Was kommt nach JavaScript & Flash ? UPnP !

15 01 2008 14:42
Seit heute ist es auch beim Verlag Heise zu lesen: Ungewollte Fernkonfiguration für Heim-Router.

Das UPnP schon immer gefährlich war, ist nichts neues. Eigentlich wird UPnP hauptsächlich für das Setzen von Port-Forwardings im Router, initiert durch Anwendungen im LAN, benutzt. Daher war Universal PnP auch schon immer so gefährlich, da sich bereits im LAN befindliche Malware ebenfalls UPnP bedienen kann, um Port-Forwardings im Router einzurichten. Somit wäre es dann möglich auf Dienste, die sonst vom WAN aus nicht erreichbar wären, problemlos zugreifen zu können.

Doch nun kommt das Ganze etwas anders schlimmer: Während man früher noch CSRF/XSRF-Attacken in Verbindung mit einem bereits in den Router eingeloggten Benutzer brauchte, um z.B. den vom Provider zugeteilten DNS-Server zu verändern, um (z.B.) gepflegter Phishing betreiben zu können, ist dies jetzt nicht mehr notwendig, da UPnP über keinerlei Authentifizierungsmassnahmen verfügt und leider zu wesentlich mehr fähig ist als nur Port-Forwardings setzen zu können, was ich leider auch erst lernen musste. Wikipedia ist hier leider nicht vollständig.

Bislang konnte sich Malware im LAN ebenfalls dieser "erweiterten" Features von UPnP bedienen, aber dank der Arbeit von pdp und ap braucht es jetzt quasi nicht mehr als einen Webbrowser und eine entsprechend präparierte Webseite für einen solchen Angriff von außen.

Daher macht man es mir am besten nach. UPnP komplett deaktivieren - und nicht nur im Router, sondern auch am besten in allen anderen UPnP-fähigen Geräte, sofern weitere vorhanden sind. (Unser Router hat direkt an seinem ersten Arbeitstag UPnP deaktiviert bekommen.)

Weil die beiden bereits genug ausführliche Artikel zu dem Thema geschrieben haben, verweise ich hier auf die entsprechenden Seiten:


Twitter Bookmark Was kommt nach JavaScript & Flash ? UPnP !  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Was kommt nach JavaScript & Flash ? UPnP ! Mixx Was kommt nach JavaScript & Flash ? UPnP ! Bloglines Was kommt nach JavaScript & Flash ? UPnP ! Technorati Was kommt nach JavaScript & Flash ? UPnP ! Fark this: Was kommt nach JavaScript & Flash ? UPnP ! Bookmark Was kommt nach JavaScript & Flash ? UPnP !  at YahooMyWeb Bookmark Was kommt nach JavaScript & Flash ? UPnP !  at Furl.net Bookmark Was kommt nach JavaScript & Flash ? UPnP !  at reddit.com Bookmark Was kommt nach JavaScript & Flash ? UPnP !  at blinklist.com Bookmark Was kommt nach JavaScript & Flash ? UPnP !  at Spurl.net Bookmark Was kommt nach JavaScript & Flash ? UPnP !  at NewsVine Bookmark Was kommt nach JavaScript & Flash ? UPnP !  at Simpy.com Bookmark Was kommt nach JavaScript & Flash ? UPnP !  at blogmarks Bookmark Was kommt nach JavaScript & Flash ? UPnP !  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

c't: NOD32-Lizenz für ein Jahr kostenlos

13 12 2007 22:19
Die neuste Ausgabe der Fachzeitschrift c't enthält wieder einmal eine CD. Darauf befindet sich dieses Mal u.a. die neuste Version von Knoppicillin (allerdings "nur" noch mit zwei Virenscannern) und eine 1-Jahres-Lizenz für die Windows-Version von NOD32 für Privatbenutzer.

Letzteres scheint allerdings in den Abo-Ausgaben ausnahmslos zu fehlen. Leider betrifft dieser Fehler auch einige Kunden, die die Zeitschrift im Laden gekauft haben und sie nicht nur aus dem eigenen Briefkasten fischen mussten. Wer beim Durchblättern der Zeitschrift um Seite 237 keinen NOD32-Einhefter findet, der sollte sich an die c't per E-Mail wenden oder als Nicht-Abonnent, wie ich, einfach eine andere Zeitschrift im Laden greifen. (Ich hatte gleich beim ersten Griff Glück.)


Twitter Bookmark c't: NOD32-Lizenz für ein Jahr kostenlos  at del.icio.us Facebook Google Bookmarks FriendFeed Digg c't: NOD32-Lizenz für ein Jahr kostenlos Mixx c't: NOD32-Lizenz für ein Jahr kostenlos Bloglines c't: NOD32-Lizenz für ein Jahr kostenlos Technorati c't: NOD32-Lizenz für ein Jahr kostenlos Fark this: c't: NOD32-Lizenz für ein Jahr kostenlos Bookmark c't: NOD32-Lizenz für ein Jahr kostenlos  at YahooMyWeb Bookmark c't: NOD32-Lizenz für ein Jahr kostenlos  at Furl.net Bookmark c't: NOD32-Lizenz für ein Jahr kostenlos  at reddit.com Bookmark c't: NOD32-Lizenz für ein Jahr kostenlos  at blinklist.com Bookmark c't: NOD32-Lizenz für ein Jahr kostenlos  at Spurl.net Bookmark c't: NOD32-Lizenz für ein Jahr kostenlos  at NewsVine Bookmark c't: NOD32-Lizenz für ein Jahr kostenlos  at Simpy.com Bookmark c't: NOD32-Lizenz für ein Jahr kostenlos  at blogmarks Bookmark c't: NOD32-Lizenz für ein Jahr kostenlos  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

ADS und permanente Virenscanner im Hintergrund

11 12 2007 21:33
Ich habe zwar nur Avast und NOD32 getestet, weil diese hier installiert waren, aber dennoch folgendes:

Ich habe zuerst einen Virus in einen alternativen Datenstrom geschrieben und danach habe ich auf die Originaldatei zugegriffen - also ohne Angabe des Datenstromnamens. Keiner der beiden genannten Virenscanner hat Alarm geschlagen, obwohl diese (auf zwei getrennten Systemen) permanent im Hintergrund aktiv sind.

Wenn man allerdings die Datei On-demand scannen lässt, so wird der alternative Datenstrom gefunden. Lässt sich auch anhand der Anzahl der gescannten Objekte im Log erkennen.

Eigentlich ist das Verhalten der Virenscanner durchaus korrekt. Schließlich enthält die Original keinen Virus, sondern nur ein spezieller Datenstrom. Jedoch finde ich, dass dies trotzdem gleich gecheckt gehört, da die meisten Leute wahrscheinlich keinen vollen Systemscan von Zeit zu Zeit machen ...

PS: Auf der Suche nach einem Virus im Internet bin ich dann allerdings zufälligerweise (ja, so etwas findet man durchaus auch dann, selbst wenn man nicht explizit danach sucht) auf einen Online-Shop in Österreich gestoßen, der eine RFI-Lücke aufweist und nun kontaktiert gehört.


Twitter Bookmark ADS und permanente Virenscanner im Hintergrund  at del.icio.us Facebook Google Bookmarks FriendFeed Digg ADS und permanente Virenscanner im Hintergrund Mixx ADS und permanente Virenscanner im Hintergrund Bloglines ADS und permanente Virenscanner im Hintergrund Technorati ADS und permanente Virenscanner im Hintergrund Fark this: ADS und permanente Virenscanner im Hintergrund Bookmark ADS und permanente Virenscanner im Hintergrund  at YahooMyWeb Bookmark ADS und permanente Virenscanner im Hintergrund  at Furl.net Bookmark ADS und permanente Virenscanner im Hintergrund  at reddit.com Bookmark ADS und permanente Virenscanner im Hintergrund  at blinklist.com Bookmark ADS und permanente Virenscanner im Hintergrund  at Spurl.net Bookmark ADS und permanente Virenscanner im Hintergrund  at NewsVine Bookmark ADS und permanente Virenscanner im Hintergrund  at Simpy.com Bookmark ADS und permanente Virenscanner im Hintergrund  at blogmarks Bookmark ADS und permanente Virenscanner im Hintergrund  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Futter für Bundestrojaner

11 12 2007 17:58
Es wurden ja schon viele (abstruse) Ideen bzgl. des Bundestrojaners diskutiert. Dabei ging es u.a. auch um die On-the-fly-Veränderung von Downloads, um diese mit Schadcode, dem Bundestrojaner, zu infizieren.

Sofern dieser Eintrag nicht erfunden ist, wäre dies neues Futter für die Diskussion um den Bundestrojaner.


Twitter Bookmark Futter für Bundestrojaner  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Futter für Bundestrojaner Mixx Futter für Bundestrojaner Bloglines Futter für Bundestrojaner Technorati Futter für Bundestrojaner Fark this: Futter für Bundestrojaner Bookmark Futter für Bundestrojaner  at YahooMyWeb Bookmark Futter für Bundestrojaner  at Furl.net Bookmark Futter für Bundestrojaner  at reddit.com Bookmark Futter für Bundestrojaner  at blinklist.com Bookmark Futter für Bundestrojaner  at Spurl.net Bookmark Futter für Bundestrojaner  at NewsVine Bookmark Futter für Bundestrojaner  at Simpy.com Bookmark Futter für Bundestrojaner  at blogmarks Bookmark Futter für Bundestrojaner  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Wie man beim Surfen gehackte Server findet

04 10 2007 05:16
Nein, ich meine keine speziellen Google-Dorks, die man dazu verwenden könnte.

Eigentlich war ich nur auf der Suche nach ein paar Informationen über die Haltung unserer Jungfische (Platys & Kampffische). Gelandet bin ich letztendlich in einem Forum, welches ich jetzt nicht näher erwähnen werde.

Jedenfalls schlug plötzlich der Virenscanner Avast, welcher eine sehr gute kostenlose Alternative zu NOD32 ist, beim Durchlesen des gefundenen Threads an und warnte mich über einen VBS-Malware. (Ich benutze und bezahle weiterhin NOD32, aber es gibt hier mehr als nur meinen PC. Auf den anderen läuft Avast.)

Nachdem Avast angeschlagen hatte, habe ich diesen deaktiviert und mir die Webseite etwas genauer angeschaut, um die vermeintliche VBS-Malware herunterzuladen. Dieser vermeintliche VBS-Code war allerdings kein VBS. Soweit lag Avast schon mal daneben. Allerdings hatte er recht mit Malware. Es war eine C99Shell. Also quasi Telnet über eine Webseite, jedoch mit zusätzlichen Status-Informationen, die man stets im Blick hat.
(Okay, eine C99Shell muss nicht zwangsweise als Malware betitelt werden. Über HTTPS und abgesichert mittels HTTP Auth ist es sicherlich hier und da ein brauchbares Admin-Tool.)

Ich habe die PHP-Datei dann zusätzlich noch zur Untersuchung an VirusTotal geschickt, wo um 25 verschiedene Virenscanner die Datei überprüft haben. Das Ergebnis ist, dass NUR Avast davor (falsch) gewarnt hat. Das war also Glück, sonst wäre mir das kaputte Bild sicherlich nicht beim Lesen des Threads aufgefallen bzw. ich hätte ihm keine Beachtung geschenkt.

Die PHP-Datei wurde letztendlich als Avatar, also als ein kleines Bild, direkt auf den Server hochgeladen. Die Betreiber habe ich darüber informiert und es scheint niemanden vorher aufgefallen zu sein.

Selbst wenn man nur einmal im Internet etwas total anderes sucht als irgendwas rund um IT-Sicherheit, man kommt immer wieder darauf zurück. ;-)


Twitter Bookmark Wie man beim Surfen gehackte Server findet  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Wie man beim Surfen gehackte Server findet Mixx Wie man beim Surfen gehackte Server findet Bloglines Wie man beim Surfen gehackte Server findet Technorati Wie man beim Surfen gehackte Server findet Fark this: Wie man beim Surfen gehackte Server findet Bookmark Wie man beim Surfen gehackte Server findet  at YahooMyWeb Bookmark Wie man beim Surfen gehackte Server findet  at Furl.net Bookmark Wie man beim Surfen gehackte Server findet  at reddit.com Bookmark Wie man beim Surfen gehackte Server findet  at blinklist.com Bookmark Wie man beim Surfen gehackte Server findet  at Spurl.net Bookmark Wie man beim Surfen gehackte Server findet  at NewsVine Bookmark Wie man beim Surfen gehackte Server findet  at Simpy.com Bookmark Wie man beim Surfen gehackte Server findet  at blogmarks Bookmark Wie man beim Surfen gehackte Server findet  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Insecurity 2.0

13 04 2007 19:42
Mit Einzug von Web 2.0 und der damit verbundenen Rückeroberung des Internets von Benutzerseite aus, wurden zeitgleich auch neue Gefahren geschaffen, die für den Benutzer wesentlich schwieriger als zuvor abzuwenden sind.

Die Absicherung des heimischen Netzwerks oder Computer lässt sich im Normalfall noch recht leicht bewerkstelligen, so dass man nicht auf Grund eines Buffer-Overflows in irgendeinem Netzwerkdienst Spammern gleich Tür und Tor zu seinem Rechner öffnet. Stichwort: Botnetz.

Wovor sich Otto-Normalanwender allerdings weniger gut schützen kann, sind Angriffe auf Web-Applikationen, die in den letzten Jahre einen wahren Ansturm erlebt haben, weil er fast nichts dagegen unternehmen kann, außer sich entsprechendes Wissen anzueignen und stets alles und jedem zu misstrauen.

Oft basiert ein für den Nutzer gefährlicher Angriff auf JavaScript (XSS und zum Teil auch XFS). XSA, und CSRF bauen, aber nicht zwingend auf JavaScript (oder auch VBScript in der Windows-Welt) angewiesen sind. Durch den Missbrauch von JavaScript werden allerdings auch Cookies wieder gefährlich, da sie Nutzerdaten enthalten, welche möglichst nicht in die Hände eines Angreifers fallen sollten. Neuerdings lässt sich mit JavaScript Port-Scanning von LANs über das Internet bewerkstelligen. Dazu später noch mehr.

Mit JavaScript lässt sich allerdings auch der Browser-Verlauf, sprich: History, stehlen. Ein weiterer Angriff auf die Privatsphäre.

Wer den Internet Explorer von Microsoft benutzt, der ist auch weiterhin der Gefahr von bösartigen ActiveX-Controls ausgesetzt, sofern die Benutzung dieser Controls eingestellt oder wenigstens weitgehend eingeschränkt wird (nur Windows Update erlauben o.ä.). Leider lässt sich diese Gefahrenquelle auch in Alternative-Browser integrieren (z.B. Mozilla Firefox). Davon sollte man aber natürlich Abstand nehmen.

"Insecurity 2.0" vollständig lesen


Twitter Bookmark Insecurity 2.0  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Insecurity 2.0 Mixx Insecurity 2.0 Bloglines Insecurity 2.0 Technorati Insecurity 2.0 Fark this: Insecurity 2.0 Bookmark Insecurity 2.0  at YahooMyWeb Bookmark Insecurity 2.0  at Furl.net Bookmark Insecurity 2.0  at reddit.com Bookmark Insecurity 2.0  at blinklist.com Bookmark Insecurity 2.0  at Spurl.net Bookmark Insecurity 2.0  at NewsVine Bookmark Insecurity 2.0  at Simpy.com Bookmark Insecurity 2.0  at blogmarks Bookmark Insecurity 2.0  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Acer Notebooks in Gefahr durch ActiveX - Update

13 01 2007 14:00
Nachdem ich vor ein paar Tagen hier schrieb, dass ich die Veröffentlichung meines Exploits wahrscheinlich von der Reaktionszeit und der Informationspolitik von Acer abhängig machen werde, ist es nun Zeit ein Update dazu zu schreiben, da Acer nun einen Patch für das Problem bereitstellt. Jedoch finde ich deren Informationspolitik nicht überzeugend. Selbst die Update-Seite ist nicht sonderlich informativ ...

Twitter Bookmark Acer Notebooks in Gefahr durch ActiveX - Update  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Acer Notebooks in Gefahr durch ActiveX - Update Mixx Acer Notebooks in Gefahr durch ActiveX - Update Bloglines Acer Notebooks in Gefahr durch ActiveX - Update Technorati Acer Notebooks in Gefahr durch ActiveX - Update Fark this: Acer Notebooks in Gefahr durch ActiveX - Update Bookmark Acer Notebooks in Gefahr durch ActiveX - Update  at YahooMyWeb Bookmark Acer Notebooks in Gefahr durch ActiveX - Update  at Furl.net Bookmark Acer Notebooks in Gefahr durch ActiveX - Update  at reddit.com Bookmark Acer Notebooks in Gefahr durch ActiveX - Update  at blinklist.com Bookmark Acer Notebooks in Gefahr durch ActiveX - Update  at Spurl.net Bookmark Acer Notebooks in Gefahr durch ActiveX - Update  at NewsVine Bookmark Acer Notebooks in Gefahr durch ActiveX - Update  at Simpy.com Bookmark Acer Notebooks in Gefahr durch ActiveX - Update  at blogmarks Bookmark Acer Notebooks in Gefahr durch ActiveX - Update  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca