Der IPTV Anbieter maxdome hat vor zwei Wochen eine kritische Session Hijacking Lücke in auf seinen Webseiten geschlossen. Man konnte ohne großen Aufwand die Session anderer Benutzer übernehmen und so volle Kontrolle über deren Konten erlangen.
So konnte man über das einfache Raten von Session-IDs schon an Kundenkonten kommen. Andererseits konnten Besucher der Seite den Zugang zu ihrem Konto aus Versehen in fremde Hände geben. Die Lücke entstand aus einem Sessionkey, der in der URL übergeben wurde und dem ohne weitere Prüfung vertraut wurde.

Ich hatte maxdome über die Sicherheitslücke in Kentniss gesetzt. Kurz darauf wurde die Lücke behoben. In einem Telefonat mit einem Mitarbeiter konnte ich erfahren, dass alle Kundenkonten anfällig für den Angriff waren, aber die Sicherheitslücke noch nicht aktiv ausgenutzt wurde.

So ist das noch gut gegangen. Wäre eine nicht so aufrichtige Person auf den Fehler aufmerksam geworden, hätte dies weitaus schlimmere Konsequenzen nach sich ziehen können.

Schon lange ist bekannt, dass man über Javascript sehr leicht herausfinden kann, ob ein User schon einmal eine bestimmte Seite besucht hat oder nicht. Aber niemanden interessiert dies.

Im Internet ist ein Script verfügbar, welches eine Reihe sozialer Netzwerke daraufhin prüft, ob der User diese schon einmal mit seinem Browser angesurft hat. Dieses habe ich mir nun einmal zu Nutze gemacht, damit ihr dieses hier einmal live testen könnt. Dazu habe eine kleine Auswahl spezieller Seite zusammengestellt. Durch einen Klick auf den entsprechenden Link, werden eine Reihe von Seiten geprüft und danach gezeigt, welche davon ihr schon besucht habt. Es werden von mir natürlich keine Daten dieses Tests gespeichert.

zeige Soziale Netzwerke

zeige Banken

zeige News

zeige Shops

Natürlich sind meine Angaben für jede Seite recht speziell, weshalb das im Einzelfall nicht funktionieren muss. Aber dennoch kann man hier einmal die Gefahr sehen. Ein Patent auf diese Technik wurde auch schon angemeldet, weshalb es möglich ist, dass Firmen diese Technik nutzen, um mehr über ihre Kunden heraus zu finden.

Das DNS (Domain Name System) sorgt dafür, dass die passende IP-Adresse zu einer Domain aufgelöst werden kann, sodass der heimische Webbrowser den entfernten Server direkt ansprechen kann.
Dabei halten die Provider (auch ISP) solche DNS Server parat, die diese Namensauflösung realisieren. Wenn man eine Domain abfragt, erhält man von einem solchen DNS Server die Antwort mit der IP-Adresse, einfach gesagt. Der DNS Server speichert die Kombination und IP in einem eigenen Cache für eine gewisse Zeit, um künftige Anfragen schneller beantworten zu können.

In den letzten Tagen ist eine Sicherheitslücke in der gängigen Software für diese DNS Server bekannt geworden, die nun auch schon aktiv ausgenutzt werden kann. Dabei wird per Cache Poisoning ein solcher Cache Eintrag geändert, sodass zukünftige Namensauflösungen einer Domain mit einer falschen IP beantwortet werden. So kann man surfende User auf eine falsche Seite locken, ohne dass diese es merken.
Die genaue Angriffsstrategie sollte erst später bekannt gegeben werden, was aber nicht der Fall war.

Die großen ISPs haben ihre Nameserver noch nicht völlig geupdated, es sollen noch über 50% der Nameserver angreifbar sein. Dabei kann so ein solcher Angriff in unter 10 Sekunden ausführbar sein.
Die Anbieter der Serversoftware, darunter auch Microsoft, stellen schon Updates bereit. Allerdings werden bei den ISPs diese Updates natürlich nicht blind eingespielt, sondern erst einmal evaluiert. Die frühzeitige Bekanntgabe des genauen Ablaufs eines solchen Angriffs, hat den Providern die Zeit genommen, die Updates rechtzeitig einspielen zu können. Nun wurden bereits die ersten Angriffe protokolliert.

Um sich gegen solche Angriffe zu schützen ist schon ein Signierungsstandard in Planung, der Ende 2008 einsatzbereit sein soll. Wann dieser dann wirklich zum Einsatz kommt, ist natürlich ungewiss.

Wer weitere Infos zu diesem Thema haben möchte, findet mehrere Artikel auf heise.de.

Heute war unerwarteter Weise ein Paket für mich in der Post. Als ich es öffnete und den Brief las, stellte sich heraus, dass ich ein Softwarepaket von O&O Software gewonnen habe.

Darunter befinder sich ein Schlüsselband, Brause in der Geschmacksrichtung Waldmeister, ein Kugelschreiber, eine Trial-CD, eine Broschüre über eine Studie über Datensicherheit, sowie O&O Defrag 10 Professional Edition und O&O SafeErase 3.

O&O Defrag 10 Professional Edition

Das Defrag Tool ist laut mehreren Quellen wohl ein sehr gutes. Man kann zeitgesteuert Defragmentierungen ausführen lassen und unterschiedliche Arten auswählen. Dabei ist die Optimierung des freien Speicher möglich, aber auch die Sortierung der Daten nach Name, Zugriffen oder Erstellungsdatum.

Ich habe mich entschieden, meine Festplatte, soweit die Partition nicht zu voll ist, nach Zugriffen sortieren zu lassen. Das soll wohl eine deutliche Performancesteigerung bringen. Leider dauert die erste Defragmentation nur sehr lange, daher kann ich noch nicht von den Ergebnissen berichten.

User lieber Überwachungsminister ist schon wieder Opfer einer Hackerattacke geworden. Nachdem seine persönliche Seite schon einmal gehackt wurde, ist diese nun wieder das Opfer eines erfolgreichen Angriffs geworden.

Anscheinend wurde nach dem letzten Angriff seine Seite noch nicht völlig gesichert.

Als ich heute morgen mein Postfach abgerufen habe, musste ich feststellen, dass leider wieder eine Menge Spammails mit meiner Adresse als angeblichen Absender verschickt wurden.

Noch schlimmer finde ich allerdings, dass viele Administratoren ihre Mailserver nicht im Griff haben und diese eine Bouncemail zurück senden. Es ist doch nicht so schwer eine Reverse-DNS-Prüfung zu machen, um die Echtheit des Absenders zu verifizieren. Damit könnte man sich die Bounces sparen und die Spammails einfach wegwerfen. Zudem hält das einen Großteil des Spams vom den Postfächern fern.

Ich hoffe mal, dass diese Spamwelle bald vorbei ist und ich wieder meine Ruhe habe.

In einem interessanten Artikel in den BBC News wird erklärt, wie Social Networks wie MySpace oder Facebook für kriminelle Zwecke missbraucht werden. Darin wird gesagt, dass Spammer und andere übe Gestalten im Netz diese Seiten nutzen (können), um an Informationen über ihre Opfer zu kommen. So ließen sich Spammails oder mit Schadcode präparierte Mails glaubhafter formulieren und persönlicher gestalten.
Bekannte, Interessen und Hobbys lassen sich über die Social Networks ermitteln und dementsprechend können Zielgruppen für bestimmte Spammails erfasst werden, um die Erfolgsquote des Spams zu steigern. In dem Artikel stellt Mary Landesman, senior security researcher bei ScanSafe, fest, dass die Nutzer von Social Networks dort gerne Informationen preisgeben, die sie in der echten Welt, zum Beispiel einer Bar, kaum an Fremde weitergeben würden.

Dieses sehe ich ja selbst auch jedes mal, wenn ich mich durch StudiVZ bewege. Viele (Nicht-)Studenten geben dort eine Menge von Informationen von sich prei, vielleicht motiviert durch leichtgläubig, vielleicht auch einfach nur durch die Anonymität im Netz oder fehlende Präsenz der “Fremden”, die diese Informationen erfahren.
Da entbrennt eine große Diskussion, wenn das StudiVZ diese Informationen nutzen will, um zielgruppengerecht zu werben. Aber wenn nun Spammer darüber interessenorientierten Spam versenden können, ist das den Meisten wohl egal. Auf legalem Wege kann man nur wenig mit den Informationen anfangen, in der illegalen Branche kann man aber wegen der Natur der Arbeit frei über alle erlangten Daten verfügen.

Die Nutzer von Social Networks sollten sich mal Gedanken darüber machen, von welchen Leuten ihre Daten genutzt werden können. Dann würden sie vielleicht weitaus weniger von sich preis geben.