Veni, Vidi, VISA - Security

Soviel zum Thema "Datensicherheit"

blog@strcat.de (Christian Schneider) — Wed, 20 Aug 2008 12:29:59 +0200

Aus gegebenem Anlass habe ich vorhin mit einem Krankenhaus in der Umgebung telefoniert und wollte wissen wo $Patient liegt; die nette Dame an der Pforte hat mir auch bereitwillig gesagt auf welchem Zimmer (soweit ja auch OK) und mir angeboten mit gleich mit der Station zu verbinden, damit ich nachfragen kann wie es $Patient geht.
Der Schwester auf der Station hab ich mich lediglich mit "Hi, $Name aus $Wohnort hier. Ich wollt nur fragen wie es $Patient geht!" vorgestellt; die war dann auch gleich so freundlich mich an den behandelnden Arzt weiterzureichen und der hat mir dann ohne langes Nachfragen bereitwillig Auskunft ueber $Patient erteilt. Ich glaub ich sollt das mal bei einer Bank probieren..

"Callcenter sind im Besitz von Kontodaten"

blog@strcat.de (Christian Schneider) — Tue, 12 Aug 2008 03:03:50 +0200

http://www.verbraucherzentrale-sh.de/UNIQ121850297519293/link481821A.html
11.08.2008
Callcenter sind im Besitz von Kontodaten
Verbraucherzentrale Schleswig-Holstein deckt Datenmissbrauch auf

Immer häufiger beschweren sich Verbraucher über Anrufe von Callcentern, die irgendwelche Waren oder Dienstleistungen verkaufen wollen. Besonders häufig sind Glückspielangebote Inhalt dieser ungebetenen und ungesetzlichen "Cold Calls".
Verbraucher, die durch solche Anrufe belästigt wurden, mussten bisher nicht unbedingt fürchten, dass ihr Konto leer geräumt wird. Das ist jetzt anders, denn den Callcentern liegen Listen vor, in denen die Kontoverbindungen der Angerufenen stehen.
"Diese Tatsache ist erschreckend! Uns sind die ersten Fälle bekannt, in denen von Konten der betroffenen Verbraucher abgebucht wurde, obwohl diese unmissverständlich jegliche Teilnahme an einem Glücksspiel ablehnten", so Thomas Hagen, Sprecher der Verbraucherzentrale Schleswig-Holstein.
Im Dunkeln blieb bislang, woher die Daten stammen. Viele Betroffene, die sich bei der Verbraucherzentrale Schleswig-Holstein beschwerten, gaben an, dass sie vor längerer Zeit SKL-Lose per Kontoabbuchung bezahlt haben. Die Verbraucherzentrale hat anonym eine CD mit über 17.000 Datensätzen erhalten. Neben dem Namen, der vollständigen Adresse mit Telefonnummer und dem vollständigen Geburtsdatum sind die kompletten Bankdaten von über 17.000 Verbrauchern auf dieser Diskette gespeichert. Die Namen der Exceldateien weisen auf die Süddeutsche Klassenlotterie (SKL) hin.

"Es sind nur ein paar Mausklicks und solche Daten können kopiert, per Mail versand und somit sehr schnell öffentlich zugänglich gemacht werden, was dem Missbrauch Tür und Tor öffnet", so Hagen weiter.

Die Verbraucherzentrale Schleswig-Holstein rät daher, die Kontoauszüge regelmäßig zu prüfen. Dies gilt auch für Kontobewegungen von Angehörigen, die aufgrund von Alter oder Krankheit den Überblick verlieren und dank des bekannten Geburtsdatums leichte Beute unseriöser Anbieter werden können.

Banken und Sparkassen sollten die Möglichkeit einräumen, dass Abbuchungen unbekannter Quellen nicht ausgeführt werden, wenn der Kontoinhaber dies wünscht auch wenn jetzt schon unberechtigt abgebuchte Beträge innerhalb von 6 Wochen zurückgefordert werden können.

Die Verbraucherzentrale hat nach Kenntnis dieses Vorganges das Unabhängige Landeszentrum für Datenschutz (ULD) informiert, das weitere juristische Schritte, u.a. die Einleitung eines Strafverfahrens, vornehmen wird.
Der Leiter des ULD, Thilo Weichert, gibt Tipps, um den Missbrauch von Kontodaten zu verhindern:

"Bei der Preisgabe der privaten Kontoverbindung sollte man absolut zurückhaltend sein, v. a. im Internet oder am Telefon. Mindestens alle zwei Wochen sollten die eigenen Kontoauszüge kontrolliert werden, ob unerwünschte bzw. unberechtigte Abbuchungen vorgenommen wurden; diesen muss umgehend bei der eigenen Bank widersprochen werden. Sobald jemand erfährt, dass Unbefugte die eigenen Kontodaten nutzen, sollte die Verbraucherzentrale oder die zuständige Datenschutzbehörde in Schleswig-Holstein also das ULD mit weiteren Ermittlungen beauftragt werden. Denn von solchen Datenmissbräuchen sind zumeist viele Tausend Menschen betroffen."

[x] Fuer Pruegelstrafe fuer Callcenter und deren Mitarbeiter/Inhaber. Und zwar nicht nur deswegen.

"Daran war der Editor schuld!"

blog@strcat.de (Christian Schneider) — Sat, 02 Aug 2008 12:23:20 +0200

$ADMIN hat einen Webserver aufgesetzt und ein Perlscript unter ./cgi-bin abgelegt. Nach einiger Zeit tauchte fuer dieses Perlscript ein Exploit auf, welches das Auslesen/Ausfuehren von lokalen Dateien ermoeglicht. $MAINTAINER des Scripts hat keinen richtigen Patch rausgebracht, sondern lediglich eine kurze Anleitung mit Instruktionen was zu aendern ist. $ADMIN macht das und wundert sich nach einiger Zeit wieso sein Webserver gecrackt wurde. Er hat mir versichert das er das Script exakt nach den Vorgaben geaendert hat, was ja auch stimmte. Bringt nur relativ wenig wenn script~ noch mit 755 unter ./cgi-bin rumliegt.
Jetzt hab ich neben "Uebersichtlichkeit" wenigstens noch ein Argument fuer

if has("unix")

        if !isdirectory(expand("~/tmp/."))

                !mkdir -p ~/tmp/

        endif

endif

set bdir=~/tmp

"Gefährliche Sicherheitslücken bei Firefox"

blog@strcat.de (Christian Schneider) — Thu, 17 Jul 2008 12:51:47 +0200

http://www.welt.de/[..]/Gefaehrliche_Sicherheitsluecken_bei_Firefox.html
Peinlicher Auftakt für den neuen Firefox: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor gravierenden Fehlern beim Internet-Browser. Angreifer könnten leicht Daten ausspähen und Viren oder Trojaner einschleusen. Eine Lösung für das Problem gibt es zum Glück bereits.
[more]

Apropos Sicherheitsluecken.. um Wordpress ist es momentan ziemlich still.. obs daran liegt das sich niemand mehr den Source ansieht weil niemand soviel essen kann? :>

Ueberwachung fuer Kinder

blog@strcat.de (Christian Schneider) — Fri, 20 Jun 2008 10:50:52 +0200

http://www.amazon.de/dp/B0000CFUIX und http://www.amazon.com/dp/B0002CYTL2

Thx an MrTweek

Neuer Rekord von Firefox

blog@strcat.de (Christian Schneider) — Thu, 19 Jun 2008 12:43:34 +0200

Nicht nur der (erfolgreiche?) Weltrekordversuch in Bezug auf die Downloads, sondern auch ein neuer Rekord was Sicherheitsluecken anbelangt, denn so wie es aussieht bleibt Firefox seiner Linie treu: Speicherfressend und auf dem besten Weg mehr Bugs zu haben als OjE und/oder Sendmail.
Aber hey.. ja nicht dagegen meckern, weil Firefox ist naemlich voll gut und mit 'n Haufen Addons und so!!!111!

// Update:
http://dvlabs.tippingpoint.com/blog/2008/06/18/vulnerability-in-mozilla-firefox-30

Serendipity 1.3.1 released

blog@strcat.de (Christian Schneider) — Tue, 22 Apr 2008 12:30:58 +0200

http://blog.s9y.org/archives/193-Serendipity-1.3.1-released.html

erendipity 1.3.1 has been released. This is a bugfix and security related release, basically adressing a potential XSS issue within the Top Referrers plugin as well as hypothetical XSS issues with the installer.

This release also adresses some basic PostgreSQL8 related problems, because implicit type casts have been removed from this version, causing breakage with several Serendipity core features. The fix for this is only partial and will still happen in (less common) functions of Serendipity. There is no ultimate solution to this because implicit type casts are required for certain entryproperty operations. Maybe the PostgreSQL8 team will think about if implicit type casts are not also quite helpful.

The only new feature addition is the exposition of a new smarty {serendipity_getImageSize} function.

This upgrade is recommended for users that use the Top Referrers plugin and new installations of Serendipity. Many thanks to Hanno Böck, once again, for reporting (and fixing) the two XSS issues (CVE-2008-1385 and CVE-2008-1386)!

You can find the new release on the s9y.org download page. Upgrade by simply uploading the deflated archive files to your webspace.

Ich muss jetzt doch irgendwann mal updaten *sigh*

"Geklaute Computer der Bundesregierung enthielten sensible Daten"

blog@strcat.de (Christian Schneider) — Sat, 19 Apr 2008 19:30:55 +0200

http://www.gulli.com/news/datenpanne-geklaute-laptops-2008-04-19/

In den letzten drei Jahren sind in Bundesbehörden über fünfhundert Computer abhanden gekommen. Diese sollen auch sensible Daten enthalten haben, gab das Innenministerium in einer Pressemeldung bekannt. Unter anderem sollen Steuerdaten und Geheimunterlagen des Verteidigungsministeriums darauf gespeichert gewesen sein. Eine Meldepflicht für Datenverluste wird gefordert.

Wie im März bekannt wurde sind etwa http://www.gulli.com/news/hunderte-computer-verschwanden-2008-03-20/ in Bundesbehörden abhanden gekommen. Auf denen sind zum Teil sensible Daten gespeichert gewesen, wenn auch in überwiegend verschlüsselter Form. Erteilt wurde diese Auskunft vom Innenministerium auf Anfrage vom FDP-Abgeordneten Carl-Ludwig Thiele. Aus der Pressemeldung vom Innenministerium, die der Presseagentur dpa vorliegt, soll hervorgehen, dass den Bundesbehörden in diesem Zeitraum insgesamt 189 Computer, 328 Laptops, 38 Speichermedien und 271 Mobiltelefone abhanden gekommen oder gestohlen worden sind.
[..]

Ich glaube ja das die den Bundestrojaner nur deswegen einsetzen wollen, damit sie die verloren gegangenen Daten wieder bekommen, weil sie kein Backup davon haben. Besonders witzig finde ich aber das wenn auch in ueberwiegend verschluesselter Form .. "ueberwiegend".. wie kann man sensible Daten unverschluesselt speichern? Arbeite dort nur technische Komplettvollpfosten oder ist Inkompetenz und Unfaehigkeit Voraussetzung um dort eingestellt zu werden?

Nur noch bis Mittwoch!

blog@strcat.de (Christian Schneider) — Mon, 07 Apr 2008 17:38:35 +0200

Dann bin ich endlich fertig mit dem Job hier. Dann muss ich keine mit 777 chmod'ete Upload-Verzeichnisse von FTP-Servern, unter Windows erstellte Textdateien, Frontpage-Webseiten, offene Sendmail-MTAs und -rwx------ Repos von CVS mehr sehen.
~Zwei Wochen Intrusion Detection und Forensics; ist neuer Rekord bei mir *sigh*

Serendipity 1.3 released

blog@strcat.de (Christian Schneider) — Tue, 18 Mar 2008 11:29:53 +0100

http://blog.s9y.org/archives/192-Serendipity-1.3-released-addresses-security.html
Serendipity 1.3 has finally been released. The new release is mainly a feature consolidation release, but also contains XSS security fixes:

The karma rating plugin has been upgraded to support nice, CSS-based rating graphics (see this post) and an overall rehaul on the its coding.
Make the Spartacus plugin be able to use FTP upload, a workaround for SafeMode PHP restrictions. Also add a remote backend for plugin update checks.
An importer for phpNuke and lifetype has been added.
Support for pingbacks has been improved a lot. Trackbacks can now be blocked based on Sender IP checks.
Add better CSS styling for some internal plugins and the embedding of images. Also made the Remote-RSS plugin to be capable of Smarty-Templating.
Increased Smarty templating features for the {serendipity_fetchPrintEntries} function, to be able to check for entry properties.
Add support for SQRelay.
Minor CSS and graphic updates to the Bulletproof template.

The full list of 41 changes to this release are documented within the NEWS file.

Regarding Security, the bundled Smarty library has been updated to version 2.6.19 and adresses an issue in environments where the PHP security mode is required. Also, the new Serendipity release contains tighter backend XSS checks so that environments with untrusted authors can be more secure - many thanks to Hanno Böck for addressing this. Most importantly, an issue with XSS attacks within received trackbacks has been discovered by Peter Hüwe and was fixed.

The update is easy as usual, and recommended for Serendipity users - especially if you do not regularly moderate or check your incoming trackbacks.

Upgrade pointers can be found in the FAQ and is as easy as just to upload the new files.

Have fun!

Wenn das Blog hier also mal wieder down ist (Database error), dann wisst ihr das ich update.. maybe..

"AG Berlin droht Justizministerin Zypries mit Haft"

blog@strcat.de (Christian Schneider) — Wed, 13 Feb 2008 01:11:57 +0100

http://www.gulli.com/news/ip-logging-ag-berlin-droht-2008-02-12/

Das IP-Logging auf Webseiten verstößt gegen das Persönlichkeitsrecht in Deutschland und ist zu unterlassen. Ausgerechnet das Justizministerium loggt aber die IPs der Webseiten-Besucher. Nicht mehr lange: wird das Logging nicht abgestellt, droht Bundesjustizministerin Brigitte Zypries 250.000 Euro Ordnungsgeld, alternativ ein halbes Jahr Haft.
[...]

Ist ja nicht so das ich schadenfroh bin, aber Ehre wem Ehre gebuehrt :>
""AG Berlin droht Justizministerin Zypries mit Haft"" vollständig lesen

Erster Job in diesem Jahr

blog@strcat.de (Christian Schneider) — Tue, 01 Jan 2008 18:58:03 +0100

Auf den freu ich mich jetzt schon (Ironie-Tags selbststaendig setzen). Eine bekannte Firma Naehe Muenchens will einen Fileserver der hohen Sicherheitsstandards unterliegt und komfortabel zu administrieren ist. Bin ich eigentlich der einzige hier der das fuer einen Widerspruch in sich haelt? Ich seh mich jetzt schon Webmin auf Trusted IRIX installieren :>

Passend zu "Trojaner auf staatlich geförderter Kinder-Suchmaschine?"

blog@strcat.de (Christian Schneider) — Sat, 15 Dec 2007 14:55:43 +0100

http://www.heise.de/newsticker/meldung/100630

XSS-Schwachstelle auf Bundesregierung.de

Die offizielle Website der Bundesregierung weist eine Schwachstelle auf, über die sich mit Hilfe manipulierter Links beliebige Inhalte ins Seitenlayout einbetten lassen. Der Entdecker dieser so genannten Cross-Site-Scripting-Schwachstelle (XSS), Marcell Dietl, hat in seinem Blog Beispiel-Links gepostet, die nach einem Klick durch den Anwender die Regierungsseite beispielsweise mit einem Bild des Schauspielers Sylvester Stallone öffnen.

(ganzer Artikel auf Heise)

Wahrscheinlich werden deswegen Onternetnutzer, die Webseiten von Aemtern und Ministerien besuchen protokolliert. Ich an Marcell Dietls Stelle haette das nicht veroeffentlich. Nicht wegen dem Hackerparagraphen, sondern wegen der Kiddies die jetzt von ihm h4x0rn lernen wollen.

"Trojaner auf staatlich geförderter Kinder-Suchmaschine?"

blog@strcat.de (Christian Schneider) — Thu, 13 Dec 2007 03:13:48 +0100

http://www.gulli.com/news/fragfinn-trojaner-auf-2007-12-13/

Mit gutem Willen könnte man sagen, dass die "Kinder-Suchmaschine" Fragfinn.de schlicht mit einer schlampig programmierten IE-Toolbar aufwartet, die dazu gedacht ist, das Surfverhalten der Kinder mit Black- und Whitelists abzugleichen, dabei aber eine Reihe von Sicherheitslücken aufreißt. Etwas paranioder gedacht fragt man sich, wie eine sensible, von "der Bundesregierung ... sowie Unternehmen und Verbänden aus der Telekommunikations- und Medienbranche" getragene Software sich Patzer erlaubt wie ohne Hinweis das Surfverhalten an Server zu übertragen, Cookies fremder Seiten nach Belieben zuzulassen und Malware per Script Zugriff auf alle diese Möglichkeiten zu geben.

Denn all das macht die externer Link in neuem Fenster IE-Toolbar für Fragfinn.de möglich. En Detail:

1. Die Toolbar umgeht lokale Proxysettings, ohne dass der User das bemerkt.
2. Sie erfasst Daten und sendet diese an einen entfernten Server, wo sie aufgezeichnet werden können. Auch das wird dem User nicht mitgeteilt.
3. Sie erlaubt den Websites Dritter, Cookies zu setzen, die jahrelang gültig sein können. Dabei agiert die Toolbar als Proxy, die Cookies für die Quellseite setzt. Interessant dabei: wenn die Quellseite bisher (beispielsweise per Adblocker) gesperrt war, wird das ignoriert und umgangen.
4. Alle Sicherheitsfeatures können mit einem einfachen Script umgangen werden, die Config-Files sind ungeschützt. Eine einfache Malware könnte alle Features (der Toolbar, Anm. K.) heimlich nutzen und der User würde davon nichts bemerken.

So hakin9-Autor Marcell Dietl aka skyout. Sein Fazit: "Man könnte das als Trojaner der Regierung bezeichnen." Plus die rhetorische Frage, ob da in der Vergangenheit nicht irgendwas über gewisse "Bundestrojaner" geredet worden sei?

Nebenbei seien die Seiten auf der FragFINN-Whitelist aus Security-Sicht extrem schlampig ausgesucht, denn jugendschutz.net, barbie.com und - oh, die Ironie - fragfinn.de sind anfällig für Cross-Site-Scripting-Attacken. Plus einige weitere Sites, die von FragFinn als kindertauglich kategorisiert werden.

Dass von der Regierung geförderte IT-Projekte gelegentlich fatale Fehlschläge hinnehmen müssen, ist nichts neues - und mit eben 1,5 Millionen Förderung aus öffentlichen Geldern spielt FragFinn und das Zielseiten-Umfeld der Suchmaschine trotz offensichtlicher Überflüssigkeit nicht einmal in einer Liga mit diversen Großprojekten. Insofern - Inkompetenz und fehlender technischer Sachverstand sollten frei nach dem Motto "Man muss nichts mit Bösartigkeit erklären, was auch durch Dummheit erklärt werden kann" eher als Ursache angenommen werden als den Versuch, mutmaßliche Terroristen via Kinderschutz-Toolbar auszuspionieren. Dem Vertrauen in staatliche IT-Projekte dürfte einmal mehr jedoch massiver Schaden zugefügt worden sein. Bereits der CCC-Aprilscherz vom Bundestrojaner in der Steuer-Software ELSTER klang vielen zu realistisch, um an einen Scherz zu denken.

Und ob der Rechner dann mit staatlich geförderter Software absichtlich ausgeschnüffelt wird oder sich diverse Blackhats einfach die Lücken im System zunutze machen, spielt am Ende vermutlich auch keine große Rolle mehr.

Fragfinn.de ist per HTTP momentan nicht zu erreichen, der Server pingt immerhin noch.

Mitleid oder mich aufregen? Nein. Wieso auch?! Wer den Internet Explorer nutzt, verdient nichts anderes als solche Scheisse. Lernen durch Schmerz. Aber IE-Luser sind so schmerzresistente Vollpfosten, die merken sowieso gar nichts mehr.

Serendipity 1.2.1 released

blog@strcat.de (Christian Schneider) — Sun, 09 Dec 2007 04:16:06 +0100

http://blog.s9y.org/archives/187-Serendipity-1.2.1-released.html

Serendipity 1.2 has been well received by the community, there were only very few minor bugreports. Those have been addressed in the Serendipity 1.2.1 maintenance release, available now.

The new Serendipity version also includes some new Bulletproof Theme options (user-customized stylesheets) and addresses some very minor browser quirks. If you're using Bulletproof, it is suggested you perform the update.

Also this new version addresses a security issue in the Remote RSS sidebar plugin (reported by Hanno Böck), which did not properly treat links coming from an RSS feed, which could lead to possible XSS attack vectors, if you are showing foreign feeds that might distribute malicious content to you. If you're using this plugin with an unsafe RSS feed, you should upgrade Serendipity.

Serendipity 1.2.1 features a new WPXRSS importer and can import the new WordPress 2.3 database structure All bug fixes have also been applied to our current 1.3-release tree. This release currently features some new Smarty-Templating convenience features, a remote spartacus version information interface, full pingback support, a LifeType blog importer and support of SQLRelay.

Upgrading Serendipity is very easy, have a look at the FAQ. The new version is available on the Serendipity download page.

Enjoy Serendipity and have a nice Christmas time!