Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009  · win-sec-ssc@lists.dfn-cert.de • Jetzt...

Erweiterungen im DFN-CERT Portal

51. DFN-Betriebstagung Berlin 6. Oktober 2009

Tilmann Haak <haak@dfn-cert.de>

Seite 2

Übersicht

• DFN-CERT Portal allgemein• Erweiterungen bei den Automatischen

Warnmeldungen

• Neuer Dienst im Portal: Informationen über Schwachstellen

Seite 3

DFN-CERT Portal allgemein

Seite 4

DFN-CERT Portal

• Erreichbar unter https://portal.cert.dfn.de/• Freischaltung für „Handlungsberechtigte

Personen“ (HP) anhand von Zertifikaten aus der DFN-PKI Global

• Bisher war nur der Dienst „Automatische Warnmeldungen“ verfügbar

• Jetzt gibt es als neuen Dienst „Informationen über Schwachstellen“

Seite 5

Automatische Warnmeldungen

Seite 6

Automatische Warnmeldungen

• Einrichtungen werden regelmäßig über gemeldete Auffälligkeiten in ihren Netzbereichen informiert

• Einbindung verschiedener Datenquellen• Derzeit ca. 160 teilnehmende Einrichtungen• Das sind ca. 70 Prozent der Adressen

im X-WiN

Seite 7

Seite 8

Beispielmeldung

Liebe Kolleginnen und Kollegen,

dies ist eine automatische Warnmeldung des DFN-CERT. In

den letzten Tagen erhielten wir Informationen über mög-

liche Sicherheitsprobleme auf Systemen in ihrem Netzwerk.

Netzblock: xxx.xxx.0.0/16

Kontakte: aw-dienst@example.com

Meldungen:

IP Meldungstyp Zuletzt gesehen

---------------------------------------------------------

xxx.xxx.181.16 Bot 2009-09-24 21:22:06

xxx.xxx.117.155 Virus/Wurm 2009-09-24 02:16:00

xxx.xxx.230.149 Spam Beschwerde 2009-09-24 02:27:35

...

Seite 9

Beispielmeldung (2)

Details zu den Meldungen pro IP:

--------------------------------------------------------

System: xxx.xxx.18.16

Meldungstyp: Bot

Zeitstempel: 2009-09-24 21:22:06 GMT+01 (Winterzeit)

Beschreibung: Auf dem System scheint eine Bot-Software

betrieben zu werden, die versucht, einen IRC-basierten

Bot-Netz Control-Server zu erreichen. Wenn es sich dabei

um eine Infektion mit dem Conficker Wurm handelt, ist

dieser als Malwaretyp ausgewiesen. Das System ist auf-

gefallen durch ausgehende HTTP-Anfragen der Form:

http://<zufaellig_erzeugte_URL>/search?q=%d (%d = Zahl)

Seite 10

Erweiterungen im AW-Dienst

• Alle E-Mails haben jetzt einen XML-Anhang (autowarn.xml), den Sie in Ihren eigenen Anwendungen weiterverarbeiten können.

• Die Konfiguration des Dienstes können sie als XML-Datei (awrules.xml) herunterladen.

• Sie können diese Datei auch automatisch generieren, z. B. aus Ihrer lokalen Datenbank, und hochladen.

Seite 11

autowarn.xml

<?xml version="1.0" encoding="utf-8" ?>

<warning incidentid="13337">

<message ip="192.168.42.15" timestamp="2009-10-06 07:15:42" type="Bot">

<logrecord> TCP Quellport Malwaretyp Zeitstempel(GMT+00)

----------------------------------------------

22653 Conficker 2009-10-06 07:15:42

58480 Conficker 2009-10-06 07:22:27

</logrecord>

<description>Auf dem System scheint eine Bot-Software betrieben zu werden, die versucht, einen HTTP- oder IRC-basierten Bot-Netz Control-Server zu erreichen. Zu den unterschiedlichen Malwaretypen finden Sie unter der folgender Webseite mehr Informationen: http://www.cert.dfn.de/index.php?id=bot</description>

</message>

</warning>

Seite 12

Seite 13

awrules.xml<awrules>

<rule active="true" comment="" emptymails="false" frequency="daily">

<netblocks>

<netblock>192.168.42.0/24</netblock>

</netblocks>

<recipients>

<recipient>example@example.com</recipient>

</recipients>

</rule>

<rule active="true" comment="" emptymails="false" frequency="daily">

<netblocks>

<netblock>all</netblock>

</netblocks>

<recipients>

<recipient>netgroup@example.com</recipient>

</recipients>

</rule>

</awrules>

Seite 14

Zusammenfassung (AW)

• XML-Anhang an jeder E-Mail– Gedacht zur automatischen Weiterverarbeitung in

Ihrer Einrichtung

• AW-Regeln als XML herunterladen, bearbeiten und wieder hochladen– Sie können z. B. anhand einer lokal vorhandenen

Datenbank Ihre Konfiguration erstellen

Seite 15

Neu im DFN-CERT Portal:

Information über Schwachstellen

Seite 16

Informationen über Schwachstellen

• Sie kennen bereits unsere Mailingliste:win-sec-ssc@lists.dfn-cert.de

• Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows- oder Cisco-Systemen.

• Die bisher versandten Meldungen finden Sie jetzt in unserem Archiv. Zugriff auf das Archiv ist für jedermann möglich.

• Mit einem Zertifikat der DFN-PKI Global können Sie ein Abonnement (z. B. nur RedHat Linux) konfigurieren.

Seite 17

Seite 18

Seite 19

Beispielmeldung (Kurzformat)Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:Paket php

Betroffene Plattformen:Mandriva Linux 2009.1Mandriva Linux 2009.1/X86_64

PHP vor der Version 5.2.11 enthält mehrere Schwachstellenin den Funktionen ’dba_replace()’, [...] und bei der Verarbeitung von EXIF-Daten, welche es im schlimmsten Fall ermöglichen Dateien im Dateisystem zu überschreiben.

Weitere Informationen finden sie unter:<https://portal.cert.dfn.de/adv/DFN-CERT-2009-1376>

...

Seite 20

Seite 21

Seite 22

Seite 23

Seite 24

Seite 25

Seite 26

Seite 27

Seite 28

Zusammenfassung

• Zusätzlich zur bereits bekannten Mailinglistewin-sec-ssc@lists.dfn-cert.de

• Sie haben Zugriff auf das Archiv• Mit einem Zertifikat der DFN-PKI Global

können Sie ein Abonnement (z. B. nur RedHat Linux) konfigurieren

• Kurz- und Langformat

Seite 29

Kontakt

• Wenn Sie an den DFN-CERT Diensten teilnehmen wollen, sprechen Sie uns bitte an.

➼ Web: http://www.cert.dfn.de

➼ Portal: https://portal.cert.dfn.de

➼ Fragen zu den DFN-CERT-Diensten:

cert@dfn.de