Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Neue PGP-Keys
13. März 2019

Nachdem unsere "alten" PGP-Keys nahe ihres Ablaufdatums sind, haben wir einen Satz neue Keys generiert. Diese sind wie üblich über den CERT.at PGP keyring verfügbar.

Ein Transition-Dokument - signiert mit alten & neuen Keys - steht via key-transition-2019.txt bereit.

Autor: Robert Waldner

Russland und Artikel in diepresse.com
14. Februar 2019

Wir wurden am MI, den 13.2.2019 von der Presse zum Thema "Russland tested die Internet-Abtrennung" um eine Experteneinschätzung gefragt. Aus dieser Anfrage wurden wir dann mit der Aussage

'Es wird ein teurer und spannender Test', sagt Aaron Kaplan von Österreichs Computer Emergency Response Team (Cert). 'Wir gehen davon aus, dass nicht viel funktionieren wird.'
Zitiert.

Unsere schriftliche Aussage war aber:

"Insofern kann man sehr auf den Test gespannt sein. Unsere Vermutung ist, dass sehr viel nicht mehr gehen wird. Es wird ein teurer Test. Aber eventuell auch sehr aufschlussreich, weil man diverse Interdependenzen erkennen kann."
Das liest sich wesentlich neutraler. Und in der Tat, ist das sicherlich ein spannender Test (technisch gesehen).

Man beachte, dass das CERT generell keine politischen Aussagen macht. Wir versuchen, rein technische Aussagen zu treffen.

 

Autor: L. Aaron Kaplan

DNS Flag Day am 01.02.2019
22. Jänner 2019

Am Freitag, 01.02.2019 ist DNS Flag Day. Aber um welche "Flag" geht es hier? Ab diesem Tag wird eine Reihe großer DNS-Anbieter, darunter Google und Cloudflare, und alle großen Anbieter von opensource rekursiver DNS Software, darunter BIND und unbound, aufhören Workarounds einzusetzen, um mit Domains kommunizieren zu können, die den EDNS0 Standard (RFC 6891) nicht erfüllen.

Don't Panic -- die erste Version dieses Standards (RFC 2671) wurde 1999 veröffentlicht, d.h. wenn Sie Ihre DNS-Server aktuell halten, werden diese den Flag Day problemlos überstehen.

Allerdings ist nicht die dedizierte DNS-Software der Grund für den Flag Day; gröbere Probleme bereiten andere Applikationen, allen voran Firewalls. Manche von Ihnen droppen in der Standardeinstellung Pakete, die einen OPT RR für EDNS0 oder andere Erweiterungsoptionen enthalten, oder auch solche, die größer als 512 Byte sind. Zusätzlich wird die Verbindung via TCP manchmal vollständig abgelehnt, was z.B. das Verwenden von DNSSEC (RFC 4033) unmöglich macht. Diese Verhaltensweisen sind nicht standardkonform und sollten daher korrigiert werden, um eine reibungslose Einbindung der eigenen Zonen in das Internet-weite DNS zu ermöglichen. Bisher versuchten viele Resolver, diese Schwierigkeiten zu überwinden, indem sie z.B. Queries nicht nur wiederholten, sondern auch veränderten. Dadurch sollte ermittelt werden, ob eine Query nicht beantwortet wurde, weil das Paket verloren gegangen, oder einfach am Ziel verworfen worden war. Dieses Ausprobieren kostete nicht nur Zeit und Rechenleistung, sondern erforderte auch, dass große Mengen an zusätzlicher Logik in den Code der Resolver eingebaut und gewartet werden mussten. Ab dem 01.02.2019 soll damit Schluss sein und es ist davon auszugehen, dass künftig Anfragen an nichtkonforme Zonen stark verzögert werden oder in ein Timeout laufen.

CERT.at hat in Zusammenarbeit mit dem ZID der Universität Wien alle .at-Domänen getestet und Warnungen an jene Name-Server-Betreiber*innen geschickt, deren Infrastruktur nach dem Flag Day für viele Internetnutzer*innen nicht mehr erreichbar sein wird. Wenn Sie keine E-Mail von uns erhalten haben, können Sie davon ausgehen, dass die von Ihnen verwalteten Domänen nach dem 01. Februar keine großen Probleme haben werden.

Für optimale Performanz empfehlen wir aber dennoch, den Test auf der Webseite des DNS Flag Days selbst durchzuführen, da dieser wesentlich mehr testet als nur EDNS0 Konformität. Falls Sie beim Testen kein grünes "All Ok!" erhalten, sollten Sie dem dort angegebenen Link zum technischen Bericht des EDNS Compliance Tester des Internet Systems Consortium folgen und die aufgelisteten Probleme beheben. Danach ist Ihre DNS-Infrastruktur nicht nur für den DNS Flag Day gerüstet, sondern wird auch mit zukünftigen Neuerungen im DNS korrekt umgehen können.


This blog post is part of a series of blog posts related to our CEF-Telcom-2016-3 project, which also supports our participation in the CSIRTs Network.

Autor: Dimitri Robl

Datenleak - mal ganz ohne Hype
11. Jänner 2019

Man hätte sich in den letzten Tagen enorm anstrengen müssen, um der Berichterstattung zu dem vor knapp einer Woche in Deutschland bekannt gewordenen Datenleak zu entgehen.

Um es trotzdem nochmal kurz zusammenzufassen: Unbekannte Täter veröffentlichten im Laufe des Dezembers Dokumente und persönliche Informationen hunderter deutscher Politiker und anderer Personen des öffentlichen Lebens in Form eines bizarren "Doxxing-Adventskalenders". Nach einem Bericht eines deutschsprachigen Rundfunksenders wuchs die öffentliche Aufmerksamkeit rasant an.

Wie bei solchen Vorfällen üblich gingen die Wogen in die Höhe und die mediale Aufmerksamkeit war enorm, während parallel dazu die Sinnhaftigkeit mancher Spekulationen, wohl auch Aufgrund initial dürftiger Informationslage, rapide sank. Natürlich durften auch eingestreute Vermutungen über eine Verbindung "in das Dark Web" oder eine Einmischung durch Staaten gesteuerter Hackergruppen nicht fehlen, "Die Russen!" waren wieder einmal in aller Munde. Kurzum: Die Aufregung war gross.

Nach einigen Tagen stellte sich dann heraus, dass es sich bei den gefährlichen Hackern um einen 20-jährigen Mann aus Deutschland handelt, der von seinem Kinderzimmer ausgehend über Monate hinweg die Datensätze aus verschiedensten Quellen zusammensammelte, die Veröffentlichung vorbereitete und durchführte.

Es herrscht immer noch keine hundertprozentige Klarheit über die technischen Einzelheiten des Angriffes, oder der Angriffe, die letztendlich zu der Veröffentlichung führen, was wir momentan wissen deutet allerdings ganz stark darauf hin, dass kein übermässiges technisches Wissen dahintersteckt (Missbrauch gestohlener und durch die Opfer wiederverwendeter Passwörter, Ausnutzen von bekannten Sicherheitslücken in ungepatchten Webservern) sondern vor allem viel Zeit und Langeweile.

Trotz der Rufe der Politiker nach einem, wie auch immer gearteten, Frühwarnsystem und mehr Sicherheitsspezialisten im öffentlichen Dienst ist dies vor allem der Zeitpunkt für eine wichtige Sache: einen ausdrücklichen Hinweis auf Sicherheitshygiene, was den eigenen Umgang mit IT betrifft. Unter anderem:

  • Passwörter zu recyclen ist zwar der Bequemlichkeit halber verlockend, aber keine gute Idee, wie sich auch in diesem Fall (für die Betroffenen) schmerzlich gezeigt hat. Stattdessen: Passwortmanager gibt es in allen Farben, Formen und Grössen. Sie zu nutzen erhöht die eigene Sicherheit enorm!
  • Bösartige E-Mail-Anhänge sind immer noch eine der beliebtesten Methoden, Schadsoftware zu verbreiten - erhöhte Aufmerksamkeit bei unbekannten Absendern und seltsam anmutenden Inhalten ist wichtig - aber auch bei Nachrichten von Freunden, Verwandten und Bekannten sollte der Hausverstand nicht in den vorzeitigen Ruhestand versetzt werden!
  • Updates, Updates, Updates! Zeitnahes einspielen von Patches und Aktualisierungen hilft dabei, Sicherheitslücken in eigenen Systemen zu schliessen, bevor diese ausgenutzt werden.
Abschliessend sei mir noch ein Kommentar in eigener Sache erlaubt: Gerade mit Hinblick auf die Bekämpfung von Kriminalität und Terrorismus wird von Seiten der Politik immer wieder darauf gepocht, mehr Daten zu speichern, um die Arbeit der Ermittlungsbehörden zu unterstützen.

Dass jede Form von Datensammlung eine immense Verantwortung mit sich bringt (die Frage der Sinnhaftigkeit stelle ich hier bewusst nicht), die Gefahr eines Diebstahls weit entfernt von unrealistisch sowie die Konsequenzen einer Veröffentlichung sehr real sind sollte vielleicht jetzt etwas klarer sein. Ein klassischer Fall von "Lernen durch Schmerzen".

 

Autor: Alexander Riepl

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücken (teils kritisch) in Juniper ATP, Junos OS und Space OS Software - Patches verfügbar
11. Jänner 2019 | Beschreibung Der ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
4. Jänner 2019 | Beschreibung Adobe ...
mehr ...
Neue PGP-Keys
13. März 2019 | Nachdem ...
Russland und Artikel in diepresse.com
14. Februar 2019 | Wir ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2019/3/14 - 15:55:44
Haftungsausschluss / Datenschutzerklärung