Veni, Vidi, VISA

Nein.. damit meine ich nicht die Windows-LNK-Lücke oder iTunes Sicherheitslücke, sondern viel unwichtiger.. zumindest für die Medien; für $FIRMA jedoch alles andere als unwichtig.
$ADMIN hat durch einen Hardwareschaden des Routers mal schnell den Austauschrouter konfiguriert. Gab auch so gut wie keine Komplikationen seitens der User was die Authentifizierung betraf. Der war nämlich so gut konfiguriert, dass man sich vom offenem WLAN ohne jegliche weitere Authentifikation ins Intranet der Firma einloggen konnte und auch Zugriff auf die internen Datenbanken hatte. Der Router lief das ganze Wochenende in dieser Konfiguration, weil Freitag und wenig Zeit und Wochenende und so.
Jetzt wurde aus meinem "Mal schnell zwei neue Server aufsetzen, ins Intranet einbinden und konfigurieren" ein "Wir brauchen ein Sicherheitskonzept um gegen alle Eventualitäten abgesichert zu sein!". Meinen Vorschlag den vorhandenen Admin gegen einen Kompetenten auszutauschen um eine brauchbare Grundlage zu haben, überlegen sie sich anscheinend noch. So wie ich das sehe werde ich in dieser Firma noch einige Male beschäftigt sein.

Und - ein viel schwerwiegenderer Bug als diese Peanuts grad eben - mein Bot hat sich heute mit einem Coredump verabschiedet und ich hab vergessen ihn mit ``DEBUG'' zu kompilieren *narf*

➣ Meine Konfigurationsdateien (Irssi, Zsh, Eggdrop, ZNC, ..) ausmisten, ausführlicher kommentieren und wieder online stellen.
➣ Dokumentationen zu einigen Programmen schreiben (Hat mal wer 'ne Tüte Motivation für mich?!).
➣ Den Bot um einige Scripte erweitern (Ja. Mach ich ganzganz sicher_raptor_! Gib Ruhe jetzt :p).
➣ Mein Git-Repo auf dem VServer erstellen/auslagern.
➣ Mein glorreiches "Neue Version von $SOFTWARE verfügbar!"-Script erweitern

Die - bereits vorhandenen - Backupscripte funktionieren problemlos und werden verschlüsselt übertragen/gespeichert, die Securityupdates sind alle eingespielt, die Software optimal konfiguriert und auf dem aktuellsten Stand, die Bannermeldungen (issue{,.net}, motd, .plan, ..) aussagekräftig und informativ, Logins sind ebenfalls nur verschlüsselt möglich, Logins werden mittels cracklib geprüft, Passwörter verfallen nach bestimmter Zeit und wichtige Informationen stehen über RSS und/oder Mailingliste zur Verfügung. Ich musste nur noch zwei Kisten neu aufsetzen, die Dokumentation übergeben, eine kurze Einweisung machen und zum ersten Mal tut es mir schon fast leid das ich hier fertig bin. Und das liegt nicht nur daran das der "Hauptadmin" eine Frau ist.

Wie ich in VServer zu verschenken! schon geschrieben habe, verschenkte Ingate einige VServer und meine Wenigkeit hat einen gewonnen. Die Frage ist jetzt nur was ich auf das Teil alles draufpacken soll. Zur Zeit läuft da lediglich ein BNC und Bot fürs IRC drauf (mal von dem "It works!" Standardapache abgesehen).
Diese Homepage bleibt auf nessen.net gehostet, zumal ich noch am Überlegen bin welche Domain ich für den VServer verwende. Für den Anfang werde ich auf dem VServer lediglich ein GIT-Repo anlegen um meine Dotfiles aktuell zu halten und den Webserver als Spiel-/Testwiese für Alpha-/Beta-/Testing-Versionen verwenden.

Die Mai Ausgabe von Hakin9 gibt es als kostenloses PDF zum Download. Nur mal so btw. ..

Serendipity 1.5.3 has been released, as a security-fix release with no other relevant changes.

A security issue has been discovered by Stefan Esser (http://www.sektioneins.com/index/index.html) during the course of the Month of PHP Security (http://www.php-security.org/). This issue was found in the WYSIWYG-Library Xinha (http://trac.xinha.org/) (that Serendipity uses), and affects certain plugins to Xinha (Linker, ImageManager, ExtendedFileManager, InsertSnippet) which can use a dynamic configuration loader. This loader allows to upload file with arbitrary PHP-Code and thus allows remote code execution, even when not logged in to the Xinha/Serendipity backend.

Due to the seriousness of this bug, we urge everyone to upgrade their installations. People who don't want the hassle of a full upgrade and are not using the mentioned Xinha-plugins actively, can simply delete the file htmlarea/contrib/php-xinha.php, which will render the mentioned plugins and exploits useless.

Thanks to Stefan Esser for reporting this issue to us, and making a quick bugfix possible.

Quelle: board.s9y.org / blog.s9y.org

http://www.gulli.com/news/hacker-bietet-1-5-millionen-facebook-konten-zum-verkauf-2010-04-24

"Kirllos" bietet rund 1,5 Millionen Facebook-Zugangsdaten im Netz zum Verkauf an. Dabei sind die Preise überraschend billig: Für 1000 Konten fordert er zwischen 25 und 45 Dollar. 700.000 Accounts soll Kirllos bereits verscherbelt haben. Ein Ende ist nicht in Sicht.
Schon lange ist es kein Geheimnis mehr, dass soziale Netzwerke wie Facebook und StudiVZ Datenschützern und Verbraucherschützern ein Dorn im Auge sind. Die Skepsis ist nicht unbegründet, denn immer wieder kommt es zu überraschenden Datenlecks, die auf unklare Datenschutzbestimmungen und ein unverantwortliches Verhalten seitens der Nutzer zurückzuführen sind. Auch der neueste Fall lässt zahlreiche Netzaktivisten aufschrecken. Einem Bericht von "PC World" zufolge bietet der russischstämmige Hacker "Kirllos" rund 1,5 Millionen Zugangsdaten des sozialen Netzwerks Facebook zum Verkauf an. Mit Schleuderpreisen versucht der Hacker die Kunden auf seine Seite zu gewinnen. Für Datensätze von 1000 Konten verlangt er nur 25 bis 45 US-Dollar. 700.000 Accounts konnte "Kirllos" auf diese Weise bereits zu Geld machen.

Auf das Angebot des Hackers sei man erstmals in einem bekannten Hacker-Forum aufmerksam geworden. Schnell habe sich die Offerte von "Kirllos" in Kennerkreisen herumgesprochen, da die Preise ungewöhnlich niedrig waren. Während man in der Regel ein bis 20 US-Dollar pro Account einfordere, biete der russischstämmige Hacker die Accounts zu Schnäppchenpreisen an, heißt es. Mit durchschnittlich nicht einmal zwei Cent pro Account sei der Preis in diesem Fall überraschend günstig. Je nachdem, wie viele Freunde die jeweiligen Konten aufzuweisen haben, variiere der Preis der Datensätze. Für die Preisgestaltung sei auch die Aktivität des Nutzers von großer Bedeutung.

Welche Nutzer es getroffen hat, ist noch nicht bekannt. In Anbetracht der Tatsache, dass Facebook derzeit mehr als 400 Millionen Benutzer zählt und der Hacker "Kirllos" im Besitz von 1,5 Millionen Accounts ist, scheint das Ausmaß jedoch überwältigend. Sollten die Angaben stimmen, hätte der Hacker Zugang auf ungefähr jedes 267ste Konto.
Quelle: futurezone.orf.at

Tja.. Ehre wem Ehre gebührt und lernen durch Schmerz. Facebook-User und Konsorten sind mind. genauso lernbefreit wie Mac-User. Eigentlich noch schlimmer! Vom Prinzip her genauso wie die ganzen Kirchentrottelanhänger. Ständig werden neue Missbrauchsfälle publik und trotzdem wird es weiterhin genutzt.

hat mal mein "Mentor" gesagt und recht hat er. Wie immer sind bei Mitarbeiterschulungen die Mitarbeiter nicht sonderlich interessiert; besonders dann, wenn es sich um einen Vortrag handelt, von dem sie denken das dessen Inhalt für sie sowieso nicht wichtig ist. Ergo muss man sie davon überzeugen, dass es notwendig ist das sie einem zuhören. Und was wäre ein besserer Motivator als sich mit einem handgeschriebenem Zettel hinzustellen, einen Benutzernamen aufzurufen und nach der Handmeldung sein Passwort zu nennen?! Einige Mitarbeiter haben Anfangs noch missachtend auf die anderen runtergesehen, allerdings jeder der 18 Mitarbeiter kam an die Reihe. Naja.. fast jeder. Ein paar Benutzernamen hab ich nur nacheinander vorgelesen und mit "Auf die Passwörter gehe ich erst gar nicht ein, weil die Passwörter sogar ein 12 Jähriger cracken könnte!". Aber ich bin ja kein Arsch das gezielt Mitarbeiter niedermacht. Auch der zuständige Admin bekam sein Fett weg, weil sein System solche Passphrasen überhaupt akzeptiert.
Für den danach folgenden Vortrag hatte ich dann auf jeden Fall ungeteilte Aufmerksamkeit. Bleibt nur zu hoffen das sie in Zukunft solche Sachen wie "Ausloggen wenn der Arbeitsplatz verlassen wird", "Bildschirmschoner mit Passwort versehen", .. beachtet werden.


btw. bevor jetzt irgendjemand anfängt zu kollabieren.. an die Passwörter bin ich im Beisein des Chefs gekommen. D. h. er stand hinter mir und hat mir zugesehen wie ich die (auf Zetteln, unter Tastaturen, ..) notierten Passwörter abgeschrieben und geändert habe. Einige wenige musste ich cracken, aber da kein Passwort länger als fünf Zeichen war, war das nicht weiter wild. Anschließend wurden die Passwörter geändert und neue vergeben die sich die Mitarbeiter dann persönlich bei mir abholen konnten (sie wurden auch drauf hingewiesen das sie die Passwörter baldmöglichst ändern sollten).

Nach einigen Jahren in dem Job hab ich gedacht das ich dann doch alle notwendigen Präsentationen und Vorträge.. von wegen. Nächste Woche darf ich einen Tag lang zum Thema Sensibilisierung in Bezug auf Passwortsicherheit und Datenschutz am Arbeitsplatz in $FIRMA einen Vortrag halten und die Mitarbeiter schulen. Ich halte zwar ungern Vorträge, aber immerhin legt $FIRMA wert auf dieses Thema. Und zwar ohne vorherigen Vorfall.

Die umstrittene Steuersünder-CD könnte sich möglicherweise als Bumerang erweisen. Durch datenforensische Methoden können Rückschlüsse auf die Herkunft des Datenträgers, und damit womöglich den Verkäufer, gezogen werden, warnen Experten.
Die deutsche Regierung erwägt, von einer anonymen Schweizer Quelle eine Daten-CD mit den Namen von Steuerhinterziehern zu kaufen. Nicht nur bei gulli:News sorgte dies für kontroverse Diskussionen. Auch die Schweizer sind über das deutsche Verhalten erbost; sie befürchten eine Aushebelung ihres stets hochgehaltenen Bankgeheimnisses. Neben den ethischen und politischen Aspekten sind aber auch technische Besonderheiten zu beachten. Mittels spezieller Verfahren aus der Datenrettung und Forensik ist auch die Herkunft der CD bestimmbar. So können digitale Spuren bis hin zu ihrem Ursprung zurückverfolgt werden, geben die Spezialisten von Kroll Ontrack zu bedenken.

"Es gibt verschiedene Wege, um die Identität des Inhabers der Steuersünder-CD zu ermitteln", erläutert Reinhold Kern, Abteilungsleiter Forensik bei Kroll Ontrack. Beim Brennen einer CD werden dem Fachmann zufolge etwa die Brenn-Software, die Marke des Geräts sowie die Seriennummer des Brenners gespeichert. Anhand dieser Informationen ist beispielsweise ein Arbeitsplatz schnell auffindbar. Somit ließen sich nicht nur Hinweise auf die Echtheit der Daten finden, sondern auch auf denjenigen, der sich mit dem Verkauf dieser Identitäten einige (Millionen) Euro hinzuverdienen will.

Exakte Informationen über die Herkunft der Steuersünder-CD dürften besonders für die betroffenen Banken von Interesse sein. Zwar verfügt der Inhaber über die Möglichkeit, die Daten per Software in einem "relativ einfachen Verfahren" zu verschlüsseln und mit einem 20-Stellen-Passwort zu versehen, das schwer zu knacken sei, wie Kern gegenüber pressetext betont. Spätestens im Fall des Verkaufs müssten die Daten jedoch freigegeben werden. Allerdings weist Kroll Ontrack darauf hin, dass die gerichtliche Verwertbarkeit der forensisch erforschten Informationen von Fachjuristen beurteilt werden müsse.

(via gulli.com

Man beachte den von mir unterstrichenen Satz. In welcher Welt leben diese technischen Vollpfeifen eigentlich? Es gibt etliche OpenSource-Brennprogramme und noch mehr Möglichkeiten anonym zu brennen. Ich kenne einige Internetcafes die das Brennen einer CD anbieten. Wird dann das Internetcafe verklagt? Hoffentlich ist der Verkäufer nicht auf die Idee gekommen die CD im Ausland zu brennen (Tschechien, Polen oder - mein Gott.. - im Urlaub in den USA). Wie kommen die eigentlich auf so wahnwitzige Irrglauben das sowas auch nur annähernd realisierbar ist? Wenn ich mir im Hertie eine Brennsoftware für 5€ kaufe, dann muss ich weder beim Kauf, noch bei der Installation irgendwelche persönlichen Daten eingeben.
Ich seh jetzt schon unseren rollstuhlfahrenden Grundgesetzvergewaltiger das SEK und die GSG9 reaktivieren damit sie sämtliche Nachbarländer Haus für Haus durchsuchen und den Vorschlag bringen, dass man sich beim Kauf irgendeiner CD mit Personalausweis und Fingerabdruck identifizieren muss.