Nicht alle surfen 3x täglich Security Seiten an, deshalb wollte ich mal in loser Folge Sachen in diesem Thread posten, die die Sicherheit betreffen.

Hier mal ein kleiner Test, ob euer Router von 'aussen' dicht ist :
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1


Aktuell : Oracle patcht kritische Java-Lücke

http://www.heise.de/security/meldung/Oracle-patcht-kritische-Java-Luecke-1782915.html

Da Java ja viele Sachen (Project X, etc.) nutzen, sollte man schon mal updaten.

Edit : update

Da Java ja viele Sachen (Project X, etc.) nutzen, sollte man schon mal updaten. Also wer bei solchen sicherheitsrelevanten Programmen - und auch eigentlich überhaupt - keine automatischen Updates nutzt...:rolleyes:

Mein Java hat mich nicht gefragt, bzw. sich automatisch upgedated.

Oha! - meins stand noch auf 7/10 - obwohl erst am 12.01. das letzte Update gefahren wurde. Danke für den Tipp. ;)

Naja, das Problem ist ja nicht sowas wie ProjectX, sondern das angreifbare Java, das ein riesen Sicherheitsloch in jeden Browser gerissen hat - Oracle hat es ja nicht für nötig befunden, etwas schneller auf das Loch zu reagieren, das seit August existiert. Von daher schon gut, dass das mal erwähnt wurde, ich hab die Hoffnung schon aufgegeben und kann meinen Usern jetzt wieder Java 7 installieren, nachdem ich allen Java 6 zwangsaufgedrückt hatte.

Läuft Java jetzt unter Patch oder Malware? ;)

Letztes Jahr gab es doch schon mal eine Zeit, wo die Updatefrequenz so hoch war, dass man das jeweils vorige Update noch nicht ausgerollt hatte, als schon das nächste kam. Wär vielleicht an der Zeit, dass man das Flickwerk mal von Grund auf sauber programmiert.

Läuft Java jetzt unter Patch oder Malware?
Neeee, aber unter den meisten anderen OS ;)

Neeee, aber unter den meisten anderen OS ;)

So'n Mist. Und ich hab nur Malware auf meinen Rechnern ;)

Na das hat ja super geklappt...

http://www.heise.de/security/meldung/US-CERT-warnt-weiterhin-vor-Einsatz-von-Java-1784782.html

-> tactical facepalm

PC-Welt Homepage hatte von Freitag an nicht nur News verteilt :

http://www.heise.de/newsticker/meldung/PC-Welt-de-als-Virenschleuder-missbraucht-1792716.html

Prima - ich warte nur darauf, das google oder wikipedia dergleichen widerfährt.

Google wäre de Jackpod!!

Mich hätte es auch beinahe erwischt, bin aber von Kaspersky in Firefox gewarnt worden .

Vielleicht als kleiner Softwaretipp für die, die es nicht kennen: SecuniaPSI

Die der SOftware bekannten Programme werden gescannt und automatisch im Hintergrund upgedated - wenn man das nicht will, kann man auch auf reines Reporting ohne automatische Updates umschalten. Ich finds recht angenehm, zumal damit auch Software upgedated wird, die man eher selten benutzt.

Danke... schau ich mir mal an.. .klingt interessant..

Und passend zum oben genannten:
Millionen Geräte über UPnP angreifbar (http://www.heise.de/newsticker/meldung/Millionen-Geraete-ueber-UPnP-angreifbar-1793625.html)da ist wohl eher ein recht grüsses Problem...

als kleiner Softwaretipp für die, die es nicht kennen: SecuniaPSI

Empfehle ich auch, wobei ich aber auch unter Win7 noch Version 2 verwende. Mit der aktuellen Version, die alles unterm Deckel haelt (soll heissen: man sieht oder weiss nicht genau, was das Programm so treibt), kam ich ueberhaupt nicht zurecht - gerade, wenn bestimmte Programme NICHT automatisch geupdatet werden sollen.

Oracel geht in die nächste Runde mit Java :
http://www.heise.de/newsticker/meldung/Grosses-Notfall-Update-fuer-Java-1796504.html

Ich werde mal ein paar Sachen im ersten Post zusammentragen, die sich so im Laufe der Zeit ansammeln.

Hier mal ein kleiner Test, ob euer Router von 'aussen' dicht ist :
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

A new Ask toolbar installer is available. It includes Java 7 Update 13, which contains critical security updates.

Wahr gesprochen... :rolleyes:

http://www.heise.de/newsticker/meldung/Gehackte-Website-NBC-com-infizierte-Rechner-1808042.html

Geil - ich wess, das Kollegen auf der Arbeit die Seite öfter benutzt hatten ... gleich mal am Montag checken ...

...ist raus.

Gut, wenn man öfter mal den Plugin-Check von Mozilla laufen lässt...

Einfach den Java-eigenen Update-Checker täglich laufen lassen statt in der Standard-"monatlich" Einstellung.

da kommt man ja kaum @work mit dem Nachverteilen nach... :(

da kommt man ja kaum @work mit dem Nachverteilen nach... :(
Damit du nicht arbeitslos wirst, hat sich Adobe gleich noch mal ins Zeug geworfen :
http://www.heise.de/newsticker/meldung/Schon-wieder-Notfall-Update-fuer-Flash-Player-1811996.html

Zwei der Lücken lassen sich ausnutzen, um beliebigen Code auszuführen – eine betrifft die ActionScript-Funktion ExternalInterface; die andere einen Pufferüberlauf. Die dritte Lücke kompromittiert die im Web-Browser Firefox implementierte Sandbox und wird Adobe zufolge bereits zur Unterwanderung von Systemen genutzt. Über Tricks führen Angreifer ihre Opfer auf Webseiten mit präparierten SWF-Dateien, bei deren Wiedergabe das Plug-in abstürzt. Die Lücken betreffen sowohl Linux als auch Mac OS und Windows, Android dieses Mal wohl nicht.

http://www.kuketz-blog.de/gib-prism-keine-chance/#more-28448

Interessanter Artikel über Daten-Abschnorcheln PRISM und was mal dagegen tun kann (bzw. eben auch nicht)

Die Seite ist überhaupt sehr gut. Lohnt sich, mal drin rum zu Stöbern (natürlich nicht für die Über-Nerds unter uns ;) )

Aus aktuellem Anlass :

http://www.heise.de/security/artikel/So-funktioniert-der-Heartbleed-Exploit-2168010.html
http://www.heise.de/security/meldung/Heartbleed-Yahoo-und-Web-de-raten-zum-Passwortwechsel-2167630.html
http://www.heise.de/security/artikel/Passwoerter-in-Gefahr-was-nun-2167584.html

Heartbleed Exploit.

Was ich überhaupt nicht verstehe ist, warum antwortet eine Heartbeat Funktion überhaupt auf FREI AUSWÄHLBARE Daten mit fast FREI AUSWÄHLBARER Länge :komisch: imho sollte ein übermitteltes Bit ausreichend sein um mitzuteilen 'ja - ich bin da'.

Warum brauchts 64kB ? (immerhin fast die doppelte Menge an verfügbarem BASIC RAM im 64er - da hätte sich der Programmierer schon vorher Gedanken machen müssen, ob das Sinn macht ;) ) Das ist doch Völlerei mit nutzlosen Handshake-Daten.

Frage - ändert ihr nun präventiv alle eure Web-Passwörter?

btw - betrifft unser Forum SSL auch ?

Unser Forum kann kein SSL ;)

Zum Thema Payload: https://news.ycombinator.com/item?id=7558227

Unser Forum kann kein SSL ;)
Ich möchte mich mal Laienhaft reinhängen. Wenn ich beim Forum ein "s" einhänge, also "https://...." bekomme ich fürchtbare Warnungen: "Es besteht ein Problem mit dem Sicherheitszertifikat der Website". Mache ich das gleiche bei heise.de, werde ich nur auf die "http"-Seite umgeleitet.

Problem:
Bei mir melden sich in letzter Zeit verstärkt "alte Opas", deren Browser automatisch bei meiner Website ein "https" versuchen und das kann die eben auch nicht. Nun sind die "Opas" abgeschreckt durch die Warnungen ...

Äähhhm, haben das Problema auch andere und kann ich das als Website-Betreiber beeinflussen?

https ist aus meiner sicht bei uns weder eingerichtet noch sonst irgendwie in benutzung. Daher kann es sein das Du da dann irgendwo bei nem toten Ast mit nicht erzeugten/alten/gewürfelten Zertifikaen landest.

Ohne "irgendwo bei nem toten Ast mit nicht erzeugten/alten/gewürfelten Zertifikaen"
5615

Ja iss so... Du versuchst Sicher mit https aber ohne Zertifikat ist sicher eben nicht sicher sondern nur das vortäuschen von sicher. Daher warnt dich dein Browser das Du sicher mit https versuchst, aber diese Sicherheit durch fehlendes Zertifikat nich gegeben ist.
Macht Firefox auch, nur halt weniger bunt und reisserisch wie IE

Ja, das verstehe sogar ich ... nur die "Opas" nicht. Und aus irgendwelchen Gründen versuchen deren Browser (überwiegend FF) offenbar bei Eingabe einer neuen URL eine https-Verbindung. Ich mußte in 3 Fällen echt "Telefonseelsorge" betreiben und Anleiten, wie es ohne "Warnung" geht. Das fördert natürlich den zwischenmenschlichen Kontakt ;)

Ich überlege, eine Anleitung auf die Startseite zu legen, nur das ist eher noch abschreckender :D Gab es eine entsprechende Veränderung bei den Browsern?

Evtl. ein Browserplugin, dass von haus aus erstmal https versucht. Das ist aber per Definition eigentlich sinnfrei, weil zum beispiel in Hoster-Umgebungen solche Aktionen unter Umständen (wie man hier deutlich sieht) in die Hose gehen.


Nebenbei: https ohne Zertifikat geht technisch überhaupt nicht. Was hier passiert ist, dass ein Default-Zertifikat ausgeliefert wird, das nicht zu unserer Seite passt.

Evtl. ein Browserplugin, dass von haus aus erstmal https versucht.
Da ist mir nur HTTPS Everywhere (http://de.wikipedia.org/wiki/HTTPS_Everywhere)für Firefox bekannt und das wählt offenbar nur bestimmte Seiten von einer Liste aus. Wer weiß, was die sich von irgendeiner Zeitung eingefangen haben ... also, kein generelles Problem. Da kann ich erst einmal alles beim Alten lassen.

Zumindest ist es hier mit Firefox 28 nicht nachvollziehbar, ebenso nicht mit Internet Explorer 11 oder Chrome 35.

Maxe - IE kann einem schon bange machen. Mit FF geht das verstaendlicher, vielleicht hilft dir das ja bei der Betreuung weiter ...

5616

Das Problem sollte schlicht und ergreifend gar nicht auftreten, weil der Server von unserer Seite aus nicht für https konfiguriert ist und der Client nicht von sich aus versuchen sollte, https statt http zu nutzen.

Euer Provider antwortet unter www.heimkinotreff.com (http://www.heimkinotreff.com) aber auf https - wenn Ihr das anders konfiguriert habt, dann läuft da offensichtlich was schief. Der Port ist auf, einer lauscht und will sprechen. Wenn ich https://www.heimkinotreff.com aufrufe, versucht das ein Zertifikat zu verwenden, das für server-p009.hostpoint.ch ausgestellt ist. Das ist auch kein altes Gerumpel, der Zeitstempel von diesem Zertifikat ist vom 10.4.2014. Natürlich gibt das erst mal großes Hallo, weil heimkinotreff.com nunmal ungleich server-p009.hostpoint.ch. Wenn ich das ignoriere und das Cert zulasse, dann kommt anschließend eine Seite mit Überschrift "Konfigurationsfehler"

5619

An HttpsEverywhere sollte das aber nicht liegen. Das habe ich hier auch, aber das arbeitet nach einer Positivliste, in der heimkinotreff standardmäßig nicht enthalten ist.

wenn Ihr das anders konfiguriert habt, dann läuft da offensichtlich was schief

Nein, läuft es nicht. Das ist eine Multihomed Umgebung, auf der nicht nur wir aktiv sind, daher _muss_ der Port offen sein für andere Seiten, die halt per SSL verfügbar sind.

Na gut, den Port kann man bei Virtual Hosts nicht zumachen, ok. Man kann als Provider aber auch den ssl_error unrecognized_name als Fatal statt als Alert zurückgeben, wenn der im SNI übertragene Servername nicht da ist, dann ist die Sache für den Benutzer klarer. Aber ich schätze, da habt Ihr nicht den nötigen Einfluß drauf...

Dazu muss aber halt auch schon die Verbindung mal da sein, der Nutzer wird da initial imho nichts anderes sehen - später bei der Infoseite, von der Du einen Screenshot dabei hast, ja.

Könnte ich aber auf meiner privaten Kiste mal ausprobieren... hast Du da nen Ansatz wo sich das im Apache setzen lässt?

Heartbleed explained : http://imgs.xkcd.com/comics/heartbleed_explanation.png

ist es wirklich so simpel ?

Ja. Hab ich gehört [tm].

http://www.heise.de/newsticker/meldung/Symantec-erklaert-Antivirus-Software-fuer-tot-2183311.html

LOL! :


Symantec wolle sich jetzt auf Schadenbegrenzung konzentrieren und Firmen beim Umgang mit Hacker-Angriffen helfen. Der Schwerpunkt soll sich auf die Analyse nach einem Angriff verlagern, um die Firmennetze so besser abzuhärten. Die Hacker kämen ja ohnehin ins System, Schutzsoftware hälfen nicht.

Klar mann ... Warum gibt es bei der Polizei noch immer Hinweise, präventiv seine Wohnung zu sichern? Ist doch viel besser, nach dem Einbruch Kunden an die Versicherung zu vermitteln und psychlogische Betreuung anzubieten :doh:

Das siehst Du vöööööllig falsch - die Kunden wollen das so:


If customers are shifting from protect to detect and respond, the growth is going to come from detect and respond, (Quelle) (http://www.techweekeurope.co.uk/news/anti-virus-dead-or-dying-symantec-144954?ModPagespeed=noscript). Natürlich finde ich das viel besser, Malware von meinem System runterzuputzen, nachdem sie kräftig gewütet hat, ist doch klar! :D

Ich finde das aber sehr köstlich, wenn ein Schlangenölhersteller sein Produkt als das bezeichnet, was es ist.

»Diese Sichtweise könnte eventuell auch dadurch beeinflusst sein, dass Windows 8 eine recht brauchbare Antivirus-Software mit an Bord hat« (a.o.a.O.).

M$ Essential ist generell eine kostenlose und zumindest genauso (un)brauchbare Lösung, wie komerzielle Produkte. Durch Einstellungsmöglichkeiten wird einem zudem bei der Virensuche nicht gleich das ganze System lahmgelegt.

tach auch !
Die Sichtweise ist doch krank.
Besser wäre es sie versuchten die Hacker zu identifizieren und ihnen in den Arsch zu treten.
Die NSA hätte dann auch mal ein sinnvolles Betätigungsfeld.

... finde ich das viel besser, Malware von meinem System runterzuputzen, nachdem sie kräftig gewütet hat, ist doch klar! :D

Ich finde das aber sehr köstlich, wenn ein Schlangenölhersteller sein Produkt als das bezeichnet, was es ist.

Ich glaube, das das sich wie in der Modebranche verhält - nachdem letztes Jahr 'X' trendy war und vorletztes Jahr schon 'X^2', muß es diese Saison '1/X' (also genau gegenläufig) sein, um noch Umsatz zu generieren.

Gentlemen, warm your hot-melt gun :eek:

http://www.heise.de/newsticker/meldung/BadUSB-Wenn-USB-Geraete-boese-werden-2281098.html


Sich gegen solche BadUSB-Geräte zu schützen, dürfte sich als sehr schwer erweisen. Denn das System, das auf den Stick zugreift, bekommt nur noch das zu sehen, was ihm die manipulierte Firmware zeigen will. Antiviren-Software ist damit quasi komplett außen vor. Auch ein Whitelisting-Ansatz dürfte sich als schwierig erweisen. Es kann gut sein, dass Netzwerk-Admins in Hochsicherheitsbereichen nach Nohls Vortrag wieder zur Heißklebe-Pistole greifen werden, um USB-Zugänge nachhaltig zu sichern. (ju)

Mal abwarten, was der Vortrag wirklich bringt - allerdings ist Schlimmes zu befürchten, Karsten Nohl weiss schon, was er tut :/

Allerdings muss man sagen dass sich die realen Angriffsszenarien über Firewire/Thunderbolt auch recht im Rahmen halten...

Ich hab letztens nen beitrag wo gesehen. Die manipulierte Firmware des Controller-Chips war schon recht beeindruckend.
Weniger ob des Inhalts, der ist so klein wie beliebig und macht halt ne Türe auf wo keine soll, vielmehr hat mich beeindruck das das noch keiner zuvor gemacht hatte!!

In einem Laden in dem die Assistenten von Leute mit für andere Interessantem Material auch mal Sticks von Lieferanten bekommen... da würd ich das zu machen.
Allein schon Werbegeschenke werden irgendwann hergenommen. Kann ich beliebig weit steuen... jeder der wo infiziert hat telefoniert nach hause und sagt bescheid ob und was er ggf. erreichen kann.
Und wenn ich chinesische Staat wäre... ha... dann ... ja dann.....!! :D

Ich unke mal einfach so rum und prognostiziere, das ich in Zukunft davon ausgehen muss, das jedes System als kompromitiert anzusehen ist. Egal ob frisch aufgesetzt und ohne Netzzugang ... :(
Was mich wirklich ängstigt ist der Fakt, das in den meisten Geräten Lücken vorhanden sind, die niemals jemand dort vermutet hätte - siehe SCSI Protokoll auch im USB-Stick. Das geht mir nicht rein... genausowenig wie schon http://www.heise.de/newsticker/meldung/30C3-Trau-niemals-einer-Speicherkarte-2072906.html

Geht schon los mit der bösen USB-Hardware...



Guten Tag XXX,

unsere Super-Aktion ist wieder da:

Holen Sie sich kostenlos und unverbindlich einen 8 GB USB Stick.

Den praktischen USB Stick kann man immer gebrauchen.
In wenigen Tagen kostenlos bei Ihnen!

[Link]

Mit freudlichen Grüßen,

Ihr Gratis-USB-Team


Die verschicken bestimmt "böse" Hardware. Da werd ich doch gleich mal auf den Link klicken und einen Stick zur Analyse bestellen. :D :D :D