Malware im CCP laut Google Chrome

  • Quote

    Wenn die "böse" Partei Einfluss auf die gesamte netcup.net Zone hat (was durch Google nicht ausgeschlossen werden kann), hätte sie einfach eine neue Subdomain erstellen können.


    Die Warnmeldung besagt nicht das unter netcup.net sondern unter ccp.netcup.net sich Hacker befinden. Das ist schlichtweg falsch und führt zu einer großen Verunsicherung bei unseren Kundinnen und Kunden.


    Insgesamt haben wir mehr als 100.000 Subdomains in der Zone netcup.net. Mit Malware betroffen waren laut Googlewebmastertools 8 Subdomains. Google kennt somit die betroffenen Subdomains.


    Wir sind jetzt in erster Linie bemüht unsere Kundinnen und Kunden so wie deren Kundinnen und Kunden zu informieren und den Fehler klarzustellen.



    Mit freundlichen Grüßen


    Felix Preuß

  • Google war bereits tätig oder? Hab jetzt auf .net keine Warnmeldung mehr :love:


    Edit: Ich revidiere... Nach Browserneustart wieder da :(


    Ist Google da denn "einfacher" zu händeln als Microsoft (die ja Beispiel Mailblacklists teilweise so überhaupt gar nichts tun wollen :/)?

  • Hay,

    In Firefox kann ich das Problem nicht beobachten.

    mein Firefoxi bringt mir diesen ätzend roten Bildschirm. Aber ich darf das nach zwei Klicks ignorieren und normal arbeiten.


    Außerdem:

    Quote

    Wait! Please don't visit that site right now!

    Google detected badware on the site you were visiting. Firefox uses Google's blacklist to warn you about "Reported attack sites." We understand that you may know and trust this site, but it's possible for good sites to be infected with badware without the site owners' knowledge or permission.


    Das Spiel hatte ich mal mit einer eigenen (übernommen) Seite.


    Der ursprüngliche Ersteller hatte ein saualtes Drupal im Einsatz und wenn man die Seite direkt aufruft, war alles normal. Aber wenn man über die Google Suche ging, war als erstes die Seite auf einen (eingeschleusten) Link gelistet (so ein top-Listing wünsche ich mir mit manch anderer Seite), der Malware per Javascritp nachgeladen hat (das Zeugs, was Ihr vielleicht machmal bei ebay bekommt... "SIE HABEN GEWONNEN"... "Download Update Firefox ja/nein?").


    Ich habe die ganze Seite dann auf pures HTML umgestellt, die bösen Scripte rausgeschmissen, dann musste ich einen von google gelieferten Schlüssel in die Webseite schreiben (irgend so ein metatag), Google wieder drüberhetzen und nach zwei Tagen war die Seite wieder ohne Fehlermeldung.


    Alles sch***e.


    CU, Peter

  • In Firefox kann ich das Problem nicht beobachten. Chromium verhält sich anders. Womit die Frage aufkommt: Wieso mein Browser wissen muss, welche Seite, die ich gerade nicht ergooglet habe, sondern deren Hostname ich eingetippt habe, ich gerade besuche.

    Natürlich macht das Firefox auch, Du musst nur die Features auch einschalten :)

  • Sollte ein Browser, der so etwas tut, nicht auch im Sinne der DSGVO über sein Tun aufklären?

    Du bist über die URLs, die du aufrufst, persönlich identifizierbar? Ich glaube nicht. Datenschutz ist das eine, aber jedes Mal die berühmt-berüchtigte DSGVO zu nennen, macht hier wenig Sinn. Ist ja kein Zauberwort, welches alle Datensammler sofort zu Staub zerfallen lässt. Personenbezogene Daten sind URLs meiner Meinung nach nicht. Wir tracken im Unternehmen auch weiterhin aufgerufene Seiten, nur die dazugehörigen IP-Adressen müssen anonymisiert werden.


    Und weiter: Wenn der Browser LOKAL eine Blacklist vorhält, übermittelt er deine Aufrufe an keinen fremden Dienst. Somit auch kein Datenschutzproblem.

  • Du bist über die URLs, die du aufrufst, persönlich identifizierbar?

    Ich weiss ja nicht, was der Browser noch so an Telemetrie in diesem Fall nach Hause sendet. Serverlogs wird es wohl geben. Verkehrsdaten sind es allemal. Die Judikatur zur Personenbezogenheit von IP-Adressen ist wechselhaft. Im Fall von IPv6 mit EUI64-Schema wäre eine Identifizierbarkeit anhand eines Endgeräts durchaus nicht von der Hand zu weisen. Im Falle eines NAT-CGN wäre dies allerdings zu verneinen... Das Bestehen der Aufklärungspflicht (etwa durch Datenschutzerklärung) ist daher durchaus nicht von der Hand zu weisen.


    Die Blacklist ist lokal? Wie oft synchronisiert er die, um Schutz zu bieten? Keine Abfrage nach Hause?

  • Folgende Infos habe ich über einen anderen Kanal gestern erhalten. Ich gehe davon aus, dass es bei Netcup auch schon bekannt ist.


    Google und Mozilla entziehen Zertifikaten die direkt oder indirekt über die Certificate Authority (CA) von Symantec ausgestellt wurden das Vertrauen. Dies wird wirksam ab Chrome-Version 70 bzw. Firefox-Version 63. Viele andere Software-Projekte, wie z.B. Perl und PHP benutzen den Mozilla Trust-Store oder orientieren sich daran und werden bald nachziehen. Daher müssen wir das Zertifikat für xxx austauschen, da sonst die Gefahr besteht dass Anwendungen nicht mehr mit unserer Schnittstelle kommunizieren können.


    Während des Austauschs kann es sein, dass unsere Schnittstelle (xxx) für kurze Zeit nicht erreichbar ist und Anfragen nicht bearbeitet werden können. Dieser Zeitraum sollte sich jedoch nur über wenige Minuten erstrecken und im normalen Betrieb nicht auffallen. Je nach verwendeter Anwendung kann es jedoch in Ihren Systemen zu Fehlermeldungen während der Umstellung kommen.


    Wir weisen vorsörglich darauf hin, dass sich das Zertifikat für xxx in Zukunft häufiger ändern wird und wir diese Änderungen nicht mehr gesondert ankündigen werden. Daher empfehlen wir API-Clients nicht fest auf unser Zertifikat einzustellen (sogenanntes Certificate-Pinning). Sie können ihre Clients hingegen gerne auf die von uns in Zukunft verwendete CA "Let's Encrypt Authority X3" einstellen.


    Zusätzlich werden wir bei dieser Gelegenheit HTTP Strict Transport Security (HSTS) und OCSP-Stapling aktivieren um die Sicherheit unserer direkten Schnittstelle weiter zu verbessern. Sollten Sie am Donnerstag nach der Umstellung Schwierigkeiten haben unsere Systeme zu erreichen, können Sie uns jederzeit per E-Mail unter xxx oder telefonisch unter xxx kontaktieren.


    Diese Wartungsarbeiten betreffen nur die direkte Schnittstelle zu uns.

    Unsere Webseite sowie Ihr Kundenbereich wird von diesen Wartungsarbeiten nicht betroffen sein.


    Sollten Sie sich für weitere Informationen zu der Problematik interessieren, können sie unter den folgenden Links mehr über die Hintergründe bei Google und Mozilla erfahren:


    https://security.googleblog.co…to-distrust-symantec.html

    https://blog.mozilla.org/secur…symantec-tls-certificates

  • [netcup] Felix P.

    Kommt bei https://ccp.netcup.de wieder ein EV Zertifikat?

    Natürlich. Deren Beantragung dauert leider etwas.


    Wir prüfen aktuell ob wir das CCP nicht eine komplett eigenständige Domain geben, so wie es die anderen Panels auch haben. Da das neue CCP so gut wie fertig ist, wird das eventuell in einem Rutsch veröffentlicht. Zum Ende der Woche wissen wir sicherlich mehr.

  • komplett eigenständige Domain geben

    Fände es viel schöner, wenn alles unter netcup.de laufen würde, und dafür die Systeme wo Kunden drauf rumbasteln andere Domains bekommen würden. ccp.netcup.de macht mehr her als, coolcustomerpanel.de. Speziell wenn man bei mehreren Providern unterwegs ist und die ähnliches machen wird es immer schwerer sich zu merken, wo man was findet.


    vcp.netcup.de

    ccp.netcup.de

    wcp.netcup.de

  • Ich weiss ja nicht, was der Browser noch so an Telemetrie in diesem Fall nach Hause sendet. Serverlogs wird es wohl geben. Verkehrsdaten sind es allemal. Die Judikatur zur Personenbezogenheit von IP-Adressen ist wechselhaft. Im Fall von IPv6 mit EUI64-Schema wäre eine Identifizierbarkeit anhand eines Endgeräts durchaus nicht von der Hand zu weisen. Im Falle eines NAT-CGN wäre dies allerdings zu verneinen... Das Bestehen der Aufklärungspflicht (etwa durch Datenschutzerklärung) ist daher durchaus nicht von der Hand zu weisen.


    Die Blacklist ist lokal? Wie oft synchronisiert er die, um Schutz zu bieten? Keine Abfrage nach Hause?

    Der Browser wird schon aus Performance-Gründen nicht vor jedem Seitenaufruf "nach Hause telefonieren" und auf eine Antwort warten können, bevor er ne Verbindung zum eigentlichen Zielserver aufbaut.

    Browser, die sowas wie "Safe Browsing" implementieren, benutzen dafür oft nen sogenannten "Bloom-Filter" (ne normale Blacklist würde sowohl nen deutlich höheren RAM-Verbrauch als auch ne höhere CPU-Last verursachen):
    https://de.wikipedia.org/wiki/Bloomfilter

    Chrome/Chromium hat vor ner Weile vom Bloom-Filter auf ein noch effizienteres Konstrukt namens "PrefixSet" umgestellt:
    https://bugs.chromium.org/p/chromium/issues/detail?id=71832