Archive for April 2014

 
 

RFID Kredit Karten mit Android NFC kopieren

Vor kurzem , wurde ich an einen Vortrag von mir über Keyless-Go erinnert und die damit verbundenen Relay-Attacken.

Es werden zwei Personen dafür benötigt, einer steht beim Opfer und dessen Zugangskarte (Autoschlüssel), sendet das Signal zu seinem Komplizen am Auto und das Auto öffnet.

Ein ähnliches Vorgehen funktioniert auch bei den neuen Kredit-Karten mit RFID. Diese Funktion sollte eigentlich das kontaktlose Zahlen ermöglichen und kann aber auf die selbe Art und Weise missbraucht werden:

NFC HACKING: THE EASY WAY (EDDIE LEE)

Als Gegenmaßnahmen:

RFID Schutzhüllen
(Amazon)

Geldbeutel mit RFID/NFC Blocker
(Amazon)

Plesk Update SSL Zertifikate

Normalerweise werden für den Login im Plesk eigene generierte SSL-Zertifikate erstellt, die beim Login auf https://meine-domain.tld:8443 aufgerufen werden.

Weiterhin werden SSL-Zertifikate für einzelne Domains, z.B. Online-Shops,etc zur sicheren Übertragung von Kundendaten genutzt.

Durch den „Heartbleed-Bug“ können diese sensiblen Daten (Benutzernamen, Passwörter) mitgelesen werden !

Welche Versionen von OpenSSL sind betroffen?
(laut http://heartbleed.com/)

  • OpenSSL 1.0.1 bis 1.0.1f (einschließlich) sind angreifbar
  • OpenSSL 1.0.1g nicht betroffen
  • OpenSSL 1.0.0 branch nicht betroffen
  • OpenSSL 0.9.8 branch nicht betroffen

Wie update ich mein System?
(Upgrades können von System zu System unterschiedlich aussehen, dies hier ist nur ein Beispiel)

Für Debian Systeme:
sudo apt-get update
sudo apt-get upgrade

Für CentOS Systeme:
yum update OpenSSL

Webserver und Plesk selber nach dem Upgrade einmal neustarten.

Gibt es einen online-Test für den Heartbleed-Bug?
Ja, unter : http://filippo.io/Heartbleed/

Empfehlung:
Es wird empfohlen, sofern echte Zertifikate im Einsatz waren, diese neu von seiner Zertifizierungsstelle zu beantragen. Die Zertifikate könnten kompromittiert sein.

Wo finde ich mehr Informationen?
http://heartbleed.com/

Sollten Sie Hilfe benötigen, können Sie sich hier über das Kontakt-Formular melden.

OpenSSL BUG! aka. „The Heartbleed Bug“ – CVE-2014-0160

OpenSSL BUG! aka. „The Heartbleed Bug“

Mehr Informationen hier : http://heartbleed.com/

Hier kann man Hosts überprüfen, ob diese für CVE-2014-0160 angreifbar ist: http://filippo.io/Heartbleed/
(bitte mit Vorsicht benutzen)

Full Disclosure: http://seclists.org/fulldisclosure/2014/Apr/90

Bash-Test:
(Zeigt aber nur, ob die heartbeat-extention verfügbar ist)

openssl s_client -connect $url:443 -tlsextdebug | grep heartbeat

Millionen von geklauten E-Mail Konten und Passwörter – Ist dein Postfach auch dabei?

Mal wieder sind massenweise E-Mail Daten und Passwörter geklaut worden. Hier der Test, ob auch deine Adresse betroffen ist:

https://www.sicherheitstest.bsi.de/