NaturalNik Broadcast

Nik's Outdoor- und Technik-Blog
Subscribe

Artikel der Kategorie ‘Internet’

Das Facebook-SSL-Massacker

Januar 03, 2012 Von: Nik Kategorie: Internet, Sicherheit 1 Kommentar →

Passend zu der x.509-Bullshit-Debatte über fallende CAs und die allgemeine Sinnhaftigkeit eines solchen zentralisierten Vertrauensmodells muss ich mir seit gestern mal ein bisschen über Facebook fazialpalmieren.

Ich benutze ja sowieso HTTPS Everywhere (das solltet ihr auch tun), und gesern habe ich mir auch endlich mal wieder Certificate Patrol installiert, ein sehr nützliches Addon, das vor ausgetauschten Zertifikaten und Ähnlichem warnt.

Und dann flog mir plötzlich das hier um die Ohren:

Was ist hier passiert?

(weiterlesen …)

Facebook-Wurm mit Botnet-Client: Advisory

Oktober 25, 2011 Von: Nik Kategorie: Internet, Windows 3 Kommentare →

Heute morgen erhielt ich per Facebook eine Nachricht mit einem Link zu einem vermeintlichen Bild. Dass das Spam oder Malware ist, war mir natürlich sofort klar, aber als Debianer bin ich da ja jetzt nicht so sensibel und habe die Datei mal heruntergeladen. Und natürlich war es ein ausführbares Programm, genauer gesagt ein “Bildschirmschoner” mit der Endung .scr. Das ist unter Windows ja im Prinzip nur eine EXE mit speziellen Einstiegspunkten.

Ich habe das Teil dann mal analysiert und folgendes gefunden:

  • Das Programm enthält eine ganze Menge unnützen Code zur Tarnung.
  • Es lädt dann von www.ukseikatsu.com eine Datei namens /images/ok.exe nach und legt sie im Benutzerprofil unter einer zufälligen Nummer ab.
  • Dieser Code entpackt dann eine weitere Datei namens winsvc.exe, die den eigentlichen Kern darstellt.
  • winsvc.exe verbinedt sich zu 141.105.66.235 auf Port 5500. Das ist eigentlich der VNC-Port, deshalb interessiert das die meisten Personal Firewalls nicht. In Wirklichkeit lauscht da aber ein IRC-Server.
  • Der IRC-Server ist die Kontrollzentrale eines Botnets, zu dem der Client dann gehört.
Für die weniger technisch versierten nochmal in einfach:
  • Das ist ein kleiens Programm, das dann Schadsoftware auf eurem Rechner installiert.
  • Diese Schadsoftware öffnet euren Rechner einer Hackergruppe, die mit eurem Rechner dann z.B. Spam an andere verschickt oder andere Systeme angreift.
  • Die Software kann theoretisch alles mit eurem Rechner machen, das ihr auch damit machen könnt. Also Dateien lesen und schreiben, E-Mails versenden, … vor allem auch euren Browser fernsteuern und sich an eure Facebook-Kontakte weiter versenden

Ich habe die Bedrohung mitsamt meiner Analyse und den nötigen Samples an Heise Security gesendet, die das hoffentlich an die richtigen Stellen weitergeben werden. Das Archiv findet sich hier (ACHTUNG, Malware !).

Fürs Erste habe ich ein kleines Batch-Skript als Removal-Tool geschrieben. Es funktioniert unter einem neuen Windows XP, alles andere kann ich nicht beurteilen: Download (Rechtsklick -> Ziel speichern unter – das muss als .cmd-Datei gespeichert und ausgeführt werden).

Um so einen Mist in Zukunft zu verhindern: Klickt in drei Teufels Namen nicht immer jeden Scheiß an!

Linux-User sind übrigens sicher.

 

Update: Abuse complaint an Rusconnect, den Provider bei dem der IRC-Server läuft, ist raus.

Update 2: Dominic hat auf meinen Auftrag hin eine ausführbare Version (in Tcl) gebaut. Wir haben den Wurm Paul getauft und paul-removal.exe sollte jetzt auch unter Windows Vista und Windows 7 funktionieren. Hier ist alles gesammelt.

Der CCC und seine elitären Kreise

August 15, 2011 Von: Nik Kategorie: Internet, Spontane Gedanken 1 Kommentar →

Ich habe ja früher schon gegen den CCC gerantet, aber nachdem jetzt in kürzester Zeit wieder zwei Hammer einschlugen, muss ich da nochmal nachhaken, ob das eigentlich als normal betrachtet wird, was die da abziehen.

(weiterlesen …)

Zentralisierte Abuse Complaints

März 28, 2011 Von: Nik Kategorie: Bashinators, Internet, Linux, Sicherheit, Software-Entwicklung 2 Kommentare →

In den letzten 2,5 Tagen haben Felix und ich uns mal eine kleine “Cyber-Crime-Beobachtungs-Zentrale” zusammengenagelt. Das entstand daraus, dass nach einer Unachtsamkeit eines Kollegen ein paar brasilianische Botnet-Kiddies den Leibniz-Webserver übernommen hatten. Aber darum geht es ja jetzt nicht ;)

Da wir generell auf allen usneren Servern Fail2Ban betreiben, einen Log-Monitoring-Daemon, der auf Auffälligkeiten wie wiederholte fehlgeschlagene Logins und Ähnliches prüft und entsprechend reagiert. Eine Reaktion ist das bannen der angreifenden Adresse mittels iptables, eine weitere Aktion ist das Versenden eines detaillierten Reports per E-Mail.

Unsere erste Idee war nun, diese Reports zu aggregieren udn an ein zentrales Postfach zuzustellen. Erst einmal nur, um da zwischendurch mal einen kleinen Überblick zu bekommen, wie sich die Angriffe so verteilen. Portscans, SSH-Brute-Force-Angriffe und Ähnliches gehören ja zum “normalen” Grundrauschen im Internet, und da kommt täglich schon so einiges zusammen.

Als wir die Reports dann aggregiert hatten, kam die Idee auf, daraus doch gleich automatisch Abuse Complaints zu generieren und an die Provider der Angreifer zu senden. Da Fail2Ban zwar standardisiert, aber nciht wirklich maschinenlesbar mailt, ist dafür einiges an ekliger Parserei notwendig. Aber es funktioniert.

Und was soll ich sagen? Ich zitiere einfach mal Felix …

aber eins muss ich dir lassen das ist extrem geil was du da gebaut hast

Jo, danke ;) . Was daraus geworden ist, findet ihr jetzt unter dem Namen Bashinators Abuse Central.

Ach ja, übrigens … die Skripts sind eklig. Die Website ist … also, hat ihren eigenen Charm. Und das ist ein Spaßprojekt ;) . Ach ja, und SSI rockt.

KeePass und Dropbox: Ein starkes Team

Januar 19, 2011 Von: Nik Kategorie: Internet, IT, Sicherheit 12 Kommentare →

Seit ein paar Wochen zähle ich mich nun offiziell zu den Sicherheitsfanatikern. Also jetzt nicht in dem Sinne, dass ich paranoid vor blauen Lämpchen davonlaufe, weil das ja Bluetooth sein könnte und ich darüber abgehört werde, sondern im Passwort-Bereich.

Sehr zu Felix Belustigung (und anfänglich meinem Leidwesen) bin ich dazu übergegangen, wirklich für jeden Dienst ein eigenes Passwort zu verwenden. Dabei gibt es zwei Klassen:

  • Selfmade-Passwörter für Dienste, die ich oft brauche oder wo ein Passwortmanager irgendwie doof wäre (Systemanmeldung ;) …)
  • Random-Passwörter für Dienste und Websites, die ich nur so am Rande benutze

So habe ich nun also für mein (etwas advancederes) Heimnetz mein altes, sicheres Standardpasswort und für das Leibniz-Netz ein neues, selber zusammengesetztes Passwort (26 Zeichen, alpha-numerisch + Sonderzeichen …. ne, damit hab ich so gar keien Probleme ;) …). Für Facebook & Co. gibt es Zufallspasswörter von einer Qualität, die ich dem entsprechenden Backend zutraue (es gibt noch immer so viele Entwickler die es für eine ganz hervorragende Idee halten, Passwörter zu normalisieren und dann nach 8 Zeichen abzuschneiden …).

Als wichtigste Komponente kommt dann der Passwort-Manager ins Spiel. Meine Wahl fiel dabei, anfangs vor allem deswegen, weil mir keine Alternativen bekannt waren, auf KeePass bzw. seine Variationen. Und diese Software hat sich mittlerweile bei mir mehr als bewährt: Ich benutze die Datenbank des Programms an allen möglichen Orten. Unter Ubuntu (KeePassX), Windows (KeePass, nach Belieben auch in einer portablen Version) und sogar auf meinem Android-Handy (KeePassDroid). Und das hat bisher trotz unterschiedlicher Versionen noch nicht ein einziges Mal geknallt. Daran sollten sich so ziemlich die meisten anderen Entwickler mal eine dicke Scheibe abschneiden.

Jetzt kommt natürlich völlig zurecht die Frage: Wie bekommt man diese Datenbank den nun sinnvoll auf so viele Systeme? Ganz einfach: Mit meinem Lieblings-Webdienst Dropbox.

Dropbox synchronisiert ganze Ordner zwischen mehreren Computern und wenn man das denn möchte sogar mehreren Benutzern. Udn in meiner Dropbox liegt nun also meien KeePass-Datenbank. Das klingt jetzt erstmal total witzlos, dass ich meine ach so hochsicheren Passwörter einem Drittanbieter vor die Füße werfe. Aber in dieser Dropbox liegen sogar meine SSL- und GnuPG Private-Keys. Man muss sich halt sicher sein, dass niemand, der die Daten bekommt, dann auch tatsächlich etwas damit anfangen kann. Dank sicherer Krypto-Container sollte das nicht so das große Problem sein.

Was aber klasse ist: Genau so wie KeePass gibt es den Dropbox-Client wieder für alle wichtigen Plattformen, das heißt Windows, Linux und Android. So habe ich meine Passwortdatenbank immer und überall parat.

Ob das irgendwann mal noch ganz kräftig in die Hose geht (mein lieber Felix prophezeit mir das ja schon von Anfang an, aber da setze ich mal darauf dass er eh dann irgendwo ein Backup findet ;) …) wird sich zeigen, aber bis dahin kann ich erstmal nur sagen: Wow, genial!