BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

14Jul/091

Anti-Sec Hackergruppe

"Die öminöse Gruppe Anti-Sec macht weiter von sich Reden. Die von einigen Sicherheitsspezialisten für unverzichtbar gehaltene Politik der "Full Disclosure" bei Schwachstellen arbeite nur der Sicherheitsindustrie in die Arme, klagt die Gruppe im Rahmen ihres Hacks des US-Bildhosters Imageshack am vergangenen Wochende an. Die vollständige Offenlegung mit Veröffentlichung von Exploits diene nur dazu, Schreckenszenarien zu malen, um Leute zum Kauf einer Firewall, Antiviren-Software und der Beauftragung von Auditing-Dienstleitstungen zu bringen." (c) Heise.de

So weit spricht Heise davon, aber haben wir davon zu halten?

Die Jungs und Mädels von Anti-Sec versuchen mit allen Mitteln, sich in der Szene bekannt zu machen. Der Hack von Imageshark war sauber durchgeführt worden, doch was hat das ganze bezweckt?
Wollten Sie uns nur sagen: "Seht her, die Offenlegung von Exploits ist nicht der richtige Weg?"

Meiner Meinung nach, ist das der falsche Ansatz. Es wird so viel kriminelle Energien in diese Hacks gelegt, dass man dieses Talent lieber dafür verwenden sollte, das Internet sicherer zu machen.
Es ist wichtig, dass jeder die Möglichkeit hat, schnell und effektiv auf neu erkannte Sicherheitslücken zu reagieren.
Dazu ist es nun mal nötig Exploits und Sicherheitslücken gesammelt vor zu finden. Also können wir froh sein, das milw0rm wieder online ist.
Ich sehe es auch als problematisch an, dass es "Skript-Kiddies" leicht gemacht wird, Exploits schnell und effektiv anzuwenden.
Doch die komplette Einstellung der Offenlegung der Exploits kann ich nicht befürworten.

3Jun/091

Hacker schlagen zurück gegen Honeypots

Wir mussten mit Erschrecken feststellen, wie schnell die Hacker auf neue Honeypots reagieren können.

Was ist passiert?
Wir haben einen modifizierten "pbot" abgefangen, welcher normalerweise als RFI genutzt wird.

Was hat sich geändert?
Prinzipiell ist der Aufbau des "pbot" immer noch gleich/ähnlich geblieben, doch es wurde eine neue Funktion eingeführt. Diese neue Funktion erlaubt es dem Hacker gewisse Domains aus dem zu scannenden Bereich zu filtern.

Wie haben die Hacker das umgesetzt?
---code snip---
// hier werden die zu "sperrenden" Domains eingetragen
$ignorelist = array(
'av.rds.yahoo.com/',
'xxxtz.com',
'xxxst.de',
'xxxy.com',
);

---snap---

// hier wird während des Scannens die Liste abgefragt
----code snip---
foreach ($ignorelist as $v) {
if(substr_count($pesanlo,strtolower($v)) > 0) {

---snap---

Wie kann man ein Blacklisting verhindern?

Zunächst ist es wichtig die eingefangenen "pbot" automatisch zu analysieren. Dadurch kann festgestellt werden, ob und in welcher Weise die Hacker die Domains blacklisten.
Wie wir feststellen konnten, blocken die Hacker nur auf Domain-Ebene, d.h. wir können einfach neue Domains in Umlauf bringen ohne gleich eine neue IP Adresse benutzen zu müssen. Leider bedeutet das auch im Umkehrschluss, dass wir wieder viel Zeit investieren müssen um die Domains bekannt zu machen. Indem wir unsere Honeypots den aktuellen Gegebenheiten anpassen, reagieren auch wir auf die von Hackern herbeigeführten Veränderungen.

Was bedeutet das für die Zukunft der Honeypots?

Wir deuten es als ein gutes Zeichen, dass die Hacker sich mit unserem Topf beschäftigen. Dies zeigt uns, dass sie unseren Honeypot als Bedrohung sehen, da sie viel Zeit investieren mussten um unser Netz zu analysieren.
In Zukunft wird es wichtig sein, ein großes und schnelll wachsendes Honey-Netz aufzubauen, um den Hackern nur einen kleinen Ausschnitt offen legen zu müssen. Somit sollten auch kleinere Rückschläge professionell und schnell gelöst werden können.  An alle Honeypot Betreiber, lasst euch davon nicht verärgern, sondern seht es als Herausforderung an weiter zu machen.
Wir werden auch nicht aufgeben ...

/* google like button API */