Samstag, 11. Januar 2020
… hat Linus Neumann am 36C3 in Leipzig an Hand von Phishing Checks/Tests/Trockenübungen aufgezeigt:
Ab 31 Minuten 30 Sekunden erläutert er, dass weder vorgängige E-Mail-Warnungen noch Posterkampagnen Mitarbeiter eines Unternehmens auf die Phishing-Problematik sensibilisiert haben. Der einzige Lerneffekt kann man bei tatsächlichen Phishing-Tests erkennen, bei denen die Opfer einen Text lesen oder ein Video schauen müssen, nachdem sie auf ein solches E-Mail reingefallen sind.
Tags: Awareness, Informationssicherheit, Phishing, Security
Labels: Security
Sonntag, 14. Juli 2019
Gestern habe ich die zwei WordPress-Plugins Aryo Activity Log sowie WordPress User Login Notifier installiert, weil ich über erfolgreiche Logins auf die WordPress Admin-Oberfläche informiert werden möchte.
Zurückzuführen ist das auf die Paranoia eines Security Professionals sowie die Interessen einer Person, die von Metriken getrieben wird — peinlich nur, dass mir das erst 14 Jahre nach meinem ersten Blog-Artikel einfällt (wobei ich ja mein Blog anfänglich auf Blogger.com gehostet hatte und WordPress erst seit einigen Jahren verwende).
Da ich die E-Mail-Notifications bei erfolgreichen und fehlgeschlagenen Login-Versuchen mit dem ersten Plugin nicht zum Laufen gekriegt habe (andere Leute klagen vom denselben Problem), versuchte ich es mit dem zweiten Plugin. Und hiermit klappte es tadellos.
Leider sogar zu gut: In den letzten 24 Stunden habe ich über 250 E-Mail-Notifications zu fehlgeschlagenen Login-Versuchen erhalten.
Ich war mir nicht bewusst, dass es Bots da draussen gibt, welche derart penetrant versuchen, sich regelmässig auf WordPress-Installationen einzuloggen!
Um mir ein Bild von den Angriffen zu machen, habe ich kurzerhand die E-Mails im Verzeichnis von Apple Mail ausgewertet, welche vom Plugin gesendet wurden:
$ cd ~/Library/Mail/V5/%UUID%/INBOX.mbox/Blog.mbox/Security.mbox
$ grep -R "IP: " * | awk '{print $2}' | sort | uniq -c | sort -n
1 103.28.53.243
1 103.48.193.61
1 109.71.51.146
1 112.167.48.194
1 116.66.197.119
1 116.98.146.168
1 125.27.251.87
1 129.121.176.210
1 158.69.1.224
1 159.65.24.244
1 163.172.31.156
1 167.99.199.157
1 169.46.90.112
1 178.254.10.204
1 178.63.95.126
1 183.108.175.18
1 185.119.81.50
1 185.186.247.115
1 185.20.49.4
1 185.85.238.244
1 185.86.13.213
1 185.86.164.104
1 185.86.164.106
1 185.86.164.99
1 185.86.167.4
1 198.245.53.5
1 198.71.231.36
1 198.71.231.82
1 198.71.234.37
1 202.148.2.254
1 207.154.254.235
1 209.212.158.122
1 213.136.88.141
1 218.155.202.145
1 3.82.149.65
1 3.82.92.104
1 35.204.143.164
1 59.115.86.221
1 62.210.203.197
1 66.42.53.87
1 71.89.36.92
1 72.167.190.46
1 81.176.232.150
1 82.146.152.108
1 86.195.244.22
1 89.46.106.148
1 89.46.107.143
1 94.23.255.76
1 95.110.207.17
2 101.37.88.44
2 103.81.85.184
2 134.0.63.134
2 150.95.110.27
2 185.2.5.13
2 185.86.164.101
2 188.166.72.215
2 202.21.116.202
2 206.189.169.36
2 217.170.198.14
5 150.138.253.73
12 115.28.229.143
18 193.201.224.194
31 94.242.55.108
60 59.42.123.186
89 140.143.90.193
Die Top 5 Angreifer waren gemäss dieser Liste:
Erstaunlich war auch, dass ich mit Limit Login Attempts ein WordPress-Plugin installiert habe, welches die Logins von einer bestimmten IP innerhalb einer bestimmten Zeit auf drei Versuche reduziert, einige IPs sich aber in derselben Minuten dutzende Male einzuloggen versucht haben. Entweder generiert das E-Mail-Script dutzende E-Mails, wenn es nur eins geben sollte, oder aber das Rate Limit funktioniert nicht oder nur verzögert. Da das Plugin offenbar nicht mit meiner WordPress-Version getestet wurde, habe ich mich entschieden, es zu deaktivieren und stattdessen Limit Login Attempts Reloaded zu installieren. Hoffen wir, dass dieser zusätzliche Schutz nun (wieder) funktioniert.
Noch erstaunlicher: Angriffe auf den Standard-Benutzername admin erschienen mir noch trivial, dass deutlich mehr Angriffe auf meinen persönlichen (!) Benutzernamen gerichtet waren, liessen mich mulmig werden — können Scripts diesen irgendwie in Erfahrung bringen, oder wird das manuell in die Angriffstools eingepflegt?
Ich habe nun nicht lange gefackelt und im Web-Root meiner WordPress-Installation die .htaccess-Datei folgendermassen angepasst:
... <Files wp-login.php> Order Deny,Allow Deny from all Allow from 1.2.3.4 Allow from 1.2. </Files> ...
Quelle: Restrict WordPress Admin Access by IP Address
Ich habe für den Zugriff auf die PHP-Datei wp-login.php dasjenige IP-Subnetz whitegelistet, mit welchem ich mich normalerweise auf die Administrationsoberfläche verbinde. Alle anderen Requests werden vom Server ab sofort mit einem HTTP 403 Forbidden geblockt.
Diese Massnahme nützt aber natürlich nur etwas gegen Brute Force-Attacken von Leuten, die freundlicherweise die offizielle Eingangstüre benutzen wollen. Wenn im Programmcode von WordPress sonstige Schwachstellen vorhanden sind, ist im schlimmsten Fall gar kein Login nötig, um eine Installation zu kompromittieren.
Trotz dieser Anpassungen hörten die E-Mail-Meldungen nicht auf. Wie ich schlussendlich herausfand, versuchen Angreifer auch, über die XML-RPC-Schnittstelle von WordPress Brute Force-Attacken durchzuführen (bei mir unter /xmlrpc.php). Diese Komponente, eigentlich für Pingbacks (ein anderes Blog verlinkt auf einen Artikel von mir) sowie externe Blog-Editoren gedacht, bietet ebenfalls eine Authentifizierungsmöglichkeit an. Und bei dieser greifen die oben ergriffenen Sicherheitsmassnahmen natürlich nicht.
Ich habe deshalb noch folgendes Plugin installiert und aktiviert (ACHTUNG: Das Plugin aktiviert sich nach der Installation nicht von selbst, es ist noch eine Benutzerinteraktion nötig: Klick auf „aktivieren“): Disable XML-RPC. Seit gestern Abend, 23:07 Uhr, herrscht nun endgültig Ruhe.
Tags: Brute Force, Login, Rate Limit, Security, Sicherheit, Wordpress, XML-RPC, xmlrpc.php
Labels: Web
Sonntag, 9. Juni 2019
(A friend of mine living in the US asked me about my thoughts on Apple’s upcoming Find my app announced at WWDC 2019 this week — that’s why this article is posted in English)
In short: Very, very, very useful.
Once rolled out, this feature will help a lot of devices to be returned to their rightful owner, and probably will also lead to some arrests over times, as well as some very weird discussions with friends and family («Brother-in-law, I know my iPhone is in your house! What the f*** were you thinking?») …
Oh, and think about missing persons, unconscious or incapable of calling for help. You MIGHT find them as long as they’re not totally off the beaten track, even if they don’t have mobile reception. Interesting to see whether good hackers will try to improve their antenna designs to catch Bluetooth signals from miles away (if this is even physically and technically possible?).
Of course, this feature only works as long as your phone is charged, switched on and not damaged (as in hard- and/or software issues). A while ago, a friend lost his phone when „not fully sober“ in front of his condo’s building on a night it was snowing heavily. He found it two days later when the snow melted (after an oven session the thing switched on again and still works, yay!) … this technology would have helped him find it (probably) the morning after, when the phone still had a charge — given that he had access to a second device able to receive the Bluetooth beacon (or another person living in the neighbourhood passing by with his Apple device).
Some questions currently remain open:
Tags: Beacon, Bluetooth, Find my, Safety, Security, WWDC, WWDC2019
Labels: Apple
Sonntag, 3. Dezember 2017
Da will ich mir als Empfänger einer verschlüsselten E-Mail ein Konto auf einer Totemo Secure Mail-Appliance einrichten, und dann das:
Fazit: Informationssicherheit nicht begriffen. Ungenügend, setzen.
Tags: Informationssicherheit, IT Security, Komplexität, Passwort, Passwörter, Security, Sicherheit, Totemo
Labels: IT
Montag, 8. Mai 2017
Gut gemeint, funktioniert aber nicht: Die Cyon WAF (Web Application Firewall).
Gerade eben kämpfte ich massiv mit meinem Server bei Cyon, deren WAF und meiner WordPress-Installation: Den Artikel tftp funktioniert über NAT nicht wollte der Server partout nicht speichern und gab stattdessen einen HTTP 403 zurück. Wahrscheinlich enthielt das Web-Formular zu viele „gefährlich“ tönende Befehle.
Das Problem behebt man ganz einfach, indem man die .htaccess der WordPress-Installation um folgende Zeilen ergänzt:
... <IfModule mod_security2.c> SecFilterEngine Off SecFilterScanPOST Off </IfModule> ...
Tags: Cyon, htaccess, Security, Sicherheit, Usability, WAF, Web Application Firewall
Labels: Web
Sonntag, 28. August 2016
Der Nachteil der Verwendung von Asuswrt-Merlin auf meinem Asus RT-AC66U-Router ist das latent vorhandene Gefrickel. Ich kann es kaum erwarten, bis mein Turris Omnia ankommt!
So musste ich vor einigen Monaten bemerken, dass das Web-Interface meines Routers aus dem Internet zugänglich ist, egal, ob ich diese Option im Web-GUI des Routers nun aktiviere oder deaktiviere. Das Interface läuft auf Port 8443 und ist nur mit HTTPS erreichbar (mit einem selber signierten Zertifikat).
Ich griff deshalb kurzerhand zu iptables, um diesen sicherheitsmässigen Fahrlässigkeit den Garaus zu machen: Ich loggte mich per SSH auf den Router ein und fand zuerst einmal das WAN-Interface heraus:
$ ifconfig
...
eth0 Link encap:Ethernet HWaddr XX:XX:XX:XX:XX:XX
inet addr:85.X.X.X Bcast:85.X.X.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:662731029 errors:0 dropped:0 overruns:0 frame:0
TX packets:536190886 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:871096761 (830.7 MiB) TX bytes:4294213359 (3.9 GiB)
Interrupt:4 Base address:0x2000
...
Soso, eth0 also, da dies das einzige Interface mit einer öffentlichen IP war.
Folgender iptables-Befehl killt alle aus dem WAN stammenden Anfragen auf Port 8443:
# iptables -A INPUT -i eth0 -p tcp --destination-port 8443 -j REJECT # iptables -A INPUT -i eth0 -p tcp --destination-port 22 -j REJECT
Wieso ich REJECT und nicht (wie ursprünglich konfiguriert) DROP gewählt habe? Drop versus Reject
Um sicherzugehen, dass die iptables auch wirklich nützen, habe ich mich dann des Tools NetRenderer bedient. In der Adresszeile des Web-Tools gebe ich
https://85.X.X.X:8443/
ein und warte, bis mir ein Timeout angezeigt wird. Wird stattdessen ein Zertifikat-Fehler angezeigt, weiss ich, dass die Verbindung (leider) immer noch möglich ist.
Auf StatusCake habe ich mir einen Check auf dieselbe URL eingerichtet, welcher mich alarmiert, sollte die Verbindung plötzlich wieder möglich sein (bspw. auf Grund eines Reboots). Dies war heute der Fall, nachdem die Regel 57 Tage und 9 Stunden gehalten hatte.
Himmelarsch, Port 22 (SSH) war auch die ganze Zeit über offen!
$ nmap -F 85.X.X.X 22/tcp filtered ssh 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 8443/tcp filtered https-alt
Tags: Admin, Administration, Asus, Asuswrt-Merlin, DD-WRT, GUI, HTTPS, iptables, LAN, RT-AC66U, Security, Sicherheit, WAN, Web-GUI
Labels: Uncategorized
Mittwoch, 15. Juni 2016
Heute fand per Post ein gebrauchter Avocent DSR1031 IPKVM-Switch den Weg zu mir nach Hause. Ich werde den IP-fähigen KVM-Switch im Elternhaus installieren, um im Notfall einen Linux-Server fernsteuern zu können.
Erste Ernüchterung bereits umgehend bei der Verbindung auf die IP-Adresse des Switches: Leider ist das von Acovent auf dem KVM-Switch verbaute Zertifikat im letzten Jahr abgelaufen:
Als erstes aktualisierte ich das Firmware des Geräts auf Version 03.07.01.20, welche ich von der Web-Site des Herstellers heruntergeladen hatte (ich musste den FTP-Link manuell in CyberDuck einfügen; der Download mittels Web-Link klappte partout nicht).
Leider löste dies die Problematik des abgelaufenen Zertifikats nicht — so viel zu Hersteller-Support im SSL/TLS-Umfeld.
Anschliessend musste ich auf Firefox ausweichen, um ein Verbindungsfile hinter einem Link namens „KVM Session“ unter einem vom Vorbesitzer erfassten Device herunterzuladen — Safari zeigte einen Download an, die Datei fand sich aber nicht im Download-Ordner.
Der Klartext der heruntergeladenen Datei zeigte, dass es sich um ein sogenanntes Java Network Launch Protocol JNLP-File handelt:
<?xml version="1.0" encoding="utf-8"?>
<!-- JNLP File for Java Video Viewer Application -->
<jnlp spec="1.0+" codebase="http://10.0.1.227/webstart2">
<information>
<title>Video Session Viewer</title>
<vendor>Avocent</vendor>
<description>Video Session Viewer</description>
<description kind="short">Video Viewer</description>
</information>
<security>
<all-permissions/>
</security>
<resources>
<j2se version="1.5+"/>
<jar href="avctVideo.jar"/>
<jar href="avctVM.jar"/>
<nativelib href="avctWin32Lib.jar"/>
<nativelib href="avmWin32Lib.jar"/>
<nativelib href="avctLinuxLib.jar"/>
<nativelib href="avmLinuxLib.jar"/>
<nativelib href="avctSolarisLib.jar"/>
<nativelib href="avmSolarisLib.jar"/>
<nativelib href="avctMacOSXLib.jar"/>
<nativelib href="avmMacOSXLib.jar"/>
<nativelib href="jpcscdll.jar"/>
<nativelib href="jpcscso.jar"/>
</resources>
...
Diese Datei startet man folgendermassen:
$ javaws -verbose kvm.cgi
Leider erhielt ich mit J2SE Version 8 Update 91 folgende Fehlermeldung zu Gesicht:
Nach einigen Recherchen im Internet fand ich im Support-Forum des Herstellers im Beitrag „AutoView 3016 Java network connect error“ die Lösung.
In der Datei /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/java.security müssen zwei Parameter für den Umgang mit verschlüsselten Verbindungen angepasst werden:
... #jdk.certpath.disabledAlgorithms=MD2, MD5, RSA keySize < 1024 jdk.certpath.disabledAlgorithms= ... #jdk.tls.disabledAlgorithms=SSLv3, RC4, MD5withRSA, DH keySize < 768 jdk.tls.disabledAlgorithms= ...
Danach klappte die Verbindungsaufnahme:
Leider habe ich so meine Java-Installation extrem unsicher gemacht. Die Browser-Plugins habe ich seit längerem allesamt deaktiviert, was das Risiko etwas senkt.
Mittlerweile habe ich — selbstverständlich mittels Internet-Resourcen — herausgefunden, wie man die Java-Einstellungen ausschliesslich nur für einen bestimmten Prozess abändert. Hierzu habe ich mir ein Script geschrieben, mit welchem ich den Avocent Viewer starten kann:
#!/bin/bash ... SCRIPTDIR="/path/to/script/dir" ... JAVAWS=$(which javaws) JNLP="$SCRIPTDIR/kvm.jnlp" JAVASECURITY="$SCRIPTDIR/java.security" # http://stackoverflow.com/questions/1047154/java-webstart-options CMD="$JAVAWS -J\"-Djava.security.properties=$JAVASECURITY\" $JNLP &" echo $CMD eval $CMD echo "" exit 0
Im Verzeichnis, in welchem das Bash-Script liegt, habe ich eine Kopie der oben genannten Datei java.security abgelegt und die Anpassungen an der lokalen Kopie vorgenommen (die globale Datei java.security führt nur die sicheren Ciphers auf). Den Pfad zur lokalen Datei übergebe ich Java Web Start mittels einer Kommandozeile -J, in welcher eine Java-Argument verschachtelt ist -D.
Tags: Avocent, DSR1031, DSView, Error, Fehler, Java, javaws, Security, SSL, TLS
Labels: IT
Mittwoch, 2. März 2016
display_errors = On gehört nun einfach wirklich nicht auf den Produktionsserver. Anfänger.
Tags: display_errors, Security, Sicherheit, Tagesanzeiger, Tagi
Labels: Web
Sonntag, 17. Januar 2016
Auf dem Flug von Tel Aviv nach Zürich hatte ich Zeit, längst überfällige YouTube-Videos zu schauen. Unter anderem auch eine Präsentation von der BruCON 0x07 mit dem Titel „Advances WiFi Attacks using Commodity Hardware“:
Noch während dem Flug notierte ich mir gemäss den Ausführungen im Video ab 42 Minuten 52 Sekunden, zu Hause auf meinem Asus RT-AC66U mit DD-WRT das unsichere Verschlüsselungsprotokoll TKIP zu deaktivieren. Aus (unnötigen) Kompatibilitätsgründen könnte dieses Protokoll nämlich auch 2016 noch Standardmässig auf WLAN-Access Points aktiviert sein.
Erleichtert durfte ich zu Hause dann aber feststellen, dass ich offenbar in weiser Voraussicht längst nur noch AES-CCMP aktiviert hatte:
Tags: AES, AES-CCMP, BruCON, Cracking, Hack, Hacking, Security, Sicherheit, TKIP, WiFi, WLAN, Youtube
Labels: Uncategorized
Donnerstag, 5. März 2015
In den letzten Tagen kam es knüppelhart: Zuerst meldeten die PHP-Entwickler eine Sicherheitslücke in der unserialize()-Funktion (CVE-2015-0273), tags darauf mussten die Leute hinter Samba ein schwerwiegendes Problem in ihrer Software anerkennen (CVE-2015-0240).
Wie gehe ich sicher, dass auf meinem Debian-Server zu Hause Pakete installiert sind, in welchen diese Sicherheitsprobleme bereits behoben wurden?Nach einer kurzen Google-Suche fand ich die Antwort:
Im Debian Security Tracker kann ich nachschauen, welche Pakete von welchen „Common Vulnerabilities and Exposure“ betroffen sind. In den beiden erwähnten Fällen lauten die URLs auf die Detailseite folgendermassen:
Die dort angegebenen Versionsnummern kann ich anschliessend auf meinem Server mittels folgendem Befehl überprüfen:
$ dpkg --list | grep php ... ii php5 5.6.5+dfsg-2 all server-side, HTML-embedded scripting language (metapackage) ...
5.6.5+dfsg-2 ist immer noch anfällig auf das Problem, da die Sicherheitslücke offenbar erst mit 5.6.6+dfsg-2 behoben ist. Nebenbei: Mehr zum Kürzel „dfsg“.
Deshalb führe ich folgenden Befehl aus:
# apt-get upgrade php5 ... Calculating upgrade... php5 is already the newest version. ...
Offenbar muss ich mich also noch ein wenig in Geduld üben.
Bei Samba schaut es folgendermassen aus:
$ dpkg --list | grep samba ... ii samba 2:4.1.17+dfsg-1 i386 SMB/CIFS file, print, and login server for Unix ...
4.1.17+dfsg-1 wird auf der Web-Site als „fixed“ geführt. Glück gehabt!
Mario Aeby, geboren am 25. September 1980 in Bern, Schweiz
Ein Weblog über IT (Linux, OSS, Apple), Heim-Automation; mein mittlerweile abgeschlossenes Geschichtsstudium; Erkenntnisse aus meiner aktuellen Tätigkeit in der Informationssicherheit, meine Erfahrungen als IT-Berater, IT-Auditor, Web-Developer und IT-Supporter; die Schweiz, den Kanton Bern, meine ursprüngliche und auch wieder aktuelle Wohngemeinde Neuenegg, meine vorherige Wohngemeinde Bern, über lokale, regionale und globale Politik; meine Reisetätigkeit und Erfahrungen mit anderen Kulturen; und zu Guter letzt auch das Älter werden.
Alle in diesem Blog gemachten Aussagen und Meinungen sind persönlich und nicht als Ansichten meines aktuellen und/oder meiner bisherigen Arbeitgeber zu verstehen.
 |