it-sicherheit.li

News rund um IT-Sicherheit

Monat: September 2016 (Seite 1 von 2)

1,1 Terabite DDoS-Attacke

Wie der Gründer des französischen Hosters OVH, Octave Klaba, meldet wurden Sie vor ca. 10 Tagen Opfer einer 1.1 Terabite grossen DDoS Attacke.

Dies ist mit einer der grössten DDoS-Attacken welche verzeichnet wurde. Es ist zu vermuten dass auch diese Attacke durch ein Botnetz von IoT Geräten ausgeführt wurde.

Wie Corey Nachreiner von Watchguard in seinem Blog meldet, handelt es meistens um Überwachungskameras die Ungeschützt in einem Netzwerk hängen und mit einem „Standart“ Linux Betriebssystem betrieben werden.

Diese Angriffe sind ein gutes Zeichen dass auch Private Heimnetzwerke abgesichert werden müssen um solche Angriffe zu erschweren.

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Der Super Trojaner auf Android

Kasperksy hat den Alltraum aller Sicherheitsexperten und Security Engineers gefunden und Analysiert.

Wie Kaspersky Labs mitteilt kann der Android Banking Trojaner „Tordow“ alles mit einem Infiziertem Gerät anstellen.

Entwickelt wurde der Banking-Trojaner um wichtige Informationen zu sichern und weiterzugeben.

Um an diese Informationen zu kommen wird das Gerät durch den Trojaner gerootet, der Trojaner bekommt somit volle Handlungsgewalt über das Smartphone oder das Tablet.

Die Rechte gehen von Telefonate abhören über SMS Lesen, Informationen auslessen, Zugriff zu Passwörtern und Nachladen und installieren von Malware.

Laut Aussagen von Kaspersky hängt sich Tordow an legitime Apps welche jedoch nicht im offiziellen Google Play Store verfügbar sind und somit über dritte Marktplätze installiert werden. Wer seine Apps aus dem offiziellen Store holt ist somit einer geringeren Gefahr einer Infektion ausgesetzt.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Neuer Support Scam entdeckt.

lock-screen

Lawrence Abrahams von Bleeping Computers hat einen neuen Technical Support Scam entdeckt.

Der Scam lädt eigentlich nur eine gefälschte Fehlermeldung herunter auf welcher gemeldet wird dass man sich telefonisch bei einem Techniker unter der angegebene  Nummer melden soll.

Bei näherem Untersuchen stelle man jedoch fest dass sich im Quellcode Hintertüren fanden durch welche, die Entwickler, Remotecode ausführen konnten und so auf den infizierten Computer Zugriff erhielten.

Der Hauptteil dieser Software ist die Datei WinCPU.exe, diese stellt nach dem Starten sofort eine Verbindung zu einem Command & Control Server her und wartet auf „Anweisungen“

 

So eine Adware kann eingesetzt werden um Befehle an den Client zu senden und dadurch einen Anruf bei der, unter Umständen, kostenpflichtigen „Hotline“ zu beschleunigen, oder dem geschädigten einen überteuerten „Virenschutz“ zu verkaufen.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Yahoo Hack ist grösser als man denkt.

photo-1472851294608-062f824d29cc

Wie Yahoos CISO Bob Lord sagte:

We have confirmed that a copy of certain user account information was stolen from the company’s network in late 2014 by what it believes is a state-sponsored actor. The account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (the vast majority with bcrypt) and, in some cases, encrypted or unencrypted security questions and answers. The ongoing investigation suggests that stolen information did not include unprotected passwords, payment card data, or bank account information; payment card data and bank account information are not stored in the system that the investigation has found to be affected. Based on the ongoing investigation, Yahoo believes that information associated with at least 500 million user accounts was stolen and the investigation has found no evidence that the state-sponsored actor is currently in Yahoo’s network.

Im Jahr 2014 wurden ca. 500 Millionen Userdaten von Yahoos Datenbanken gestohlen.  Erst jetzt wurde dies jedoch bestätigt. Für alle die sich nun denken, zum Glück habe ich kein Yahoo Konto. Ihr könntet ein Yahoo Konto haben ohne es zu wissen. Genauso wie Google Apps for Work anbietet, bietet auch Yahoo Dienstleistungen für Unternehmen an, unter anderem, Mailhosting.  hat auf seinem Blog beschrieben dass bis zu 572,162 Domains diesen Mailservice von Yahoo in Anspruch nehmen. Die Jungs von Bitcrack haben ein Online Tool entwickelt mit welchem getestet werden kann ob eure Domain unter den Betroffenen ist.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Locky in neuem Gewand


Eine neue Variante des Locky Trojaners ist aufgetaucht. Die Daten werden nun mit der Endung .ODIN verschlüsselt. Dies hilft Locky natürlich zur Verschleierung da es auf den ersten Blick so aussieht als wurde man von der Ransomware ODIN infiziert. Auch Locky mit seiner neuen .ODIN Endung wird vorwiegend über SPAM E-Mails verteilt. Wenn der Empfänger einen Doppelklick auf den Anhang macht, ladet Locky einen verschlüsselten DLL installer herunter und führt diesen mithilfe der Rundll32.exe aus. Einmal ausgeführt verschlüsselt Locky sämtliche Files des betroffenen Rechners sowie weitere Netzlaufwerke und verbundene USB Speichergeräte oder sogar Cloud Dienste. Die Dateien auf den Geräten werden umbenennt und mit der Dateiendung .ODIN versehen.

Untenstehend eine Liste aller betroffenen Dateiformate:

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key

Das Vorgehen ist weiterhin das selbe und auch für diese Variante von Locky gibt es kein Entschlüsselungstool

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Streaming Dienste frei Haus


Derzeit sind die Bewohner des Vorortes Oakenham in Australien von einer eher ungewöhnlichen „Plage“ betroffen.

Seit geraumer Zeit werden USB-Sticks in Briefkästen gelegt. Wer diese USB-Sticks in seinen Computer einsteckt wird mit betrügerischen Media Streaming Diensten konfrontiert.

Weiters sollen auch noch andere Probleme auftauchen, diese wurden leider nicht genauer ausgeführt.

Meldung der Polizei von Victoria

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Watchguard veröffentlicht neue Fireware Version

photo-1470848051974-964b789cb6fa-2

Watchguard hat eine neue Version der Fireware veröffentlicht.

Untenstehend sind alle Änderungen und BugFixes aufgelistet.

General

  • This release includes a localization update for WatchGuard System Manager and Fireware Web UI to match Fireware v11.11 functionality for our French, Japanese, and Spanish (LA) users.
  • This release resolves a kernel crash on Firebox M400 and M500 appliances when using IPSec VPNs.[90930]
  • This release includes multiple updates to the lighttpd service used by the Firebox web server to ensure best cipher suite compatibility with modern web browsers. [91311]
  • This release resolves an issue that prevented changes from saving correctly from Fireware Web UI when using the localized French interface. [92008]
  • Several Fireware Web UI pages have been updated to guard against XSS injection attempts. [86039]
  • The Fireware Web UI Configuration Report now correctly displays all ports and protocols for a firewall policy when multiple ports and protocols are configured. [91347]

Proxies and Security Subscriptions

  • The SMTP and HTTPS proxy now support Perfect Forward Secrecy (PFS). [82389, 90567]
  • The HTTPS proxy with Content Inspection enabled no longer crashes when an HTTPS request is sent that uses an unsupported cipher. [91455]
  • This release resolves an issue introduced in Fireware v11.11.1 that prevented traffic from passing through a proxy policy if the receiving interface has an MTU set below 1500. [91761]
  • This release resolves an issue that caused some unhandled denied traffic to show as allowed in the traffic log message even though the traffic was denied. [91566]
  • Mobile Security trial licenses now work correctly. [91754]
  • The POP3 proxy now provides the ability to detect file extensions inside compressed attachments.[89078]
  • This release improves the proxy detection of Visual Basic Script macros inside of Microsoft Office documents. [91388]
  • This release resolves an issue that occurred when you edit an existing Explicit Proxy action where Content Inspection is not enabled in CONNECT Tunneling. [91887]
  • The SMTP proxy Return-Receipt-To header rule now correctly matches the header field name. [91504]
  • POP3 proxy log messages now correctly include the User field. [91493]
  • HTTP Proxy Exceptions now save correctly from the French localized Fireware Web UI. [92008]
  • The SIP ALG no longer crashes when referencing a pointer to a proxy connection structure that has already been freed and is no longer valid. [91563]
  • This release updates the proxy handling of SSLv2 traffic. SSLv2 traffic will now pass through the HTTPS-Proxy if Allow only SSL compliant traffic is not enabled and Content Inspection is disabled. [91749]
  • SSL unknown protocol event log messages no longer occur when incomplete SSL authentication connections are closed by the Firebox. An example of those log messages looks like this: SSL:1 error;140760FC:SSL routines;SSL23_GET_CLIENT_HELLO;unknown protocol. [91641]
  • The proxy will now classify documents containing a file description of ‚Microsoft OOXML‘ as mime-type ‚application/vnd.openxmlformats-officedocument‘ when no definite mime-type exists within the file.[91853]
  • This release resolves an issue that caused the file scanning process (scand) to crash. [89261]
  • APT Blocker notification logging has been improved to more consistently capture the analysis results for files submitted to the Lastline data center’s next-generation sandbox. [91301]
  • The correct set of DLP content rules is now displayed in Policy Manager for Firebox M200 and M300 appliances. [91044]
  • APT Blocker reports no longer include information about clean objects in their summary details. [91628]
  • The Firebox Configuration Report now correctly displays Denied WebBlocker categories when using the Websense Cloud. [91190]
  • New WebBlocker profiles created manually in Policy Manager now have Log this action enabled by default for WebBlocker categories. [89834]

Networking

  • This release resolves an issue that prevented DHCP relay from working correctly through a Branch Office Virtual Interface (VIF) tunnel when PPPoE is enabled. [91515]
  • This release resolves an issue that prevented traffic from correctly matching a policy configured with FQDN in the From field when the Terminal Services Agent is also in use. [91583]
  • This release resolves an issue that caused low throughput for Tagged VLAN traffic on Firebox M200 and M300 appliances. [90500]
  • The throughput of the Firebox built-in wireless interfaces is no longer limited to 56 Mbps when Traffic Management and QoS features are enabled. [90954]
  • A Japanese localization issue related to configuring NTP from Policy Manager has been resolved in this release. [72923]
  • An issue has been resolved that caused the error Internal_Error: Unable to set config to display when saving a configuration from Policy Manager. [88214]
  • Internet traffic is no longer allowed after you remove the 0.0.0.0/0 and Any-External entries from Mobile VPN with IPSec policies. [90205]
  • The Firebox no longer requires a restart when you change the dynamic NAT value in a BOVPN tunnel configuration. [82116]
  • Policy Manager no longer accepts invalid SNAT configurations created when you upgrade older configuration files to WSM v11.10.7 or higher. [90874]
  • This release corrects an issue that caused SFP load failures for Olink adapters. [91844]
  • When a configuration is saved that uses many nested aliases, firewall policies no longer take several minutes to correctly handle network traffic. [91078]
  • This release resolves an issue that resulted in the default Unhandled External Packet-00 policy to be ordered incorrectly in the firewall policy list, denying legitimate traffic. [91514]
  • This release resolves an issue that caused upgrades to fail when DNS forwarding is enabled. [91753]

Authentication

  • You can now use certificates without IKE/IPSec extended key usage for certificate authentication of BOVPN tunnels. [81227]
  • This release resolves a crash in the authentication process (admd) that occurred when you disabled the custom logo for hotspot authentication. [91302]

VPN

  • WatchGuard System Manager now displays all active SSL VPN Management Tunnels above the section that shows inactive connections. [85587]
  • PPPoE link stage changes no longer affect VIF VPN tunnels. [91272]

FireCluster

  • This release resolves a FireCluster process crash in the CCD daemon. [88594]
  • This release resolves an issue that resulted in high CPU usage by the FireCluster CAD daemon when Firebox System Manager is open on a FireCluster. [91089]
  • A problem that caused a generic kernel crash on the backup master Firebox in a FireCluster has been resolved in this release. [91791]

Centralized Management

  • Firewall policy icons now show correctly in Dimension Command. [91968]
  • The WatchGuard Server Center Setup Wizard now correctly sets up the Log and Report Server components when using a log encryption key that contains special characters. [71687]

WatchGuard AP Devices and Gateway Wireless Controller

  • Actions that you can perform on AP devices are now grouped in an Actions drop-down list. [91451]
  • You can now remove AP firmware from your Firebox with Gateway Wireless Controller. [91412]
  • A new packet filter template is available for WatchGuard Wi-Fi Cloud AP management. The packet filter template “WG-Cloud-Managed-WiFi“ defines the required ports (TCP 443 and UDP 3851) and destination domains to enable AP devices to communicate with cloud services. [91647]
  • Domain names for WatchGuard Wi-Fi Cloud services are now included by default in the HTTP Proxy Exceptions, and now configured to bypass HTTPS content inspection by default. [91481, 91482]
Facebooktwittergoogle_plusredditpinterestlinkedinmail

Swisscom beugt vor bevor es zu spät ist.

letter-mail-mailbox-postbox

Swissscom beugt drohendem Spam vor, aber wie?

Swisscom sperrte mehrere Mailkonten seiner Kunden da, durch schwache Passwörter, Spamgefahr bestand.  Dies führte zu einem extremen Anstieg an Anfragen bei der Swisscom Hotline und dem Mailsupport.

Die Aktion startete letzte Woche, mehrere tausend Konten wurden gesperrt. Die Benutzer jedoch über SMS und App „My Swisscom“ informiert.

Swisscom Sprecher Sepp Huber sagte dazu „Die Konten verfügten über einfache Passwörter“

Swisscom beugt damit einem Eintrag in Spamlisten vor. Grosse Mailbetreiber wie Yahoo oder Gmail könnten durch einen solchen Eintrag die Kommunikation mit Swisscom Konten unterbinden.

Betroffene Benutzer müssen per über das Online-Kundecenter Ihr Kennwort zurücksetzen und ein entsprechend starkes Kennwort setzen.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Swisscom verwandelt Handy-Bewegungsdaten in Bares

„Wir sehen ein Marktpotenzial in zweistelliger Millionenhöhe“, so Iris Kornacker, Leiterin Market Initatives bei Swisscom, an einer Medienveranstaltung in Zürich.  „Wir stehen aber noch ganz am Anfang und investieren derzeit sehr viel“, so Iris Kernacker weiter.

Im Sprachgebrauch von Swisscom wird „big data“ auch „smart data“ genannt. Swisscom ist der Meinung wenn man grosse Datenmengen verarbeitet und versteht, führt dies zu neuen Produkten. Als nächstes bietet Swisscom in Städten eine Verkehrzählung an, die auf der Auswertung von gesammelten und anonymisierten Mobilfunkdaten basiert.

Ein Pilotversuch dazu lief bereits in der Waadtländer Gemeinde Pully, welche vom Transitverkehr regelrecht überrollt wird. Bislang wurden nur alle fünf Jahre solche Verkehrzählungen durchgeführt. Nun habe man die Daten beinahe in Echtzeit, meint Alexandre Bosshard von den städtischen Behörden.

Zu Preisen für ein solches Produkt schweigt Swisscom noch. Das Ziel sei es  aber, billiger zu sein als die herkömmliche Verkehrzählung. Laut Kornacker sind weitere Szenarien denkbar, wie zum Beispiel Auswertungen von Kundenströmen in Einkaufszentren.

pexels-photo

„Die Frage ist aber immer ob wir es technisch können und ob es gesetzlich erlaubt und mit unseren eigenen Datenschutzrichtlinien vereinbar ist“,  so Iris Kornacker. Beispielsweise würden keine Auswertungen gemacht werden, solange der Datensatz weniger als 50 Handys umfasse. In solchen Fällen wäre ein Risiko von Rückverfolgung und „Schindluderei“ zu gross. Des Weiteren betonte sie jedoch, dass die Swisscom-Kunden jederzeit die Verwendung der eigenen Daten verbieten können.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Passwort Leakes? nicht bei mir!

powned

Die letzten Tage und Wochen hört man immer wieder über neue Leaks von Passörter, Benutzerdaten, Hashes usw.. Aber was betrifft mich das, meine Daten sind sicher. Diese Überlegung haben die meisten Benutzer, aber sind wirklich nur die „blöden“ betroffen. Nein. selbst mich hat es erwischt, vor Jahren bei einem Adobe Leak und auch bei letzten Dropbox Passwort Leak waren Daten von mir beteiligt.

Wie finde ich heraus ob meine Daten betroffen sind?

Was soll ich nun tun?

Das sind die beiden Fragen die einen brennen wenn man von geklauten Daten hört.

Es gibt div Portale um sich zu vergewissern ob man betroffen ist oder nicht. Meine Favoriten sind haveibeenpwned.com und www.leakedsource.com hier wird schnell und einfach angezeigt ob und wenn ja von welchem Breach die Daten Online sind.  Ebenfalls kann man herausfinden was alles preisgegeben wurde E-Mailadresse, Passworthash, Passwort im Klartext usw…

Jetzt sind meine Daten im Internet frei zugänglich für alle die wollen oder genug bezahlen. Was mach ich nun?

Das wichtigste zuerst. Egal wie lange der Leak zurückliegt, das Kennwort sollte geändert werden. Die Mailadresse ist verfügbar aber das Kennwort kann immer geändert werden. Weiters kontrollieren ob alle Einstellungen noch so sind wie man sie hinterlassen hat, alle Daten vorhanden und nicht verändert sind. Sollte sich ein Finanzieller oder Persönlicher Schaden, aufgrund des Breaches, zugetragen haben. Kontakt mit dem Betreiber aufnehmen um weitere Schritte einzuleiten.

Also checkt eure E-Mail Adressen und ändert eure Passwörter wenn Ihr betroffen seid.

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail
Ältere Beiträge

© 2024 it-sicherheit.li

Theme von Anders NorénHoch ↑