PCFreak Logo (c) Der PCFreak

Archive for the 'Internet' Category


Wenn dir dein Virenscanner nicht hilft – Hilf dir selbst! Kommentare deaktiviert für Wenn dir dein Virenscanner nicht hilft – Hilf dir selbst!

Folgene Email schlug heute im Posteingang auf. Normalerweise hätte ich sie sofort gelöscht, da ich

  • kein Kunde bei der Deutschen Bank bin,
  • die Deutsche Bank bestimmt nicht als brucebaldwin-at-shaw.ca verschickt,
  • und die Deutsche Bank bestimmt korrekt mit deutschen Umlauten umgehen kann.

 

Deutsche Bank Fake Email

Deutsche Bank Fake Email

Aber ich dachte mir, es kann nicht schaden, die angehängte Excel-Datei mal bei Virustotal hochzuladen, doch entgegen meiner Erwartung zeigten alle 53 Virenscanner kein Ergebnis, die Datei ist also anscheinend sauber oder sagen wir besser, sie enthält vmtl. keinen Schadcode, aber trotzdem wurde nun mein Interesse geweckt und ich analysierte weiter.

Zunächst benutzte ich das Tool OfficeMailScanner, es erkannte keine verdächtigen Inhalte in der angehängten Excel-Datei, danach öffnete ich das Excel-Dokument mit einem Texteditor und fand folgende Textpassagen:

  • http://schemas.microsoft.com/cdo/configuration/sendusing;mail.arnes.si
  • http://schemas.microsoft.com/cdo/configuration/smtpserver
  • http://schemas.microsoft.com/cdo/configuration/smtpserverport
  • http://schemas.microsoft.com/cdo/configuration/smtpauthenticate
  • http://schemas.microsoft.com/cdo/configuration/sendusername
  • http://schemas.microsoft.com/cdo/configuration/sendpassword

Ich konnte also davon ausgehen, dass in der Excel-Datei irgendetwas versuchen wird eine Email zu schicken.

Im Anschluss traute ich mich dann das Dokument in einer kontrollierten Umgebung und mit deaktivierten Makros in Excel zu öffnen und es war (wie erwartet) ein in Excel eingebettetes Formular.

Deutsche Bank Fake Formular in Excel

Deutsche Bank Fake Formular in Excel

Über die Entwicklertools wollte ich dann das eingebette VBA-Projekt einsehen, aber es war leider mit einem Passwort geschützt.
Dafür gibt es aber einen einfachen Trick: Man öffnet das Excel-Dokument mit einem Hex-Editor und ersetzt alle Strings „DPB“ nach „DPx“ und öffnet dann das VBA-Projekt. Es wird zwar eine Fehlermeldung angezeigt, aber das Passwort ist Geschichte!

So nun hier ein Auszug aus dem VBA-Projekt:

Auszug VBA-Projekt

Auszug VBA-Projekt

 

Es ist also nun klar, dass das Excel-Formular wie vermutet über einen SMTP-Server (mail.arnes.si) die Formulardaten an umeda-at-jdp-co.jp verschickt und als Absender eine DE-Email-Adresse verwendet.

Es scheint so, dass bei den Antivirus-Herstellern ein zu hoher Automatismus eingeführt wurde. Die manuelle Prüfung der Excel-Datei durch einen Menschen hätte ergeben, dass es sich hier um eine Phishing-Mail handelt und sie müsste meiner Meinung nach blockiert werden. Ich habe die Datei noch einmal manuell an unseren Virenscanner-Hersteller geschickt, mal sehen wie die Antwort aussehen wird.

Klar kann man argumentieren, dass in der Datei kein Schadcode enthalten ist, der auf dem Rechner etwas Böses tut, allerdings blockieren Virenscanner auch Phising URLs, warum dann nicht Phishing-Formulare in Excel-Dokumenten?

 

 

HTML Links exportieren Kommentare deaktiviert für HTML Links exportieren

AWK hilft hier ungemein:

awk 'BEGIN{ RS="<a *href *= *\""} NR>2 {sub(/".*/,"");print; }' index.html

lässt sich natürlich auch direkt mit einer Online-Seite kombinieren:

wget -q -O - 'http://some.url.tld' | awk 'BEGIN{ RS="<a *href *= *\""} NR>2 {sub(/".*/,"");print; }'

Get A+ rating on Apache by ssllabs.com with a free cert from StartSSL Kommentare deaktiviert für Get A+ rating on Apache by ssllabs.com with a free cert from StartSSL

Bild

It is very easy to get an A+ rating at https://www.ssllabs.com with Apache for your website by using a free SSL certificate from https://www.startssl.com/ if you correctly generate the servers private key and add some simple configurations to your ssl.conf file. I tested this on Apache/2.2.15 running on CentOS 6.6.

Generate public/private key
First of all generate a private key with 4096 bits for your server. Let’s call it server2015.key

openssl genrsa -out server2015.key 4096

 

Generate the certificate signing request for a sha512bit certificate (CSR)
openssl req -sha512 -new -key server2015.key -out server2015.csr

Give CSR to startssl and receive certificate(s)
You will receive your certificate from startssl (let’s assume it is named server2015.crt. Please make sure you also download the sub.class1.server.ca.pem intermediate certificate from startssl. Don’t use their bundle (ca-bundle.pem), it contains some certificates with „weak“ algrorithms!

Place the certicates in the correct folders

server2015.crt –> /etc/pki/tls/certs/
sub.class1.server.ca.pem –> /etc/pki/tls/certs
server2015.key –> /etc/pki/tls/private <— DIFFERENT FOLDER !!!

Generate symbolic links
I recommend using symbolic links for the certificates so you can easily change them (next year) just by changing the symbolic links and reloading Apache.

cd /etc/pki/tls/certs
ln -s sub.class1.server.ca.pem current-ca-chain.pem
ln -s server2015.crt current.crt

Configure the use of the certificates in /etc/httpd/conf.d/ssl.conf
The following configuration paramters in ssl.conf will use the above certificates (symbolic links)

SSLCertificateFile /etc/pki/tls/certs/current.crt
SSLCertificateChainFile /etc/pki/tls/certs/current-ca-chain.pem
SSLCertificateKeyFile /etc/pki/tls/private/current.key

Change cipher suites (remove weak ciphers) from ssl.conf
Set the following in ssl.conf to only use strong ciphers

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ALL:!RC4:!MD5:!ADH:!EXP:!SSLv2:!LOW:!IDEA:RSA:+HIGH:+MEDIUM

Hint:
If you want to know which ciphers are used with the above configuration, just enter the string from „SSLCIpherSuite“ into openssl for an output of all ciphers:

openssl ciphers -v ‚ALL:!RC4:!MD5:!ADH:!EXP:!SSLv2:!LOW:!IDEA:RSA:+HIGH:+MEDIUM‘

With this configuration you should already get an „A“ at https://www.ssllabs.com

Enable HSTS for A+
If you enable HSTS on your site, a client (browser) that visited your site once via https will automatically switch to https even if it tries to connect via http. (works with Firefox and Chrome but not IE). This is needed to get an „A+“ rating!

Place the following lines in ssl.conf inside the <VirtualHost>…</VirtualHost> directive
The max-age is in seconds. In the example below it is 340days

#/etc/httpd/conf.d/ssl.conf
# enable HSTS (client will automatically choose https in the future if once connected via https
<IfModule headers_module>
Header always set Strict-Transport-Security „max-age=29376000“
</IfModule>

Sample ssl.conf (without comments)

LoadModule ssl_module modules/mod_ssl.so
Listen 443
SSLPassPhraseDialog builtin
SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout 300
SSLMutex default
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
<VirtualHost _default_:443>
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ALL:!RC4:!MD5:!ADH:!EXP:!SSLv2:!LOW:!IDEA:RSA:+HIGH:+MEDIUM
<IfModule headers_module>
Header always set Strict-Transport-Security „max-age=29376000“
</IfModule>
SSLCertificateFile /etc/pki/tls/certs/current.crt
SSLCertificateKeyFile /etc/pki/tls/private/current.key
SSLCertificateChainFile /etc/pki/tls/certs/current-ca-chain.pem
<Files ~ „\.(cgi|shtml|phtml|php3?)$“>
SSLOptions +StdEnvVars
</Files>
<Directory „/var/www/cgi-bin“>
SSLOptions +StdEnvVars
</Directory>
SetEnvIf User-Agent „.*MSIE.*“ \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog logs/ssl_request_log \
„%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \“%r\“ %b“
</VirtualHost>

Voila, you have an A+ rating at absolutely no cost! – Nice!

If you don’t get an A+ rating, please check the following part at https://www.ssllabs.com

Bild

OpenVPN without administrative privileges (nonpriviledged user) on Windows using the great Sophos SSL VPN Client 1

OpenVPN or also sometimes called SSL-VPN is a very cool VPN technology. Problem is, that a lot of client software that is compatible with OpenVPN only works if the user that initiates the connection has administrative privileges. I did a lot of investigation and my early solutions were

  • SecurePoint OpenVPN Client (in my opinion not very stable)
  • Scheduled Tasks at logon of a user that executes OpenVPN with highest privileges (could lead to privilege escalation)
  • … and a lot of other custom stuff I tried

All of the above solutions were not usable, instable or unsecure and could not be used in a corporate environment. Glad I found the

  • Sophos SSL VPN Client

This client is perfect! It has the following features:

  • compatible with OpenVPN
  • multilanguage support (Chinese, Danish, German, English, Spanish, Finnish, French, Italien, Japanese, Dutch, Norwegian, Polish, Portuguese, Russian, Swedish, Turkish)
  • when installed works without admin privileges (it uses a service)

So any of you that is searching for a working OpenVPN client for nonpriviledged users, this is your solution!

Now the question, where can you get the client? The client is bundled within the „Sophos UTM“ Firewall product and can usually only be used if you have an installation of the firewall running somewhere. Since there is also a free version of the firewall available for download, this is not a big problem:

  1. Download the latest ISO from ftp://ftp.astaro.com/UTM/v9/software_appliance/iso/
  2. Open the downloaded ISO with 7Zip
  3. Inside 7Zip navigate to …\latest_asg_XX_software.iso\install\rpm\client-openvpn-9.25-18.g09bbfdc.rb1.noarch.rpm\client-openvpn-9.25-18.g09bbfdc.rb1.noarch.cpio\.\var\confd\res\openvpn\ *Bild
  4. Extract „ssl-vpn-client-installer.exe“ and install it on your windows machine
  5. Copy your OpenVPN configuration file (*.ovpn) to „C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\<subfolder>\“ and establish a connection by right clicking the tray icon TrayIcon.

*The name of the *.cpio file may vary depending on your version of the ISO file

For me this is currently the best OpenVPN client. As far as I could see, there is no information within the „Sophos SSL VPN Client“ licenses, that prohibits the usage of the client.

IPv6 creativity Kommentare deaktiviert für IPv6 creativity

It looks, that some organizations are very creative selecting their IPv6 address space. Take a look at facebooks IPv6 address.

 

Facebook IPv6

 

„face:b00c“ – very creative – nice!

Tweetping – Twitter activity in realtime Kommentare deaktiviert für Tweetping – Twitter activity in realtime

Tweetping shows the worldwide Twitter activity in realtime. It shows the amount of Tweets, Words and Characters and also the last #hashtags for North America, South America, Europe, Africa and Asia. On a world map also the text of some tweets are visible but too fast to read. Nice!
http://tweetping.net/

Tweetping World Map

They Know – Die Auswirkungen der Totalen Überwachung Kommentare deaktiviert für They Know – Die Auswirkungen der Totalen Überwachung

They know ist ein Kurzfilm, der über die Auswirkungen der Totalüberwachung durch Geheimdienste aufklären will.

Norse visualisiert Hackerkrieg in Echtzeit Kommentare deaktiviert für Norse visualisiert Hackerkrieg in Echtzeit

Norse sammelt sekündlich Informationen von hunderten sog. „Darknets“ in über 40 Ländern und visualisiert diese live unter http://map.ipviking.com/

Live Attacks

Animatron – HTML5 Animator Kommentare deaktiviert für Animatron – HTML5 Animator

Animatron ist eine leistungsstarke und benutzerfreundliche Webanwendung, mit der man direkt im Browser HTML5 Animationen erstellen kann.

z.B. Bob and the Cat

Bob and the Cat HTML5 Animation

http://animatron.com/project/42e8fb52a95aaead5b0b8feb

PayPal – kostenlose 2-Faktor-Authentifizierung mit Verisign VIP Access App 2

Viele meiner Online-Accounts sichere ich durch 2-Faktor-Authentifizierung ab, so auch PayPal. Für diesen Dienst gibt es 3 verschiedene Möglichkeiten der 2-Faktor-Authentifizierung:

Sicherheitsschlüssel
Bisher benutzte ich immer den kostenpflichtigen „Sicherheitsschlüssel“, den man für 23 Euro bei PayPal erwerben kann. Im Gegensatz zur früheren Version in der Form eines amerikanischen Footballs ist er heute eine Scheckkarte mit eingebautem Display:

neu links - alt rechts

Der „Sicherheitsschlüssel“ hat übrigens eine Lieferzeit von 3-4 Wochen.

SMS
Die 2-Faktor-Authentifizierung per SMS lässt sich sehr einfach in den Accounteinstellungen aktivieren. Man muss aber dann natürlich auch seine Mobilfunknummer hinterlegen.

VIP Access App
Die Verisign VIP Access App ist letztendlich die Software-Emulation eines „Sicherheitsschlüssels“, aber glücklicherweise kostenlos. D.h. man lädt die App herunter (verfügbar für iOS, Android, Blackberry, Windows Phone uvm.), startet sie und registriert die automatisch generierte Identifikationsdaten-ID genauso, als wäre sie ein „Sicherheitsschlüssel“ durch Eingabe der ID und der Eingabe 2 aufeinanderfolgender (durch die App berechneter Codes.

VIP Access App

Da mir diese Variante bis heute nicht bekannt war, entstand dieser Blog-Eintrag, damit viele Nutzer auf die Möglichkeit der 2-Faktor-Authentifizierung bei PayPal aufmerksam werden. Mir persönlich gefällt die App-Variante am besten.

Nächste Seite »