May 2014 – SWITCH Security-Blog

IT-Security-Links #56

“No Place to Hide” is the new book on the NSA’s sweeping efforts to “Know it All” written by Glenn Greenwald. A comprehensive review has been published on washingtonpost.com.
According to this book the NSA has been covertly implanting interception tools in US network equipment heading overseas…
Cisco is not amused: “Governments should not interfere with the ability of companies to lawfully deliver internet infrastructure as ordered by their customers.”
Crimeware has steadily transferred Windows-based technology to Android. Now “Police Ransomware” expands to the Android ecosystem.
DNS DDoS: Incapsula reported in their blog on a DNS flood of 1.5 Billion requests per minute, fueled by different DDoS protection services.
How to characterize a target device through its wireless traffic? French researchers published a study on passive 802.11 device fingerprinting.

German:

Der deutsche E-Mail-Anbieter Posteo setzt künftig auf DNS-based Authentification of Name Entries (DANE), um Kunden die Möglichkeit zu bieten, Zertifikate für TLS-Verbindungen zu prüfen. DANE basiert auf DNSSEC.

Verbindungsprobleme bei der DNS Namensauflösung erkennen

Die ursprüngliche Spezifikation von DNS-Nachrichten (RFC 1035), welche über UDP gesendet werden, ist auf 512 Bytes begrenzt. Bereits Ende der Neunzigerjahre wurde mit dem “Extension Mechanisms for DNS (EDNS0)” (RFC 2671) eine Erweiterung für das DNS-Protokoll festgelegt, welche es u.a. dem Client erlaubt eine grössere Buffergrösse bekannt zu geben.

Die meisten DNS Resolver-Implementierungen kündigen eine Buffergrösse von 4096 Bytes an. Das heisst aber auch, dass bei einer maximalen Paketgrösse (Maximum Transmission Unit, MTU) von 1500 Bytes eine Fragmentierung der Datenpakete stattfindet. Die Vergangenheit hat gezeigt, dass viele Netzwerk- und Sicherheitsprodukte diese Protokolländerung noch nicht mitgekriegt haben und auf eine kleinere Paketgrösse bestehen. Für DNSSEC ist die EDNS0-Erweiterung eine Voraussetzung, da durch die Signierung der Daten die Paketgrösse ansteigt.

Die Unterstützung einer grossen Buffergrösse von Ihrem DNS-Resolver zur Aussenwelt ist aber auch relevant, wenn Sie keine DNSSEC-Validierung auf dem DNS-Resolver aktiviert haben. Aktuelle DNS-Resolver kennzeichnen die Unterstützung von DNSSEC (durch das DO-bit, Bezeichnung “DNSSEC OK”-bit, RFC 3225) und erhalten deshalb in der Antwort die DNSSEC-Signaturen, auch wenn der DNS-Resolver die Validierung nicht aktiviert hat.
Continue reading “Verbindungsprobleme bei der DNS Namensauflösung erkennen”

Unser SWITCH Security-Report für Mai 2014 ist verfügbar

Die aktuelle Ausgabe unseres monatlich erscheinenden ‘SWITCHcert Reports zu aktuellen Trends im Bereich IT-Security und Privacy‘ ist soeben erschienen.

Themen diesen Monat:

Android prüft zukünftig kontinuierlich installierte Apps – Fake-Virenscanner ist Shooting Star in Googles App-Store
US-Behörde schafft vollendete Tatsachen in Sachen Netzneutralität
«Heartbleed» setzt Frust und Hoffnung der Open-Source-Entwickler frei
Dropbox will mit Hilfe von Condoleezza Rice weltweit expandieren
Und wie immer Links zu spannenden Präsentationen, Artikeln und Videos rund um die Themen IT-Security und -Privacy.

Zum Download (PDF):

Haben Sie unseren vorigen Security-Report verpasst? Hier kommen Sie zum Archiv.

IT-Security-Links #55

Verizon published their 60-page “2014 Data Breach Investigations Report“. They identified nine patterns that together describe 92% of the confirmed data breaches they collected in 2013.
FireEye identified a new Internet Explorer (IE) zero-day exploit used in targeted attacks. In the meantime a fix is available from Microsoft, also for Windows XP.
What not to do in a Cyberattack: An article on How to keep calm and avoid common mistakes in an incident response operation.
ENISA Cyber Security Exercise: More than 400 Cyber security professionals from 29 countries and 200 organisations are involved in a biannual cyber exercise coordinated by the European Union Agency for Network and Information Security (ENISA).

German: