SWITCH Security-Blog

SWITCH-CERT IT-Security Blog

Sicherheit_Icon_DNSSEC


DNS Hijacking nimmt zu

Internetbenutzer die den Domainnamen nytimes.com in der Navigationsleiste ihres Browsers eingegeben hatten, sahen gestern für sechs Stunden nicht etwa die Webseite der Zeitung, sondern eine Seite der “Syrian Electronic Army” oder eine Fehlermeldung. Wie die Los Angeles Times berichtet, wurden die Zugriffs-Credentials eines Resellers von Melbourne IT missbraucht um die DNS-Einträge für nytimes.com zu ändern und die Besucher so auf einen anderen Webserver zu leiten.

Angriffe über das Domain Name System (DNS) häufen sich in der letzten Zeit. Statt eine gut gesicherte Webseite zu hacken, versuchen Kriminelle den Domainnamen auf den eigenen Server umzuleiten. Der Web-Traffic ist viel wert, sei es für Propaganda, wie im Fall der Syrian Electronic Army, oder für kriminelle Zwecke, wie das Verteilen von Malware, Clickfraud oder zur Search Engine Optimierung.

Statt einzelne DNS-Server zu hacken, versuchen die Kriminellen verstärkt, Registries, Registrare und Reseller von Domainnamen anzugreifen. Gelingt es ihnen in die Systeme oder an Credentials zu gelangen, können so oft gleich tausende von Domainnamen auf den eigenen Server umgeleitet werden. Prominente Opfer sind vor allem viel besuchte Webseiten wie Suchmaschinen oder Nachrichtenportale.

Auch Schweizer Domainnamen waren in der vergangenen Woche von falschen DNS Antworten betroffen. Continue reading

IPv6


VPN Traffic Leakage in Dualstack-Umgebungen

In einem aktuellen Internet-Draft (draft-ietf-opsec-vpn-leakages-02) beschreibt Fernando Gont Gefahren, die von VPN-Software ausgeht, welche nicht IPv6-fähig ist. Eine Zusammenfassung:

Führen Organisationen IPv6 auf ihren Client-Systemen ein, ist die bevorzugte Strategie in der Regel die, dass IPv6-Konnektivität zusätzlich zur bestehenden IPv4-Anbindung hergestellt wird (“Dual Stack”). Wenn diese Clients sich nun per VPN mit dem nächsten Office-Standort verbinden, sei es z.B. vom Home-Office oder Kunden aus, dann sollte die Verbindung über diese VPN-Schicht für eine verschlüsselte Datenübertragung sorgen.

Das Problem ist nun, dass heute nicht alle VPN-Clients IPv6-fähig und für das Dual-Stack-Szenario gerüstet sind. Sie kennen vereinfacht gesagt kein IPv6. Wenn nun eine VPN-Verbindung aufgebaut wird, kümmern sich diese VPN-Clients wie gewohnt um den IPv4-Traffic, z.B. indem sie die Default Route ändern um den Traffic in den VPN-Tunnel zu leiten. IPv6-Traffic wird aber weiterhin über die normalen IPv6-Routen geleitet und bleibt damit von der VPN-Verschlüsselung ausgenommen. Integrität und Vertraulichkeit der möglicherweise sensiblen Daten ist dadurch nicht mehr gewährleistet.

Continue reading

News


IT-Security-Links #35

German:

News


IT-Security-Links #34

News


IT-Security-Links #33

  • Simon Mullis of FireEye now posted the last part of the three-part series we mentioned last week with the title “Thinking Outside the Sandbox“. It seems like Anti-Virus vendors are using uploaded files from VirusTotal and alike services to find new Command-and-Control (C&C) servers but do this only successfully for ZeuS based malware families.
  • A talk from Alex Stamos at the Black Hat conference last week made the point that RSA is broken in four to five years. The BREACH attack he showed abuses the fact that compression combined with encryption is problematic. Applied to HTTPS he was able to steal a secret in under 30 seconds.
  • Nice write-down of the Comfoo APT threat by SecureWorks. While it targeted mainly Japanese and Indian government ministries, other industries such as education were targeted as well. The article concludes with the very true statement that most businesses will never see a Comfoo infection. However, evaluating whether an organization is a potential target of cyber-espionage is important in any risk evaluation.
  • OpenX downloads were compromised. OpenX is an open source ad serving product used widely on the Internet. The binary distribution contained malicious files with a backdoor. The file was modified in November 2012. So, if you downloaded this software within the last 7 months, attackers have full access to your site.
  • Matt Johansen of WhiteHat Security writes about Two-Factor Authentication. What it is, why you should care and how it is used by Google, Facebook and Twitter. Read the article and then go and enable it for your accounts if you haven’t already.
Icon_mensch_schlüssel_switchblau


Pretty bad Privacy – Wer nicht verschlüsselt…

Als der Amerikaner Phil Zimmermann 1991 die erste Version seines Programms ‘Pretty good Privacy’ (PGP) herausbrachte, war es sein Ziel, dass Bürger und Bürgerbewegungen, sei es in den USA oder ausserhalb, Nachrichten so austauschen können, dass diese sicher vor dem Zugriff durch Geheimdienste sind.

Mehr als 20 Jahre später ist dies nun durch PRISM und Co. mehr denn je zu einem aktuellem Thema geworden.

Damals – 1991 – herrschten Exportbeschränkungen für Kryptosysteme mit einer Schlüssellänge von mehr als 40 Bit. Daher wurde der PGP-Programmcode nach einigem Hin und Her 1995 als über 900 Seiten starkes Buch herausgegeben (“PGP Source Code and Internals”), womit der Export legal wurde. Jenseits der US-amerikanischen Grenzen machten sich dann Dutzende Freiwille daran, den Quellcode aus dem Buch wieder abzutippen und zum lauffähigen Programm zu  kompilieren. Continue reading

News


IT-Security-Links #32