Category Archives: Security

Wir unterbrechen das Programm aufgrund einer ..

Posted on by

„… dringenden Meldung.“ So heißt das ja bei Newsseiten und -sendern immer, wenn was schnell neues kommt. Bei Computern nennt man es einfach „Update“, egal ob es für Programme oder Teile des Betriebssystems ist.

Heute gab es auf den newseiten gleich wieder so eine Überschlagsmeldung:

http://www.heise.de/meldung/glibc-Dramatische-Sicherheitsluecke-in-Linux-Netzwerkfunktionen-3107621.html

Essenz: In der sehr wichtigen Betriebssystemlibrary glibc klaffte mal wieder eine dicke Lücke, die seit Jahren keiner (der es behoben haben wollte) gefunden hat. Da es sich um eine Remote-Code-Execution Schwachstelle handelt, bei der also jeder halbwegs geskillte Hacker jedes System von außen angreifen kann, ist das eine kritische Sicherheitslücke und muß entsprechend behoben werden.

Wir haben ausnahmsweise 1 Stunde nach Veröffentlichung des Patches für Fedora die Testversion der glibc eingespielt, so daß unsere Server jetzt alle sicher sind. Nur so angemerkt, falls jemand auf dumme Ideen kommt 😉

Was ich ziemlich lustig finden sind Trollkommentare wie diese hier:

Diese Kommentare haben eins gemeinsam, sie versuchen Linuxuser damit aufzuziehen, daß diese sich sicherer wägen als Windowsuser und daß auch jedem sagen. Vermutlich stört letzteres die Windowsfanboys 🙂

Wenn man sich mal ansieht, wann die Lücke „publik“ wurde und damit ist nicht der Juli 2015 gemeint, als die Lücke übersehen wurde beim Fixen von gethostbyname(), sondern gestern im Laufe des späten Abends. Kann man richtig Stolz sein auf alle Beteiligten, weil 12 Stunden später bereits Pakete für alle möglichen Distributionen vorhanden waren, die den Fehler behoben haben.

Hier bin ich der Meinung, daß Microsoft das nie in ~12 Stunden zur Installation freigegeben hätte, obwohl es so kritisch ist, da zu viele „Business“ Kunden dranhängen. Vielleicht, und das wird man leider nicht erfahren, wäre das erst unter den Teppich gekehrt worden und dann am Patchday veröffentlicht worden. Dieser Patchday ist, was mich an Windowsecurity im Nachhinein stört.

Deswegen denke ich, mit Linux fährt man besser.

langweilig!

Posted on by

Die Nigeriaconnectionscammer werden auch immer schlechter :

„Bitte beachten und verstehen, mein Ziel von e-mailing Sie heute, mein name ist Thomas Wells, Business Relationship Manager bei NatWest Bank plc. London. Ich Fragen Sie Ihre Aufmerksamkeit, um diese Transaktion mit größter Vertraulichkeit.“

Vor einigen Monaten habe ich mal einen Verbrecher gelobt, weil der Text korrekt geschrieben war und fast keine Fehler beim Stylen der Phisingmail gemacht wurden. Damals hatte ich noch die Hoffnung, daß die Verbrecher endlich mal Stiel an den Tag legen und die Qualität der Betrügereien besser wird. Leider war das offensichtlich nur ein Ausrutscher und wir sind wieder beim Google-Bot-Witzmailniveau angekommen.

Die Kurzanalyse, wenn man schon mal dabei ist :

Received: by bravo923.dedicatedpanel.com (Postfix, from userid 502)
	id E23631A40ED3; Wed, 11 Feb 2016 06:17:14 +0000 (UTC)
Received: from 197.211.53.7 ([197.211.53.7]) by
 webmail.bravo923.dedicatedpanel.com (Horde Framework) with HTTP; Wed, 11
 Feb 2016 06:22:10 +0000
Message-ID:  <20160210031540.18353133fti35p71i@webmail.bravo923.dedicatedpanel.com>
Date: Wed, 11 Feb 2016 06:22:10 +0000
From: THOMAS WELLS <twells212@msn.com>
Reply-to: t.wells1@msn.com
To: undisclosed-recipients:;
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="=_e5ldn8tfd"
Content-Transfer-Encoding: 7bit
User-Agent: Internet Messaging Program (IMP) H3 (4.3.11)
Subject:  Von Thomas Wells

Offensichtliche „Fehler“ : ( in aufsteigender Ungereimtheit )

  1. Unbekanntes Emailprogramm
  2. „Reply-To:“ und „From:“ sind ungleich.
  3. „Subject:“ steht der Name des Absenders drin, aber kein sinnvoller Betreff
  4. „To:“ ist die eigene Emailadresse nicht enthalten -> „undisclosed-recipients:;“ was man meistens dann vorfindet, wenn jemand an eine lange lange lange Liste von Adressen Massenspams versendet.

EInen Lichtblick gab es dann aber doch noch 🙂 Die IP 197.211.53.7 stammt tatsächlich aus Nigeria :

person:        Prasoon Agarwal
nic-hdl:        PA2-AFRINIC
address:        1- Mike Adenuga Close, Victoria Island
address:        Lagos, lagos
address:        Nigeria

Dabei hatte ich am Anfang des Artikels nur den Gattungsnamen für diese Art Emails benutzt, was es besonders lustig macht 🙂

Erneuter Ruf nach mehr Überwachung

Posted on by

Der Tag fängt echt gut an, wenn man so einem Schwachsinn lesen darf. Da fordert ein IT-Bundesbeauftragter ( nie gehört vorher ), daß den Webhostingprovidern doch erlaubt werden solle, Datenflüße bis zu 6 Monate aufzuheben. „Die Daten würden ja gebraucht, um Angriffe zu analysieren und abzuwehren.“ so der Tenor.

Ich kann aus unserer Firma sagen : „Blödsinn!“ 99% der geglückten Angriffe auf Webanwendungen werden durch nicht aktuell gehaltene Software verursacht. Dabei sind das in 90% der Fälle PHP Anwendungen, die vom Webseitenbesitzer aus diversen Gründen nicht aktualisiert werden. Der Rest sind Angriffe durch gekaperte Zugangsdaten für Mailkonten/gekaperte PCs in Firmen. Lustigerweise ist dort die Ursache #1 auch nicht aktuelle Software. (#2 ist: Ich klicke auf alles was mir per Email gesendet wird)

Diese Angriffe kann man nicht abwehren, indem man auf 6 Monate alte Daten zurückgreift.

Vor zwei Wochen hat der NSA Oberhacker auch deutlich gesagt, daß die NSA nicht auf ZeroDay Lücken setzt, also Exploits für Schwachstellen in Programmen, sondern ganz traditionell systemimmanente Schwachstellen benutzt, also Personen und Konstruktionsfehler in Firewalls und Netzwerken. Natürlich glaubt ihm das keiner, ich auch nicht, aber die Begründung ist einleuchtend. Zerodays werden i.d.R. sehr schnell geschlossen, weswegen auf lange Sicht, die andere Strategie erfolgreicher sein wird, weil man sich damit längerfristig in fremden Netzwerken bewegen kann. Wenn es Anzeichen gibt, daß ein Zeroday ausgenutzt wurde, gerät die IT Abteilung normalerweise in den Panikmodus und durchsucht das gesamte Netzwerk, überdenkt Schutzlücken und scheucht alle auf. Das ist genau das Gegenteil, was ein Geheimdienst haben möchte.

Ergo, wer sein Netzwerk schützen will, muß seine Prozeduren, Implementierungen und Organisation auf den Prüfstand stellen.

Quelle: Neuer Vorstoß zur Vorratsdatenspeicherung gegen Hacker und Cyberangriffe geplant