August 2013 – SWITCH Security-Blog

DNS Hijacking nimmt zu

Internetbenutzer die den Domainnamen nytimes.com in der Navigationsleiste ihres Browsers eingegeben hatten, sahen gestern für sechs Stunden nicht etwa die Webseite der Zeitung, sondern eine Seite der “Syrian Electronic Army” oder eine Fehlermeldung. Wie die Los Angeles Times berichtet, wurden die Zugriffs-Credentials eines Resellers von Melbourne IT missbraucht um die DNS-Einträge für nytimes.com zu ändern und die Besucher so auf einen anderen Webserver zu leiten.

Angriffe über das Domain Name System (DNS) häufen sich in der letzten Zeit. Statt eine gut gesicherte Webseite zu hacken, versuchen Kriminelle den Domainnamen auf den eigenen Server umzuleiten. Der Web-Traffic ist viel wert, sei es für Propaganda, wie im Fall der Syrian Electronic Army, oder für kriminelle Zwecke, wie das Verteilen von Malware, Clickfraud oder zur Search Engine Optimierung.

Statt einzelne DNS-Server zu hacken, versuchen die Kriminellen verstärkt, Registries, Registrare und Reseller von Domainnamen anzugreifen. Gelingt es ihnen in die Systeme oder an Credentials zu gelangen, können so oft gleich tausende von Domainnamen auf den eigenen Server umgeleitet werden. Prominente Opfer sind vor allem viel besuchte Webseiten wie Suchmaschinen oder Nachrichtenportale.

Auch Schweizer Domainnamen waren in der vergangenen Woche von falschen DNS Antworten betroffen. Continue reading “DNS Hijacking nimmt zu”

VPN Traffic Leakage in Dualstack-Umgebungen

In einem aktuellen Internet-Draft (draft-ietf-opsec-vpn-leakages-02) beschreibt Fernando Gont Gefahren, die von VPN-Software ausgeht, welche nicht IPv6-fähig ist. Eine Zusammenfassung:

Führen Organisationen IPv6 auf ihren Client-Systemen ein, ist die bevorzugte Strategie in der Regel die, dass IPv6-Konnektivität zusätzlich zur bestehenden IPv4-Anbindung hergestellt wird (“Dual Stack”). Wenn diese Clients sich nun per VPN mit dem nächsten Office-Standort verbinden, sei es z.B. vom Home-Office oder Kunden aus, dann sollte die Verbindung über diese VPN-Schicht für eine verschlüsselte Datenübertragung sorgen.

Das Problem ist nun, dass heute nicht alle VPN-Clients IPv6-fähig und für das Dual-Stack-Szenario gerüstet sind. Sie kennen vereinfacht gesagt kein IPv6. Wenn nun eine VPN-Verbindung aufgebaut wird, kümmern sich diese VPN-Clients wie gewohnt um den IPv4-Traffic, z.B. indem sie die Default Route ändern um den Traffic in den VPN-Tunnel zu leiten. IPv6-Traffic wird aber weiterhin über die normalen IPv6-Routen geleitet und bleibt damit von der VPN-Verschlüsselung ausgenommen. Integrität und Vertraulichkeit der möglicherweise sensiblen Daten ist dadurch nicht mehr gewährleistet.

Continue reading “VPN Traffic Leakage in Dualstack-Umgebungen”

IT-Security-Links #35

DDoS as a diversionary tactic: While keeping the Security staff busy with a ‘low-powered’ DDoS, attackers took over the wire payment switch at several US banks.
APT: Read how Attackers are refining their tactics, using public cloud services to bypass monitoring or leveraging well known off-the-shelf tools for their attacks.
ENISA, the European Union Agency for Network and Information Security issued their Annual Incident Report 2012 providing an overview of the major outage incidents in the EU in 2012. Pierluigi Paganini wrote a summary of it in the Securityaffairs Blog.
“Spying NSA”: Listen (at your own risk) how an update of the Beach Boys song “Surfin USA” sounds at this years CRYPTO conference. And in case you want to sing along, here are the lyrics.

German:

PRISM@CH: Ein Artikel in der Weltwoche sinniert darüber, wie und wo in der Schweiz Traffic gesnifft wird und wie das damit rechtlich aussieht.
Ist das Trusted Platform Module (TPM) Version 2.0 als Hintertür für Geheimdienste gedacht? Die Deutsche Bundesregierung warnt vor Windows 8. – Ach nee doch nicht!

IT-Security-Links #33

Simon Mullis of FireEye now posted the last part of the three-part series we mentioned last week with the title “Thinking Outside the Sandbox“. It seems like Anti-Virus vendors are using uploaded files from VirusTotal and alike services to find new Command-and-Control (C&C) servers but do this only successfully for ZeuS based malware families.
A talk from Alex Stamos at the Black Hat conference last week made the point that RSA is broken in four to five years. The BREACH attack he showed abuses the fact that compression combined with encryption is problematic. Applied to HTTPS he was able to steal a secret in under 30 seconds.
Nice write-down of the Comfoo APT threat by SecureWorks. While it targeted mainly Japanese and Indian government ministries, other industries such as education were targeted as well. The article concludes with the very true statement that most businesses will never see a Comfoo infection. However, evaluating whether an organization is a potential target of cyber-espionage is important in any risk evaluation.
OpenX downloads were compromised. OpenX is an open source ad serving product used widely on the Internet. The binary distribution contained malicious files with a backdoor. The file was modified in November 2012. So, if you downloaded this software within the last 7 months, attackers have full access to your site.
Matt Johansen of WhiteHat Security writes about Two-Factor Authentication. What it is, why you should care and how it is used by Google, Facebook and Twitter. Read the article and then go and enable it for your accounts if you haven’t already.

Pretty bad Privacy – Wer nicht verschlüsselt…

Als der Amerikaner Phil Zimmermann 1991 die erste Version seines Programms ‘Pretty good Privacy’ (PGP) herausbrachte, war es sein Ziel, dass Bürger und Bürgerbewegungen, sei es in den USA oder ausserhalb, Nachrichten so austauschen können, dass diese sicher vor dem Zugriff durch Geheimdienste sind.

Mehr als 20 Jahre später ist dies nun durch PRISM und Co. mehr denn je zu einem aktuellem Thema geworden.

Damals – 1991 – herrschten Exportbeschränkungen für Kryptosysteme mit einer Schlüssellänge von mehr als 40 Bit. Daher wurde der PGP-Programmcode nach einigem Hin und Her 1995 als über 900 Seiten starkes Buch herausgegeben (“PGP Source Code and Internals”), womit der Export legal wurde. Jenseits der US-amerikanischen Grenzen machten sich dann Dutzende Freiwille daran, den Quellcode aus dem Buch wieder abzutippen und zum lauffähigen Programm zu kompilieren. Continue reading “Pretty bad Privacy – Wer nicht verschlüsselt…”

IT-Security-Links #32

The Washington Post published an article by Andrea Peterson on why stolen European credit card numbers cost 5 times as much as U.S. ones on the underground market. There are several reasons for this, different credit card technology or how monetization for stolen cards works out are two of them but in the end it’s a function of supply and demand and the structure of the online underground economy.
Distributed Denial of Service (DDoS) attacks are not a matter of if but when they happen to you. Sean Leach of Verisign provides 5 key steps enterprises can take to be prepared for a future attack.
In an anti-botnet takeover of .pl domains, NASK (the .pl ccTLD registry) and CERT Polska have shutdown over 641 malicious domains, with 179 being used for C&C purposes. They terminated the agreement with the Registrar Domain Silver, Inc, which only had one benign domain name (domainsilver.pl itself) registered.
Jeremiah Grossman and Matt Johansen of White Hat Security presented their research at Black Hat USA 2013 showing that you can “build” a browser botnet by leveraging advertising networks such as AdSense or DoubleClick.
Another Black Hat speaker Paul Stone of Context Information Security showed how you can steal data from a web browser with the use of JavaScript-based timing attacks.
Simon Mullis of FireEye posted part one and two of a three-part series on why old malware such as Carberp or Zeus are still successful. Part one: Why Carberp, ZeuS, and Other Vintage Malware Have a Bigger Bite Than You Think. Part two: Cybercriminal Intent: How to Build Your Own Botnet in Less Than 15 Minutes.
David Kriesel found out that Xerox scanners/photocopiers randomly alter numbers in scanned documents! Apparently, the problem only exists with small font sizes and with low-resolution.