Post on 10-Aug-2020
54. DFN-Betriebstagung - Forum Sicherheit15. März 2011
Tilmann Haak, DFN-CERT <haak@dfn-cert.de>
Neues aus dem DFN-CERT
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 2/24
Agenda
• Aktuelle Schwachstellen• Automatische Warnmeldungen• Aktuelle Vorfälle• Im Fall eines Vorfalls• Netzwerkprüfer
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 3/24
Schwachstellen
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 4/24
Schwachstellen
• In 2010 haben wir 1766 Advisories verschickt.
• Das sind 1551 einzeln beschriebene Schwachstellen
• In 2011 sind es bereits 367 (14.03.2011) Advisories.
• Zum Vergleich: Für 2010 gibt es 4756 Einträge in der CVE-Datenbank.
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 5/24
win-sec-ssc
• Die „win-sec-ssc“ zieht im Laufe des Jahres auf den DFN-Listserver um.
• Das Format und der Inhalt entsprechen dann den E-Mails, die Sie über das DFN-CERT Portal bekommen.
• DFN-Anwender sollten Ihre Abonnements in das Portal umziehen.– Abmeldung von der „win-sec-ssc“ durch eine
Mail an dfncert@dfn-cert.de.
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 6/24
• Schwachstellen in gängigen Anwendungen (Office, Browser, Java, ...) gehen nicht aus.
• Zum Teil große Mengen an Schwachstellen, die „in einem Rutsch“ behoben werden – und vorher zum Teil jahrelang „offen“ wa-ren...
• „Klassische“ Infektionswege, z.B. überUSB-Sticks sind wieder in Mode.
• Hardwarenahe Schwachstellen, z.B. bei SmartCard-Software, USB-Teibern, ...
Aktuelle Schwachstellen
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 7/24
Automatische Warnmeldungen
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 8/24
Automatische Warnmeldungen (1)
• Seit dem 31.12.2010 sind 100% der bekannten IPv4-Adressen für den Dienst konfiguriert!
• Etwa 2000 Meldungen pro Woche• Vortrag von Prof. Dr. Gerling (MPG),
DFN-Workshop in Hamburg (15./16.2.)Datenschutzfreundliches Monitoring mit Hilfe des AW-Dienstes
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 9/24
Automatische Warnmeldungen (2)
• IPv6 in Planung• Signierte AW-Mails in Vorbereitung• Verkürzen des Intervalls auf 1x täglich
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 10/24
Vorfälle
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 11/24
Aktuelle Vorfälle
● Trojanisierte SSH-Server und -Clients● Phishing E-Mails gegen Hochschulen● Drive-by-Exploits● Verteilte SSH-Angriffe● Vergessene und nicht gepflegete
Installationen auf Webservern, z.B. CMS oder PhpMyAdmin, …
● Conficker ist immer noch weit verbreitet
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 12/24
Weltweite Entwicklung Conficker
Quelle: Shadowserver Foundation, 14.03.2011
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 13/24
Conficker im AS 680
Quelle: Shadowserver Foundation, 14.03.2011
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 14/24
Trojanisiertes SSH
• Sowohl Server als auch Client werden trojanisiert.
• Passwörter und SSH-Keys werden gespeichert.
• Zum Teil inkl. Backdoor im „sshd“ oder Einträgen in $USER/.ssh/authorized_keys.
• Daten werden regelmäßig von Angreifern „abgeholt“.
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 15/24
Trojanisiertes SSH, Gegenmaßnahmen
• Zugriff von 0/0 nicht erlauben.• Keine leeren Passphrasen auf SSH-Keys!• Prüfen Sie die Integrität Ihrer Binaries! Zum
Beispiel mit „rpm -V“, Tripwire, AIDE, ...• Es reicht nicht, die betroffenen Binaries zu
löschen!– Schicken Sie uns bitte ein System-Image oder
zumindest Kopien der Tools für die Analyse...– Setzen Sie das System anschließend neu auf.
• Vergeben Sie neue Passwörter!• Tauschen Sie alle SSH-Keys aus, auch von
Externen – und informieren Sie diese!
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 16/24
• Überlegen Sie sich bitte wirklich gut, ob Sie ein kompromittiertes System weiter betreiben wollen, weil es „wichtig“ ist.
• Wenn Sie ein infiziertes System ausschal-ten, sorgen Sie bitte dafür, dass es nicht einfach so wieder in Betrieb gehen kann.– Das gilt insbesondere für virtuelle Maschinen!
• Unsere Empfehlung ist: Setzen Sie das System neu auf – idealerweise automa-tisch oder aus einem sauberen Backup.
• ...und sagen Sie uns bitte Bescheid ;-)
Im Fall eines Vorfalls...
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 17/24
Netzwerkprüfer
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 18/24
Netzwerkprüfer
• Der Netzwerkprüfer steht jetzt allen Einrichtungen über das DFN-CERT Portal zur Verfügung.
• Sie können die Netzbereiche Ihrer (und nur Ihrer) Einrichtung scannen.
• Neue, übersichtlichere Oberfläche.• Regelmäßige Scans (alle vier Wochen)
möglich.
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 19/24
Netzwerkprüfer: Scan-Auftrag
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 20/24
Netzwerkprüfer: Regelmäßige Scans
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 21/24
Netzwerkprüfer: Scan-Ergebnisse
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 22/24
Netzwerkprüfer: Ergebnisvergleich
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 23/24
Sagen Sie uns bitte Bescheid
54. DFN-Betriebstagung, 15. März 2011 / Tilmann Haak 24/24
Kontakt zum DFN-CERT
● cert@dfn-cert.de• 040/80 80 77-590
• https://portal.cert.dfn.de/
• Weitere Informationen unter: https://www.cert.dfn.de/
• SSH Account Probes melden:ftp://ftp.dfn-cert.de/pub/tools/x-arf/