docAchtung!Security
download 
Report Transcription
Achtung!Security
Achtung!Security Achtung!Security http://www.achtung.xxx 5 Minuten Security Update Michael Schommer @musevg Achtung!Security http://www.achtung.xxx Nein, heute kein Vortrag zu NSA-PRISM-GCHQ-BULLRUN-BND-WeroQ... Nur ein freundlicher Hinweis: Achtung!Security http://www.achtung.xxx PrismCamp 2 10.-12. Oktober 2014 Die 2. Un/Konferenz zum Spionagekrieg „unter Freunden“ und zur anlasslosen Überwachung der Zivilbevölkerung. https://www.prismcamp.de/ Achtung!Security http://www.achtung.xxx Google Hacking Achtung!Security http://www.achtung.xxx Vorgehensweise bei einem Angriff ● Aufklärung ● Suche nach Schwachstellen auf den Systemen ● Angriff (Exploit) ● Ausnutzen des angegriffenen Systems ● Hintertür einbauen ● Fertig Achtung!Security http://www.achtung.xxx Aufklärung ● Durchstöbern von Informationsquellen ● Suchmaschinen ● Web-Archiv ● Job-Börsen ● Social Networks Achtung!Security http://www.achtung.xxx Suchmaschinen... index of privat (e) tsweb/default.htm intitle:vnc.desktop inurl:5800 allinurl:"exchange/logon.asp„ site:www......de filetype:pdf Achtung!Security http://www.achtung.xxx Index of privat Achtung!Security http://www.achtung.xxx Terminal Server (Fernwartung) Achtung!Security http://www.achtung.xxx Outlook Web Access (OWA) Achtung!Security http://www.achtung.xxx site:www.....de filetype:pdf PDFs auf der Website geben einem Angreifer Informationen preis... Ersteller/Mitarbeiter: Lohnendes Ziel für Social Engineering (Anrufe, Spear Phishing...) Technische Details: Eingesetzte Plattform (Windows/Mac) & Software Achtung!Security http://www.achtung.xxx Wait, there's more: Google liefert auch Details zu Server, OS Verzeichnissen etc.: intitle:index.of "server at„ phpinfo.php ○ http://austin.ispgate.biz/phpinfo.php ○ http://american-appraisal.hu/phpinfo.php Achtung!Security http://www.achtung.xxx phpinfo.php Achtung!Security http://www.achtung.xxx There's EVEN more... ● z.B: WordPress ● Suche nach – by admin – author=1 Achtung!Security http://www.achtung.xxx web.archive.org – z.B. BPjMleak Achtung!Security http://www.achtung.xxx Stellenausschreibungen und Jobbörsen Exchange 2003 in 2013?! Achtung!Security http://www.achtung.xxx Abhilfe ● ● Wordpress: iThemes Security (ändert u.a. die User-ID des Admins) Suchmaschinen-Indizierung: robots.txt Aber Vorsicht! - Nicht alle Crawler halten sich an robots.txt - Ein Angreifer kann aus dem Inhalt der robots.txt Schlüsse auf interessante Inhalte der Website ziehen Achtung!Security http://www.achtung.xxx Achtung!Security Achtung!Security http://www.achtung.xxx
