- rwth-security - lists.rwth-aachen.de

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Flatpak - a security nightmare" VG Bernd [0] https://flatkill.org/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 7 Monate

1
0
0 0

Just Answering A Video Call Could Compromise Your WhatsApp Account

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Just Answering A Video Call Could Compromise Your WhatsApp Account" "... Google Project Zero security researcher Natalie Silvanovich found a critical vulnerability in WhatsApp messenger that could have allowed hackers to remotely take full control of your WhatsApp just by video calling you over the messaging app ..." VG Bernd [0] https://thehackernews.com/2018/10/hack-whatsapp-account-chats.html -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 7 Monate

1
0
0 0

net-snmp - Update

von Bernd Kohler

Hallo zusammen, wer net-snmp anhand einer Anleitung wie bspw. [0] installiert hat, möge bitte spätestens jetzt anhand von [1] auf die neuste Version (5.8 auf [2]) aktualisieren. "... bug is remotely exploitable without knowledge of the community string, and leads to Denial of Service" Sofern nicht selber schon gesehen/-lesen hier FYI VG Bernd [0] https://www.maketecheasier.com/net-snmp-part-1/ [1] https://dumpco.re/blog/net-snmp-5.7.3-remote-dos [2] https://sourceforge.net/projects/net-snmp/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 7 Monate

1
0
0 0

Directory Services Internals (AKA DS Internals) nun mit check gegen HIBPwned

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI, "Directory Services Internals" da in der neusten Version ein Online und offline (ntds.dit) check der AD-Passwörter gegen have I been pwned [1] möglich sein soll. Hier wie gesagt lediglich FYI, da ich das Tool bisher nicht getestet habe. VG Bernd [0] https://www.dsinternals.com/en/ [1] https://haveibeenpwned.com/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 7 Monate

1
0
0 0

[NIST] Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks" VG Bernd [0] https://csrc.nist.gov/publications/detail/nistir/8228/draft -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 7 Monate

1
0
0 0

Password Dumps / monitor.firefox.com - per Powershell scannen

von Geuenich, Patrick

Hallo zusammen, wir haben nun alle unsere Instituts-Emails auf Breaches überprüft und ein paar positives gefunden (2 Benutzer konnten zu mindestens bestätigen das sie bei den jeweiligen gemeldeten Diensten registriert sind). Um alle E-Mails nicht manuell überprüfen zu müssen, habe ich kurz ein Powershell-Skript zusammengeworfen was es ermöglicht mehrere E-Mails hintereinander zu überprüfen. Nachdem ich einen dump unserer E-Mail-Adressen in Powershell importiert habe, hat das Skript ca. zwei Minuten gebraucht um ca. 100~ E-Mails zu überprüfen. Falls jemand Interesse hat das gleiche in seiner Infrastruktur zu machen, das Skript ist intern (man muss angemeldet sein) im RWTH-Gitlab verfügbar: https://git.rwth-aachen.de/snippets/364 Mit freundlichen Grüßen Patrick Geuenich

5 Jahre, 7 Monate

1
0
0 0

Password Dumps / monitor.firefox.com

von Jens Hektor

Hi, der eine oder andere von Euch wird in den letzten ein-zwei Jahren von uns Auszüge aus "credential dumps" erhalten haben, die wir unsererseits vom DFN-CERT erhielten. Einer der Disclaimer war immer, dass wir nicht wissen, worauf sich diese Dumps beziehen ("Quelle unbekannt"). Dies hat sich nun mit dem Dienst unter https://monitor.firefox.com/ qualitätsmäßig deutlich verändert. Heute wurde u.a. unter https://www.heise.de/newsticker/meldung/Firefox-Monitor-informiert-bei-geha… darüber berichtet. Entsprechende von uns gemeldete Adressen an Euch können jetzt dort eingegeben werden (de facto kann man dort jegliche Adresse eingeben - hust) und im Falle eines "positives" SIEHT MAN DORT DIE QUELLE DES BREACHES. Stichproben meinerseits mit Adressen von Kollegen(!), die uns auch vom DFN-CERT gemeldet wurden, lieferten auf jeden Fall "interessante" Hits - allerdings wurden diese noch nicht mit den Kollegen verifiziert! Ich bin sehr hin- und hergerissen. Aber ich denke, es wird uns in Zukunft (und vielleicht für die Vergangenheit [1]) helfen. Gruß, Jens Hektor [1] Mal sehen, ob wir die deutlich vierstellige Anzahl der uns bereits gemeldeten Adressen noch mal nachprüfen. Insgesamt vier wurden schon "abgearbeitet", in jedem Fall gab es einen Hinweis auf die Quelle. Das sah jedes Mal aussagekräftig aus! Soweit gefällt mit das. Prüft Ihr das nach? (BITTE!) Wir würden dann "@rwth.aachen.de" und "@post.rwth-aachen.de" machen, ratet mal, wer mehr Arbeit hat. ;-) P.S. Feedback (auch aus Interviews mit den Betroffenen - anonymisiert natürlich - aka DSGVO konform) hier (Mailingliste) herzlich willkommen. Das hilft uns allen.

5 Jahre, 7 Monate

2
1
0 0

Sophos says - discovered 25 apps in ogle Play store that engage in illicit cryptocurrency mining

von Bernd Kohler

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Cryptojacking apps return to Google Play Market" Wer also eine dieser Applikationen verwendet möge bitte weitere Prüfungen vornehmen VG Bernd [0] https://news.sophos.com/en-us/2018/09/24/cryptojacking-apps-return-to-googl… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 7 Monate

1
0
0 0

Chrome 96 - Markierung in der Adresszeile bei verschlüsselten Verbindungen

von Bernd Kohler

Hallo zusammen, nicht nur dass Chrome und Chromium unverschlüsselte (also) HTTP Webseiten als unsicher markieren (siehe anbei), wie angekündigt werden mit Version 69 von Chrome verschlüsselte (also) HTTPS Webseiten in der Adresszeile - nicht mehr grün hervorgehoben - aber immer noch durch ein Schloss gekennzeichnet Siehe dazu u.a. [0] - [2]. !!! Man sollte also (jetzt um so mehr) immer gut hinschauen. !!! Die Versionen, bei denen ich unter Linux getestet habe sind: - Chrome: Version 69.0.3497.81 - Chromium: Version 68.0.3440.106 Sofern nicht selber schon gesehen/-lesen hier FYI VG Bernd [0] https://blog.chromium.org/2018/05/evolving-chromes-security-indicators.html [1] https://searchengineland.com/googles-chrome-browser-to-drop-secure-label-fo… [2] https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 8 Monate

2
1
0 0

Re: TLS 1.3 (nun wohl final als RFC 8446) - UPDATE

von Bernd Kohler

Hallo zusammen, das Transport Layer Security (TLS) Protocoll in der Version 1.3 ist nach einigen Iterationen [0] nun als RFC 8446 [1] final. Zeit, sich mit den Änderungen/Neuerungen zu befassen - gehen wir also in medias res - alle bekannten Schwachstellen der Vorgängerversionen sollen ausgemerzt werden - es soll eine Latenzminimierung (interessant/relevant für Edge Computing, wie IoT Geräte) - Optimierung der Architektur, um das Nachrüsten von Algorithmen (wie bspw. SIDH - Supersingular Isogeny Deffie-Hellman, welcher auch Quantencomputern standhalten soll) zu erleichtern. - neues, schlankeres Handshake-Verfahren - neue Signaturalgorithmen - Änderung des konzeptionellen Aufbaues einer Cipher Suite - bei den Chipher Suites wird aufgeräumt - statisches RSA fällt weg - DSA Cipher Suites fallen weg - Diffie-Hellmann (DH) Cipher Suites fallen weg (nicht Elliptische Kurven, ECDH) - unsichere Hashfunktionen sind nicht mehr zulässig - SHA1 fälllt weg - MD5 fällt weg - Stream-Verschlüsselung mit RC4 fällt weg - Blockchiffre-Modus CBC fällt weg - es werden alle Handshake-Nachrichten (bis auf ServerHello Initialisierung) verschlüsselt - vorher im Klartext übertragene Protokollerweiterungen können als EncryptedExtension-Nachricht verschlüsselt übertragen werden - es wird auf überflüssige Nachrichten (wie Change-Cipher-Spec, außer bei Mittelbox-Kompatibilität) verzichtet - alle nicht AEAD Cipher werden entfernt (Authenticated Encryption with Associated Data, Verschlüsselung mit integrierter Vorkehrung zur Gewährleistung der Datenintegrität). - Kompression wird abgeschafft - eine Neuverhandlung der Protokollversion (downgrade und upgrade) ist prinzipiell ausgeschlossen, eine Nachtverhandlung (ClientHello) auf bspw. 1.2 wird mit der generischen Meldung "unexpected_message" beendet - Der neue TLS 1.3 Aufbau der Cipher Suite trennt Authentifizierungs- und Schlüsselaustauschverfahren von dem Algorithmus der Verbindungsabsicherung (TLS Record Protection Algorithm) und von der Hash-Funktion. Es wird weder der Schlüssel- austausch- noch der Authentifizierungsmechanismus vorgegeben (nun vereinbarte optionen) - Neuer Aufbau der Cipher Suite ermöglicht Forward Secrecy trotz 0-Rount Trip Time Resumption (RTT, beschleunigte Wiederaufnahme einer abgebauten Verbindung) mittels beim erstmalingen Verbindungsaufbau erzeugten Schlüssel - TLS 1.3 Cipher Suite in openssl nach [2]: - TLS13-AES-256-GCM-SHA384 - TLS13-AES-128-GCM-SHA256 - TLS13-AES-128-CCM8-SHA256 - TLS13-AES-128-CCM-SHA256 - TLS13-CHACHA20-POLY1305-SHA256 - symmetrische Stream Cihper CHAHA20 - message authentication code (MAC) POLY1305 - Hashfunktion SHA256 - neue HMAC-based Key (Extract-and-Expand) Derivation Function (HKDF, RFC 5869) - Signaturerstellung (im Schlüsselaustauschverfahren) - Edwards-Curve Digital Signature Algorithm (EdDSA, RFC 8032) - Ed25519 (SHA512/256 und Curve 25519) - Ed448 (Ed448-Goldilocks) - Elliptic Curve Digital Signature Algorithm (ECDSA, u.a. RFC 5656) - RSA mit zugehöriger Hashfunktion (außer bspw. MD5) - Padding neben PKCS #1 (Version 1.5 RFC 2313) nun auch PSS (Probabilistic Signature Scheme, u.a. RFC 8017, obsolet RFC 2437) Padding - SHA1 für Signatur eines Zertifikates weiterhin noch erlaubt, nicht jedoch (mit Ausnahme bei Rückwärtskompatibilität zu TLS 1.2) für signierten TLS-Handshake - es können Zertifikate vom Typ X.509v3 (bspw. in der DFN-PKI, siehe [3]) verwendet werden - Einsatz von OpenPGP Zertifikate ist untersagt - Schlüsselvereinbarung (mit Forward Secrecy) nur noch via - Elliptic Curve Diffie-Hellmann Exchange (ECDHE) - Finite-Field Diffie-Hellmann Exchange (Kompatibilität mit älteren Client) - Pre Shared Key (PSK, Wiederherstellung einer Sitzung) - PSK mit (EC)DH (ebenfalls zur Wiederaufnahme) - kein MtE (MAC then Encrypt), Nutzung von AEAD (Authenticated Encryption with Associated Data) -Cipher - Entschlüsselungsfehler werden nichts sagend mit "bad_record_mac" quittiert, die Verbindung wird beendet - TLS 1.3 Handshake erspart einen ganzen Roundtrip (nur noch 3 statt 6 Schritte), einige Hundert Millisekunden schneller (ClientHello: Liste unterstützter Cipher + Versuch Schlüsselvereinbarungsprotokoll des Servers zu erraten und passenden mitzuliefern ServerHello: Wählt Protokoll der angebotenen Schlüsselvereinbarung und sendet eigenen Key-Share, Zertifikat und ServerFinished) - Symmetrische Verschlüsselung bereits nach einem Roundtrip (1-RTT) Eine Übersicht über die Client, welche bereits TLS 1.3 unterstützen, findet sich auf [4] VG Bernd p.s.: Nein ich habe mir noch nicht den finalen RFC durchgelesen, sondern mal eben den Artikel aus der aktuelle iX 8/2018 [0] https://datatracker.ietf.org/doc/rfc8446/ [1] https://tools.ietf.org/rfc/rfc8446.txt [2] https://wiki.openssl.org/index.php/TLS1.3 [3] https://www.pki.dfn.de/fileadmin/PKI/anleitungen/DFN-PKI-Zertifikatprofile_… [4] https://caniuse.com/#feat=tls1-3 -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de https://www.itc.rwth-aachen.de

5 Jahre, 8 Monate

1
0
0 0

2024

2023

2022

2021

2020

2019

2018

rwth-security