referrer spam

Wenn ich mir so meine HTTP-Zugriffe und Statistiken anschaue, dann fallen mir seit geraumer Zeit merkwürde Einträge als Referrer auf mit Websites mit ziemlich eindeutigen Namen. Dieser Referrer-Spam betrifft nur den Hauptwebserver hier, aber zum Glück die Zugriffsstatistik dieses Blogs. Jetzt muss ich erstmal schauen, wie ich diesen Schrott wieder losbekomme ...

Ach ja, der böse Saffi

Neulich in meiner Mail:

sag mal bitte allen Leuten in deiner liste,
dass sie den Kontakt mit ?Saffi? nicht annehmen sollen,
das ist ein Virus!!!!!! der zerstört die ganze festplatte
und zieht sich die Daten da runter, wenn ihn einer deiner
kontakte erwischt, bist du auch betroffen,weil er sich
durch die liste frisst!!!! also kopier das und schick
es an alle !!!!

Zuerst die Festplatte zerstören und dann die Daten saugen? Das überzeugt mich doch sehr. Was ein Hoax! Auf diese Weise kann man auch einen Kettenbrief verbreiten da genügend diese Mail weiterleiten dürften ...

Schrott

Der McAfee-Scanner nervt, der legt meinen Rechner fast komplett lahm. Wie kann man nur so einen Schrott programmieren? Es wird Zeit für Alternativen.

heise Security twittert

heise Security twittert nun auch schon: heise Security auf Twitter

nmap grafisch

Mist, schon wieder eine veraltete Version vorletzte Woche installiert. Die neue Version ist viel bunter und besser und überhaupt ...

Falscher Alarm

Diese Woche zweimal falschen Alarm gehabt wegen eines vermeintlichen Hackereinbruches bei zwei unterschiedlichen Systemen. Die Vorfälle konnten dahingehen geklärt werden, dass es halt kein böser Hacker war (und auch kein guter) - fast schade eigentlich, denn einen realen Einbruch zur Analyse hatte ich schon lange nicht mehr. Die Erleichterung war aber auf allen Seiten dementsprechend groß.

patchaspatchcan

Das riecht wieder nach viel Arbeit.

Änderung Nessus Plugin Lizenz

In den letzten Tagen bekam ich eine Mail vom Hersteller des Sicherheitsscanners Nessus, in welcher angekündigt wird, dass das bisherige Lizenzmodell für den Bezug der Nessus-Plugins zum 31.7.2008 geändert wird.

Nicht nur bei Kundengesprächen bzgl. Sicherheitsaudits begegne ich immer noch dem Irrglauben, dass Nessus sowas wie Open Source Software und kostenlos wäre. Dies ist aber schon länger nicht mehr so. Nessus selbst als Scanner ist Closed Source, aber frei erhältlich und auch einsetzbar.

Kniffliger wird es eher bei den Plugins, die ja die eigentlichen Sicherheitsüberprüfungen durchführen. Die Plugins bzw. deren Aktualisierung (Feed) waren und sind immer noch lizenzpflichtig, also keineswegs frei und kostenlos erhältlich, ausser für den rein privaten Gebrauch (oder auch für Erziehungs- bzw. Ausbildungsorganisationen). Zusätzlich gab es dann noch für den kommerziellen Bereich die zwei Lizenzformen "Direct Feed" und "Registered Feed". "Direct Feed" kostete 1200 US$ und ermöglichte immer den Bezug der aktuellesten Plugins nach Freigabe von Nessus. "Registered Feed" war die kostenlose kommerzielle Variante dazu, hatte aber beim Bezug der aktuellen Plugins einen Verzug von einer Woche, man war also u.U. nie auf dem aktuellsten Stand.

Nessus hat jetzt seine Lizenzbestimmungen dahingehend geändert, dass der aktuelle Bezug der Plugins für Privatbenutzer kostenlos und ohne Verzug möglich ist als "HomeFeed". Die Version "Direct Feed" wird umbenannt in "ProfessionalFeed" und "Registered Feed" wird es dann zukünftig nicht mehr geben. Und den Scanner selbst darf man weiterhin kostenlos herunterladen. Immerhin!

Seltsam

Ich empfinde es schon als relativ merkwürdig, wenn man zwar als IT-Security-Spezialist hochpreisig verkauft wird, dann aber Meetings zum Thema Perimeter-Security stattfinden, ohne dass man dazu eingeladen wird. Sollte mir das jetzt irgendwie zu denken geben? Eigentlich nicht, zumindest nicht vor dem Urlaub, erst danach wieder.

Hackerhacking

Wo gibt's denn sowas: Hacker hacken Hacking-Tool-Seite.

IT-Security ist out?

Ach so: Security-Projekte verlieren in Unternehmen an Bedeutung. Hat ja fast jeder mittlerweile eine mehr oder minder gut funktionierende Firewall (auch wenn nicht jeder damit umzugehen weiss) und das Drumherum ist ja auch nicht mehr so interessant. Dann müssen die IT-Security-Spezialisten wohl umschulen.

Easy to learn, Easy to work, Easy to root

Was man mit Metasploit und einem Asus Eee PC so alles anstellen kann: ASUS Eee PC rooted out of the box.

Warnung

Das ist nicht so toll: Linux Debian-Schlüssel seit 2006 kompromittiert. Und das betrifft anscheinend auch die diversen Debian-Derivate (Ubuntu usw.). Zum Glück habe ich vor einem Jahr mein Debiansystem komplett zersägt und seither keines mehr im Einsatz ...

Fortsetzung auf CD

Hier eine kleine subjektive Aktualisierung von Knoppix und mehr:

• Backtrack (Backtrack ist aus dem Zusammenschluss von WHAX und Auditor hervorgegangen) *
  
• Knoppicillin *
  
• grml - Linux for geeks
  
• Morphix - A Server Live CD
  
• ZoneCD
  
• BOSS (BSI OSS Security Suite) *
  
• Kanotix
  
• Games Knoppix
  
• EduKnoppix
  
• Damn Small Linux
  
• Pentoo *
  
• Ophcrack *
  
• Inside Security Rescue Toolkit *
  
• Talos *
  
• SystemRescueCD - Systemrettungs-CD mit allen dazu benötigten Tools.
  

* Security-Distros.

Auf Security Distro sind noch einige mehr zu finden.

Immer wieder live

Gestern als Tipp von einem Kollegen bekommen: Pentoo LiveCD - eine Penetrationstesting LiveCD basierend auf Gentoo. Macht auf den ersten Blick einen netten Eindruck. Einziger persönlich-subjektiver Kritikpunkt meinerseits: Kein vi installiert. Und wer benutzt schon nano als Editor unter Linux? :-)

Bruce Schneier sagt, dass die Sicherheit bei uns selbst anfängt

Wo er recht hat, hat er recht: [heise] Sicherheit fängt bei uns selbst an.

Nigeria

Ich kann es einfach nicht glauben:
Nigerianische E-Mail-Betrugsmasche zieht immer noch.

Illegal

Ich würde ja gerne die neue Aircrack-ng-Version testen, aber sowas überhaupt zu besitzen ist ja mittlerweile illegal (geschweige denn es auszuprobieren) ...

Merkwürdige Firewalls

Innerhalb kürzester Zeit (gestern in Düsseldorf und heute in Ludwigshafen) zwei merkwürdige Firewalls erlebt, die einen vernünftigen und korrekten Betrieb einer sinnigen Antispamlösung erfolgreich verhinderten. In beiden Fällen wurden alle aus dem Internet eingehende IP-Adressen bei Mailverbindungen hinter der Firewall maskiert. Damit funktionieren alle DNSRBLs basierten Lösungen oder auch beispielsweise SenderBase überhaupt nicht und die meisten Antispamlösungen sind dadurch einer ihrer stärksten Möglichkeiten gegen die Spamflut beraubt.

Im einen Fall lag es an verkorksten iptables-Einträgen. Der zuständige IT-KruscherDienstleister hatte ein beeindruckend komplexes iptables-Firewall-Script, dass für ausgehende UND eingehende Verbindungen Masquerading macht, nicht im Griff. Für ausgehende Verbindungen Richtung Internet Masquerading kann ich ja noch verstehen, aber aus dem Internet eingehende Verbindungen? Der Sinn hat sich mir da nicht ganz erschlossen. Und auf die Antwort, dass dies ja das Prinzip von NAT bzw. Masquerading wäre, habe ich resigniert und eine andere sichere Lösung realisiert ohne Firewall.

Im zweiten Fall handelte es sich um eine GenuaGate-Firewall, bei der es anscheinend nicht so einfach ist eine transparente SMTP-Verbindung zu der Antispamlösung einzurichten, ohne dass die Firewall immer dazwischen fummelt. Aber immerhin hat sich hier der Herstellersupport als kompetent erwiesen, zumindest hörte es sich am Telefon so an, als ob sie wissen, um was es hier geht.

Bei beiden war lediglich die Konfiguration und Inbetriebnahme einer Antispamlösung beauftragt, was im Regel- und Planfall auch innerhalb kurzer Zeit umgesetzt werden kann. Wenn es dann aber wegen solcher externen Probleme sich extrem in die Länge zieht, man eigentlich weiss warum es so nicht nicht funktionieren kann, aber nicht selbst eingreifen kann (bzw. darf), da dies in die Zuständigkeit der anderen Dienstleister fällt, fällt es mir extrem schwer geduldig zu bleiben (gngngn). Von in diesem Zuge notwendige DNS-Änderungen schreibe ich erstmal nichts (die dauern auch schon drei Tage, ohne dass was passiert ...).

PS: Wie soll man zum Thema NAT auf die Frage reagieren: "Was meinen Sie mit offiziellen IP-Adressen?". Das leben als Dienstleister kommt mir manchmal wie die Hölle vor. Im nächsten Leben werde ich auch Kunde. Dann wird alles besser ;-)

Trends 2008?

Das Thema Reputationssystem ist ja schon seit einiger Zeit beim Thema Antispam im Einsatz, z.B. bei den Antispam-Appliances von IronPort und hat sich hier gut bewährt. In eine ähnliche Richtung geht der Artikel "E-Mail ohne Spam" in der aktuellen iX-Ausgabe 1/2008. Und nachdem nun TrustedSource für Check Points OPSEC zertifiziert wurde, könnte das Thema Reputationssysteme nicht nur bei Antispam ein Trend für 2008 werden. Wenn ich mir allerdings die Website von TrustedSource anschaue, werde ich den Eindruck nicht ganz los, dass dies wie ein Plagiat von IronPorts SenderBase aussieht. Ich kann mich aber auch täuschen ...

Kriminell

Es ist schon merkwürdig, wenn ein Kunden einen Auftrag zum Security-Audit storniert, nur weil seine Juristen der Meinung sind, dass der Kunde selbst sich mit der Auftragserteilung bzw. Durchführung durch einen externen Dienstleister der Beihilfe zu kriminellen Handlungen strafbar macht, wenn er selbst überprüft werden soll. Das haben wir wohl von dem tollen Hackerparagraphen (§202c StGB). Dankeschön ...

heise online schrieb zwar im Oktober Sicherheitsexperten dürfen Hacker-Werkzeuge einsetzen, aber diese Auslegung scheint die betroffenen Anwälte noch nicht erreicht zu haben.

Ratlos

Schlimm, wenn selbst die Experten nicht mehr weiter wissen und mir keine vernünftigen Alternativen bieten können. Nokia Firewall kaputt (HD defekt) und Config geschreddert. Aus dem Hintergrund höre ich eine leise Frage: "Backup?" Hm, ja vielleicht, oder auch nicht ...

Gähn

Spammässig ist momentan alles ziemlich ruhig. Und neue Viren, Trojaner oder anderes schädliches Zeugs zur Analyse gab es auch schon länger nicht mehr. Und das andere IT-Zeugs ist nicht so spektakulär, dass es mich reizen könnte. Langeweile macht sich breit ...

Ehrlich währt am ...

Vielleicht sollte ich auch ein Botnetz aufbauen? Das scheint sich wohl eher zu lohnen als ehrliche Arbeit.

Eindringling

Gestern nach langer Zeit einen erfolgreichen Eindring- versuch bei einer Sicherheits- überprüfung durchführen können mit einem funktions- fähigen Script-Kiddie Exploit (Klick&Run). Und was sehe ich auf dem betreffenden Desktop beim ersten Versuch: Da spielt jemand Karten! Leider habe ich in der Aufregung versäumt davon einen Screenshot zu machen. Der letzte einfache legitime Eindringversuch liegt auch schon Jahre zurück.

Umgezogen

Aha, aufgrund der aktuellen deutschen Rechtsprechung ist Phenoelit umgezogen und zukünftig hier zu finden. Laut eigener Aussage auf der alten Homepage befindet sich der neue Server nun in der freien Welt. Nach www.ip-adress.com zu urteilen, befindet sich der Server in Scottsdale in den USA. Ob er da wohl freier ist oder gleich Besuch von der NSA bekommt?

Update [2]

Seltsam, immer noch kein Update von SUSE zu sehen bzgl. der gefundenen Sicherheitslücke im BIND 9. Und entgegen der Meldung von heise gibt es zumindest für Debian auch noch kein Update.

Strafbar

Soweit sind wir schon ...

Wurm ahoi

Da kam doch heute folgende Mail an:

Date: Mon, 9 Jul 2007 10:16:13 -0400
From: Customer Support Robot <yuo@zianet.com>
To: <me>
Subject: Spyware Detected!

Dear Customer,

Our robot has detected an abnormal activity from your IP adress
on sending e-mails. Probably it is connected with the last epidemic
of a worm which does not have official patches at the moment.

We recommend you to install this patch to remove worm files
and stop email sending, otherwise your account will be blocked.

Customer Support Robot

Da bekomme ich aber Angst! Den ominösen Patch habe ich mir mal zur näheren Untersuchung heruntergeladen.

Links

Mail-Contentfilter testen, ob sie was taugen: Pirana - basiert auf Metasploit und macht auf den ersten Blick und Test einen guten Eindruck.

Phrack is back

Phrack is back schreibt heise Security am 11.6.2007. Scheint, dass ich das wohl nicht mitbekommen habe. Die aktuelle Ausgabe #64 befindet sich auf dem Server von Phrack. Ein Mirror bis Ausgabe #63 befindet sich lokal hier.

Links

• Google Security Blog
  
• IronPort Threat Operations Center - Interessant, aber zuwenig Hintergrundinfos für meinen Geschmack
  
• IronPort SenderBase in der neuen Version. Die geographische Lokalisierung klappt über die Webansicht seltsamerweise noch nicht, obwohl die Daten in SenderBase vorhanden sind.
  

Virus und Trojaner

Komisch, seit ich hier seit diesem Jahr auch die Mails von einem Kollegen hoste, bekommt der sehr häufig Viren und Trojaner (meldet mir zumindest ClamAV). Und ich bekomme so gut wie nix. Wie macht der das nur?

Bundestrojaner [2]

Das musste ja irgendwann so kommen: Virenmail mit Verweis auf Bundestrojaner. Danke Herr Schäuble.

Bundestrojaner

Über diese ganze Diskussion um Herrn Schäuble und den Bundestrojaner frage ich mich, wie das technisch realisiert werden soll. Gibt es dann einen für jedes Betriebssystem oder bleiben die Linux- und Mac-Anwender erstmal aussen vor und es werden nur die Windows-Leute bundestrojanisiert? Speziell unter Linux dürfte so ein Trojaner zu entwickeln eine Herausforderung darstellen. Ich kenne zwar einige Rootkits unter Linux, aber spätestens beim Kernel-Patch oder Update haben die immer versagt und sind aufgeflogen.

BackTrack in der Presse

In der aktuelle iX wird die aktuelle BackTrack-Live-CD vorgestellt.

Gefährliches Surfen

Dass Surfen gefährlich ist, hatten wir ja schon immer geahnt. Ich kenne da auch ein paar nette Sites, nicht nur in Russland oder anderen Exoten-Staaten ...

Hölzernes Pferd für den Pinguin

Über einen Eintrag bei monra über den Bundestrojaner gestolpert und als ordentlicher Bürger gleich versucht zu installieren. Seltsamerweise funktioniert der irgendwie nicht richtig unter Linux ;-)

Vorurteile

Bestätigt wieder mal gewisse Vorurteile.

Verschlüsselt

Wie schon mal hier erwähnt und eben getestet. Die Linux-Version Hamachi ausgepackt, konfiguriert und läuft. Klein, aber praktisch.

Wieder nix

Leider hier nix angekommen. Dafür auf dem "Nachbar-Account" auf diesem Server. Und das gleich dreimal. Manche Leute ziehen es einfach magisch an, das Unheil, tsts. SpamAssassin hat sie als Spam erkannt und ClamAV hat sie alle unschädlich gemacht.

Scan as Scan can

Wenn sog. "Vulnerability Scanner", wie Nessus alte Sicherheitslücken, wie z.B. Bufferoverflow bei POP3-Daemons (Qualcomm Popper 2.2/2.4) nicht (mehr) erkennen, macht mich das ein wenig nachdenklich bzgl. der generellen Ergebnisse von Analysen, welche ich in der Vergangenheit mit Nessus durchgeführt habe. Offensichtlich geht halt doch nichts über ein gutes Stück Handarbeit und Erfahrung, egal wie die Scanner heissen mögen.
[Nachtrag: Achja und dass bei der BackTrack-LiveCD kein Nessus dabei ist (wg. der aktuellen Lizenzform von Nessus) hat mir auch ein Stirnrunzeln entlockt. Dafür ist der kommerzielle GfI-LANGuard-Scanner dabei, von dem ich nicht wusste, dass es diesen auch für Linux gibt (mal abgesehen davon, dass der mich auch nicht sonderlich begeistert.]

Massiv Phishing

Stark erhöhter Phishing-Eingang hier seit einigen Tagen. ClamAV ist ziemlich oft am meckern.

Raucher als Gefahr?

heise meldet Raucher als Gefahr für Unternehmenssicherheit und Nichtraucher sind wohl Steuerhinterzieher?

Finger weg

Autsch!

Camping 2007

Chaos Communication Camp 2007 hier.

Schneller (Re: Neu)

Die neue PuTTY-Version kommt mir um einiges schneller vor wie vorher, vor allem beim Verbindugsaufbau.

Pandemie

Mein Viertel nicht.

Neu

Neuer PuTTY downloaden ...

Google-Nachtrag

Wie Omega schon richtig bemerkte, gab es da wohl ein kleines Problem. Nachtrag zu Google ist nicht Google: heise online klärt auf: Update: Kaperung von google.de.

Schon wieder live

Noch eine Live-Linux-CD, die interessant klingt: INSIDE - Inside Security Rescue Toolkit.

GEZ Erwischt

Jetzt haben sie mich doch erwischt. Dumm nur, dass der Virenscanner nichts zu dem Attachment 1.zip sagt. Ausgepackt gibt es die Datei GEZ_Rechnung.pdf.exe und Kaspersky sagt eindeutig, dass es sich hier um TROJ_DOWNLOADER.WIN32.Nurech.w handelt. Die Analyse dazu auf CWSandbox ist auch sehr aufschlussreich.

Google ist nicht Google

Was ist das denn nun:

naegele@angua:~> nslookup www.google.de
Server:         212.21.161.64
Address:        212.21.161.64#53

Non-authoritative answer:
www.google.de   canonical name = www.google.com.
www.google.com  canonical name = www.l.google.com.
Name:   www.l.google.com
Address: 209.85.135.147
Name:   www.l.google.com
Address: 209.85.135.99
Name:   www.l.google.com
Address: 209.85.135.103
Name:   www.l.google.com
Address: 209.85.135.104

naegele@angua:~> logout
Connection to localhost closed.
[ralf@ashkente]:/home/ralf > nslookup www.google.de
Server:         84.168.209.140
Address:        84.168.209.140#53

Non-authoritative answer:
www.google.de   canonical name = web1.goneo.de.
Name:   web1.goneo.de
Address: 82.100.220.170

DNS kaputt oder gespooft? Google sieht zumindest im Browser auch nicht mehr wie Google aus ...

Kein Anschluss

Kein Anschluß unter dieser Nummer.

Daneben

Wohl ein IT-Nebeneffekt von Kyrill, auch wenn bis jetzt hier noch kein Sturm-Wurm vorbeiwehte.

Rechnung

Pff, ich habe noch keine Rechnung bekommen (will eigentlich auch keine), genausowenig wie wir alle GEZ wollen.

Der dreifache Hack-Angriff!

Geistert zwar schon länger im Internet in verschiedenen Versionen herum, ist aber trotzdem immer wieder lustig zum lesen: M4tr1x-Trilogie (Der dreifache Hack-Angriff!]

Whoppix heisst jetzt WHAX

Schon wieder ein Déja Vu? Nein, dass hatten wir heute schon, aber Twix hiess früher auch Raider (das musste auch mal gesagt werden). Die Penetrations-Live-Linux Whoppix gibt es seit gestern nicht mehr. Das ganze wurde in WHAX umgetauft und basiert nun nicht mehr auf Knoppix, sondern auf SLAX, eine Slackware-Live-CD.

Auditor ist ebenfalls eine anschauenswerte Penetrations-Live-CD, basierend auf Knoppix.

(Hätte es diese CDs nicht früher geben können? Das hätte mir einiges an Arbeit erspart. Aber andererseits habe ich gerade durch diese Mehrarbeit einiges an Erfahrung gewinnen können. Vielleicht sollte ich mal meine eigene Securitycheck-Live-CD herausbringen?)

Hacking for fun and ...

manchmal können Sicherheitsanalysen im IT-Bereich auch Spass machen und interessant sein, wenn meine knappe Zeit mir dieses Vergnügen gönnt (oder ich mir die Zeit nehmen muss). Aber leider passiert das seit einiger Zeit viel zu selten.

Nicht nur Script Kiddies machen so was

Wie man sieht: heise online - Trojaner spionierte israelische Unternehmen aus, können Trojaner auch aus anderen kriminellen Richtungen kommen, die ein weitaus höheres Schadenspotential haben als die bisher öffentlich bekannten Wurmattacken. Nur werden diese im Unterschied dazu nicht so gerne publiziert, da viele betroffene Firmen sich hier lieber in Schweigen hüllen.

WiFi HotSpots Finder

Vielleicht hätten die Jungs besser den WiFi HotSpots Finder benutzen sollen?

Wardriving - eiskalt erwischt

heise online - WLAN-Surfer bei mutmaßlicher Datenausspähung gestellt

Neue Sober-Variante unterwegs

Seit dem Pfingssonntag nerven viele Spammails mit dumpfen Neonazi-Inhalten. heise Newsticker hat eben eine entsprechende Aktualisierung dazu herausgegeben:
http://www.heise.de/newsticker/meldung/59582
Interessant dazu ist auch das "Analyst diary" von Kasperski: http://www.vir