Archiv

Archiv für die Kategorie ‘Security’

An accident of hack, wenn die Bildersuche zum Hackertool wird

14. Februar 2017 Keine Kommentare

Kurz notiert: Wenn die Google Bildersuche zum Hackertool wird ist wirklich etwas schief gelaufen.
Gestern auf der fixen Suche nach einem nicht digitalen Bit, gruesse an DoucheEnrique an dieser Stelle, fuehrte zu einer Onlinepraesenz eines Getraenkehandels, oder vielmehr zu seinem Admininterface.
Hier lernt man schnell, https://admin.domain.tld ist irgendwie immer genau so ungut wie https://domain.tld/admin und man lernt, das man beim Tausch von Software, immer ordentliche Tests fahren sollte. Wieso? Weil nginx kennt kein .htaccess.

 

 

 

 

 

 

Der Betreiber wurde natuerlich informiert und auch ueber seinen neuen Artikel in Kenntnis gesetzt.

Whatsapp uebermittelt Kontaktdaten an Facebook

whatsbookEs sollte eigentlich niemanden verwundern, es musste so kommen wie es gekommen ist.
Facebook hat WhatsApp nicht nur zum Spass gekauft, doch was aergerlich ist, ist die Luege von Zuckerberg und Co: Wir werden WA immer als Eigenstaendigen Dienst betrachten (und ers werden keine Daten ausgetauscht)
Das dies nun nicht wahr ist konnte ich soeben feststellen.
Ein Kontakt, John Doe, den ich schon etwas laenger kenne und ich haben gestern Handynummern getauscht, leider kein Threema beim Chatpartner vorhanden, also musste der WhatsApp Messenger als Alternative dienen und heute auf Facebook?

„PEOPLE YOU MAY KNOW“
[٩(̾●̮̮̃̾•̃̾)۶] John Doe
[٩(-̮̮̃-̃)۶] Jenny Elvers
Foobarine is a mutual friend.

Keine Infos dazu, warum mir John nun als Freund vorgeschlagen wird, wie auch, denn wir haben sicherlich keine weiteren sozialen Beruehrungspunkte uńd da ich unter Facebook kaum Angaben zu meinem Privatleben fuehre, auch keine Likes etc verteile, kann hier auch unmoeglich ein zufaelliger Match entstanden sein.

Update 14/05/2016: Sicherlich klingt dieser Artikel recht to­ta­li­ta­ris­tisch, jedoch er spiegelt direkt meine Erfahrungen wieder. Es gab bis auf den Telefonnummerntausch und folgenden WhatsApp Kontakt, keinerlei Beruehungspunkte mit John Doe.
In einem Gespraech mit einem sehr wertgeschaetzten Kollegen kam die Frage auf, ob denn evtl die Apps von Facebook auf einem der Mobiles installiert sein koennte, das ist nicht der Fall.
Auch hat Doe keine weiteren Kontaktdaten bei FB hinterlassen, wie Beispielsweise eine Telefonnummer.

m0n0wall Projekt wird eingestellt

16. Februar 2015 Keine Kommentare

m0n0wallNach nun mehr 12 Jahren stellt „Henri Salo“ mein Lieblingsfirewallprojekt m0n0wall ein.
Bei m0n0wall handelt es sich um ein FreeBSD basierendes Projekt fuer embedded PCs um auf diesen eine Firewall/NAT Loesung inkl. brauchbarem Webinterface bereitzustellen.
Hier das originale Schreiben von Salo:

Dear m0n0wall enthusiasts,

on this day 12 years ago, I have released the first version of m0n0wall to the
public. In theory, one could still run that version – pb1 it was called – on a
suitably old PC and use it to control the Internet access of a small LAN (not
that it would be recommended security-wise). However, the world keeps turning,
and while m0n0wall has made an effort to keep up, there are now better solutions
available and under active development.

Therefore, today I announce that the m0n0wall project has officially ended. No
development will be done anymore, and there will be no further releases.
Mehr…

Udopi serviert nun mit nginx und spdy

2. Februar 2015 Keine Kommentare

Nginx-logoImmer oefter bin ich an Ecken und Kanten gestossen in denen mit der Lighttpd einfach nicht ausreichend war, eigentlich hatte es selten wirklich gestoert, aber dennoch wollte ich dem nginx eine Chance geben.
Das ist nun schon ein paar Monate her und irgendwie hatte ich ihn schnell wieder verworfen, wieso weiss ich heute nicht mehr, auf jeden Fall habe ich mich in den letzten Tagen etwas mehr mit nginx beschaeftigt nun nun laeuft die Maschinerie die Udopi serviert auf nginx.
Die Umstellung von php-fcgi auf fpm-php mit Sockets stellte sich als recht schmerzfrei heraus, jedoch fehlen mir ein wenig die eigenen php.ini Files.
Nachdem das Geruest nun lief sollte man der Meinung sein, das bisschen Software was hier laeuft wird auch keine Probleme machen, so hatte ich auch keine mit WordPress oder dem Mediawiki und auch der andere Kram der so in irgendwelchen Testecken verweilt laeuft problemlos, aber klar, irgendwas ist immer, diesmal heisst es mal wieder Gallery3.
Naja die „Entwickler“ schreiben ja schon: Only support for Apache… Mehr…

Quadcopter aka Drohnen: Recht, Schmuggel, Southpark und Malware…

27. Januar 2015 Keine Kommentare

(CC) by Evilmorph

(CC) by Evilmorph

Mittlerweile hoert man immer oefter von diesen kleinen Gestalten welche die Luftraeume unsicher machen, Drohnen oder auch Quadcopter nehmen einen immer groesseren Stellenwert in unserer Gesellschaft auf und das nicht nur in Kriegsgebieten, sondern auch im privaten Bereich sind sie immer praesenter und lange kein Nerdspielzeug mehr und gerade in letzter Zeit stosse ich doch immer wieder ueber Berichte und gerade in dieser Woche doch sehr geballt und da dachte ich mir, fassen wir das einmal zusammen.

Einen interessanten Bericht zum Thema Recht und Drohnen hat Udo Vetter fuer die Arag geschrieben, fuer jeden Hobbypiloten sicherlich lesenswert, Udo erzaehlt uns hier unter anderem, dass private Hobbypiloten recht geringen Auflagen unterliegen, eine Genehmigung fuer den Flug mit der Drohne braucht man nicht, das wird erst Pflicht sobald es sich um einen gewerblichen Flug handelt.
Es gibt jedoch Staedte, wie Berlin, welche das Fliegen von Drohnen generell verbieten und auch in der Naehe von Flughaefen haben Quadcopter und Co natuerlich nichts zu suchen, auch nicht am Schlafzimmerfenster der Nachbarn… eigentlich alles Dinge die dem klar denkenden Menschen durchaus klar sein muessten bis auf eine Spielerei vielleicht, Drohnen immer so fliegen lassen, dass man sie mit den eigenen Augen auch verfolgen kann. GPS und Kameragesteuerte Drohnen sind dann leider nicht erlaubt, schade. Mehr…

Last one: Neues SSL Cert, die wie sicher ist TOR Frage und der obligatorische Wunsch

30. Dezember 2014 Keine Kommentare

Wo soll ich anfangen, wie man merkt ist dieses Jahr wohl eher nicht mein Jahr gewesen und ich komme kaum zur Ruhe.
Bereits vor einigen Wochen habe ich von meinem werten Kollegen ‚death-row‘ eine Nachricht erhalten: Dein SSL Cert ist abgelaufen, 3 Anlaeufe habe ich nun gebraucht um den Prozess endlich abzuschliessen, das waere ja kein Problem, jedes mal war das Problem auf der Issuer Stelle, jedoch fuer 3 Versuche ca. 3 Wochen zu brauchen ist durchaus ein Problem, aber sei es drum… die Wintersonnwende ist rum, die laengste Nacht des Jahres vorbei und somit hoffe ich einfach auf etwas mehr Ruhe.

Eigentlich waere das folgende sicher einen eigenen Blogpost wert gewesen, aber aufgrund der zeitlichen Verzoegerung eher nicht mehr, daher erwaehne ich es kurz hier: G+: Finger weg von Tor schreibe ich als Headline fuer den folgenden Link: TOR Betreiber verlieren wichtigen Server – Spiegel.de. Mit diesen Worten wollte ich den Blogpost wie gesagt ausfallen lassen und auch gar keine grosse Diskussion starten, wie man aber sehen kann kam es dennoch dazu und daher auch noch einmal kurz hier: Mehr…

Nach Silkroad und Hydra Schliessung: Wie sicher ist TOR?

11. November 2014 Keine Kommentare

torsaEine internationale Operation erschuettert erneut den Anonymitaetsgedanken im Netz, Operation „Onymous“ nennt sich der Schlag gegen den Online Drogenhandel.
Soweit eigentlich ein loebliches Ziel, den Handel mit harten Drogen einzudaemmen, so moechte man meinen (dieser Blog ist uebrigens keine Plattform um ueber die Pros und Kontras von Legalisierung gewisser Substanzen zu philosophieren), doch handelte es sich bei den insgesamt 4 Onlineshops welche offline genommen wurden um sogenannte Hidden Services aus dem Darknet.
Das heisst, dass nun ganz offiziell Hidden Services enttarnt wurden und somit scheint TOR ein massives Problem zu haben mit der eigenen Infrastruktur, die Betreiber von TOR stehen vor einem Raetsel und schreiben auf Ihrem Blog, dass sie nicht wissen wie es dazu kommen konnte.
Es gibt ein paar vage Vermutungen, eine davon spricht von dem Beschlagnahmen einiger Exit Nodes, Sicherheitsluecken in den Shops oder die Tatsache, dass Bitcoins eben nicht so anonym sind, wie es scheint wie Ivan Pustogarov aufgezeigt hat.
Im Grossen und Ganzen kann man nur sagen, dass TOR erneut Schwachstellen zeigte und man sich auf gar keinen Fall alleinig auf diesen Service verlassen darf. Mehr…

CVE-2014-0160 und Debian mit Parallels Plesk Fail! *Update*

11. April 2014 2 Kommentare

heartbleedNach wie vor in aller Munde eine kurze Meldung zum Thema Heartbleed, Debian und Plesk.
Mit dem neuen Debian libssl Paket kommt laut Changelog auch die Nachricht, dass betroffene Dienste neu gestartet werden sollten, so das Changelog von Debian:

* Enable checking for services that may need to be restarted
* Update list of services to possibly restart

So kommt nach der Installation eine schoene Box in der ein paar Dienste aufgelistet werden und ein voreiliger Admin wiegt sich danach in Sicherheit, jedoch vorsicht ist angesagt, denn es werden nicht alle Dienste neu gestartet, Paradebeispiel hierfuer ist Debian mit Plesk und Nginx Combo.
Seit Plesk 11.x kommt Nginx als Caching Proxy fuer statische Inhalte mit auf die Server (zumindest in der Standardconfig). Debian startet aber Nginx nicht neu nach dem Update und von daher bleibt die Luecke bestehen, daher unbedingt nach dem Einspielen des Updates pruefen ob auch wirklich alle Dienste sicher sind, die Windowsmethode neustart ist hier durchaus angebracht.

Wieso ich hier ausdruecklich Plesk schreibe? Weil ich weiss das Plesk sich eigenen Paketen bedient und auch die Verwaltung des Startens von Nginx uebernimmt, ich weiss nicht ob sich der Fehler auf Debian Systemen ohne Plesk ebenfalls reproduzieren laesst.

UPDATE: thekingofroots hat das Szenario ohne Plesk durchgespielt und teilt mit, dass Debian Nginx neu startet nach dem libssl Update, danke dafuer.
Es scheint also der direkte Zusammenhang gegeben zu sein zwischen Plesk installiert Nginx und Debian startet diesen nicht neu nach libssl Updates.

CVE-2014-0160 aka Eure geleakten SSL Private Keys *Update*

8. April 2014 4 Kommentare

heartbleedSie ist in aller Munde, die aktuelle Sicherheitsluecke in SSL via TLS Heartbeat durch welche es moeglich ist an die Private Keys von SSL Zertifikaten zu gelangen und somit komplett das System aushebeln koennen.
(Anmerkung: Neben den Private Keys laesst sich theoretisch der komplette Inhalt des Ramsspeichers auslesen, denn es handelt sich bei dem Problem um einen Memleak oder auch Information Disclosure)

Bei der Luecke handelt es sich um einen Fehler der OpenSSL Implementationen der Versionen:

OpenSSL 1.0.1 bis 1.0.1f (inklusive) sind Verwundbar, dies gilt jedoch nur wenn TLS Heartbeat aktiviert ist, bei Debiansystemen ist dies Beispielsweise Standard, mein Server spricht kein TLS Heartbeat und war zu keiner Zeit gefaehrdet.
OpenSSL 1.0.1g, OpenSSL 1.0.0, OpenSSL 0.9.8 hingegen jedoch nicht, dank Jared Stafford gibt es ein passendes Python Script um eigene Server zu ueberpruefen, ob die Sicherheitsluecke bei der eigenen Maschine greift.
Fuer den Fall das die Maschine verwundbar ist, oder war, ist es nicht ausreichend einfach OpenSSL zu updaten und sich sicher zu fuehlen, es muss davon ausgegangen werden, dass die Keys bereits geleaked sind, die Luecke besteht bereits seit ueber 3 Jahren, daher kann ich an dieser Stelle nur dringend empfehlen die SSL Zertifikate auf den betreffenden Servern zu revoken und neue zu erstellen, inkl NEUEM Private Key! Mehr…

Das Ende einer Aera: Full Disclosure stellt den Service ein *Update*

19. März 2014 Keine Kommentare

disclosureJa es mag klingen wie ein schlechter Scherz oder wie eine mittelmaessige Katastrophe, aber sie tritt ein.
John Cartwright schreibt heute auf der FD Mailingliste das der Service eingestellt worden ist und spricht klare, wahre und zugleich traurige Worte.
Es scheint den Gruendern und Betreibern der ML nicht mehr moeglich sein diese aufrecht zu erhalten und damit geht eine Aera zuende.
OpenWall stellt ein Archiv zur Verfuegung und versprechen aktuell das dieses auch online gehalten wird, leider fehlt aber noch ein Betreiber der alten ML und wir koennen hoffen das sich dieser noch findet.
Alternative ML waeren Bugtraq und oss-security@lists.openwall.com, jedoch erreichen beide nicht annaehernd das Format das Full Disclosure hat, damit zu den Abschiedsworten von John: Mehr…