Extended Validation Certificates sollen dem End-User helfen, die Qualität eines Zertifikates visuell zu prüfen. EZ Zertifikate werden grün und vermitteln das Gefühl von "Vertrauen" und "Alles im grünen Bereich". Keyon, eine Rapperswiler Crypto Software Firma beschreibt ein visual Spoofing Verfahren, wie man relativ leicht ein solches EZ Zertifikat in den Browser einspielt. Gemäss Keyon könnten neue Phishing Attacken durch die beschriebene Methode auftreten.

Full File: EZ PDF von Keyon

Web of Trust (WOT) für IE and Firefox

WOT ist ein Online Dienst, der pro Webseite einen Index über die Vertrauenswürdigkeit gibt. Man kann über die Portalseite von WOT Webseiten bewerten lassen, als auch direkt im IE oder FF über Extensions/Plugins die WOT Funktionalität einbinden. Von der Funktionlität ist es wie McAfee's SiteAdvisor.

Die WOT Browser add-on Anforderungen:

• Operating system: Windows 98 / ME / NT 4.0 / 2000 / XP / Vista, Mac OS X, or Linux
• Browsers: Microsoft Internet Explorer 6.0 or newer (7.0 recommended), Mozilla Firefox 1.5 or newer (2.0 or later recommended)

WOT Portal: http://www.mywot.com/

 

Adobe Security Bulletin APSB08-15

Security Update available for Adobe Reader and Acrobat 8.1.2

Release date: June 23, 2008

Vulnerability identifier: APSB08-15

CVE number: CVE-2008-2641

Platform: All platforms

Affected software versions:
Adobe Reader 8.0 through 8.1.2
Adobe Reader 7.0.9 and earlier
Adobe Acrobat Professional, 3D and Standard 8.0 through 8.1.2
Adobe Acrobat Professional, 3D and Standard 7.0.9 and earlier

NOTE: Adobe Reader 7.1.0 and Acrobat 7.1.0 are not vulnerable to this issue. Adobe Reader 9 and Acrobat 9, expected to be available by July 2008, are also not vulnerable to this issue.

A critical vulnerability has been identified in Adobe Reader and Acrobat 8.1.2. This vulnerability would cause the application to crash and could potentially allow an attacker to take control of the affected system.

Adobe recommends users of Acrobat 8 and Adobe Reader install the 8.1.2 Security Update 1 patch.

Solution
Acrobat 8 and Adobe Reader

Adobe recommends Adobe Reader 8 users update to Adobe Reader 8.1.2 Security Update 1, available at the links below:

For Windows: http://www.adobe.com/support/downloads/detail.jsp?ftpID=3967

For Macintosh: http://www.adobe.com/support/downloads/detail.jsp?ftpID=3966

Acrobat 7

Adobe recommends Acrobat 7 users on Windows update to Acrobat 7.1.0, available here: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Adobe recommends Acrobat 7 users on Macintosh update to Acrobat 7.1.0, available here: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh

http://www.adobe.com/support/security/bulletins/apsb08-15.html

Die Firma BitDefender betreibt nun auch ein Internet Security Portal mit dem klingenden Namen Malware City. Auf der Page hat es diverse Informationen zu Viren und Trojaner. Zudem gibt es Wallpapers etc. Die Seite fällt durch das look&feel auf. Rein optisch sicherlich ein Besuch wert. Ob die Info's wirklich besser sind als auf anderen Portalen wird sich erst zeigen. Es gibt auch einen Free Online Virus Scanner, der allerdings nur mit dem IE funktioniert.

Link: Malware City

Der Artikel bei Slashdot macht auf einen Fall aufmerksam, wo ein Mitarbeiter um 09:00 Uhr ins Büro musste und die Kündigung erhielt. Der ahnungslose Mitarbeiter hätte Kinderporno Seiten und ähnliches besucht. Eine forensische Untersuchung hat jedoch gezeigt, dass der Mitarbeiter Opfer eines Virus wurde, der im Hintergrund die illegalen Aktivitäten durchgeführt hat.

Wir müssen in Erwägung ziehen, dass die Tatsache dass von einer bestimmten IP, von einem bestimmten Arbeitsplatz aus, der konstant von der gleichen Person benützt wird noch nicht darauf geschlossen werden kann, dass diese Person der Übeltäter ist.

Full Story: http://it.slashdot.org/article.pl?sid=08/06/18/2213232

Wenn jemand einen Eintrag in ein Wiki macht, speichert das Wiki zum Eintrag automatisch die Source IP Adresse des Autors. Der Wiki Scanner versucht nun herauszufinden, aus welchem Land, von welcher IP ein Change in einem Wiki gemacht wurde. Das ganze nennt sich Wiki Scanner.

Sicherlich ein Versuch wert.

http://wikiscanner.virgil.gr/

Sicherlich kennen Sie SQL Injection? Damit versucht der Hacker von Aussen die SQL Statements in einer Applikation zu verändern. So kann man die Datenbank Abfragen verändern und damit fremde Daten lesen, Einloggen ohne Passwort oder ähnliches. Der beste Schutz gegen SQL Injection ist ja bekanntlich "Secure Programming". In einer Java Anwendung ist damit "Prepared Statements" gemeint.
Wussten Sie, dass es in der XML-Welt eine ähnliche Technologie gibt wie SQL? Nur heisst es hier XPath!!! Auch hier wird aufgrund einer XML Anfrage eine Art XML Query erstellt. Was bei SQL Injection geht - kann auch bei XML Injection funktionieren?

Compass macht schon länger auf diesen Sachverhalt in der Kursumgebung aufmerksam. Ein Ausschnitt der XPath_Injection.pdf Schulungsunterlagen seien hier für die Erläuterung von XPath Injection abgegeben. Wir freuen uns natürlich, wenn Sie den Hands-on Lab Kurs bei Compass besuchen für das vollständige Bild!

Ich habe mich entschlossen über XPath zu schreiben, weil ich beim Lesen von http://www.0x000000.com/?i=597 wiedermal darauf aufmerksam gemacht wurde, dass sich hier noch einiges entwickeln wird.

Viel Spass beim Lesen des PDF und der Erweiterungen von http://www.0x000000.com/?i=597.

Photobucket, eine grosse Photo Sharing Platform wurde Opfer von DNS Attacken. Zeitweise wurden die User auf gefälschte Seiten umgelenkt. Das zeigt, wie verwundbar wir immer noch gegenüber dem DNS System sind. Trotz allen Bemühungen, auch im Zusammenhang mit DNS SEC, glaube ich nicht an eine grundsätzliche Verbesserung der DNS Situation in den nächsten 5 Jahren.

Lesen Sie den ganzen Artikel

Das Umlenken von DNS Verkehr wird weiterhin interessant bleiben für Man-in-the-Middle Hacker.

Panda Labs hat ein neues Hacker Tool gesichtet, mit welchem der Leihe aus einem Virus einen Wurm erzeugen kann. Das Tool hat den Namen "T2W" und heisst soviel wie "Trojan 2 Worm". Das GUI des Tools ist auf dem Panda Blog ersichtlich. Compass Security erwartet weiterhin Angriffe auf Client Computer, welche das schwächste Glied der Security Kette darstellt.

Link: Panda Blog

Compass Security erreicht beim Wirtschafts Wettbewerb "KMU Primus" der St.Galler Kantonalbank den dritten Rang. Wir freuen uns sehr über diesen Erfolg. Der Abend im Pfalzkeller St.Gallen war sehr ansprechend. Im Anschluss sind wir als Team ins David38 gepilgert und haben einen wunderschönen Abend gehabt. Vielen Dank dem ganzen Team!!!




Link zu KMU Primus

Rund 2 Jahre nach der ersten Veröffentlichung des Verschlüsselungs Virus Gpcode gibt es eine neue Variante - sagt Kaspersky. Der Virus verschlüsselt Word, Excel und andere Dokumente auf der Harddisk mit einem 1024 Byte langen Public Key. Den für die Entschlüsselung notwendigen Private Key kennt lediglich der Viren Autor. Ein verschlüsseltes File hat die Endung ._CRYPT. Das Opfer kann gegen Geld einen Decryptor kaufen. Die Mailadresse wo man sich melden soll ist in einem plain-text Readme File angegeben.

Siehe Full Story auf viruslist.com

MX Logic hat die Juni Vorhersage für Cyber Angriffe publiziert. Das PDF fasst auf 3 Seiten zusammen, was in der nächsten Zeit so passieren wird in Bezug auf:

• Spam
• Würmer und Mutanten
• Social Engineering Attacken

Das nett aufgemachte, kurze PDF kann man hier downloaden.

Auch ScanSafe hat eine gute Übersicht erstellt mit aktuellen Trends. Ein Blick auf diese Seite lohnt sich.

Kürzlich ist mir ein interessanter Artikel mit dem klingenden Namen "JS Judo" aufgefallen, den ein Holländer auf seiner Seite publiziert hat. Sein Artikel beschreibt:

"Describe gentle way of cross site scripting and can be used to bypass code filters, regular expressions or any other kind of blacklisting methodology that searches for fixed and known XSS vectors"

Im Grundsatz geht es darum, die vorhandenen JavaScript Funktionen die eine Web Seite bereitstellt, um weitere Funktionen zu erweitern. Im Artikel lädt er auf MySpace einen eigenen JavaScript Loader, der später weitere Malware nachladen kann. Die Entdeckung durch Web Application Firewalls sei extrem schwierig, weil die Funktion ja legitim ist und durch die Webseite auch so vorgesehen.

Die Webseite hat auch einige andere interessante Tools und Infos zu bieten. Sicherlich ein Besuch wert.

http://0x000000.com/

Hacker haben immer mehr Mühe die Viren und Trojaner via Mail an die End-User zu verteilen. Wie bereits schon früher von Compass vorausgesehen, versucht der Underground die Trojaner via vielbesuchte Web Pages zu verteilen. Dazu sucht der Hacker eine Web Schwachstelle wie SQL Injection und platziert anschliessend die Malware auf der Seite. Ein Artikel bei VUNET untermauert diese These. Lesen Sie mehr auf dem Original Blog.

Es gibt ein neues ISO Image für WLAN Hacking. The OSWA-Assistant ist eine Live-CD, die sich ausschliesslich mit WLAN Security Tools und Security auseinandersetzt. Das Tool unterstützt zurzeit WiFi (802.11), Bluetooth und RFID Auditing.

Direkter Link zum ISO Image

Apple hat diese Woche einen Security Guide für Mac OS X veröffentlicht. Der Guide soll dem User helfen, sein System längerfristig sicher zu halten. Warum hat Apple einen Guide veröffentlicht? Vielleicht weil Mac OS X vermehrt ein Ziel von Hackerattacken wird? Interessante Frage...

Siehe URL für Guide bei Apple

Das schwächste Glied der Kette ist zurzeit der Client Computer. Hacker versuchen über verwundbare Client Komponenten wie Browser, Plugin's, BHO's aber auch ActiveX und dergleichen Malware auf dem Client zu starten.

Manchmal helfen die Hersteller auch mit. HP hat wiederholt verwundbare HP ActiveX auf HP PC's vorinstalliert, welche durch Hacker missbraucht werden können.

Die HP Instant Support HPISDataManager.dll Version 1.0.0.22 and früher ist verwundbar. Inhaber von HP Geräten sollten einen Update durchführen. Eine detaillierte Beschreibung findet man unter folgendem Link.

Compass Security hat einen ActiveX Scanner entwickelt, der alle durch den IE instanzierbaren ActiveX Controls findet und die PublicMethoden anzeigt. Dies kann dann für Fuzzing der Public Methoden verwendet werden. Das Tool ist zu 80% fertig. Interessenten, können jedoch die Beta Version beziehen. Es handelt sich dabei um ein in .NET programmiertes kleines Windows GUI Programm.

Windows XP SP3 enthält den Flash Player 9.0.115.0, der seit Dezember 2007 von Adobe Systems zum Download bereit steht. Die Version 9.0.115.0 wurde jedoch per 8. April 2008 durch die neuere Version 9.0.124.0 ersetzt, da es diverse Security Schwachstellen auf der 9.0.115.0 Version gibt. Das bedeutet, dass durch die Installation des XP SP3 Update eine ältere Adobe Flash Version installiert wird, und man damit ein bereits aktualisiertes Windows wieder verwundbar macht.

Adobe hat eine Test Seite wo jeder prüfen kann, welche Version von Flash installiert ist.

Microsoft hat sein Advisory aktualisiert, wo der Sachverhalt mit dem Update einer verwundbaren Flash Version erläutert ist.

WebSense macht in seinem Advisory "Mass exploitation with Adobe Flash - Date: 05.29.2008" darauf aufmerksam, dass die ältere Flash Version im Moment für Massen-Infections über malicious Webseiten benützt wird.

Compass empfiehlt dringend den Update auf die latest Flash Version.

Für Entwickler von Mash-Ups und dergleichen wirkt sich die Same Origin Policy negativ aus. Das Zusammenfügen von Inhalten von unterschiedlichen Domains stellt für Entwickler ein Problem dar. Macromedia Flash verfügt deshalb die crossdomain.xml Policy, welches den domänenübergreifenden Zugriff ermöglicht. Sun hat mit Java 6 dieses Konzept übernommen. Das wird die Hacker freuen.....XSS Shell lässt grüssen.

Full Story mit Java crossdomain.xml findet man unter diesem Link.

F-Secure berichtet von einem neuen Verfahren, wie man Würmer über Google Earth visualisiert. Dazu stellt F-Secure eine Testseite bereit, die den Sachverhalt erläutert.