erweiterungen im dfn-cert portal€¦ · 06-10-2009 · [email protected] • jetzt...
TRANSCRIPT
![Page 1: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/1.jpg)
Erweiterungen im DFN-CERT Portal
51. DFN-Betriebstagung Berlin 6. Oktober 2009
Tilmann Haak <[email protected]>
![Page 2: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/2.jpg)
Seite 2
Übersicht
• DFN-CERT Portal allgemein• Erweiterungen bei den Automatischen
Warnmeldungen
• Neuer Dienst im Portal: Informationen über Schwachstellen
![Page 3: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/3.jpg)
Seite 3
DFN-CERT Portal allgemein
![Page 4: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/4.jpg)
Seite 4
DFN-CERT Portal
• Erreichbar unter https://portal.cert.dfn.de/• Freischaltung für „Handlungsberechtigte
Personen“ (HP) anhand von Zertifikaten aus der DFN-PKI Global
• Bisher war nur der Dienst „Automatische Warnmeldungen“ verfügbar
• Jetzt gibt es als neuen Dienst „Informationen über Schwachstellen“
![Page 5: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/5.jpg)
Seite 5
Automatische Warnmeldungen
![Page 6: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/6.jpg)
Seite 6
Automatische Warnmeldungen
• Einrichtungen werden regelmäßig über gemeldete Auffälligkeiten in ihren Netzbereichen informiert
• Einbindung verschiedener Datenquellen• Derzeit ca. 160 teilnehmende Einrichtungen• Das sind ca. 70 Prozent der Adressen
im X-WiN
![Page 7: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/7.jpg)
Seite 7
![Page 8: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/8.jpg)
Seite 8
Beispielmeldung
Liebe Kolleginnen und Kollegen,
dies ist eine automatische Warnmeldung des DFN-CERT. In
den letzten Tagen erhielten wir Informationen über mög-
liche Sicherheitsprobleme auf Systemen in ihrem Netzwerk.
Netzblock: xxx.xxx.0.0/16
Kontakte: [email protected]
Meldungen:
IP Meldungstyp Zuletzt gesehen
---------------------------------------------------------
xxx.xxx.181.16 Bot 2009-09-24 21:22:06
xxx.xxx.117.155 Virus/Wurm 2009-09-24 02:16:00
xxx.xxx.230.149 Spam Beschwerde 2009-09-24 02:27:35
...
![Page 9: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/9.jpg)
Seite 9
Beispielmeldung (2)
Details zu den Meldungen pro IP:
--------------------------------------------------------
System: xxx.xxx.18.16
Meldungstyp: Bot
Zeitstempel: 2009-09-24 21:22:06 GMT+01 (Winterzeit)
Beschreibung: Auf dem System scheint eine Bot-Software
betrieben zu werden, die versucht, einen IRC-basierten
Bot-Netz Control-Server zu erreichen. Wenn es sich dabei
um eine Infektion mit dem Conficker Wurm handelt, ist
dieser als Malwaretyp ausgewiesen. Das System ist auf-
gefallen durch ausgehende HTTP-Anfragen der Form:
http://<zufaellig_erzeugte_URL>/search?q=%d (%d = Zahl)
![Page 10: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/10.jpg)
Seite 10
Erweiterungen im AW-Dienst
• Alle E-Mails haben jetzt einen XML-Anhang (autowarn.xml), den Sie in Ihren eigenen Anwendungen weiterverarbeiten können.
• Die Konfiguration des Dienstes können sie als XML-Datei (awrules.xml) herunterladen.
• Sie können diese Datei auch automatisch generieren, z. B. aus Ihrer lokalen Datenbank, und hochladen.
![Page 11: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/11.jpg)
Seite 11
autowarn.xml
<?xml version="1.0" encoding="utf-8" ?>
<warning incidentid="13337">
<message ip="192.168.42.15" timestamp="2009-10-06 07:15:42" type="Bot">
<logrecord> TCP Quellport Malwaretyp Zeitstempel(GMT+00)
----------------------------------------------
22653 Conficker 2009-10-06 07:15:42
58480 Conficker 2009-10-06 07:22:27
</logrecord>
<description>Auf dem System scheint eine Bot-Software betrieben zu werden, die versucht, einen HTTP- oder IRC-basierten Bot-Netz Control-Server zu erreichen. Zu den unterschiedlichen Malwaretypen finden Sie unter der folgender Webseite mehr Informationen: http://www.cert.dfn.de/index.php?id=bot</description>
</message>
</warning>
![Page 12: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/12.jpg)
Seite 12
![Page 13: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/13.jpg)
Seite 13
awrules.xml<awrules>
<rule active="true" comment="" emptymails="false" frequency="daily">
<netblocks>
<netblock>192.168.42.0/24</netblock>
</netblocks>
<recipients>
<recipient>[email protected]</recipient>
</recipients>
</rule>
<rule active="true" comment="" emptymails="false" frequency="daily">
<netblocks>
<netblock>all</netblock>
</netblocks>
<recipients>
<recipient>[email protected]</recipient>
</recipients>
</rule>
</awrules>
![Page 14: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/14.jpg)
Seite 14
Zusammenfassung (AW)
• XML-Anhang an jeder E-Mail– Gedacht zur automatischen Weiterverarbeitung in
Ihrer Einrichtung
• AW-Regeln als XML herunterladen, bearbeiten und wieder hochladen– Sie können z. B. anhand einer lokal vorhandenen
Datenbank Ihre Konfiguration erstellen
![Page 15: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/15.jpg)
Seite 15
Neu im DFN-CERT Portal:
Information über Schwachstellen
![Page 16: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/16.jpg)
Seite 16
Informationen über Schwachstellen
• Sie kennen bereits unsere Mailingliste:[email protected]
• Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows- oder Cisco-Systemen.
• Die bisher versandten Meldungen finden Sie jetzt in unserem Archiv. Zugriff auf das Archiv ist für jedermann möglich.
• Mit einem Zertifikat der DFN-PKI Global können Sie ein Abonnement (z. B. nur RedHat Linux) konfigurieren.
![Page 17: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/17.jpg)
Seite 17
![Page 18: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/18.jpg)
Seite 18
![Page 19: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/19.jpg)
Seite 19
Beispielmeldung (Kurzformat)Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:Paket php
Betroffene Plattformen:Mandriva Linux 2009.1Mandriva Linux 2009.1/X86_64
PHP vor der Version 5.2.11 enthält mehrere Schwachstellenin den Funktionen ’dba_replace()’, [...] und bei der Verarbeitung von EXIF-Daten, welche es im schlimmsten Fall ermöglichen Dateien im Dateisystem zu überschreiben.
Weitere Informationen finden sie unter:<https://portal.cert.dfn.de/adv/DFN-CERT-2009-1376>
...
![Page 20: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/20.jpg)
Seite 20
![Page 21: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/21.jpg)
Seite 21
![Page 22: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/22.jpg)
Seite 22
![Page 23: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/23.jpg)
Seite 23
![Page 24: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/24.jpg)
Seite 24
![Page 25: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/25.jpg)
Seite 25
![Page 26: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/26.jpg)
Seite 26
![Page 27: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/27.jpg)
Seite 27
![Page 28: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/28.jpg)
Seite 28
Zusammenfassung
• Zusätzlich zur bereits bekannten [email protected]
• Sie haben Zugriff auf das Archiv• Mit einem Zertifikat der DFN-PKI Global
können Sie ein Abonnement (z. B. nur RedHat Linux) konfigurieren
• Kurz- und Langformat
![Page 29: Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · win-sec-ssc@lists.dfn-cert.de • Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows-](https://reader034.vdocuments.site/reader034/viewer/2022050523/5fa6d000c263167edc686727/html5/thumbnails/29.jpg)
Seite 29
Kontakt
• Wenn Sie an den DFN-CERT Diensten teilnehmen wollen, sprechen Sie uns bitte an.
➼ Web: http://www.cert.dfn.de
➼ Portal: https://portal.cert.dfn.de
➼ Fragen zu den DFN-CERT-Diensten: