Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Wartungsarbeiten Donnerstag, 20. 4. 2017
18. April 2017

Am Donnerstag, 20. April 2017, ab etwa 19h, werden wir Wartungsarbeiten an unserer Infrastruktur vornehmen. Dies wird zu kurzen Ausfällen der extern erreichbaren Services (zB Mail, Webserver, Mailinglisten) führen, diese können jeweils mehrere Minuten andauern. Es gehen dabei keine Daten (zb Emails) verloren, die Bearbeitung kann sich allerdings leicht verzögern.

In dringenden Fällen können sie uns wie gewohnt telephonisch unter +43 1 505 64 16 78 erreichen.

Autor: Robert Waldner

Workaround? Abdrehen!
21. März 2017

Langsam gibt es erste Details zu den 0-days, die im Vault-7-Leak enthalten sind.

Betroffen sind u.A. Switche von Cisco. Patches sind noch nicht für alle Modelle verfügbar, laut Heise gibt es aber folgenden Workaround:

Bis dahin empfiehlt der Hersteller Telnet auf betroffenen Geräte zu deaktivieren und bis zum Erscheinen des Patches auf SSH zu setzen.

Das ist meiner Meinung nach viel zu kurz gegriffen. Wir empfehlen:

  • Wir haben 2017, telnet ist obsolet. Ja, es mag ab und zu noch irgendwelche obskuren Devices geben, die nur telnet können, aber halbwegs aktuelle Switche und Router können schon lange ssh. Wenn das die aufgespielte Firmware nicht kann, dann stehen die Chancen gut, dass diese so alt ist, dass sie noch eine Reihe von weiteren bekannten Sicherheitslücken aufweist. Von telnet auf ssh umsteigen ist daher kein "Workaround", sondern eine längst überfällige Sicherheitsmaßnahme.
  • Management-Plane Protection. Egal ob telnet, ssh oder snmp: kein Router, Switch oder CPE sollte diese Interfaces für das ganze Internet erreichbar haben. Optimalerweise sind diese nur über ein Wartungsnetz per VPN erreichbar, aber auch schon strikte Filter auf Basis Source-IP-Adresse helfen enorm. Barry Greene hat im Rahmen der NANOG eine umfassende Präsentation zum Thema Sicherheit für ISPs erstellt.
Wir überlegen, auf Basis von Scans von Shadowserver die österreichischen ISPs darüber zu informieren, auf welchen IP-Adressen der Telnet-Port erreichbar ist. Betroffen sind aktuell rund 9000 IP-Adressen in Österreich. Input und Feedback dazu ist willkommen!

Autor: Otmar Lendl

Propaganda auf Twitter
15. März 2017

Der echte Groundhog Day ist noch nicht lange her, und manchmal kommt es einem so vor, als wäre im Internet jeden Tag "Groundhog Day": manche Sachen wiederholen sich einfach viel zu oft.

Aktuell geht es um missbrauchte Twitter-Accounts. Das hatte wir schon im November: twittercounter.com hatte ein Problem, und schon werden Tweets unter falschem Namen verteilt. Das gleiche ist gerade wieder passiert, dieses mal wurde pro-türkische Propaganda verteilt. Siehe WebStandard, FuZo, ...

Weil das in den Medien wieder großes Echo findet, hier meine Einschätzung dazu:

Fast immer, wenn es Spannungen zwischen Staaten gibt, versuchen nationalistische "Hackergruppen" im Internet Propaganda für die eigene Seite zu machen und Online-Auftritte der Gegenseite mit virtuellem Graffiti zu beschmieren. Das können "Defacements" auf Webseiten sein, oder eben Einbrüche in Social Media Accounts.

Natürlich wird hier zuerst versucht, möglichst prominente Opfer zu finden. Gelingt das nicht, dann gehen diese Gruppen rein opportunistisch vor: wer halbwegs in das Beuteschema fällt und verwundbar ist, der wird zum Opfer dieser juvenilen Propaganda-Aktionen.

Daher die Empfehlung: Schauen sie auf die Sicherheit ihrer Webseite und ihrer Social Media Accounts! Es wäre doch hinreichend peinlich, wenn unter ihrem Namen Propaganda für nationalistische oder islamistische Gruppen verteilt wird.

Autor: Otmar Lendl

Lernkurve mit neuem Feed
3. März 2017

Wir sammeln aus vielen Quellen Informationen zu Infektionen und anderen Sicherheitsproblemen im österreichischen Internet und geben diese an die Netzbetreiber weiter. Details dazu stehen in unserem Jahresbericht.

Kürzlich haben wir eine neuen Anbieter in unser Portfolio aufgenommen, der unser Lagebild zu Infektionen verbessern sollte. Seit vorgestern verteilen wir Daten aus dieser Quelle.

Wir bekamen von einigen Seiten Feedback, dass hier was nicht stimmen kann. Es wurden IP-Adressen als infiziert gemeldet, die nie und nimmer von der angegebenen Malware befallen sein können.

Was ist passiert?

Der klassische Sensor für einen Datenfeed ist ein http-Sinkhole: Man besorgt sich Domains, welche die Malware für Command & Control Kommunikation benutzt, setzt die A Records so, dass die Domain auf einen Webserver zeigt, den man selber betreibt. Aus dem Access-Log dieses Webservers extrahiert man dann IP-Adressen und Timestamps.

Neben diesen Web-Sinkhole Daten sind in unserem neuen Feed aber auch Information aus Nameserver-Querylogs enthalten. Bevor die Malware die TCP-Verbindung zum Sinkhole aufbauen kann, muss sie die Domain auflösen. Das kann natürlich auch beobachtet werden und das sind auch sinnvolle Hinweise auf Infektionen.

Aber: die IP-Adresse, die bei der Namensauflösung in den Sensoren aufschlägt, ist typischerweise nicht des infizierten PCs, sondern die des rekursive Nameservers, den dieser gefragt hat.

Diesen Fall hatten wir in unserem Datenschema so nicht vorgesehen, worauf unsere Mails an die Netzbetreiber diesen Unterschied nicht kommuniziert haben.

Wir bitten daher um Entschuldigung; das lief nicht so gut, wie es von uns erwartet wird. Wir werden an unserer Qualitätskontrolle arbeiten. Bei manchen Themen werden wir aber immer auf das Feedback von den Netzbetreibern angewiesen sein.

Macht es überhaupt Sinn, dass wir Daten zu DNS-Requests aussenden?

Meiner Einschätzung nach ist das für ISPs sinnlos, da dort ziemlich sicher kein Query-logging am Nameserver gemacht wird, und daher das Ausforschen des infizierten Clients nicht möglich ist.

Für Firmennetze kann das aber sehr wohl Sinn machen: Dort mag die Firewall den C&C Request blockieren, der Nameserver kann Logs haben und so ist das ein sinnvoller Weg, eine Infektion zu erkennen.

Wir werden vorerst diese DNS basierten Event-Typen nicht mehr weitergeben.

Autor: Otmar Lendl

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017 | Wie ...
Update: Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution - Patches nun verfügbar
10. April 2017 | Update ...
mehr ...
Wartungsarbeiten Donnerstag, 20. 4. 2017
18. April 2017 | Am Donnerstag ...
Workaround? Abdrehen!
21. März 2017 | Langsam ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2017/4/18 - 15:16:42
Haftungsausschluss