Re: [swinog] 20 Minuten Online gehackt?

2016-04-08 Diskussionsfäden Gregor Riepl 
> GovCERT hat heute Vormittag die IOCs öffentlich gemacht:
> http://www.govcert.admin.ch/blog/21/20min.ch-malvertising-incident

Adobe Flash... Again.

Why is that crap not banned in government/corporate IT infrastructure?

If anyone still needs it for certain applications, at least reduce exposure by
limiting access to certain domains or (better) pressure your vendors to
finally replace it with something less dangerous.

Seriously.


___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog

Re: [swinog] 20 Minuten Online gehackt?

2016-04-08 Diskussionsfäden Matthias Seitz 
Hallo Moritz,

GovCERT hat heute Vormittag die IOCs öffentlich gemacht:
http://www.govcert.admin.ch/blog/21/20min.ch-malvertising-incident

Gruess,
Matthias


On 08.04.16 10:47, Moritz Mann wrote:
> Hallo Zusammen
> 
> Weiss jemand von euch welche URLs betroffen waren? Wir würden gerne eine 
> Impact-Analyse auf diesen Vorfall fahren.
> 
> Cheers
> Moritz
> 
>> On 07 Apr 2016, at 18:22, Daniel Stirnimann  
>> wrote:
>>
>> Das Problem ist weniger 20min als der AD-Server von Tamedia. Aktuell
>> kommt der Schadcode halt nur via 20min.ch. Aber in der Vergangenheit
>> waren auch andere Tamedia Seiten betroffen. Siehe auch:
>>
>> http://securityblog.switch.ch/2016/02/10/attack-of-the-killer-ads/
>> http://www.govcert.admin.ch/blog/13/swiss-advertising-network-compromised-and-distributing-a-trojan
>>
>> Da das Thema bald ein 1 Jahr ist! Sollte die Empfehlung wohl etwas
>> generischer lauten:
>>
>> 1. Add Blocker z.B. ublock Origin
>> 2. Kein IE verwenden (das Exploit-Kit hat es bisher nur auf User-Agent
>>   abgesehen, welche die Strings "Windows NT Trident" enthalten. Also
>>   IE only und ohne Edge Browser.
>> 3. Alle Tamedia Seiten blockieren :-|
>>
>> Persönlich denke ich, dass Punkt 1. genügt. 20min.ch blockieren hilft
>> dir in 2 Wochen wohl schon nicht mehr.
>>
>> Daniel
>>
>> On 07.04.16 17:42, i...@spiron.ch wrote:
>>> Hallo Zusammen
>>>
>>> Hatte soeben einen Tipp bekommen dass 20 Minuten Online gehackt wurde.
>>>
>>> http://www.tagesanzeiger.ch/schweiz/standard/Bundesverwaltung-blockiert-Website-von-20-Minuten/story/24411901
>>>
>>> Seite ist bei uns gesperrt. Würde euch das auch empfehlen um schaden
>>> vorzubeugen.
>>>
>>> Grüsse aus Wallisellen
>>>
>>> Rony Spitzer
>>>
>>>
>>>
>>> Netzwerk &  Broadcast Services
>>>
>>>
>>>
>>> kameramann.ch  GmbH
>>>
>>> Hertistrasse 25
>>>
>>> 8304 Wallisellen - Zürich
>>>
>>> NEU mit sechs fiber-basierten und vernetzten AVID- und Premiere Suiten.
>>>
>>> Der grösste, private Anbieter für ENG- und Postproduktion-Services in
>>> der Region Zürich. 
>>>
>>>
>>>
>>>
>>> ___
>>> swinog mailing list
>>> swinog@lists.swinog.ch
>>> http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
>>>
>>
>>
>> ___
>> swinog mailing list
>> swinog@lists.swinog.ch
>> http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
> 
> 
> 
> 
> ___
> swinog mailing list
> swinog@lists.swinog.ch
> http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
> 


___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog

Re: [swinog] 20 Minuten Online gehackt?

2016-04-08 Diskussionsfäden mike thomi 

Hallo Zusammen

Wir haben GovCERT und MELANI, aber zeitnahe und technische Details 
werden da nicht publiziert. Warum?
=> Die technischen Infos sind vorhanden, also den injection point von 
dem iframe/js/adobeflash.

=> Warum werden nur die staatsnahen Institutionen per PM informiert?

Habe ich etwas übersehen?

Grüsse Mike


On 08.04.2016 10:47, Moritz Mann wrote:

Hallo Zusammen

Weiss jemand von euch welche URLs betroffen waren? Wir würden gerne eine 
Impact-Analyse auf diesen Vorfall fahren.

Cheers
Moritz





___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog

Re: [swinog] 20 Minuten Online gehackt?

2016-04-08 Diskussionsfäden Moritz Mann 
Hallo Zusammen

Weiss jemand von euch welche URLs betroffen waren? Wir würden gerne eine 
Impact-Analyse auf diesen Vorfall fahren.

Cheers
Moritz

> On 07 Apr 2016, at 18:22, Daniel Stirnimann  
> wrote:
> 
> Das Problem ist weniger 20min als der AD-Server von Tamedia. Aktuell
> kommt der Schadcode halt nur via 20min.ch. Aber in der Vergangenheit
> waren auch andere Tamedia Seiten betroffen. Siehe auch:
> 
> http://securityblog.switch.ch/2016/02/10/attack-of-the-killer-ads/
> http://www.govcert.admin.ch/blog/13/swiss-advertising-network-compromised-and-distributing-a-trojan
> 
> Da das Thema bald ein 1 Jahr ist! Sollte die Empfehlung wohl etwas
> generischer lauten:
> 
> 1. Add Blocker z.B. ublock Origin
> 2. Kein IE verwenden (das Exploit-Kit hat es bisher nur auf User-Agent
>   abgesehen, welche die Strings "Windows NT Trident" enthalten. Also
>   IE only und ohne Edge Browser.
> 3. Alle Tamedia Seiten blockieren :-|
> 
> Persönlich denke ich, dass Punkt 1. genügt. 20min.ch blockieren hilft
> dir in 2 Wochen wohl schon nicht mehr.
> 
> Daniel
> 
> On 07.04.16 17:42, i...@spiron.ch wrote:
>> Hallo Zusammen
>> 
>> Hatte soeben einen Tipp bekommen dass 20 Minuten Online gehackt wurde.
>> 
>> http://www.tagesanzeiger.ch/schweiz/standard/Bundesverwaltung-blockiert-Website-von-20-Minuten/story/24411901
>> 
>> Seite ist bei uns gesperrt. Würde euch das auch empfehlen um schaden
>> vorzubeugen.
>> 
>> Grüsse aus Wallisellen
>> 
>> Rony Spitzer
>> 
>> 
>> 
>> Netzwerk &  Broadcast Services
>> 
>> 
>> 
>> kameramann.ch  GmbH
>> 
>> Hertistrasse 25
>> 
>> 8304 Wallisellen - Zürich
>> 
>> NEU mit sechs fiber-basierten und vernetzten AVID- und Premiere Suiten.
>> 
>> Der grösste, private Anbieter für ENG- und Postproduktion-Services in
>> der Region Zürich. 
>> 
>> 
>> 
>> 
>> ___
>> swinog mailing list
>> swinog@lists.swinog.ch
>> http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
>> 
> 
> 
> ___
> swinog mailing list
> swinog@lists.swinog.ch
> http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog



smime.p7s
Description: S/MIME cryptographic signature

___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog

Re: [swinog] 20 Minuten Online gehackt?

2016-04-07 Diskussionsfäden Daniel Stirnimann 
Das Problem ist weniger 20min als der AD-Server von Tamedia. Aktuell
kommt der Schadcode halt nur via 20min.ch. Aber in der Vergangenheit
waren auch andere Tamedia Seiten betroffen. Siehe auch:

http://securityblog.switch.ch/2016/02/10/attack-of-the-killer-ads/
http://www.govcert.admin.ch/blog/13/swiss-advertising-network-compromised-and-distributing-a-trojan

Da das Thema bald ein 1 Jahr ist! Sollte die Empfehlung wohl etwas
generischer lauten:

 1. Add Blocker z.B. ublock Origin
 2. Kein IE verwenden (das Exploit-Kit hat es bisher nur auf User-Agent
   abgesehen, welche die Strings "Windows NT Trident" enthalten. Also
   IE only und ohne Edge Browser.
 3. Alle Tamedia Seiten blockieren :-|

Persönlich denke ich, dass Punkt 1. genügt. 20min.ch blockieren hilft
dir in 2 Wochen wohl schon nicht mehr.

Daniel

On 07.04.16 17:42, i...@spiron.ch wrote:
> Hallo Zusammen
> 
> Hatte soeben einen Tipp bekommen dass 20 Minuten Online gehackt wurde.
> 
> http://www.tagesanzeiger.ch/schweiz/standard/Bundesverwaltung-blockiert-Website-von-20-Minuten/story/24411901
> 
> Seite ist bei uns gesperrt. Würde euch das auch empfehlen um schaden
> vorzubeugen.
> 
> Grüsse aus Wallisellen
> 
> Rony Spitzer
> 
>  
> 
> Netzwerk &  Broadcast Services
> 
>  
> 
> kameramann.ch  GmbH
> 
> Hertistrasse 25
> 
> 8304 Wallisellen - Zürich
> 
> NEU mit sechs fiber-basierten und vernetzten AVID- und Premiere Suiten.
> 
> Der grösste, private Anbieter für ENG- und Postproduktion-Services in
> der Region Zürich. 
> 
> 
> 
> 
> ___
> swinog mailing list
> swinog@lists.swinog.ch
> http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
> 


___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog

Re: [swinog] 20 Minuten Online gehackt?

2016-04-07 Diskussionsfäden Steven Glogger 
Kam doch auch als Push Meldung:

Swisscom, Bund und SRF sperren «20 Minuten»-Website – wegen Malware-Verbreitung
http://wat.is/LF9UdBAA6wKPKGDD 

gruss

-steven

> Am 07.04.2016 um 17:42 schrieb i...@spiron.ch:
> 
> Hallo Zusammen
> 
> Hatte soeben einen Tipp bekommen dass 20 Minuten Online gehackt wurde. 
> 
> http://www.tagesanzeiger.ch/schweiz/standard/Bundesverwaltung-blockiert-Website-von-20-Minuten/story/24411901
> 
> Seite ist bei uns gesperrt. Würde euch das auch empfehlen um schaden 
> vorzubeugen.
> 
> Grüsse aus Wallisellen
> Rony Spitzer
> 
>  
> 
> Netzwerk &  Broadcast Services
> 
>  
> 
> kameramann.ch GmbH
> 
> Hertistrasse 25
> 
> 8304 Wallisellen - Zürich
> 
> NEU mit sechs fiber-basierten und vernetzten AVID- und Premiere Suiten.
> 
> Der grösste, private Anbieter für ENG- und Postproduktion-Services in der 
> Region Zürich. 
> 
> 
> ___
> swinog mailing list
> swinog@lists.swinog.ch
> http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog

___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog

Re: [swinog] 20 Minuten Online gehackt?

2016-04-07 Diskussionsfäden Marc Balmer 

> Am 07.04.2016 um 17:42 schrieb i...@spiron.ch:
> 
> Hallo Zusammen
> 
> Hatte soeben einen Tipp bekommen dass 20 Minuten Online gehackt wurde. 
> 
> http://www.tagesanzeiger.ch/schweiz/standard/Bundesverwaltung-blockiert-Website-von-20-Minuten/story/24411901
> 
> Seite ist bei uns gesperrt. Würde euch das auch empfehlen um schaden 
> vorzubeugen.
> 

Der Kanton Schwyz hat 20min auch blockiert…




___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog

[swinog] 20 Minuten Online gehackt?

2016-04-07 Diskussionsfäden info 
Hallo Zusammen

Hatte soeben einen Tipp bekommen dass 20 Minuten Online gehackt wurde. 

http://www.tagesanzeiger.ch/schweiz/standard/Bundesverwaltung-blockiert-Website-von-20-Minuten/story/24411901

Seite ist bei uns gesperrt. Würde euch das auch empfehlen um schaden
vorzubeugen.

Grüsse aus Wallisellen

Rony Spitzer 

Netzwerk &  Broadcast Services 

kameramann.ch [1] GmbH 

Hertistrasse 25 

8304 Wallisellen - Zürich 

NEU mit sechs fiber-basierten und vernetzten AVID- und Premiere Suiten. 

Der grösste, private Anbieter für ENG- und Postproduktion-Services in
der Region Zürich.  

Links:
--
[1] http://kameramann.ch/

___
swinog mailing list
swinog@lists.swinog.ch
http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog