Blog

Subdomains sind eine wahre Goldgrube für Angreifer

Aufs neue starteten wir unseren Scanner, welcher übrigens mit 100% selber produziertem Solarstrom läuft. Obwohl auf den Hauptdomains und unter www. oft nur Webseiten betrieben werden, waren wir trotzdem überraschend, was dort alles zu finden war. Wir ahnten bereits vor der Idee, die Subdomains anzuschauen, dass dies noch schlimmer wird, denn auf den Subdomains laufen oft Webapps mit heiklen internen Firmen-Daten.

Ungewollte Datenlecks (online und offline)

In der heutigen digitalen Welt haben wir alle irgendwann schon einmal sensitive Daten online geteilt. Obwohl die meisten von uns versuchen, vorsichtig zu sein, kann es dennoch passieren, dass wir versehentlich private Informationen veröffentlichen. Dies kann auch versehentlich passieren, ohne dass wir uns dessen bewusst sind.

Auswirkungen von Ransomware auf ein Unternehmen

Stellen Sie sich ein mittelständisches KMU vor. 142 Mitarbeiter in den Bereichen Entwicklung, Produktion, Lager, Installation, Montage, Support, Marketing und das ganze Backoffice. Vor 5 Jahren hat die IT den Schritt in die Virtualisierung gewagt.

Hinter einer Firewall bin ich geschützt. Irrglaube oder Tatsache?

Wir hören immer wieder das Argument, aber ich habe doch eine gute Firewall, die schützt mich doch. Diese Tatsache hat uns erwogen diesen Artikel zu schreiben.

security.txt und Kontaktinformationen

Wir haben eine Firmen-Policy, dass wir die Betroffenen auf von uns gefundene Sicherheitslücken aufmerksam machen. Oft fällt es uns schwer, die richtige Kontaktperson bei einer Firma zu finden. Dabei gäbe es einen definierten Ort, wo man diese Kontaktinformationen hinterlegen kann: security.txt (Ein vorgeschlagener Standard, der es Betreiber von Webapplikationen ermöglicht, Sicherheitsrichtlinien zu definieren). Auch nur ein Hinweis im Impressum würde helfen.

Frohe Feiertage

Codepurple wünscht allen schöne und sichere Festtage.

Datenleck über phpinfo() - Teil 2/2

Dies ist die Fortsetzung des 1. Teiles zu phpinfo(), welcher eine Einführung und eine Übersicht über die gefundenen Daten gibt. Bei einem Scan über 2.6 Millionen .ch und .li Domains haben wir nach öffentlichen phpinfo() Dateien gesucht und die gewonnen Daten analysiert. In diesem Teil untersuchen wir die brisanteren Daten-Lecks, welche wir gefunden haben und gehen darauf ein, wie diese durch Angreifer missbraucht werden können.

Datenleck über phpinfo() - Teil 1/2

Weiter geht es in der Serie der Scans der .ch und .li Domains. Dieses Mal untersuchten wir mögliche Datenlecks über phpinfo, was wiederum spannende Erkenntnisse zu Tage brachte. Bei diesem Scan wurden 2.6 Millionen Domains überprüft.

Directory listing auf Webserver ist gefährlich

Das auflisten von Dateien (Directory listing) die auf dem Web Server gespeichert sind birgt grosse Sicherheitsrisiken. Informationen können so preisgegeben werden, welche nicht für die Öffentlichkeit bestimmt sind.

Update: Datenleck via .DS_Store Dateien

Im Blog Post vom 15. Juni 2022 (Datenleck via .DS_Store Dateien) haben wir eine Analyse zu versehentlich öffentlich zugänglichen .DS_Store Dateien publiziert. Rund fünf Monate später haben wir uns die seit dieser Zeit neu registrierten .ch und .li Domains angeschaut. Dabei haben wir 190’359 Domains untersucht.

Update: Öffentliche .env-Dateien

Im Blog Post vom 2. Mai 2022 (Öffentliche .env-Dateien) haben wir eine Analyse zu versehentlich öffentlichen .env Dateien publiziert. Rund fünf Monate später haben wir uns die seit dieser Zeit neu registrierten .ch und .li Domains angeschaut. Dabei haben wir 190’359 Domains untersucht.

Update: Öffentliche .git Ordner

Im Blog Post vom 2. Mai 2022 (Öffentliche .git Ordner) haben wir eine Analyse zu versehentlich veröffentlichten Daten aus Sourcecode-Verwaltungssystemen publiziert. Rund fünf Monate später haben wir uns die seit dieser Zeit neu registrierten .ch und .li Domains angeschaut. Dabei haben wir 190’359 Domains untersucht.

Security-Scanner wird zu scan.nan.io

Der Security-Scanner auf unserer Webseite wird erneuert und wird neu zu scan.nan.io.

State of the Swiss web Q3 2022

Im vergangenen Quartal haben wir keine grossen Studien oder Analysen betreffend der Schweizer Weblandschaft durchgeführt, welche wir publizieren dürfen/können. Anstelle eines Berichtes über den Zustand der Schweizer Webapplikationen möchte ich die Gelegenheit nutzen drei Beispiele aus der Praxis etwas genauer anzuschauen.

Sichere APIs?

APIs (Application Programming Interface) sind Schnittstellen, über welche Softwaresysteme untereinander kommunizieren können. Einige APIs sind öffentlich, wie zum Beispiel die der Wetterdienste. Bei anderen APIs geht es um persönliche Daten, so zum Beispiel beim E-Banking. APIs sind der Leim, welcher die digitale Welt zusammen hält, deshalb gilt es diese Schnittstellen besonders zu schützen und auf möglich Fehler zu prüfen.

Arten von Phishing-Angriffen

Phishing-Angriffe sind nach wie vor einer der Hauptangriffsvektoren im Cybersicherheitsbereich. Dabei gibt es verschiedene Arten von Phishing. In diesem Artikel gehen wir auf die Ziele und Arten von Phishing-Angriffen ein.

Interessante Fakten zu Ransomware Teil 4/4

Der letzte und somit abschliessende Teil der Ransomware-Blog Reihe beschäftigt sich damit wie man sich vor einem Angriff schützen kann.

State of the Swiss web Q2 2022

Die letzten drei Monate standen bei uns eindeutig im Zeichen von API-Keys, Datenbankzugriffen und unserem internen Domänen-Scanner.

Interessante Fakten zu Ransomware Teil 3/4

Im dritten Teil gibt es vier spannende Fakten zu Kopfgeld, Umsatz und der Top 10 der Ransomware-Gruppierungen. Viel Spass beim Lesen. Eine Einleitung zum Thema Ransomware findet Ihr im Teil 1 der Serie.

Interessante Fakten zu Ransomware Teil 2/4

Im zweiten Teil unserer Ransomware Blog-Reihe widme ich mich eher technischen Themen. Eine Einleitung zum Thema Ransomware findet Ihr im 1. Teil der Serie.

Datenleck via .DS_Store Dateien

Eine kleine Ergänzung an unserem selber entwickelten Domain-Scanner erlaubt es uns nun eine weitere Analyse eines möglichen Datenlecks zu untersuchen. Dabei hat Codepurple wiederum alle .ch und .li Domains auf öffentlich zugängliche .DS_Store-Dateien untersucht.

Interessante Fakten zu Ransomware Teil 1/4

Diese vierteiligen Blogreihe behandelt interessantes, spannendes und kurioses zum Thema Ransomware. Im ersten Teil wird erklärt was Ransomware genau ist. Danach folgen Fakten zum Thema Lösegeld. Der zweite Teil der Reihe wird technischer und behandelt Angriffsvektoren, Verschlüsselungstechniken und sehr teure Security Reports. Teil drei konzentriert sich auf Ransomware Gruppierungen. Im vierten und abschliessenden Teil werden Tipps gegeben, wie man sich am besten vor Ransomware schützt und welche Schritte eingeleitet werden sollten wenn man einen Angriff bemerkt.

Öffentliche .env-Dateien

In einer weiteren Analyse hat Codepurple bei allen .ch und .li Domains untersucht, ob .env Dateien öffentlich verfügbar sind. Dabei wurden 201 .env Dateien gefunden. Neben harmlosen Konfigurationseinstellungen wurden 135 Datenbankbenutzer und Passwörter, 48 E-Mail-Konten mit Benutzername und Passwort, 11 Zugänge zu Zahlungsanbieter, 98 Anmeldeinformationen für API’s (Schnittstellen) und 128 App-Secrets (Secret zum sicheren generieren von Session-IDs, CSRF-Tokens, JWT-Tokens oder gleich fix konfigurierte Adminaccounts) gefunden. Die Analyse der .env-Dateien brachte sehr brisante Erkenntnisse, denn Passwörter und Secrets sind in unverschlüsselter Form in der .env-Datei gespeichert.

Öffentliche .git Ordner

Eine Analyse von Codepurple aller .ch und .li Domains auf öffentliche Code-Repositories (Git) zeigte, dass 1053 öffentliche Code Repositories gefunden wurden. In den Code Repositories sind harmlose Dinge wie Templates oder statische HTML-Seiten zu finden, aber auch kompletter Code von Webapplikationen inklusive deren Konfiguration mit Passwörtern für Logins, Datenbanken, Office365 Logins, E-Mail-Konten mit Passwörtern oder Private-Keys um mit Zahlungsanbietern zu kommunizieren. Es wurden sogar Benutzernamen und Passwörter in den Meta-Daten des Repositiories selbst gefunden, welche den Zugriff auf komplette Codeverwaltungen von Firmen ermöglichten. Eine weitere spannende Entdeckung war, dass komplette Code-Repositories auch ohne Directory-Listing heruntergeladen werden können, in dem einfach direkt auf die Dateien in einem .git Ordner zugegriffen wird. So zum Beispiel der direkte Zugriff auf .git/HEAD oder .git/config.

Typosquatting

Typosquatting ist eine Art von Social-Engineering-Angriff auf einen Internet-User. Dabei werden ähnliche Domains zu der Zieldomain registriert, mit der Hoffnung, dass ein Benutzer einen Tippfehler macht und auf der Seite des Angreifers landet.

SPF / DMARC Analyse von .ch und .li Domains

E-Mail wird im Geschäftsleben jeden Tag verwendet. So ist es nicht erstaunlich, dass über 91% aller Cyberangriffe mit einem Phishing-E-Mail beginnen. Als das E-Mail-Protokoll entwickelt wurde, waren die Anforderungen an die Sicherheit ganz anders als heute. Am SMTP-Protokoll hat sich seit 1995 nicht mehr viel verändert. Um die neuen Probleme bezüglich Spam und Missbrauch in den Griff zu bekommen, wurden weitere Technologien wie SPF, DKIM und DMARC entwickelt. Inzwischen sind auch diese Technologien mehrere Jahre alt. Eine Analyse von Codepurple im Februar 2022 aller .ch und .li Domains zeigt auf, dass diese Technologien oft nicht verwendet oder falsch konfiguriert werden, obwohl sie das Potential für einen guten Schutz hätten.

State of the Swiss web Q1 2022

Bei unserer täglichen Arbeit kommen wir laufend in Kontakt mit diversen Sicherheitslücken und Sicherheitsmängel. Diese Daten sammeln wir laufend und fassen sie in einem Bericht zusammen.

Do not reuse your password on different accounts.

Source: Codepurple

Do you have any questions or would you like an appointment?

Kathrin Müller is looking forward to hearing from you and will be happy to organize a meeting according to your needs.

Contact

nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon

+41 79 823 45 30
rhino@codepurple.ch

Follow us

Imprint| Privacy| © Codepurple 2023. All rights reserved