loader
Security

Umgehung von Netzsperren

Nach dem OGH Beschluss zu Netzsperren im Zusammenhang mit der Website kino.to und dem Internet Service Provider UPC, bei dem Entschieden wurde, dass Sperrverfügungen zulässig sind, solange man sich an die EuGH-Rechtsprechung (Rechtssache C-314/12) hält, sehen sich die Access-Provider mit zahlreichen Forderungen konfrontiert den Zugang zu Seiten mit rechtsverletzenden Inhalten zu sperren. Nicht nur seitens der Filmindustrie, die die Klage – insbesondere mit Hilfe des Vereins für Antipiraterie (VAP) – im oben genannten Musterprozess angestrengt hat, sondern auch seitens der Musikindustrie werden die Provider zu Netzsperren aufgefordert, da nun auch der Verband der österreichischen Musikwirtschaft (IFPI) Sperraufforderungen verschickt hat. Nach …

Weiterlesen

BSI Sicherheitskompass

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in Zusammenarbeit mit der polizeilichen Kriminalprävention der Länder zehn Faustregeln für mehr Sicherheit aufgestellt: 1. Verwenden Sie sichere Passwörter. 2. Schränken Sie Rechte von PC-Mitbenutzern ein. 3. Halten Sie Ihre Software immer auf dem aktuellen Stand. 4. Verwenden Sie eine Firewall. 5. Gehen Sie mit E-Mails und deren Anhängen sowie mit Nachrichten in Sozialen Netzwerken sorgsam um. 6. Erhöhen Sie die Sicherheit Ihres Internet-Browsers. 7. Vorsicht beim Download von Software aus dem Internet. 8. Sichern Sie Ihre drahtlose (Funk-)Netzwerkverbindung. 9. Seien Sie zurückhaltend mit der Angabe persönlicher Daten im Internet. 10. …

Weiterlesen

Sicherheitsstudie zu Content Management Systemen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einer Studie zur Sicherheit von Content Management Systemen (CMS) veröffentlicht. CMS werden für zahlreiche Internet- und Intranetauftritte in kleinen und mittelständischen Unternehmen eingesetzt und bieten Angriffsflächen für Hacker und Schadprogramme. Web Content Management Systeme sind meist Systeme „von der Stange“, so dass aufgrund ihres weit verbreiteten Einsatzes eine bekannt gewordene Sicherheitslücke viele Websites gleichzeitig gefährdet. Schon durch kleine Sicherheitslücken oder Fehlkonfigurationen öffnen sich im schlimmsten Fall unerlaubte Zugänge zu Online-Anwendungen, IT-Infrastrukturen und sensiblen Daten der Websitebetreiber. Die Studie beschreibt relevante Bedrohungslagen und Schwachstellen der weit verbreiteten Open Source-CMS Drupal, Joomla!, Plone, …

Weiterlesen

Warnung von Yahoo Benutzern vor Phishing Mails

Das Bundeskriminalamt (.BK) warnt vor einer Phishing-Welle, die sich aktuell gegen Benutzerinnen und Benutzer eines Yahoo-Accounts richtet. Betroffene Yahoo-Benutzer aus ganz Österreich melden, dass betrügerische E-Mails von Ihren E-Mail-Postfächern an alle Kontakte des Adressbuches verschickt werden. Die Adressaten werden auf Grund eines angeblichen Notfalles dazu aufgefordert per Money Transmitter Geld zu überweisen. In einem ersten Schritt werden Yahoo-Benutzer mittels Phishing-Mails, die vortäuschen von Yahoo zu stammen, aufgefordert einem Link zu folgen und dort ihren Benutzernamen und Passwort einzugeben. So gelangen die Täter zu den Accountdaten von unbedarften Usern. In weiterer Folge wird von den Tätern ein E-Mail an alle im …

Weiterlesen

Erfahrungswerte der Webserver-Sicherheit von 2011

Im Sommer und Herbst 2011 kam es zu diversen Einbrüchen bei bekannten Webseiten in Österreich. Es wurden sensible Daten kopiert und auszugsweise veröffentlicht, was zu einem erheblichen materiellen und auch immateriellen Schaden geführt hat. Das Team von CERT/GovCERT und Fachleute des BVT waren an der Vorfallsbehandlung und Analyse aktiv beteiligt. Dabei stellte sich heraus, dass eine Reihe von Fehlern in der Betriebsführung diese Einbrüche begünstigt hatten. Gemeinsam wurde daher ein Erfahrungsbericht erstellt, der jetzt auch in einer öffentlichen Version vorliegt. Dieses Dokument basiert auf den bei diesen Einsätzen gesammelten Erfahrungen und will diese Lehren an alle Betreiber von Webservern in …

Weiterlesen

Hacker-Einbruch bei DigiNotar

Anfang September wurde bekannt, dass ein Angreifer in die niederländische Certification Authority (CA) „DigiNotar“ eingebrochen hatte und sich unbefugt Zertifikate für diverse Domains (u.A. google.com) ausgestellt hatte. Diese wurden für Abhörangriffe auf Iranische Bürger benutzt. Die betroffenen CAs wurden inzwischen von einigen Browser- und Betriebssystemherstellern aus deren Systemen gestrichen, dadurch werden auch legitime Zertifikate von DigiNotar nicht mehr als gültig anerkannt. Da Zertifikate von DigiNotar in den Niederlanden für die staatlichen Public-Key-Infrastructure benutzt werden, hat dieser Angriff ernste Folgen für die dortige IT-Infrastruktur. Der vorliegende Bericht von CERT.at dokumentiert den Vorfall, untersucht die Auswirkungen auf Österreich und zeigt auf, welche …

Weiterlesen

Das Geheimnis der Filesharing-Abmahnungen

Die Zahl der Abmahnungen wegen Filesharings steigt nicht nur in den USA erheblich – seit Beginn der Abmahnwelle im Laufe des vergangenen Jahres wurden bis heute rund 200.000 Filesharer ermittelt1 – sondern auch in Europa und zwar insbesondere in Deutschland und Österreich steigt die Zahl der Abmahnungen. Grundsätzlich muss zunächst beim Gericht mit einem Auskunftsersuchen die Herausgabe der personenbezogenen Daten gefordert werden, die einer bestimmten IP-Adresse zuzuordnen sind. In den meisten Fällen wehrt man sich gegen die Herausgabe dieser Informationen, legt aber den Inhaber einer IP-Adresse auf jeden Fall offen, wenn das Filesharing im gewerblichen Ausmaß betrieben wird oder wenn …

Weiterlesen

Angriffe auf SSHv2

Die Ausbesserung der Designfehler von SSHv1 auf SSHv2 bedeutet nicht, dass das Protokol sicher implementiert wurde. Viele Implementierungen erlauben eine SSHv1/SSHv2 Kompatibilität, um flexibler zu sein und dies führt zu gewissen Schwächen. Banner Hack: Das SSH Protokoll sieht vor, dass sowohl Client als auch Server einen sogenannten „banner“ austauschen mit den Informationen der SSH Version, bevor der Schlüsselaustausch durchgeführt wird. Solch ein Banner sieht zum Beispiel folgendermaßen aus: SSH-1.99-OpenSSH_2.2.0p1 SSH-1.99 bedeutet, dass der Client sowohl mittels SSHv1 als auch mittels SSHv2 mit dem Server kommunizieren kann. Abhängig von der Client Konfiguration bevorzugt er entweder Version 1 oder Version 2. Daraufhin …

Weiterlesen

Hacken von A5/1 in GSM

Am 26. Chaos Communication Congress (die Konferenz des Chaos Computer Clubs) wurde eine Anleitung zum Hacken von GSM und speziell zum Knacken des Mobilfunk – Verschlüsselungsalgorithmus A5/1 veröffentlicht. Dadurch ist es unter anderem möglich, Telefongespräche via Handy abzuhören. Es läuft derzeit ein Projekt zum öffentlichen Nachweis der Sicherheitslücken bei der Handy-Kommunikation und im Zuge dieses Projekts wurde ein Programm erstellt, mit dem man einen verteilten, passiven Angriff auf A5/1 durchführen kann. Dies geschieht mittels einer Brute-Force Attacke, da der als unsicher geltende Krypto-Algorithmus einen recht kleinen Schlüssel verwendet, sodass dieser Angriff in nicht all zu langer Zeit durchgeführt werden kann. …

Weiterlesen

Web-VPN hebelt Sicherheitsmodell der Browser aus

„Clientless SSL VPN“-Produkte zahlreicher Anbieter weisen eine Lücke im Sicherheitsmodell von Browsern auf, durch die sich Cookies und Zugangsdaten stehlen lassen. „Clientless SSL VPNs“ beruhen auf der sicheren Verbindung eines Webbrowsers über das Internet zu einem Webserver im Unternehmen, der diverse Anwendungen anbietet und den Zugriff auf weitere Dienste im Intranet ermöglicht. Da die Lösung keinen extra VPN-Client benötigt, spricht man auch von „Clientless“. Damit bestimmte Ressourcen von außen per http bzw https verfügbar sind, muss die Web-VPN-Lösung URLs umschreiben, beispielsweise wird https://intranet.example.com/mail.html zu https://webvpnserver/intranet.example.com umgeschrieben. Letzlich beginnen in der Folge alle URLs immer mit der gleichen Domain, egal woher …

Weiterlesen

Schwachstelle im chipTAN comfort-Verfahren

Bei diesem Verfahren stellt einem die Bank ein kleines Gerät zur Verfügung welches auf der Vorderseite über ein Display und Tasten und auf der Rückseite über fünf Lichtsensoren verfügt. Wenn man eine Transaktion startet werden einem am Display fünf Lichtbalken angezeigt. An diese Balken muss man das Gerät halten woraufhin einem die Frage gestellt wird ob man mit der Überweisung der Summe an das Konto einverstanden ist. Diese Daten sind über einen Man-In-The-Middle angriff nicht manipulierbar. Erst nach dem Bestätigen generiert einem das Gerät einen einmaligen TAN welchen man in den PC eingeben muss. Diese Art der Überweisung ist durch …

Weiterlesen

Null-Prefix-Attack

Die heutige Version des X.509 Zertifikats ist Version 3 (X.509v3) und dieses Zertifikat identifiziert beispielsweise eindeutig einen Server bei einer SSL/TLS Kommunikation. Genauergesagt ist bei allen SSL/TLS Implementationen der Common Name essentiell, denn anhand dieses Feldes wird ein Server identifiziert. Beispielsweise würde im Falle von PayPal im Feld „common name“ www.paypal.com stehen. Um es der Certification Authority zu erleichtern, prüft die nur den Besitzer solch einer Domain mittels einer WHOIS Abfrage und überprüft nur die Root Domain (also in diesem Beispiel paypal.com), wobei Subdomains in den meisten Fällen ignoriert werden. Nun muss man unterscheiden zwischen Pascal Strings und C Strings. …

Weiterlesen