Neues aus dem DFN-CERT 57. DFN-Betriebstagung - Forum Sicherheit 16. Oktober 2012 Tilmann Haak
Agenda Neues aus dem DFN-CERT Schwachstellen Automatische Warnmeldungen Aktuelle Vorfälle 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 2
Schwachstellen 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 3
Unterstützte Systeme seit 21.8. (1) Linux: Debian, Fedora, RHEL, SuSE Unix: IBM AIX, FreeBSD, NetBSD, OpenBSD, Oracle Solaris Windows: Server- und Desktop-Betriebssysteme, Office, Microsoft-Bibliotheken und sonstige Microsoft-Software für Windows VMware: Alle Virtualisierungsprodukte Netzwerk: Cisco Netzwerk-HW u. -SW Grid: glite, dcache, öffentliche EGI- Advisories, OGSA-DAI (EPCC), Globus Toolkit, GridPP/GSVG, UNICORE 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 4
Unterstützte Systeme seit 21.8. (2) Grundsäzlich: nur für noch unterstützte Versionen Keine Derivate (z.b. CentOS) Keine Spiele Zusätzlich: Adobe: Reader, Flash Player, Shockwave Player Apple: QuickTime ISC: BIND, DHCP Oracle: Java TYPO3: TYPO3 Core und wichtige Extensions (d.h. keine "Collective Security Bulletins") 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 5
Jahresübersicht Schwachstellen In 2011 haben wir 1982 Informationen über Schwachstellen verschickt Darin enthalten 1610 einzeln beschriebene Schwachstellen In den ersten drei Quartalen 2012: 1897 Informationen über Schwachstellen Mit 1534 einzelnen Schwachstellen Zahl der Schwachstellen nimmt weiter zu 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 6
FreeRADIUS und Radsecproxy FreeRADIUS vor 2.2.0 CVE-2012-3547: Schwachstelle bei der Prüfung von Zertifikaten, erst als Denial-of-Service betrachtet, aber: Über das Netz ausnutzbarer Buffer Overflow Radsecproxy: Konfiguration bzgl. Zertifikaten wird nicht korrekt verarbeitet, Zertifikatskette wird nicht korrekt geprüft Unberechtigter Zugriff u. U. möglich, wenn mehrere CAs konfiguriert sind Entdeckt durch Kollegen d. DFN-Geschäftsstelle 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 7
Aktuelle Schwachstellen Seit März 2012: Klassiker: Schwachstellen in MS Windows, Internet Explorer, Office, Firefox, Java, Java: Viele Client-Installationen betroffen, Ausführen von beliebigem Code, Zugriff auch per Browser möglich (CVE-2012-4681) Internet Explorer: 0-Day Exploit für IE 6-9 Notfallupdate und MS Fixit vorweg (MS12-063) MS-CHAP v2: unsicher, betrifft z.b. PPTP-VPNs 5 0-Day-Lücken bei HP: LeftHand Virtual SAN, Operations Agent for NonStop, Intelligent Management Center, inode Management Center, Diagnostics Server 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 8
Automatische Warnmeldungen 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 9
Automatische Warnmeldungen Unsere Empfehlung: abuse@... oder security@... einrichten an mehrere Kollegen verteilen um Erreichbarkeit und Kontinuität zu gewährleisten Achtung bei moderierten Mailinglisten als Empfänger! Alle DFN-Einrichtungen nehmen teil! Fehlende Vertreterregelungen, Fluktuation, Reorganisation,... 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 10
Aktuelle Vorfälle 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 11
Aktuelle Vorfälle (1) DNSChanger (Rückblick) Hacktivismus gegen Hochschulen Phishing Webmailer- / Horde-Accounts Spam-Versand Die üblichen Verdächtigen: Malware (Conficker, ZeuS,...) SSH- und RDP-Account-Probes Kompromitierte Webserver/CMS Spam, Port-Scans, 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 12
Conficker Entwicklung 12 Monate Quelle: Shadowserver Foundation (12.10.2012) 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 13
Conficker AS 680 (1) Quelle: Shadowserver Foundation (12.03.2012) 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 14
Conficker AS 680 (2) Quelle: Shadowserver Foundation (12.10.2012) 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 15
Rückblick: DNSChanger Abschaltung der temporären DNS-Server am 9. Juli 2012 Ursprünglicher Termin war der 8. März Große Kampagne: http://www.dns-ok.de/ Meldung in den Abendnachrichten Radiomeldungen Warnung über die Google-Suchmaschine (Mai) Warnung über Facebook (Juni) 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 16
DNSChanger: betroffene Systeme Quelle: DNS Changer Working Group (09.10.2012) 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 17
DNSChanger Probleme: DNS-Sensorik anfällig für Spoofing Nicht alle Anwender reagieren Die Problemdarstellung kein Internetzugriff mehr ab 9. Juli ist nicht wirklich hilfreich Positiv: Die Arbeit der DNSChanger Workinggroup und anderer Beteiligter hinterließ Arbeitsstrukturen, die jetzt in anderen Fällen hilfreich sind 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 18
Hacktivismus Angriffe gegen Hochschulen weltweit Erfolgreich gegen ca. 50 Hochschulen weltweit Vier deutsche Hochschulen betroffen Daten im Internet veröffentlicht z.t. unkritische Daten z.t. sensible Daten (Nutzer informieren!) Täter recht wahllos, auch andere Stellen betroffen Aktion aus Angreifersicht vermutlich erfolgreich: Internationale Berichterstattung mit Hinweis auf politische Ziele der Angreifer... 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 19
Im Falle eine Falles 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 20
Im Falle eines Falles... Ruhig bleiben E-Mail an das DFN-CERT: cert@dfn-cert.de Hotline: 040/808 077-590 57. DFN-Betriebstagung, 16. Oktober 2012 / Tilmann Haak Folie 21
Vielen Dank für Ihre Aufmerksamkeit! DFN-CERT Hotline: cert@dfn-cert.de 040 / 808 077-590 Weitere Informationen unter: https://www.cert.dfn.de/