- Internet of things and botnets: According to Proofpoint more than 750 000 phishing and spam e-mails have been launched from so called “Thingbots” including televisions and a fridge. Really? Arstechnica did an analysis of the report and is skeptical. “In any case: it could happen, and sooner or later it will.” (Bruce Schneier)
- Win32/Sefnit: Despite you are not using Tor maybe your computer does. This blogpost from Microsoft explains how the Tor client service, added by Sefnit, is posing a risk to millions of machines. What you’ll learn also: Microsoft has the ability to remotely remove programs en masse from peopleâs computers.
- By exploiting bugs in Google Chrome, malicious sites can activate your microphone, and listen in on anything said around your computer.
- NSA “Dishfire” program: The NSA collects and analyses millions of SMS text messages daily and extracts location, contacts and financial transactions – ‘The Guardian’ wrote.
- Surveillance & Misuse: ‘Die Zeit’ did an interview with Morgan Marquis-Boire, Security Engineer at Google and researcher at the Citizen Lab of the University of Toronto.
- DDoS: Who is commandeering your hosting center? DDoS attacks being launched against business web sites and networks often originate within web hosting centers.
- EncFS: Taylor Hornby published a report of an EncFS security audit.
- Windows Forensics is the topic of Packetpushers Healthy Paranoia Show 21 – surveillance-free and EFF-approved đ
Category Archives: Vulnerabilities
IT-Security-Links #40
- Adobe hacked: Acrobat and ColdFusion code stolen in mid-August 2013 along with credit card and other data on approximately 2.9 million customers.
- Silk Road: The underground drug marketplace has been taken down by the FBI after many years of investigation.
- Heads up Internet Explorer users! A Metasploit module for the latest vulnerability (CVE-2013-3893) is available. The flaw allows attackers to execute arbitrary code on the victim’s computer.
- A 56-page “DDoS Survival Handbook” (PDF) is freely available from Radware.
German:
- Unser aktueller SWITCH Security-Report (PDF) ist online! Die Themen:
- Apples biometrische VerfĂŒhrungen und mögliche Folgen
- NSA-Ăberwachungsspiel ohne Grenzen
- Der Endkunden-Router als sicherheitskritische Komponente neu entdeckt
- Zum Stöbern: Spannende Artikel zu aktuellen Themen
- “Ihr seid alle Freiwild”: Bruce Schneier war kĂŒrzlich in Lausanne und hat an der Konferenz der Information Security Society Switzerland (ISSS) zum Thema NSA-Skandal gesprochen.
IT-Security-Links #18
- U.S. banking institutions are now in the fifth week of distributed-denial-of-service attacks. Read the Lessons learned on bankinfosecurity.com
- A more or less new malware called “Darkleech” infected thousands of Apache servers. The attackers retain control of the servers they infect by replacing the SSH daemon with a modified one. Read in the sucuri.net blog how to identify the infection.
- Advanced Persistent Threats get more advanced, persistent and threatening. At least according to John Leyden who reviewed FireEye’s latest advanced threat report.
- Even security professionals have bad password security habits. That’s the result of a survey done at RSA Conference 2013.
German:
- Der SWITCH-CERT Security- und Privacy-Report (PDF) fĂŒr MĂ€rz ist zum kostenlosen Download verfĂŒgbar.
- Wie man USB-Sticks mit TrueCrypt verschlĂŒsselt, dazu gibt es auf botfrei.de eine neue Anleitung.
Schutzmassnahmen gegen Drive-by-Attacken â Teil III
Dieser Artikel wurde von Renato Ettisberger geschrieben.
Fortgeschrittene Drive-by-Angriffe
Im ersten Teil der Serie haben wir uns auf Windows XP und die dort implementierten Gegenmassnahmen konzentriert. Wie von uns aufgezeigt, bieten sie wenig Schutz vor Drive-by-Angriffen. Im zweiten Teil lag der Fokus bei den Plug-Ins, die die Sicherheit bei Windows Vista und Windows 7 negativ beeinflussen können. In beiden Teilen lag der Schwerpunkt auf 08/15-Angriffen die nicht sehr fortgeschritten sind. Dies Ă€ndern wir nun in diesem Teil der Serie. Wir zeigen auf, dass sich die Schwachstelle auch auf Windows 7 und zwar ohne Nutzung von irgendwelchen Plug-Ins ausnutzen lĂ€sst. Als Gegenmassnahme stellen wir u.a. mit EMET ein frei erhĂ€ltliches Tool von Microsoft vor. EMET kann sogar diese fortgeschrittenen Angriffe stoppen. Es ist aber kein Allheilmittel, wie die abschliessende Demo aufzeigen wird. Schliesslich geben wir im letzten Abschnitt Tipps, wie man seinen Windows-PC besser vor Angriffen dieser Art schĂŒtzen kann.
Continue reading
Schutzmassnahmen gegen Drive-by-Attacken â Teil II
Dieser Artikel wurde von Renato Ettisberger geschrieben.
Das Problem der Plug-Ins
Im ersten Teil dieser Serie haben wir aufgezeigt, wie wenig Schutz die implementierten Gegenmassnahmen bei Windows XP in Bezug auf Drive-by-Angriffe bieten. Der Hauptgrund dafĂŒr ist, dass die Basis-Adressen von DLLs fĂŒr ein bestimmtes Windows XP-System (Sprach- und Service Pack-abhĂ€ngig) vorhersehbar sind. Ein Angreifer nutzt diesen Umstand, um daraus Code-Sequenzen zusammenzuhĂ€ngen (ROP) und damit die âSchutzfunktionâ DEP zu umgehen.
Microsoft hat bei der Entwicklung von Windows Vista, Windows 7 und Windows 8 darauf reagiert. Zum einen ist bei neueren Windows-Systemen der âProtected Modeâ fĂŒr den Internet Explorer (ab IE7) vorhanden. Ein Angreifer kann sich damit nicht mehr so einfach auf dem System permanent festsetzen. Zum anderen ist neben DEP mit ASLR eine zweite Gegenmassnahme standardmĂ€ssig aktiviert. ASLR steht fĂŒr âAddress Space Layout Randomizationâ und sorgt dafĂŒr, dass die DLLs an zufĂ€llige Basis-Adressen geladen werden. Damit kann der Angreifer die notwendigen Code-Sequenzen zur Umgehung von DEP nicht mehr zusammenstellen, weil er deren Basis-Adressen nicht mehr kennt. DEP bleibt dadurch effektiv und erstickt den Angriff im Keim – zumindest in den meisten FĂ€llen.
Schutzmassnahmen gegen Drive-by-Attacken – Teil I
Dieser Artikel wurde von Renato Ettisberger geschrieben.
EinfĂŒhrung
Internet-Kriminelle nutzen âDrive-by-Angriffeâ seit lĂ€ngerem um Clients mit Schadcode zu infizieren, d.h. der Besuch einer infizierten Webseite reicht dazu bereits aus. Deshalb informiert SWITCH die Halter und Betreiber von infizierten Webseiten in der Schweiz und Liechtenstein und fordert sie auf, den Schadcode innert 24 Stunden zu entfernen.
Effektiver ist es jedoch, die Client-Systeme von vornherein besser vor Angriffen dieser Art zu schĂŒtzen. Dies ist mit wenig Aufwand sehr wohl möglich. Anhand eines konkreten Beispiels zeigen wir in dieser Blog-Serie auf, welche Gegenmassnahmen standardmĂ€ssig auf Windows-Systemen vorhanden sind und wie sie funktionieren. Im zweiten Teil gehen wir auf die Problematik der Plug-Ins ein und demonstrieren welche negativen Auswirkungen diese auf die Sicherheit eines aktuellen Windows-Systems haben können. Im abschliessenden Teil stellen wir schliesslich ein frei erhĂ€ltliches Tool von Microsoft vor, das einen sehr effizienten Schutz vor Drive-by-Angriffen bieten kann.
Solche Angriffe sind fĂŒr sĂ€mtliche Client-Betriebssysteme relevant: Von Windows ĂŒber Mac OS X und Linux bis hin zu iOS (iPhone oder iPad) oder Android. Als Fallbeispiel fĂŒr die Blog-Serie nehmen wir eine Schwachstelle in Internet Explorer 8 auf Windows XP und Windows 7. Der Grossteil des Inhaltes spricht sicherlich die Security-Spezialisten an. Im letzten Teil geben wir jedoch einfache Tipps fĂŒr jedermann und zeigen, wie man seinen Windows-PC besser vor Angriffen aus dem Internet schĂŒtzen kann.