Web Security Blog

(ISC)2 SecureZürich Conference 2015

Zerberos hat an der SecureZürich Conference 2015 in Dübendorf teilgenommen. Interessante Begegnungen und Vorträge haben zu einem gelungenen Tag beigetragen. Keynote Address: Changing Approach to Security: A Pro-active Approach to the Adversary Tracy Varnum Strategic Manager, HP Enterprise Security Services, EMEA S1: Secure the Breach – Face reality as it is, not as it was or … Weiterlesen …

E-Banking Trojaner „Dyre“: Rasche Verbreitung

Im Februar 2015 hat die Melde- und Analysestelle Informationssicherung MELANI vor dem E-Banking Trojaner “Dyre” gewarnt, welcher Schweizer KMUs im Visier hat. In den vergangenen Wochen wurden MELANI täglich mehrere hundert Neuinfektionen in der Schweiz gemeldet. Mittlerweile sind nicht mehr nur KMUs betroffen, sondern vermehrt auch Privatanwender. Ist ein Computer mit dieser Schadsoftware infiziert, werden … Weiterlesen …

Penetration Test

Was ist ein Penetration Test (auch Penetrationstest oder Pentest)? Bei einem Penetrationstest werden einzelne Systeme oder ganze Netzwerke einer Sicherheitsprüfung unterzogen. Ziele eines Penetrationstests sind: die Identifikation von Schwachstellen, das Aufdecken potentieller Fehler, die sich aus der (fehlerhaften) Bedienung oder Konfiguration ergeben die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene und die Bestätigung des … Weiterlesen …

Studie findet 40’000 verdächtige Online Banking Apps

Mobile Banking Apps werden immer häufiger eingesetzt um Kontodaten abzurufen und Überweisungen zu machen. Unglücklicherweise werden solche Apps immer mehr von Kriminellen erstellt oder missbraucht. Einer Studie von RisiQ ist zu entnehmen dass 40’000 von 350’000 Apps welche mit online Banking in Verbindung zu bringen sind Malware oder verdächtigen Code beinhalten. Die Hälfte dieser Apps … Weiterlesen …

XSS Sicherheitslücke betrifft viele WordPress Plugins

Viele WordPress Plugins sind mit Cross Site Scripting (XSS) angreifbar weil im Code add_query_arg() und remove_query_arg() Funktionen falsch verwendet wurden. Diese Funktionen sind in WordPress Erweiterungen oft von Entwicklern verwendet worden um Query Strings zu bearbeiten und hinzuzufügen. Da die offizielle WordPress Dokumentation (Codex) diese Funktionen nicht ausreichend klar dokumentiert hat wurden sie von Entwicklern … Weiterlesen …

Weitere französische TV Station gehackt

Bei einem Angriff auf France Télévision konnten hacker mehr als 100’000 Datensätze mit persönlichen Daten stehlen. Die Daten beinhalten Namen, Adressen, E-Mail Adressen und/oder Telefonnummern, aber anscheinend keine Passwörter oder Finanzdaten. Die TV Station warnt die Betroffenen vor allfälligen Phishing-Angriffen. Die Angreifer scheinen auch aus der Linker Squad zu stammen welche auch bereits für die … Weiterlesen …

Sicherheitsprüfung Webshop & E-Commerce

In einer Vorbesprechung mit Ihnen klären wir den zu erwartenden Umfang der Sicherheitsprüfung Ihres Webshops, die Risiken welchen Sie ausgesetzt sind und die Bedeutung des Shops und der Website für Ihr Business. Ist der Webshop für Ihr Business essentiell? Wie lange kann der Webshop maximal offline sein? Was würde der Verlust von Kundendaten bedeuten? Wie ist … Weiterlesen …

Freak Attack

Beim Freak Angriff wird dem Client bei einer SSL Verbindung eine schwache Verschlüsselung aufgezwungen welche sich einfach knacken lässt. Zudem können bei entsprechend konfigurierten Servern die privaten Schlüssel abgegriffen werden – so kann sich ein Angreifer als eben diese Seite ausgeben. Ein Server ist verwundbar wenn er die RSA_EXPORT Cypher Suiten anbietet oder wenn er … Weiterlesen …

Zerberos im Beobachter

Andriu Isenring von Zerberos ist “Der Spion im Starbucks” Immer öfter surfen Leute auf öffentlichen Netzwerken von Cafés, Hotels oder ­der SBB. Ohne zu wissen, wie gefährdet die Daten auf ihren Laptops und Smartphones dabei sind. Er schaut nach links, er schaut nach rechts. Dann öffnet Andriu Isenring seine Ledertasche. Zwischen Kabelgewirr und Geldbeutel steckt … Weiterlesen …

Siemens iOS Apps für Industriesteuerung: Sicherheitslücken geschlossen

Die Apps von Siemens dienen zur Steuerung von Industrieanlagen (das zu steuerndeSCADA-System WinCC  wird u.a. auch in Atomkraftwerken verwendet) – und wiesen einige Sicherheitslücken auf: so konnte das Passwort welches beim Start der Apps abgefragt wurde aus dem Gerät extrahiert werden, ebenfalls die Zugangsdaten zum Sm@rtServer mit welchem die App verbindet: Vulnerability 1 (CVE-2014-5231) The existing … Weiterlesen …

Schwachstellen in NTP

Das NTP Protokoll (Network Time Protocoll) weist gravierende Schwachstellen auf. Mit Pufferüberläufen lassen sich NTP Pakete so manipulieren dass Code mit den Berechtigungen des NTP Services auf dem Server ausgeführt werden können. Entsprechende Updates wurden bereits in einigen Distributionen veröffentlicht >> Details

SoakSoak greift WordPress Seiten an

Die bereits seit längerem bekannte Lücke im Slider Revolution Plugin ist immer noch auf vielen Sites vorhanden – ein neuer Angriff zielt auf entsprechende Webseiten. Der Angriff heisst SoakSoak weil er Code von soaksoak.ru lädt, anschliessend liest er Informationen über den Webserver aus und greift Webseiten und User an. Slider Revolution sollte mindestens auf Version … Weiterlesen …

POODLE killt SSL V3

Eine Schwachstelle im Design der SSL V3 Verbindung erlaubt Angreifern den Inhalt von SSL V3 Verbindungen zu entschlüsseln. SSL V3 ist 18 Jahre alt, wird aber immer noch breit unterstützt. Auch wenn neuere Protokolle zur Verfügung stehen ist oft SSL V3 als Fallback implementiert, Angreifer können also TLS Verbindungen stören um einen Fallback zu SSL V3 … Weiterlesen …

Wir testen Ihre Website auf Shellshock

Lassen Sie Ihre Website(n) jetzt testen und erfahren Sie ob die Website oder Ihr Web Hosting anbieter anfällig ist auf Shellshock oder Bash Bug. Falls Ihre Website anfällig ist können Hacker beliebige Kommandos auf Ihrer Website ausführen – und somit Ihre Website abändern oder von Ihrer Website aus andere Webseiten angreifen. Auch der Versand von … Weiterlesen …

Berserk trifft Firefox und Chrome

In den Web-Browsern Chrome und Firefox kann eine Schwachstelle in der Sicherheitsbibliothek ausgenutzt werden, um RSA-Zertifikate zu fälschen. Angreifer konnten so eine sichere Verbindung mit Websites vortäuschen obwohl eigentlich die Website der Angreifer aufgerufen wird.   Google und Mozilla haben heute Updates für ihre Browser veröffentlicht. Details bei mozilla.org

Shellshock Bash Sicherheitslücke

“Shellshock” (CVE-2014-6271) soll so gefährlich wie “Heartbleed” sein – oder gefährlicher. Viele Linux Distributionen haben heute bereits ein Update veröffentlicht dass die Lücke schliessen soll. Wenn Sie selbst über ein Unix oder Linux System – oder einen Mac Computer – können Sie einfach testen ob Ihr System angreifbar ist: geben Sie dazu auf der Kommandozeile … Weiterlesen …

Sicherheitsprüfer bieten Truecrypt 7.1a zum Download an

Das Open Crypto Audit Project (OCAP) hat via Github.com Truecrypt 7.1a zum Download veröffentlicht. Das OCAP ist ein Team bekannter Sicherheitsexperten, das die Verschlüsslungssoftware seit längerem einer detaillierten Prüfung unterzieht. Bisher wurden keine gravierenden Mängel entdeckt. Vor kurzem gaben die unbekannten Truecrypt-Macher bekannt, das Projekt nicht weiterzuverfolgen. Eine detaillierte Begründung lieferten sie nicht. Es wurde deshalb spekuliert, ein … Weiterlesen …

Kosten von Cybercrime

Die internationale Cyberkriminalität führt weltweit zu Schäden von rund 330 Milliarden Euro pro Jahr. Das ergab eine Studie des Center for Strategic and International Studies. Die Verluste machen etwa fünf bis acht Prozent des weltweiten Bruttoinlandsproduktes aus. Dabei handele es sich gemäss den Autoren der Studie um eine Schätzung. Man schliesse jedoch nicht aus, dass … Weiterlesen …

Heartbleed

Der Heartbleed-Bug ist ein schwerwiegender Programmfehler in älteren Versionen der Open-Source-Bibliothek OpenSSL, durch den über verschlüsselte TLS-Verbindungen private Daten von Clients und Servern ausgelesen werden können. Der Fehler betrifft die OpenSSL-Versionen 1.0.1 bis 1.0.1f und wurde mit Version 1.0.1g am 7. April 2014 behoben. Ein großer Teil der Internetdienste, darunter auch namhafte Websites wie auch VoIP-Telefone, Router und Netzwerkdrucker waren dadurch für Angriffe anfällig. Beim Einsatz von … Weiterlesen …

RSA hat mit NSA zusammengearbeitet

Schon lange ist eigentlich bekannt dass RSA Verschlüsselungsprodukte eine Backdoor – abgesprochen mit der NSA – aufweisen. Dies wurde nun von offizieller Seite bestätigt, eine Erklärung warum aber offensichtlich unsichere Verschlüsselungsprodukte über Jahre weiter verkauft wurden gab Art Coviello von RSA nicht. An der RSA Conference 2014 trat auch Scott Charney von Microsoft auf, er … Weiterlesen …

Stiftung Warentest: Datenschutz bei WhatsApp & Co

Die Stiftung Warentest hat Chat Programme für Mobilgeräte auf Datenschutz-Kriterien geprüft, hier die Resultate in Kurzform Whatsapp: sehr kritisch Threema: unkritisch Telegram: kritisch Blackberry Messenger: sehr kritisch Line: sehr kritisch Den Resultaten entsprechend sollte WhatsApp nicht mehr genutzt werden – Threema ist zur Zeit eine weit sicherere Alternative. Den vollständigen Artikel finden Sie hier.  

Fehlerhafte SSL/TSL Implementierung bei Apple

Durch fehlerhaften Code konnten angeblich verschlüsselte Verbindungen auf Apple Geräten ausgehebelt werden – die Schlüssel wurden nicht korrekt kontrolliert, so wurden auch falsche Schlüssel für eine Verbindung akzeptiert. Es ist nicht bekannt wie lange der Fehler schon besteht und in welchem Umfang er ausgenutzt wurde. Details sind hier zu finden. Hier der Code mit dem … Weiterlesen …

Schnüffelnde LG Fernseher

Ein britischer Blogger berichtet dass er den Datenverkehr seines LG Fernsehers analysiert hat. Der Fernseher sendet anscheinend Informationen über das gerade laufende Programm sowie Programmwechsel unverschlüsselt an den Hersteller, egal ob der Menupunkt zum Einverständnis zur Datenübertragung aktiviert ist oder nicht. Möglicherweise tritt dieses Verhalten nur bei Fernsehern mit Firmware für UK auf. Die Daten … Weiterlesen …

Tracking mit Cache Cookies

Für das Tracking von Usern im Web werden seit längerem auch andere Methoden als Cookies verwendet. Eine auf diese Techniken spezialisierte Firma ist KISSmetrics. Diese Firma verwendet auch Long Term Tracking, das heisst es lässt sich nach einem Kaufabschluss rückwirkend verfolgen was der User vor diesem Kaufabschluss auf der Website gemacht oder angeschaut hat – … Weiterlesen …

Anonymous hat monatelang Zugriff auf US Regierungsserver

Die Nachrichtenagentur Reuters berichtet dass die Hackergruppe Anonymous jahrelang Zugang auf US Regierungsserver hatte. Der betroffene Server wurde über eine Sicherheitslücke in Cold Fusion angegriffen. Auf dem Server lagen persönliche Informationen von mehr als 100’000 Mitarbeitern sowie Angehörigen. Eine Beschreibung der Sicherheitslücke befindet sich hier.

Die 100 häufigsten Passworter bei Adobe Konten

Die folgende Liste zeigt die am 100 häufigsten Passwörter der vor einiger Zeit gehackten Adobe Konten. Zwar ist noch nicht bekannt wie genau von einem verschlüsselten Passwort das Klartext-Passwort errechnet werden kann, aber viele User haben im Reminder Feld direkt das Passwort eingegeben. Die Genauigkeit der Liste lässt sich so nicht wirklich prüfen, sollte aber … Weiterlesen …

Ethical Hacking

Was ist Ethical Hacking? Ein Ethical Hacker greift ein System im Auftrag der Besitzer dieses Systems an um die Sicherheit des Systems zu prüfen. Mit den Resultaten eines sogenannten Penetration Tests oder Pentest kann der Auftraggeber anschliessend die Sicherheit seiner Webserver und Webapplikation verbessern. Zerberos mit Sitz in Zürich in der Schweiz bietet solche Penetrationstests … Weiterlesen …

Hacker

Das Wort “Hacker” wird umgangssprachlich meist verwendet um jemanden zu bezeichnen der in fremde Computer oder Netzwerke eindringt. “Hacker” wird aber auch verwendet für Menschen die sich mit Computern überdurchschnittlich gut auskennen, Lösungen für Probleme im Zusammenhang mit Computern suchen und sich intensiv mit der Materie beschäftigen. Im Bezug auf die Sicherheit von Netzwerken und … Weiterlesen …

Adobe: 2.9 Millionen Kundenkonten gehackt

Adobe teilte gestern mit dass Hacker Zugriff auf Server von Adobe erlangt haben “Our investigation currently indicates that the attackers accessed Adobe customer IDs and encrypted passwords on our systems. We also believe the attackers removed from our systems certain information relating to 2.9 million Adobe customers, including customer names, encrypted credit or debit card numbers, … Weiterlesen …

NIST will Sicherheit von SHA-3 schwächen

Das National Institute for Standards and Technology (NIST) ist  in der Kritik: Die US-Behörde soll versuchen, die Sicherheit der kryptografischen Hashing-Funktion SHA-3 herabzusetzen, bevor diese als Standard etabliert ist. So jedenfalls sehen das einige Forscher. Sie beziehen sich dabei auf eine Präsentation, die NIST-Kryptologe John Kelsey im August auf dem CHES 2013 Workshop gehalten hatte. Kelsey hatte darin … Weiterlesen …

Mehr Sicherheit in WordPress 3.7

Nachdem viele WordPress durch Sicherheitslücken angegriffen und für DDos Attacken missbraucht wurden verspricht nun die kommende Version 3.7 Verbesserungen vor allem im Sicherheitsbereich. So sollen Aktualisierungen künftig automatisch eingespielt werden. Auch verwendete Sprachpakete sollen automatisch heruntergeladen und installiert werden. Nach einem Update wird ein Mail an den Admin verschickt um über das Update und allfällige … Weiterlesen …

Kostenloses E-Mail Zertifikat

Über den Zertifikatsanbieter COMODO können Sie einfach, schnell und kostenlos ein E-Mail Zertifikat erhalten. Dieses Signiert Ihre E-Mails so dass die Empfängerschaft sicher sein kann dass die Nachricht von Ihnen ist, zudem ermöglicht es eine Verschlüsselung der E-Mails die Sie senden.

Nachrichtendienst des Bundes: Mängel bei der Informatiksicherheit

Die Geschäftsprüfungsdelegation hat den Datendiebstahl vom Frühling 2012 untersucht und den entsprechenden Bericht abgeliefert. Daraus geht hervor dass der Nachrichtendienst des Bundes technische und organisatorische Massnahmen für den Grundschutz seiner Informatik nicht getroffen hat. Im Bericht wird insbesondere die NDB Leitung kritisiert – es besteht anscheindend in der Führung ein mangelndes Verständnis für Vorschriften und … Weiterlesen …

Tor ist nicht so sicher wie Sie vielleicht denken

Ein aktuelle Recherche welche an der 20ten ACM Computer und Communications Security Konferenz CSCS 2013 in Berlin im November vorgestellt werden soll hat demonstriert dass Tor User im Verlauf der Zeit mit einer hohen Genauigkeit identifiziert werden können. Tor  – the Onion Router – ist eine Methode um das Internet anonym nutzen zu können. Das … Weiterlesen …

Browser Passwort Speicherung unsicher

Eigentlich ist es ja längst bekannt dass im Browser gespeicherte Passwörter sehr einfach im Klartext auslesbar sind, zumindest wenn kein Master-Passwort gesetzt wird. RaiderSec hat nun die aktuellen Browser unter die Lupe genommen und beschreiben wie die Passwörter gespeichert werden und wie sie ausgelesen werden können. How Browsers Store Your Passwords (and Why You Shouldn’t … Weiterlesen …

Passwort Cracker knackt Passwörter mit 55 Zeichen

Eine der weltbesten Passwort Cracker Software wurde noch besser und ist nun fähig, Passwörter mit bis zu 55 Zeichen und Algorythmen wie TrueCrypt 5.0+, LastPass und Samsung Android Password/PIN zu knacken. Die neueste Version von hashcat, oclHashcat-plus v0.15 wurde am Wochenende veröffentlich – die Arbeit von 6 Monate und 618,473 modifizierten Zeilen Source Code. Die … Weiterlesen …

NSA Einbruch in Videokonferenzsystem der Vereinten Nationen UN

Die NSA hat im Juni 2012 die Verschlüsselung des Videokonferenzsystemes der Vereinten Nationen im Hauptquartier in New York geknackt. Innerhalb drei Wochen wurden 458 Kommunikationsvorgänge entschlüsselt Entsprechende Informationen wurden in den Dokumenten von Edward Snowden gefunden. In den Unterlagen befanden sich auch detaillierte Pläne der neuen Büros der UN, mit Vergrösserungen der Bereiche wo sich … Weiterlesen …

Facebook “Globaler Bericht über Regierungsanfragen”

Der Facebook Bericht über Regierungsanfragen zeigt dass aus der Schweiz nur 32 Anfragen betreffend  32 Usern (von denen 13% beantwortet wurden) eingetroffen sind. Aus den USA sind 12’000 Anfragen eingegangen, also 275x mehr als aus der Schweiz – und das bei bei 40x mehr EinwohnerInnen. Die Anzahl an bearbeiteten Anfragen beträgt 79% – also ein weitaus … Weiterlesen …

justdelete.me hilft nicht mehr benötigte Daten zu löschen

Veraltete und nicht mehr aktualisierte Profile bei öffentlichen Social Sites werfen nicht nur ein schlechtes Bild auf das Business, sondern können eventuell auch sicherheitsrelevante Informationen beinhalten. Die Website justdelete.me hilft beim Löschen solcher Profile mit genauen Anleitungen. Interessant auch dass bei vielen Anbietern die Profile gar nicht mehr gelöscht werden können (schwarz markiert im Screenshot … Weiterlesen …

Hacker versteckt Code in der Open Source Lizenzdatei

Bösartiger Code auf einem Webserver kann sehr klein sein – die Wirkung aber sehr gross. Einige Zeilen Code in einer PHP Datei kann genügen damit die Hacker jeden gewünschten Befehl ausführen können. Damit der Code nicht leicht gefunden wird werden oft unübliche “Verstecke” gefunden – zum Beispiel in einer Lizenzdatei des Open Source Content Managements … Weiterlesen …

Gehackte Alltagsgeräte

Letztes Wochenende hat ein Paar in Texas festgestellt dass das Baby-Überwachungsgerät im Kinderzimmer gehackt worden war. Eine lokale TV Station berichtete dass das Paar eine unbekannte Stimme aus dem Kinderzimmer hörte welche obszöne Flüche von sich gab. Das Paar steckte das Gerät umgehend aus. Wie sicher sind solche ans Internet angeschlossene Haushaltsgeräte? Nicht sehr sicher … Weiterlesen …

Google Safe Browsing

Zwei der grössten online Bedrohungen sind schädliche Software welche die Kontrolle über Ihren Computer übernehmen kann, und Phishing Angriffe welche Sie dazu bringen wollen Passwörter oder andere vertrauliche Informationen an Hacker zu übermitteln. 2006 hat Google das Safe Browsing Programm gestartet um Webseiten welche schädliche Software beinhalten oder Phishing betreiben zu identifizieren. Google warnt Sie … Weiterlesen …

Suchmaschine für Source Code

Alte, angreifbare Versionen von Standarsoftware lässt sich oft durch eine Versionsnummer in HTML Code finden. Sogenanntes “Google Hacking” wird auch verwendet um Administrationsinterfaces und Passwortdateien zu finden. Die Suchmaschine NerdyData speichert den Source Code von Webseiten und macht diesen durchsuchbar – andere Suchmaschinen behalten oft nur den Inhalt der Webseiten. Wenn Sie also spezifisch im … Weiterlesen …

OWASP Top 10 Sicherheitsrisiken auf Webseiten

Das Open Web Application Security Project hat eine neue Ausgabe der OWASP Top 10vorgelegt. Die erstmals vor zehn Jahren veröffentlichte Rangliste der zehn schwerwiegendsten Sicherheitsschwachstellen von Webanwendungen genießt unter Sicherheitsexperten und Webentwicklern einen hohen Stellenwert. Für die neue Rangliste wurden über 500.000 Schwachstellen in mehreren hundert Unternehmen und Tausenden Applikationen beobachtet. Die zehn Risiken für Webentwickler, die laut … Weiterlesen …

Webserver-Rootkit Linux/Cdorked.A befällt auch lighttpd und nginx

Der Antivirenspezialist Eset hat in seinem Blog beschrieben dass das Webserver-Rootkit Linux/Cdorked.A auch lighttpd und nginx angreift. Befallene Webserver leiten die Besucher auf Angriffsseiten von Exploit Kits wie Black Hole um. Bis zu 400 Webserver sollen bereits mit dem Virus infiziert sein. Dabei werden nicht alle Besucher angegriffen, zum Beispiel werden User mit Browsern in den Sprachen Sprache Finnisch, … Weiterlesen …