Deutsch | English

Statistics Survey

(english version)

Für die Suche nach ausgewählten verwundbaren Software-Installationen verwendet CERT.at "masscan" oder andere scanning tools analog zu Suchmaschinen wie shodan.io. Dieser meldet sich als CERT.at-Statistics-Survey/1.0 (+http://www.cert.at/about/consec/content.html).

Der Suchbereich beschränkt sich hierbei üblicherwiese auf IP-Ranges mit Österreich-Bezug oder auf .AT domains.

Wie funktioniert das?

  1. Hole aktuelle IP ranges von Österreich (bzw. alle .AT domains)
  2. Mache einen initialen TCP handshake mit jeder IP dieser IP Liste auf dem jeweiligen öffentlich zugänglichen Port (siehe "Aktuelle Scans")
  3. Speichere, ob dieser Port offen war. Wenn ja, gibt es eventuell einen Hinweis, dass die gescannte IP Adresse infiziert ist oder verwundbar ist.

Aktuelle Scans

"httpoxy" auf Port 80 und 443 (2016/07/18)

Die "httpoxy" Verwundbarkeit ergibt sich aus der Eigenschaft von vielen Webservern, den (nicht standardisierten) "Proxy" HTTP header an CGI scripts weiter zu reichen. Diese wiederum interpretieren das als "HTTP_PROXY" Environment Variable und erlauben somit einen "Man-In-the-Middle" Angriff.

CERT.at kann durch ein ansurfen (so wie es google auch macht) von Webservern (mit gesetztem Proxy: header im HTTP handshake) feststellen, ob eine Seite verwundbar ist. Die Daten und Ergebnisse werden gesammelt und ausschliesslich an die Betroffen weitergeben, mit ensprechendnen Hinweisen zur Bereinigung des Problems.

Siehe auch die Warnung von CERT.at.

Ubiquity AirOS port 443 (2016/05/18)

Der Hersteller Ubiquity hat eine verwundbare Version von seinem auf OpenWRT basierendem Betriebsystem "AirOS": gewisse Versionen haben ein bekanntes Server Zertifikat für den eingebauten Webserver. Dabei ist der client Key öffentlich bekannt. Weiters git es bei AirOS eine Sicherheitslücke, die es jederman am Netzwerk erlaubt, die AirOS Router zu übernehmen (remote code execution).

CERT.at versucht durch ein scannen/ansurfen von port 443 und holen des SSL client certificates, herauszufinden, ob diese Version aktualisiert werden muss. Betroffene erhalten dann eine Mail von CERT.at. Es wird lediglich ein TCP-Handshake gemacht und das SSL server Zertifikat geholt.

Black Energy (2016/01/11)

Black Energy Infektionen äußern sich durch einen offenen ssh daemon (dropbear) auf port 6789. Siehe auch: http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/. CERT.at schaut sich das österreichische Internet nach port 6789 + ssh an. Wenn etwas gefunden wurde, werden die potentiellen Opfer informiert. Bitte beachten: wir werden niemals Passwörder ausprobieren. Insoferne muss ein potentiell Betroffener selber schauen, ob der Server mit Black Energy befallen ist. CERT.at kann somit nur einen Hinweis liefern.

Oft gestellte Fragen

Welches Ziel verfolgt CERT.at damit?

CERT.at verwendet die Daten in erster Linie zur Warnung von Betroffenen (Betreiber entsprechend ungepatchter Server) und zur Einschätzung der aktuellen Situation in Österreich. Die Daten werden nicht an Dritte weitergegeben.

Darf CERT.at das?

CERT.at hat diesbezüglich mit mehreren Juristen den Sachverhalt ausführlich erörtert und wir sind der Meinung, dass für die Abwendung von Gefahren in ausgewählten Fällen, masscan sinnvoll sein kann und legal ist. Hierbei gilt es zu beachten:
  • Wir verwenden diese Daten ausschliesslich um potentiell Betroffene über ein evtl. infiziertes Gerät zu informieren.
  • Wir werden nicht die ersten sein, die diesen Scan gemacht haben. masscan ist ein Werkzeug, dass jeder am Internet bedienen kann und beliebig abscannen kann.
  • Wir beachten den Datenschutz
  • Wir bieten eine Opt-out Möglichkeit an

Ich will nicht, dass CERT.at auf meine IP-Adresse zugreift, wie kann ich das verhindern?

Bitte kontaktieren Sie uns - Details auf unserer Kontakt-Seite.

Es gibt ein technisches Problem mit dem Statistics Survey Scanner, Hilfe!

Bitte kontaktieren Sie uns - Details auf unserer Kontakt-Seite.
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitsprobleme in Systemen mit aktuellen Intel-Prozessoren
21. November 2017 Beschreibung Wie ...
Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
16. Oktober 2017 | Beschreibung Adobe ...
mehr ...
Es steht KRACK auf dem Speiseplan!
16. Oktober 2017 | Auch ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2016/7/18 - 17:56:34
Haftungsausschluss