle wäre eine Überwachung einer Neuanschaffung dann aber wieder möglich.

Docker – Genauso schlimm wie befürchtet

Jetzt ist es also endlich soweit, jemand hat man genauer hingeschaut und Dockerimages auf Schwachstellen untersucht. Das Ergebnis: Es ist genauso schlimm wie das von den Skeptikern erwartet wurde!

Kaum Sicherheitsupdates

Zunächst mal zur Quelle der Daten:

https://snyk.io/blog/top-ten-most-popular-docker-images-each-contain-at-least-30-vulnerabilities/

Da ist eine schöne Grafik über die Anzahl der gefundenen Schwachstellen per speziellem Dockercontainer. Das NODE dabei übelst abgeschnitten hat, wundert mich seit meinen Kontakten damit nicht im geringsten. Ohne darauf groß einzugehen, eine Repoumgebung, die zig Versionen der gleichen Erweiterung bereithält, anstatt nur die mit den wenigsten Löchern drin, kann man nicht ernsthaft als Basis für irgendwas benutzen.

Jetzt zur Analyse oben

Die Skeptiker, Altbackenden, Konservativen, die Im-Weg-Steher hatten es von Anfang an gesagt:

Wenn man Apps in Container packt und eine für diese App gangbare Umgebung dazu legt, dann wird man am Ende jede Menge Container mit Sicherheitslücken haben. Und genau das ist dabei rausgekommen. Weil sie keiner updated, obwohl das möglich ist, dümmpelt eine Sicherheitslücke neben der anderen rum.

Der sicherere Ansatz ist und bleibt, daß jemand das OS vorgibt und sich die Apps an die Umgebung anpassen müssen. Damit sind die gezwungen Updates zu machen und das dient dann der allgemeinen Sicherheit.

QED. Und es wurde gerade demonstriert!

Abzulehnen ist also alles, was eine App installiert, die mit eigener Umgebung kommt, sowas wie FlatPak, Docker und Snap.

 

…und TLS 1.3 gebleichenbacht :(

Wenn Du denkst, Du hast gute Krypto installiert, kommt ein Bleichenbacher um die Ecke und was ist die Essenz?

Die X.te Bleichenbacher Attacke funktioniert auch bei TLS 1.3 !

Wie ZDNET heute berichtet, ist einen Team von Forschern mit einem CACHE Timingangriff gelungen, auch im TLS 1.3 die RSA Parameter der Verbindung auszulesen. Ehrlich gesagt, lohnt es nicht mal darüber zu berichten, weil das mit den Bleichenbacherangriffen immer so weiter gehen wird, wenn der uralte RSA Kram da nicht mal rausfliegt.

Gestern habe ich noch die GNU Admins angeprangert, weil die nur TLS 1.0 können, aber falls das eine fatalistische Prognose zur TLS Krypto der Zukunft war, Glückwunsch: Volltreffer, versenkt.  Es lohnt nicht auf neue Versionen zu gehen, wenn die dann doch wie die Fliegen umfallen. Es müßte doch noch mehr Leute geben die was davon verstehen und endlich mal was ohne RSA bauen, daß funktioniert.

Quelle: https://www.zdnet.com/article/new-tls-encryption-busting-attack-also-impacts-the-newer-tls-1-3/