Weltmarktführer

Es ist schon ein merkwürdiges Gefühl, die Werbung für diesen Film zu sehen Weltmarkführer - Die Geschichte des Tan Siekmann, wenn man bedenkt, dass ich vor Urzeiten auch mal in deren Firmenhallen weilte (für eine Schulung) auf einer Burg in Nordhessen und seither Biodata autorisierter Firewall Trainer (BAFT) Nr. 96-125 bin. Tan Siekmann ist in der Zeit auch schon mal extra zu mir in die Firma eingeflogen (mit eigenem Flugzeug) wegen eines Großkundenprojektes.

Gestolpert bin darüber über den heise Artikel Zehn Jahre Dotcom-Bust: Als die Blase platzte, in dem Biodata eben auch Erwähnung findet. Den Film selbst habe ich noch nicht gesehen, kann mir also darüber auch kein Urteil erlauben.

Vodafone verteilt Schadsoftware

Wer sich über Vodafone das Smartphone HTC Magic bestellt, sollte momentan aufpassen, da Vodafone dieses mit dem Trojaner vorinstalliert ausliefert, welcher sich dann auf allen PCs verteilt, an denen das Smartphone angeschlossen wird. Und der heimische PC wird dadurch Mitglied des Mariposa Botnet: Vodafone distributes Mariposa botnet. Auch wenn das Mariposa Botnet schon am 3.3.2010 dicht gemacht wurde, wirft die Auslieferung des Smartphones mit einem Trojaner ein eher merkwürdigs Bild auf die Qualitätssicherung von Vodafone. Passend dazu auch der heutige Artikel von heise online: Der Smartphone-Bot, der mit dem App-Update kam. Smartphones liefern eine neue und zusätzliche Klasse der Sicherheitsgefährdung.

Und wer nun meint, mit einem "einfachen" Handy wäre er sicherer, der sollte sich den Bericht aus der Fernsehsendung [W] wie Wissen Der gläserne Handy-Nutzer anschauen (dies ist zwar nun nichts Neues, aber ab und an müssen die Leute wohl auch wieder daran erinnert werden).

---

Nachtrag vom 10.03.2010: Nun auch bei heise: Vodafone Smartphone ab Werk mit Bot Mariposa.

Backtrack 4

Da habe ich doch glatt die aktuelle Backtrack-Version verpasst, die es seit dem 9. Januar gibt. Auf eine CD passt das ganze dann wohl nicht mehr.

Update: Legenden-Enden

Wie hier schon kurz beschrieben: Legenden-Enden, folgt nun nochmals die Bestätigung auf heise online über das Ende der Legende über den internen Angreifer: Studie bestätigt das Ende der Legende vom internen Angreifer. Da hat uns wohl allen einer irgendwann mal einen Riesenbären aufgebunden, obwohl mir das schon immer ein wenig supekt vorkam ...

Vorsichtig vor Adobe Reader

Momentan heisst es aufpassen mit dem Adobe Reader, da er nicht ganz wasserdicht. spricht sicher ist: Hack of Adobe Conducted Via Zero-Day IE Flaw. Die Sicherheitslücke wurde anscheinend schon benutzt um das US Corps zu kompromittieren: IE 0-day used to compromise US corps

sendmail 8.14.4 bugfixes

Jaja, der olle sendmail mal wieder: heise online: Sicherheitskorrekturen für Sendmail. Benutzt sendmail wirklich noch jemand?

Update: 2010er Bug in SpamAssassin

Und laut heise online ist von diesem Bug auch GMX betroffen: Jahr-2010-Problem im Spam-Filter von GMX [Update].

2010er Bug in SpamAssassin

Das Jahr 2010 fängt ja gut an. In der Version 3.2.5 von SpamAssassin hat sich ein 2010er Bug eingeschlichen: FH_DATE_PAST_20XX scores on all mails dated 2010 or later. Das gibt extra 3.4 Punkte!

Update: Neue Nessus-Version 4.2

Nach einigen Tests hat mich die neue Nessus-Version 4.2 doch ein wenig enttäuscht. Das ganze braucht zwar keine eigene GUI mehr, ist komplett via Browser in einer schicken Web-Oberfläche zu bedienen, aber einige Probescans haben mich ernüchtert. In den Reports findet man so gut wie keine Informationen mehr, d.h. es werden nur Ereignisse/Ports ab informellen Charakter angezeigt. Weitere vielleicht interessant Informationen, wie offene Ports (auch ohne Sicherheitslücken), findet man nicht im Report. Zudem ist der Start und das Plugin-Update auf ein wenig älteren Rechner extrem langsam.

---

Nachtrag: Offensichtlich zeigt Nessus unterschiedliche Ergebnisse an, je nach dem, ob der Scanner unter Windows oder Linux installiert ist.

Neue Nessus-Version 4.2

Laut heise online ist heute die neue Nessus-Version 4.2 erschienen. Interessanterweise benötigt dieser nun keinen eigenen Client mehr, sondern kann komplett via Browser bedient werden. Allerdings hat mich Nessus bei meinen letzten Scans (wenn auch in einer 3er Version) nicht sonderlich überzeugt, da er nur ca. die Hälfte der offenen Ports und Hosts überhaupt gefunden hatte gegenüber einem reinem nmap-Portscan. Dies hat mich doch ein wenig überrascht, da ich dies so bisher nicht kannte von Nessus.

Die Wahrheit über Passwörter

Hier sagt einer mal etwas zum Thema Sicherheitsratschläge, was unterschwellig schon länger bekannt ist: Für die Katz: Sicherheitsratschläge. Danke Cormac Herley.

zweimal aktualisiert

Knoppix 6.2 Metasploit 3.3

Metasploit verkauft

Das hat mich heute auch etwas überrascht: Rapid7 kauft Metasploit (via Twitter und heise Security)

IPFire

Klingt von der Beschreibung her auch ganz interesant: IPFire.

Aircrack-ng 1.0

Frisch veröffentlicht: Aircrack ng 1.0.

Kriminell

Lesenswert: Trendmicros Analyse eines kriminellen Business-Netzwerkes: A Cybercrime Hub.

Das Schwein im Baum [3]

Wie versprochen hier Bilder vom alten Büro:

Das Schwein im Baum [2]

... ist umgezogen. Fotos (alt vs. neu) gibt's nächste Woche. Ich hatte heute keine Lust mehr (soll wohl heissen: Fortsetzung folgt).

Das Schwein im Baum

nmap 5.00

nmap 5 ist gestern veröffentlicht worden. Mit vielen neuen Verbesserungen. Klingt alles sehr beeindruckend, bleibt leider nur wiedermal der Faktor Zeit.

Warnstufe Gelb

Das ISC hat seine Warnstufe auf gelb erhöht, da auf Websites vermehrt Exploits auftauchen, um MS Office Webkomponenten zu kompromittieren: Vulnerability in Microsoft Office Web Components Control Could Allow Remote Code Execution (the vulnerability is being actively exploited on web sites).

Wieder online

Gut so: Milw0rm ist wieder online.

Zombies voraus

In Texas haben im Januar Hacker Verkehrsschilder gehackt. Die Schilder warnen nun nicht mehr vor den alltäglichen Verkehrsgefährdungen, sondern vor diversen anderen Gefahren: Hackers Warn Texas of Coming Zombie War

Welcome Back

Altgedient und wieder zurück: L0phtcrack ist zurück

Hacker Handle Generator

Wem sein altes Hacker-Handle zu langweilig ist, kann sich hier ein neues Handle erstellen lassen: Hacker Handle Generator. L337 Speak sozusagen. Und wer nur Bahnhof versteht, kann bei Wikipedia nachlesen.

Sichere IT

IT-Security nicht ganz ernst gemeint, aber mit ernstem Hintergrund: sichere IT von Tobias Schrödel, heute live erlebt. Wenn auch für "Spezialisten" nicht unbedingt Neues dabei ist, ist der Vortrag von Tobias Schrödel aber durchaus sehenswert und überaus amüsant.

Hacmebank

Eine eigene Bank zum Hacken: www.hacmebank.com. Für alle, die es üben wollen.

Ineffizienter Kampf

Da muss ich Herrn Joe Stewart zustimmen: Kampf gegen Botnetze weitgehend ineffizient. Das funktioniert so alles momentan nicht richtig.

Legenden-Enden

Endlich das Ende eines lange propagierten Gerüchtes: Studie läutet das Ende der Legende vom internen Angreifer ein. Das ist wohl das Legenden-Enden oder -Ente?

Einspritzung

Das klingt aber fein: SQL-Injection reloaded: Zugriff auf das Betriebssystem. Würde ich ja gerne mal testen, wenn man mir die Zeit lassen würde ...

Neue Linux-FW

Nach ipfwadm, ipchains und iptables folgt nun bald netfilter als neue Firewall für den Linux-Kernel. Und schon wieder mit neuer Syntax. Man ist es ja mittlerweile gewohnt.

Micky-Maus hört Polizeifunk

Prima, was man mit den Beilagen eines Micky-Maus-Heftes so alles anstellen kann: Im "Micky"-Radio läuft Polizeifunk

[Tipp von manu]

Nicht mehr frei

Warum sind viele professionelle Pentester immer noch der Meinung, dass Nessus immer noch ein freies Tools sich IT-Sicherheitsüberprüfung wäre? Es sollte sich mittlerweile herumgesprochen haben, dass dem schon seit längerem nicht mehr so ist.

DC3 Challenge

Bei der DC3 Challenge darf jeder teilnehmen, aber gewinnen können nur US-Amerikaner? Komischer Wettbewerb. Es dürfte sich auch um die einzige .mil-Site handeln, die nach einem Hacker-Handle fragt.

Very Smart

Undurchsichtige Microsoft-DCE-RPC-Netzwerkprotokolle und eine Firewall, die denkt, sie wäre schlau (smart) passen einfach nicht zusammen.

Spamfilter

Gute Spamfilter sind sehr wichtig, wie man hier sieht:

Verseuchung

Zufällig letztens bei einem Test eines AV-Gateways aufgefallen: Viele kommerzielle AV-Gateways erkennen ältere Viren und Trojaner gar nicht mehr. Sober, MyDoom oder ILoveYou? Interessiert den Scanner nicht mehr. Ok, ILoveYou ist immerhin auch schon wieder sieben Jahre alt ... manchmal wird noch nicht mal mehr eicar erkannt. Ich weiß noch nicht, was ich davon halten soll.

referrer spam

Wenn ich mir so meine HTTP-Zugriffe und Statistiken anschaue, dann fallen mir seit geraumer Zeit merkwürde Einträge als Referrer auf mit Websites mit ziemlich eindeutigen Namen. Dieser Referrer-Spam betrifft nur den Hauptwebserver hier, aber zum Glück (noch) nicht die Zugriffsstatistik dieses Blogs. Jetzt muss ich erstmal schauen, wie ich diesen Schrott wieder losbekomme ...

Ach ja, der böse Saffi

Neulich in meiner Mail:

sag mal bitte allen Leuten in deiner liste,
dass sie den Kontakt mit ?Saffi? nicht annehmen sollen,
das ist ein Virus!!!!!! der zerstört die ganze festplatte
und zieht sich die Daten da runter, wenn ihn einer deiner
kontakte erwischt, bist du auch betroffen,weil er sich
durch die liste frisst!!!! also kopier das und schick
es an alle !!!!

Zuerst die Festplatte zerstören und dann die Daten saugen? Das überzeugt mich doch sehr. Was ein Hoax! Auf diese Weise kann man auch einen Kettenbrief verbreiten da genügend diese Mail weiterleiten dürften ...

Schrott

Der McAfee-Scanner nervt, der legt meinen Rechner fast komplett lahm. Wie kann man nur so einen Schrott programmieren? Es wird Zeit für Alternativen.

heise Security twittert

heise Security twittert nun auch schon: heise Security auf Twitter

nmap grafisch

Mist, schon wieder eine veraltete Version vorletzte Woche installiert. Die neue Version ist viel bunter und besser und überhaupt ...

Falscher Alarm

Diese Woche zweimal falschen Alarm gehabt wegen eines vermeintlichen Hackereinbruches bei zwei unterschiedlichen Systemen. Die Vorfälle konnten dahingehen geklärt werden, dass es halt kein böser Hacker war (und auch kein guter) - fast schade eigentlich, denn einen realen Einbruch zur Analyse hatte ich schon lange nicht mehr. Die Erleichterung war aber auf allen Seiten dementsprechend groß.

patchaspatchcan

Das riecht wieder nach viel Arbeit.

Änderung Nessus Plugin Lizenz

In den letzten Tagen bekam ich eine Mail vom Hersteller des Sicherheitsscanners Nessus, in welcher angekündigt wird, dass das bisherige Lizenzmodell für den Bezug der Nessus-Plugins zum 31.7.2008 geändert wird.

Nicht nur bei Kundengesprächen bzgl. Sicherheitsaudits begegne ich immer noch dem Irrglauben, dass Nessus sowas wie Open Source Software und kostenlos wäre. Dies ist aber schon länger nicht mehr so. Nessus selbst als Scanner ist Closed Source, aber frei erhältlich und auch einsetzbar.

Kniffliger wird es eher bei den Plugins, die ja die eigentlichen Sicherheitsüberprüfungen durchführen. Die Plugins bzw. deren Aktualisierung (Feed) waren und sind immer noch lizenzpflichtig, also keineswegs frei und kostenlos erhältlich, ausser für den rein privaten Gebrauch (oder auch für Erziehungs- bzw. Ausbildungsorganisationen). Zusätzlich gab es dann noch für den kommerziellen Bereich die zwei Lizenzformen "Direct Feed" und "Registered Feed". "Direct Feed" kostete 1200 US$ und ermöglichte immer den Bezug der aktuellesten Plugins nach Freigabe von Nessus. "Registered Feed" war die kostenlose kommerzielle Variante dazu, hatte aber beim Bezug der aktuellen Plugins einen Verzug von einer Woche, man war also u.U. nie auf dem aktuellsten Stand.

Nessus hat jetzt seine Lizenzbestimmungen dahingehend geändert, dass der aktuelle Bezug der Plugins für Privatbenutzer kostenlos und ohne Verzug möglich ist als "HomeFeed". Die Version "Direct Feed" wird umbenannt in "ProfessionalFeed" und "Registered Feed" wird es dann zukünftig nicht mehr geben. Und den Scanner selbst darf man weiterhin kostenlos herunterladen. Immerhin!

Seltsam

Ich empfinde es schon als relativ merkwürdig, wenn man zwar als IT-Security-Spezialist hochpreisig verkauft wird, dann aber Meetings zum Thema Perimeter-Security stattfinden, ohne dass man dazu eingeladen wird. Sollte mir das jetzt irgendwie zu denken geben? Eigentlich nicht, zumindest nicht vor dem Urlaub, erst danach wieder.

Hackerhacking

Wo gibt's denn sowas: Hacker hacken Hacking-Tool-Seite.

IT-Security ist out?

Ach so: Security-Projekte verlieren in Unternehmen an Bedeutung. Hat ja fast jeder mittlerweile eine mehr oder minder gut funktionierende Firewall (auch wenn nicht jeder damit umzugehen weiss) und das Drumherum ist ja auch nicht mehr so interessant. Dann müssen die IT-Security-Spezialisten wohl umschulen.

Easy to learn, Easy to work, Easy to root

Was man mit Metasploit und einem Asus Eee PC so alles anstellen kann: ASUS Eee PC rooted out of the box.

Warnung

Das ist nicht so toll: Linux Debian-Schlüssel seit 2006 kompromittiert. Und das betrifft anscheinend auch die diversen Debian-Derivate (Ubuntu usw.). Zum Glück habe ich vor einem Jahr mein Debiansystem komplett zersägt und seither keines mehr im Einsatz ...

Fortsetzung auf CD

Hier eine kleine subjektive Aktualisierung von Knoppix und mehr:

• Backtrack (Backtrack ist aus dem Zusammenschluss von WHAX und Auditor hervorgegangen) *
  
• Knoppicillin *
  
• grml - Linux for geeks
  
• Morphix - A Server Live CD
  
• ZoneCD
  
• BOSS (BSI OSS Security Suite) *
  
• Kanotix
  
• Games Knoppix
  
• EduKnoppix
  
• Damn Small Linux
  
• Pentoo *
  
• Ophcrack *
  
• Inside Security Rescue Toolkit *
  
• Talos *
  
• SystemRescueCD - Systemrettungs-CD mit allen dazu benötigten Tools.
  

* Security-Distros.

Auf Security Distro sind noch einige mehr zu finden.

Immer wieder live

Gestern als Tipp von einem Kollegen bekommen: Pentoo LiveCD - eine Penetrationstesting LiveCD basierend auf Gentoo. Macht auf den ersten Blick einen netten Eindruck. Einziger persönlich-subjektiver Kritikpunkt meinerseits: Kein vi installiert. Und wer benutzt schon nano als Editor unter Linux? :-)

Bruce Schneier sagt, dass die Sicherheit bei uns selbst anfängt

Wo er recht hat, hat er recht: [heise] Sicherheit fängt bei uns selbst an.

Nigeria

Ich kann es einfach nicht glauben:
Nigerianische E-Mail-Betrugsmasche zieht immer noch.

Illegal

Ich würde ja gerne die neue Aircrack-ng-Version testen, aber sowas überhaupt zu besitzen ist ja mittlerweile illegal (geschweige denn es auszuprobieren) ...

Merkwürdige Firewalls

Innerhalb kürzester Zeit (gestern in Düsseldorf und heute in Ludwigshafen) zwei merkwürdige Firewalls erlebt, die einen vernünftigen und korrekten Betrieb einer sinnigen Antispamlösung erfolgreich verhinderten. In beiden Fällen wurden alle aus dem Internet eingehende IP-Adressen bei Mailverbindungen hinter der Firewall maskiert. Damit funktionieren alle DNSRBLs basierten Lösungen oder auch beispielsweise SenderBase überhaupt nicht und die meisten Antispamlösungen sind dadurch einer ihrer stärksten Möglichkeiten gegen die Spamflut beraubt.

Im einen Fall lag es an verkorksten iptables-Einträgen. Der zuständige IT-KruscherDienstleister hatte ein beeindruckend komplexes iptables-Firewall-Script, dass für ausgehende UND eingehende Verbindungen Masquerading macht, nicht im Griff. Für ausgehende Verbindungen Richtung Internet Masquerading kann ich ja noch verstehen, aber aus dem Internet eingehende Verbindungen? Der Sinn hat sich mir da nicht ganz erschlossen. Und auf die Antwort, dass dies ja das Prinzip von NAT bzw. Masquerading wäre, habe ich resigniert und eine andere sichere Lösung realisiert ohne Firewall.

Im zweiten Fall handelte es sich um eine GenuaGate-Firewall, bei der es anscheinend nicht so einfach ist eine transparente SMTP-Verbindung zu der Antispamlösung einzurichten, ohne dass die Firewall immer dazwischen fummelt. Aber immerhin hat sich hier der Herstellersupport als kompetent erwiesen, zumindest hörte es sich am Telefon so an, als ob sie wissen, um was es hier geht.

Bei beiden war lediglich die Konfiguration und Inbetriebnahme einer Antispamlösung beauftragt, was im Regel- und Planfall auch innerhalb kurzer Zeit umgesetzt werden kann. Wenn es dann aber wegen solcher externen Probleme sich extrem in die Länge zieht, man eigentlich weiss warum es so nicht nicht funktionieren kann, aber nicht selbst eingreifen kann (bzw. darf), da dies in die Zuständigkeit der anderen Dienstleister fällt, fällt es mir extrem schwer geduldig zu bleiben (gngngn). Von in diesem Zuge notwendige DNS-Änderungen schreibe ich erstmal nichts (die dauern auch schon drei Tage, ohne dass was passiert ...).

PS: Wie soll man zum Thema NAT auf die Frage reagieren: "Was meinen Sie mit offiziellen IP-Adressen?". Das leben als Dienstleister kommt mir manchmal wie die Hölle vor. Im nächsten Leben werde ich auch Kunde. Dann wird alles besser ;-)

Trends 2008?

Das Thema Reputationssystem ist ja schon seit einiger Zeit beim Thema Antispam im Einsatz, z.B. bei den Antispam-Appliances von IronPort und hat sich hier gut bewährt. In eine ähnliche Richtung geht der Artikel "E-Mail ohne Spam" in der aktuellen iX-Ausgabe 1/2008. Und nachdem nun TrustedSource für Check Points OPSEC zertifiziert wurde, könnte das Thema Reputationssysteme nicht nur bei Antispam ein Trend für 2008 werden. Wenn ich mir allerdings die Website von TrustedSource anschaue, werde ich den Eindruck nicht ganz los, dass dies wie ein Plagiat von IronPorts SenderBase aussieht. Ich kann mich aber auch täuschen ...

Kriminell

Es ist schon merkwürdig, wenn ein Kunden einen Auftrag zum Security-Audit storniert, nur weil seine Juristen der Meinung sind, dass der Kunde selbst sich mit der Auftragserteilung bzw. Durchführung durch einen externen Dienstleister der Beihilfe zu kriminellen Handlungen strafbar macht, wenn er selbst überprüft werden soll. Das haben wir wohl von dem tollen Hackerparagraphen (§202c StGB). Dankeschön ...

heise online schrieb zwar im Oktober Sicherheitsexperten dürfen Hacker-Werkzeuge einsetzen, aber diese Auslegung scheint die betroffenen Anwälte noch nicht erreicht zu haben.

Ratlos

Schlimm, wenn selbst die Experten nicht mehr weiter wissen und mir keine vernünftigen Alternativen bieten können. Nokia Firewall kaputt (HD defekt) und Config geschreddert. Aus dem Hintergrund höre ich eine leise Frage: "Backup?" Hm, ja vielleicht, oder auch nicht ...

Gähn

Spammässig ist momentan alles ziemlich ruhig. Und neue Viren, Trojaner oder anderes schädliches Zeugs zur Analyse gab es auch schon länger nicht mehr. Und das andere IT-Zeugs ist nicht so spektakulär, dass es mich reizen könnte. Langeweile macht sich breit ...

Ehrlich währt am ...

Vielleicht sollte ich auch ein Botnetz aufbauen? Das scheint sich wohl eher zu lohnen als ehrliche Arbeit.

Eindringling

Gestern nach langer Zeit einen erfolgreichen Eindring- versuch bei einer Sicherheits- überprüfung durchführen können mit einem funktions- fähigen Script-Kiddie Exploit (Klick&Run). Und was sehe ich auf dem betreffenden Desktop beim ersten Versuch: Da spielt jemand Karten! Leider habe ich in der Aufregung versäumt davon einen Screenshot zu machen. Der letzte einfache legitime Eindringversuch liegt auch schon Jahre zurück.

Umgezogen

Aha, aufgrund der aktuellen deutschen Rechtsprechung ist Phenoelit umgezogen und zukünftig hier zu finden. Laut eigener Aussage auf der alten Homepage befindet sich der neue Server nun in der freien Welt. Nach www.ip-adress.com zu urteilen, befindet sich der Server in Scottsdale in den USA. Ob er da wohl freier ist oder gleich Besuch von der NSA bekommt?

Update [2]

Seltsam, immer noch kein Update von SUSE zu sehen bzgl. der gefundenen Sicherheitslücke im BIND 9. Und entgegen der Meldung von heise gibt es zumindest für Debian auch noch kein Update.

Strafbar

Soweit sind wir schon ...

Wurm ahoi

Da kam doch heute folgende Mail an:

Date: Mon, 9 Jul 2007 10:16:13 -0400
From: Customer Support Robot <yuo@zianet.com>
To: <me>
Subject: Spyware Detected!

Dear Customer,

Our robot has detected an abnormal activity from your IP adress
on sending e-mails. Probably it is connected with the last epidemic
of a worm which does not have official patches at the moment.

We recommend you to install this patch to remove worm files
and stop email sending, otherwise your account will be blocked.

Customer Support Robot

Da bekomme ich aber Angst! Den ominösen Patch habe ich mir mal zur näheren Untersuchung heruntergeladen.

Links

Mail-Contentfilter testen, ob sie was taugen: Pirana - basiert auf Metasploit und macht auf den ersten Blick und Test einen guten Eindruck.

Phrack is back

Phrack is back schreibt heise Security am 11.6.2007. Scheint, dass ich das wohl nicht mitbekommen habe. Die aktuelle Ausgabe #64 befindet sich auf dem Server von Phrack. Ein Mirror bis Ausgabe #63 befindet sich lokal hier.

Links

• Google Security Blog
  
• IronPort Threat Operations Center - Interessant, aber zuwenig Hintergrundinfos für meinen Geschmack
  
• IronPort SenderBase in der neuen Version. Die geographische Lokalisierung klappt über die Webansicht seltsamerweise noch nicht, obwohl die Daten in SenderBase vorhanden sind.
  

Virus und Trojaner

Komisch, seit ich hier seit diesem Jahr auch die Mails von einem Kollegen hoste, bekommt der sehr häufig Viren und Trojaner (meldet mir zumindest ClamAV). Und ich bekomme so gut wie nix. Wie macht der das nur?

Bundestrojaner [2]

Das musste ja irgendwann so kommen: Virenmail mit Verweis auf Bundestrojaner. Danke Herr Schäuble.

Bundestrojaner

Über diese ganze Diskussion um Herrn Schäuble und den Bundestrojaner frage ich mich, wie das technisch realisiert werden soll. Gibt es dann einen für jedes Betriebssystem oder bleiben die Linux- und Mac-Anwender erstmal aussen vor und es werden nur die Windows-Leute bundestrojanisiert? Speziell unter Linux dürfte so ein Trojaner zu entwickeln eine Herausforderung darstellen. Ich kenne zwar einige Rootkits unter Linux, aber spätestens beim Kernel-Patch oder Update haben die immer versagt und sind aufgeflogen.

BackTrack in der Presse

In der aktuelle iX wird die aktuelle BackTrack-Live-CD vorgestellt.

Gefährliches Surfen

Dass Surfen gefährlich ist, hatten wir ja schon immer geahnt. Ich kenne da auch ein paar nette Sites, nicht nur in Russland oder anderen Exoten-Staaten ...

Hölzernes Pferd für den Pinguin

Über einen Eintrag bei monra über den Bundestrojaner gestolpert und als ordentlicher Bürger gleich versucht zu installieren. Seltsamerweise funktioniert der irgendwie nicht richtig unter Linux ;-)

Vorurteile

Bestätigt wieder mal gewisse Vorurteile.

Verschlüsselt

Wie schon mal hier erwähnt und eben getestet. Die Linux-Version Hamachi ausgepackt, konfiguriert und läuft. Klein, aber praktisch.

Wieder nix

Leider hier nix angekommen. Dafür auf dem "Nachbar-Account" auf diesem Server. Und das gleich dreimal. Manche Leute ziehen es einfach magisch an, das Unheil, tsts. SpamAssassin hat sie als Spam erkannt und ClamAV hat sie alle unschädlich gemacht.

Scan as Scan can

Wenn sog. "Vulnerability Scanner", wie Nessus alte Sicherheitslücken, wie z.B. Bufferoverflow bei POP3-Daemons (Qualcomm Popper 2.2/2.4) nicht (mehr) erkennen, macht mich das ein wenig nachdenklich bzgl. der generellen Ergebnisse von Analysen, welche ich in der Vergangenheit mit Nessus durchgeführt habe. Offensichtlich geht halt doch nichts über ein gutes Stück Handarbeit und Erfahrung, egal wie die Scanner heissen mögen.
[Nachtrag: Achja und dass bei der BackTrack-LiveCD kein Nessus dabei ist (wg. der aktuellen Lizenzform von Nessus) hat mir auch ein Stirnrunzeln entlockt. Dafür ist der kommerzielle GfI-LANGuard-Scanner dabei, von dem ich nicht wusste, dass es diesen auch für Linux gibt (mal abgesehen davon, dass der mich auch nicht sonderlich begeistert.]

Massiv Phishing

Stark erhöhter Phishing-Eingang hier seit einigen Tagen. ClamAV ist ziemlich oft am meckern.

Raucher als Gefahr?

heise meldet Raucher als Gefahr für Unternehmenssicherheit und Nichtraucher sind wohl Steuerhinterzieher?

Finger weg

Autsch!

Camping 2007

Chaos Communication Camp 2007 hier.

Schneller (Re: Neu)

Die neue PuTTY-Version kommt mir um einiges schneller vor wie vorher, vor allem beim Verbindugsaufbau.

Pandemie

Mein Viertel nicht.

Neu

Neuer PuTTY downloaden ...

Google-Nachtrag

Wie Omega schon richtig bemerkte, gab es da wohl ein kleines Problem. Nachtrag zu Google ist nicht Google: heise online klärt auf: Update: Kaperung von google.de.

Schon wieder live

Noch eine Live-Linux-CD, die interessant klingt: INSIDE - Inside Security Rescue Toolkit.

GEZ Erwischt

Jetzt haben sie mich doch erwischt. Dumm nur, dass der Virenscanner nichts zu dem Attachment 1.zip sagt. Ausgepackt gibt es die Datei GEZ_Rechnung.pdf.exe und Kaspersky sagt eindeutig, dass es sich hier um TROJ_DOWNLOADER.WIN32.Nurech.w handelt. Die Analyse dazu auf CWSandbox ist auch sehr aufschlussreich.

Google ist nicht Google

Was ist das denn nun:

naegele@angua:~> nslookup www.google.de
Server:         212.21.161.64
Address:        212.21.161.64#53

Non-authoritative answer:
www.google.de   canonical name = www.google.com.
www.google.com  canonical name = www.l.google.com.
Name:   www.l.google.com
Address: 209.85.135.147
Name:   www.l.google.com
Address: 209.85.135.99
Name:   www.l.google.com
Address: 209.85.135.103
Name:   www.l.google.com
Address: 209.85.135.104

naegele@angua:~> logout
Connection to localhost closed.
[ralf@ashkente]:/home/ralf > nslookup www.google.de
Server:         84.168.209.140
Address:        84.168.209.140#53

Non-authoritative answer:
www.google.de   canonical name = web1.goneo.de.
Name:   web1.goneo.de
Address: 82.100.220.170

DNS kaputt oder gespooft? Google sieht zumindest im Browser auch nicht mehr wie Google aus ...

Kein Anschluss

Kein Anschluß unter dieser Nummer.

Daneben

Wohl ein IT-Nebeneffekt von Kyrill, auch wenn bis jetzt hier noch kein Sturm-Wurm vorbeiwehte.

Rechnung

Pff, ich habe noch keine Rechnung bekommen (will eigentlich auch keine), genausowenig wie wir alle GEZ wollen.

Der dreifache Hack-Angriff!

Geistert zwar schon länger im Internet in verschiedenen Versionen herum, ist aber trotzdem immer wieder lustig zum lesen: M4tr1x-Trilogie (Der dreifache Hack-Angriff!]

Whoppix heisst jetzt WHAX

Schon wieder ein Déja Vu? Nein, dass hatten wir heute schon, aber Twix hiess früher auch Raider (das musste auch mal gesagt werden). Die Penetrations-Live-Linux Whoppix gibt es seit gestern nicht mehr. Das ganze wurde in WHAX umgetauft und basiert nun nicht mehr auf Knoppix, sondern auf SLAX, eine Slackware-Live-CD.

Auditor ist ebenfalls eine anschauenswerte Penetrations-Live-CD, basierend auf Knoppix.

(Hätte es diese CDs nicht früher geben können? Das hätte mir einiges an Arbeit erspart. Aber andererseits habe ich gerade durch diese Mehrarbeit einiges an Erfahrung gewinnen können. Vielleicht sollte ich mal meine eigene Securitycheck-Live-CD herausbringen?)

Hacking for fun and ...

manchmal können Sicherheitsanalysen im IT-Bereich auch Spass machen und interessant sein, wenn meine knappe Zeit mir dieses Vergnügen gönnt (oder ich mir die Zeit nehmen muss). Aber leider passiert das seit einiger Zeit viel zu selten.

Nicht nur Script Kiddies machen so was

Wie man sieht: heise online - Trojaner spionierte israelische Unternehmen aus, können Trojaner auch aus anderen kriminellen Richtungen kommen, die ein weitaus höheres Schadenspotential haben als die bisher öffentlich bekannten Wurmattacken. Nur werden diese im Unterschied dazu nicht so gerne publiziert, da viele betroffene Firmen sich hier lieber in Schweigen hüllen.

WiFi HotSpots Finder

Vielleicht hätten die Jungs besser den WiFi HotSpots Finder benutzen sollen?

Wardriving - eiskalt erwischt

heise online - WLAN-Surfer bei mutmaßlicher Datenausspähung gestellt

Neue Sober-Variante unterwegs

Seit dem Pfingssonntag nerven viele Spammails mit dumpfen Neonazi-Inhalten. heise Newsticker hat eben eine entsprechende Aktualisierung dazu herausgegeben:
http://www.heise.de/newsticker/meldung/59582
Interessant dazu ist auch das "Analyst diary" von Kasperski: http://www.viruslist.com/en/weblog
Selbst die Tagesschau schreibt in ihrer Meldung Neue Sober-Variante - Vorsicht, Spam mit Neonazi-Propaganda über den Trojaner.

Auf meinem Firmenmail-Account treffen bis heute einige von diesen Mails ein. Ich versuche unserem SpamAssassin beizubringen, dass er diese erkennt und als Spam taggt, aber die Bayes-DB greift leider nur teilweise. Deswegen habe ich die gängigen Subjects in einer Blackliste zusammengefasst:

• Mehr fuer Auslaender als fuer Deutsche tun
  
• Auslaender bevorzugt
  
• Transparenz ist das Mindeste
  
• Paranoider Deutschenmoerder
  
• The Whore Lived Like a German
  
• Graeberschaendung auf bundesdeutsche Anordnung
  
• Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
  
• Hier sind wir Lehrer die einzigen Auslaender
  
• Tuerkei in die EU
  
• Auf Streife durch den Berliner Wedding
  
• Deutsche Buerger trauen sich nicht
  
• Dresden 1945
  
• 4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
  
• Du wirst zum Sklaven gemacht
  
• Gegen das Vergessen
  
• Schily ueber Deutschland
  
• Auslaenderpolitik
  
• S.O.S Kiez! Polizei schlaegt Alarm
  
• Blutige Selbstjustiz
  
• Vorbildliche Aktion
  
• Trotz Stellenabbau
  

Das funktioniert bis jetzt ganz gut, wenn auch ab und an trotzdem eine einzelne Spammail durchrutscht, weil ein neues Subject auftaucht

Auf meinem privaten Mailaccount bin ich glücklicherweise bis jetzt diesen Spams bisher verschont geblieben, zur Zeit kommen nur die üblichen Viagra/Valium/Cialis-Mails an und lassen sich zum Glück auch wiederspruchslos ausfiltern :-)