Tag Archives: Security

Lesenswerter Post zur Zentralisierung von Diensten

Moxie Marlinspike hat ein paar schöne Gedanken im Open Whisper Systems Blog zu Papier gebracht über die De-/Zentralisierung von Protokollen und Diensten. Wenn ihr ein paar Minuten Zeit habt – uneingeschränkte Leseempfehlung.

Reflections: The ecosystem is moving

Heartbleed heißt Passwörter ändern, oder doch nicht?

Im Zuge der ganzen Heartbleed-Aufregung haben viele zum Wechsel der Passwörter aufgerufen (z.B. Wunderlist oder SoundCloud). Der Chefredakteur von heise Security, Jürgen Schmidt behält da schon eher einen klaren Kopf in seinem Kommentar dazu. Er spricht die Zeit an, die für die Änderungen draufgeht und den damit verbundenen Produktivitätsverlust.

Wer sich näher für den Bug interessiert, der kann sich auf heise Security schlau lesen, oder dieses (englische) Video schauen.

Welche Software OpenSSL verwendet kann man auf der OpenSSL Seite sehen.

Was aber wieder einmal klar ist, wer ein Passwort nicht mehrfach verwendet, sondern für jedes Login ein anderes Passwort, der ist relativ sicher. Und in Kombination mit einem Passwort Safe und dafür dann ein sicheres Passwort ist das auch alles kein Hexenwerk.

Critical Engineering mit PRISM auf der Transmediale 2014

Ich habe ja bereits Anfang Januar über Julian und Danja (sowie auch Gordan) und das Projekt Critical Engineering berichtet. Auf der Transmediale 2014 waren die beiden nun auch wieder mit ihrer Installation “PRISM: The Beacon Frame” – und wurden direkt (wegen einer fehlenden Betriebsgenehmigung für ihren IMSI Catcher) dazu gebracht, die Installation wieder abzuschalten. Immerhin hat es die Sache auch in den Spiegel geschafft. Julian und Danja haben übrigens auf PasteBin sich geäußert zu dem Vorfall:

It was our intention to provide an opportunity for public to critically engage precisely the same methods of cellular communications interception used by certain governments against their own people and people in sovereign states. It was not, in any way, our intention to harm anyone and nor did we.

Massive Kommentar-Spam-Schleuder IPTelligent LLC sperren

Aktuell sind wieder ziemlich viel (Kommentar-)Spam-Versuche auf den von uns gehosteten Seiten aufgeschlagen. Nach kurzer Analyse, fanden wir einige IPs, von welchen die hohe Anzahl an Anfragen kam: 94.47.225.74, 94.47.225.170 und 94.47.225.82. Die Suche nach diesen Adressen führte zuerst zu einigen ähnlichen Artikeln – wie z.B. Remove 80% of your blog comment spam by blocking IPTelligent! oder im IT Master Services Blog:

Block them by their entire IP ranges, no legit visitors come from there. 96.47.224.0/20
and 173.44.32.0/20. Nothing but spam.

Eine weitergehende “Recherche” offenbarte, dass IPTelligent LLC, eine in Miami, Florida ansässige US-Firma für das autonome System AS 8100 eingetragen ist. Darin sind einige der folgenden Netze “beheimatet” (eine volle Liste der zugehörigen Netze gibt es bei Hurricane Electric:

  • 96.47.224.0/20
  • 173.44.32.0/20

Um nun die Logs nicht weiter zu beschmutzen, haben wir beschlossen die betreffenden Netze per Firewall auszuschliessen. Alternativ kann man auf UNIX Systemen auch folgende Einträge in die Datei /etc/hosts.deny aufnehmen:

ALL: 96.47.224.0/255.255.240.0
ALL: 173.44.32.0/255.255.240.0

Angenehmer Effekt ist dann auch, dass zu Zeiten einer Spam-Welle (wie wir sie über Weihnachten/Neujahr öfter beobachteten) die Verbindungen schon auf IP Ebene nicht zustande kommen und so load nicht anfällt. Das echte Nutzer aus diesem IP Bereich kommen ist auch relativ ausgeschlossen – und selbst wenn, die Spam-Eindämmung ist es Wert 😉

Datenleck beim Franzis-Verlag?

Ursprünglich wollte ich den Vorfall eigentlich nicht bloggen, aber durch die zweite personalisierten Phishing Mail (über die ich bereits berichtet habe) angetriggert, gibt es nun doch einen Artikel über das potentielle Datenleck beim Franzis Verlag. Die Situation scheint der Franzis Geschäftsführung ja auch nicht wichtig zu sein.

Continue reading

Erneute Warnung vor (personalisiertem) PayPal Phishing

Nachdem ich bereits vor einiger Zeit vor einem gut gemachtem PayPal Phishing Versuch gewarnt habe, möchte ich dies heute aus aktuellem Anlass wiederholen. Ich habe wieder eine neue, ebenso gute eMail erhalten.

Dieses Mal führt der Link des Buttons auf: “http://pp-verifizierung49265.net/B018492/” durch den Pfad im Link soll vermutlich die Emfängeradresse erkenntlich sein. Die Domain hat aber bereits den Status: SUSPENDED (Note: This Domain Name is Suspended. In this status the domain name is InActive and will not function.) Die Kontaktdetails sind:

N/A
Nathalia Outage (Email Masking Image@netnoir.net)
2280 Frederick Douglass Blvd #9B
New York
NY,10027
US
Tel. +1.3012179700

Continue reading

Warnung: (personalisierter) PayPal Phishing Versuch

Heute ist eine erstaunlich authentisch verfasste Phishing Mail in meiner Inbox gelandet. Deswegen möchte ich an dieser Stelle noch einmal eindringlich davor warnen, Links in Mails anzuklicken.

Phishing Mails

Als Phishing Mails bezeichnet man Mails, die einen zur Eingabe von Daten bringen wollen um diese dann (gewinnbringend) zu nutzen.

PayPal Accounts sind scheinbar besonders interessant für Kriminelle, denn es gibt häufig Warnungen vor solchen Versuchen (wie z.B. bei Sicherheit-Online.de diesen April).

Schutz vor Phishing Mails

Vor solchen Mails kann man sich relativ gut selbst schützen. Hier einige Anregungen:
1.) Kennt man den Absender nicht, Mail direkt löschen.
2.) Generell sollte man nur dann tätig werden, wenn man bereits Kunde des Instituts/Shops/Forums/etc. ist, dessen angebliche eMail zur Eingabe von Daten oder zum einloggen überzeugen will.
3.) Niemals auf die Links in der eMail klicken, sondern aus Lesezeichen (Bookmarks) oder von Hand die bekannte Adresse eingeben.

PayPal Phishing Mail

In der besagten Mail wird man korrekt mit Namen angesprochen, was darauf schließen lässt, dass die Daten gekauft oder entwendet wurden. Hier die eMail im vollen Text, das Original kam allerdings zusätzlich HTML formatiert an und sieht dann auch ansprechend aus:

Return-Path: <Mailversand@Service.de>
Received: from www.elladaprojects.com (unknown [178.239.58.81])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
Received: from static.226.92.46.78.clients.your-server.de ([78.46.92.226])
by www.elladaprojects.com with esmtpa (Exim 4.69)
(envelope-from <Mailversand@Service.de>)
id 1UpohR-0007sF-QW
From: “PayPal Deutschland” <Mailversand@Service.de>
Subject: Der Zugang zu Ihrem PayPal-Konto wurde vorübergehend eingeschränkt

21.06.2013

Sehr geehrter Herr Max Mustermann,

bitte unterstützen Sie uns dabei Ihr PayPal-Konto wieder freizuschalten. Der Zugang zu Ihrem PayPal-Kundenkonto wurde vorübergehend eingeschränkt.

Wo liegt das Problem?
Seit Ihrer letzten Anmeldung sind uns verdächtige Aktivitäten aufgefallen.

Was mache ich jetzt?

Bitte bestätigen Sie sich über folgenden Button durch einen Abgleich Ihrer Daten als rechtmäßiger Inhaber. Im Anschluss können Sie Ihr Paypal-Konto wieder uneingeschränkt nutzen:
Hier klicken

Mit freundlichen Grüßen
Ihr Team von PayPal Deutschland

Sie möchten mit uns Kontakt aufnehmen?
Unsere Kundenhotline erreichen Sie unter 0180 500 88 97
(Mo.-Fr. 8.00 bis 21.30 Uhr und Sa.-So. 9.00 bis 19.30 Uhr. Für Anrufe aus dem Festnetz fallen maximal 14 Cent/Min. an, aus Mobilfunknetzen sind es maximal 42 Cent/Min.)

Hier finden Sie weitere Informationen:
Online-Shops | Sicherheit | Passwort vergessen

Helfen Sie uns, Paypal noch besser, einfacher, übersichtlicher und sicherer zu machen.

Copyright © 1999-2012 PayPal. Alle Rechte vorbehalten. PayPal (Europe) S.à r.l. et Cie, S.C.A., Société en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg RCS Luxembourg B 118 349.