Blah-Archiv » Security http://localhost/blah-dev Kurz und knapp und blah... Thu, 01 Aug 2013 18:58:27 +0000 de-DE hourly 1 http://wordpress.org/?v=3.6 Trojaner des Tages: Der Orbit Downloader macht n… http://localhost/blah-dev/2013/07/25/trojaner-des-tages-der-orbit-downloader-macht-n/ http://localhost/blah-dev/2013/07/25/trojaner-des-tages-der-orbit-downloader-macht-n/#comments Thu, 25 Jul 2013 19:49:33 +0000 Nachtwächter http://localhost/blah-dev/2013/07/25/trojaner-des-tages-der-orbit-downloader-macht-n/ Trojaner des Tages: Der Orbit Downloader macht nebenbei noch eine DoS-Attacke…

Hätten die ganzen Mediatheken der Glotze und diese populären Streaming-Sites wie JuhTjuhb (zumindest für offen lizenzierte Inhalte) auch eine Download-Funktion anstelle dieser »ich zeigs dir zwar, aber du sollst es nicht unter deiner Kontrolle haben und wenn du es nochmal sehen willst, musst du es eben nochmal bei mir gucken, mit deinem Besuch Daten bei mir hinterlegen und mir erlauben, ein Profil deiner Persönlichkeit zu erstellen und wenn du dann ganz viel Glück hast, ist es auch noch da, wurde nicht für den Land wegzensiert und du kannst es nochmal gucken«-Enteignungsscheiße, wäre ein solcher Verbreitungsweg für Trojaner ausgeschlossen. Wenn der Download ein simpler Klick im Browser ist, installiert sich keiner eine weitere Software dafür.

]]>
http://localhost/blah-dev/2013/07/25/trojaner-des-tages-der-orbit-downloader-macht-n/feed/ 1
Datenschleuder des Tages ist Apple, dort hat man… http://localhost/blah-dev/2013/07/22/datenschleuder-des-tages-ist-apple-dort-hat-man/ http://localhost/blah-dev/2013/07/22/datenschleuder-des-tages-ist-apple-dort-hat-man/#comments Mon, 22 Jul 2013 11:20:23 +0000 Nachtwächter http://localhost/blah-dev/2013/07/22/datenschleuder-des-tages-ist-apple-dort-hat-man/ Datenschleuder des Tages ist Apple, dort hat man mal eben die Namen, Anschriften und Mailadressen der registrierten Entwickler »veröffentlicht«, und zwar mutmaßlich gleich im Hunderttausender-Pack.

]]>
http://localhost/blah-dev/2013/07/22/datenschleuder-des-tages-ist-apple-dort-hat-man/feed/ 0
Datenschleuder des Tages ist das Blackberry Q10:… http://localhost/blah-dev/2013/07/18/datenschleuder-des-tages-ist-das-blackberry-q10/ http://localhost/blah-dev/2013/07/18/datenschleuder-des-tages-ist-das-blackberry-q10/#comments Wed, 17 Jul 2013 22:15:04 +0000 Nachtwächter http://localhost/blah-dev/2013/07/18/datenschleuder-des-tages-ist-das-blackberry-q10/ Datenschleuder des Tages ist das Blackberry Q10: Sobald man einen E-Mail-Account auf dem Telefon einrichtet, kann man auf seinem Mailserver erfolgreiche Verbindungsversuche für IMAP und SMTP von der Adresse 68.171.232.33 sehen. Und deshalb traut man diesen Wischofonen eben nicht und nimmt zum Lesen seiner E-Mail einen richtigen Mailclient.

]]>
http://localhost/blah-dev/2013/07/18/datenschleuder-des-tages-ist-das-blackberry-q10/feed/ 0
Ändräut des Tages: Sei besorgt um die Sicherhe… http://localhost/blah-dev/2013/07/16/aendraeut-des-tages-sei-besorgt-um-die-sicherhe/ http://localhost/blah-dev/2013/07/16/aendraeut-des-tages-sei-besorgt-um-die-sicherhe/#comments Tue, 16 Jul 2013 10:26:15 +0000 Nachtwächter http://localhost/blah-dev/2013/07/16/aendraeut-des-tages-sei-besorgt-um-die-sicherhe/ Ändräut des Tages: Sei besorgt um die Sicherheit deiner Daten, mach am besten regelmäßig und automatisch einen Backup, und gib Guhgell dabei deine WLAN-Passwörter im Klartext! Auch weiterhin viel Spaß mit der Security-Sorglosigkeit der Neunziger Jahre auf dem Überwachungsplaneten der Zehner Jahre, die sich in den Wischofonen bis zur Schmerzgrenze kombinieren – ists Internet im Händi, ists Gehirn im Arsch.

Hach, das waren noch Zeiten, als man die Datensicherung lokal gemacht hat – zum Beispiel, indem man ein Archiv auf einen Wechseldatenträger geschoben hat, was ja inzwischen dank billiger Speicherkarten kein Akt mehr ist. Aber Guhgell in seiner weisen Voraussicht und in seiner hündischen Haltung gegenüber den US-Geheimdiensten hat sich da lieber was schöneres, cloudigeres ausgedacht.

]]>
http://localhost/blah-dev/2013/07/16/aendraeut-des-tages-sei-besorgt-um-die-sicherhe/feed/ 3
Ich finde ja, dass Avira endlich mal konsequent … http://localhost/blah-dev/2013/07/11/ich-finde-ja-dass-avira-endlich-mal-konsequent/ http://localhost/blah-dev/2013/07/11/ich-finde-ja-dass-avira-endlich-mal-konsequent/#comments Thu, 11 Jul 2013 11:48:17 +0000 Nachtwächter http://localhost/blah-dev/2013/07/11/ich-finde-ja-dass-avira-endlich-mal-konsequent/ Ich finde ja, dass Avira endlich mal konsequent gedacht hat: Wenn die Leute keine Mail mehr bekommen und nicht mehr ins Web können, dann werden sie sich auch keine Viren mehr einfangen. Ein schöner Beitrag zu mehr Computersicherheit, viel wirksamer als jedes Schlangenöl. :mrgreen:

Da freut man sich auch gleich über den erzwungenen Avira-Upgrade auf das neue Super-Duper-Schlangenöl jetzt mit Cloudanbindung. Muss man auch, obwohls noch moppeliger ist und noch mehr Ressourcen frisst. Oder, ums mit Avira zu sagen: Die Kosten für RAM und Festplatten sind so gering, dass wir eine Aufrüstung für angemessen halten, damit Anwender ihren Computer sicher nutzen können. Allerdings sind RAM und Festplatten nicht so billig, dass Avira beides verschenken würde, damit das Schlangenöl-Monstrum auch weiterhin auf den Rechnern der Anwender laufen kann.

Und immer wieder frage ich mich: Wie viel Treibhausgase werden eigentlich durch den Betrieb weitgehend sinnloser Antivirus-Produkte freigesetzt?

]]>
http://localhost/blah-dev/2013/07/11/ich-finde-ja-dass-avira-endlich-mal-konsequent/feed/ 0
Telekom des Tages: Wenn jemand bei der Deutschen… http://localhost/blah-dev/2013/07/09/telekom-des-tages-wenn-jemand-bei-der-deutschen/ http://localhost/blah-dev/2013/07/09/telekom-des-tages-wenn-jemand-bei-der-deutschen/#comments Tue, 09 Jul 2013 14:13:42 +0000 Nachtwächter http://localhost/blah-dev/2013/07/09/telekom-des-tages-wenn-jemand-bei-der-deutschen/ Telekom des Tages: Wenn jemand bei der Deutschen Drosselkom eine Sicherheitslücke findet, die eine feindliche Übernahme der Mailadresse ermöglicht, und das der Deutschen Drosselkom mitteilt, dann arbeitet die Deutsche Drosselkom da sechs Wochen lang mit extrazischendem Ultra-Hochdruck dran und schafft es mit dieser ganzen Zeit und dieser ganzen »Mühsal« noch nicht einmal, die anfällige Funktion – die für den »normalen« Betrieb eher unbedeutend ist und sich für ein paar Tage über andere Support-Wege umleiten lassen sollte – auszukommentieren. Warum sollte man denn auch seine Kunden davor schützen, dass ihre Mailadresse mit einem verhältnismäßig einfachen Angriff von Kriminellen missbraucht werden könnte? Das eröffnet ja nur so ein paar weitere kriminelle Möglichkeiten, wenn man an eine aktiv genutzte Mailadresse eines Opfers kommt…

Schneller Nachtrag: Ach ja, T-Online ist ja zertifizierter DE-Mail-Anbieter und DE-Mail ist ja definitionsgemäß sicher, weils gesetzlich für sicher erklärt wurde!!1! Da gewöhnt man sich natürlich an die Definition und hats nicht mehr so mit dem Handeln… [Danke, T.]

]]>
http://localhost/blah-dev/2013/07/09/telekom-des-tages-wenn-jemand-bei-der-deutschen/feed/ 0
Die Welt ist reif. Sie will gepflückt werden. Und gecyberimpft. http://localhost/blah-dev/2013/07/03/die-welt-ist-reif-sie-will-gepflueckt-werden-und-gecyberimpft/ http://localhost/blah-dev/2013/07/03/die-welt-ist-reif-sie-will-gepflueckt-werden-und-gecyberimpft/#comments Wed, 03 Jul 2013 17:27:42 +0000 Nachtwächter http://localhost/blah-dev/?p=17297 Die Welt ist reif. Sie will gepflückt werden. Und gecyberimpft.

Cyberimpfung

Waren früher die Seiten der iX noch ein Garant für einigermaßen bullshitfreie Inhalte, scheint sich das auch so langsam zu ändern. Wieviele Leute sich das Schlangenöl – das den Windows-Rechner für darauf laufende Software »wie ein Analyse-System eines Antiviren-Herstellers aussehen lässt« und auf diese Weise Schutz herstellen soll – wohl runterladen werden? Immerhin, die Idee ist mal originell. Spätestens jetzt kennt sie auch jeder Kriminelle und wird sie sich sehr genau anschauen und bei künftigen Programmierungen berücksichtigen.

]]>
http://localhost/blah-dev/2013/07/03/die-welt-ist-reif-sie-will-gepflueckt-werden-und-gecyberimpft/feed/ 0
Datenschleuder des Tages ist die Spieleklitsche… http://localhost/blah-dev/2013/07/03/datenschleuder-des-tages-ist-der-spieleentwickle/ http://localhost/blah-dev/2013/07/03/datenschleuder-des-tages-ist-der-spieleentwickle/#comments Wed, 03 Jul 2013 09:40:42 +0000 Nachtwächter http://localhost/blah-dev/2013/07/03/datenschleuder-des-tages-ist-der-spieleentwickle/ Datenschleuder des Tages ist die Spieleklitsche Ubisoft, die mal eben ihre Kundendatenbank »veröffentlicht« hat, und zwar mindestens die Felder Name, Passwort-Hash und Mailadresse. Erfreulicherweise waren die Bankdaten von diesen allgemeinen Kundendaten getrennt. Dafür gibts demnächst vermutlich gezieltes Phishing mit namentlicher Ansprache, wenn die Mailadressen nicht stillgelegt werden. An gewisse Schwächen in Phishing-Mails scheinen Ubisoft-Kunden ja gewöhnt zu sein: Unter einigen von unseren Lesern [sic!] sorgte die Kunden-Mail zunächst für Verwirrung. Sprachliche Mängel ließen zunächst auf Phishing schließen:rofl:

Hach, das waren damals noch schöne Zeiten, als man noch spielen konnte, ohne dass man dafür permanent online sein musste und ohne dass persönliche Daten permanent in riesigen Sammlungen auf Opferrechnern vorgehalten wurden.

]]>
http://localhost/blah-dev/2013/07/03/datenschleuder-des-tages-ist-der-spieleentwickle/feed/ 0
Datenschleuder des Tages: zap-hosting.com ist ge… http://localhost/blah-dev/2013/07/02/datenschleuder-des-tages-zap-hosting-com-ist-ge/ http://localhost/blah-dev/2013/07/02/datenschleuder-des-tages-zap-hosting-com-ist-ge/#comments Tue, 02 Jul 2013 11:17:52 +0000 Nachtwächter http://localhost/blah-dev/2013/07/02/datenschleuder-des-tages-zap-hosting-com-ist-ge/ (Mögliche) Datenschleuder des Tages: zap-hosting.com ist gecrackt, und angeblich hat der erpresserische Cracker sämtliche Daten und droht dem Betreiber mit Veröffentlichung. (Der Cracker schreibt aber ansonsten Bullshit vom Standardport für ssh, ganz so, als ob er als Cracker noch nie nmap benutzt hätte, so dass ich erstmal nichts glaube.) Na ja, der Betreiber hat ja auch lustige Ideen gehabt, wie er seine Kunden mit »Leistung« überzeugen konnte: eine SEO-Optimierung direkt zu Beginn; evtl. Forenwerbung zu Beginn (Vorteil: kostenlos; Nachteil: unseriös)… [dauerhauft archiverte Version, falls dieses Interview verschwinden sollte…] na ja, ist halt ein bisschen unseriös, aber wenns Leute gibt, die es nicht selbst hinkriegen, ein paar Foren vollzumachen, kann man das ja als »Leistung« anbieten. Das führt zwar manchmal zu etwas unwirschen Worten und demonstrativer Mitleidslosigkeit, aber wenn man Rechnungen schreiben kann, die auch Vorkasse bezahlt werden, ist für den werdenden Wirtschaftsinformatiker ja alles alles gut, scheiß auf den Ruf… :mrgreen:

]]>
http://localhost/blah-dev/2013/07/02/datenschleuder-des-tages-zap-hosting-com-ist-ge/feed/ 0
Oh, die Bitkomiker werden immer komischer, und d… http://localhost/blah-dev/2013/07/02/oh-die-bitkomiker-werden-immer-komischer-und-d/ http://localhost/blah-dev/2013/07/02/oh-die-bitkomiker-werden-immer-komischer-und-d/#comments Tue, 02 Jul 2013 09:28:01 +0000 Nachtwächter http://localhost/blah-dev/2013/07/02/oh-die-bitkomiker-werden-immer-komischer-und-d/ Oh, die Bitkomiker werden immer komischer, und damit der Lacherfolg auch ja nicht ausbleibe, streuen sie gern ein Wort wie »sicher« ein: Viele Verbraucher werden zukünftig ohne Portemonnaie aus dem Haus gehen und sich per App oder speziellem Chip mit dem Smartphone sicher ausweisen – ob bei der Bank oder der Mietwagenfirma. Na, dann mal zu mit euren Wischofonen, bei denen man sogar aus den offiziellen Software-Vertriebsquellen und von angesehenen Firmen trojanische Apps bekommen kann. Bei der Bitkom meint man tatsächlich, dass aus der Kombination der Security-Blauäugigkeit der Neunziger Jahre, die sich in den Wischofonen breitgemacht hat und der Internet-Kriminalität der Zehner Jahre »Sicherheit« entsteht, wenn man alles mit dem Wischofon macht. Wer solche Ratgeber hat, braucht keine Feinde mehr.

]]>
http://localhost/blah-dev/2013/07/02/oh-die-bitkomiker-werden-immer-komischer-und-d/feed/ 0
Ändräut des Tages: Eine trojanische Äpp, die … http://localhost/blah-dev/2013/07/01/aendraeut-des-tages-eine-trojanische-aepp-die/ http://localhost/blah-dev/2013/07/01/aendraeut-des-tages-eine-trojanische-aepp-die/#comments Mon, 01 Jul 2013 12:18:43 +0000 Nachtwächter http://localhost/blah-dev/2013/07/01/aendraeut-des-tages-eine-trojanische-aepp-die/ Ändräut des Tages: Eine trojanische Äpp, die mit autorun.inf automatisch auf Windohs ausgeführt wird, wenn man das Wischofon zum Rüberspulen von Daten an den Windohs-Rechner anstöpselt. Nimmt einen ordentlichen Satz Passwörter mit.

]]>
http://localhost/blah-dev/2013/07/01/aendraeut-des-tages-eine-trojanische-aepp-die/feed/ 1
Diese Captchas kann man durchaus als etwas Gefä… http://localhost/blah-dev/2013/06/30/diese-captchas-kann-man-durchaus-als-etwas-gefae/ http://localhost/blah-dev/2013/06/30/diese-captchas-kann-man-durchaus-als-etwas-gefae/#comments Sun, 30 Jun 2013 12:41:23 +0000 Nachtwächter http://localhost/blah-dev/2013/06/30/diese-captchas-kann-man-durchaus-als-etwas-gefae/ Diese Captchas kann man durchaus als etwas Gefährliches betrachten. Zum Beispiel, wenn jemand in einer Website einen Download unterjubelt, den normalen Windows-Dialog verdeckt, indem er mit einer Zeile JavaScript das Browserfenster drüberlegt, aber den Focus im Dialogfenster lässt, um dann im Browserfenster so zu tun, als müsse ein Captcha gelöst werden, das natürlich mit dem Shortcut fürs Ausführen der heruntergeladenen Datei beginnt. Hübsche Methode, die in dieser frühen Ausarbeitung natürlich nur mit dem Lieblingsbrowser der Mafia, mit dem Internet Exploiter, funktioniert. Ist ja auch nur eine Demonstration einer Idee. Wer noch einen weiteren Grund braucht, nicht jeder dahergelaufenen Website JavaScript zu gestatten, sondern dieses Privileg nur einzuräumen, wenn es für den gewünschten Nutzen unabdingbar ist, hat jetzt vielleicht einen…

]]>
http://localhost/blah-dev/2013/06/30/diese-captchas-kann-man-durchaus-als-etwas-gefae/feed/ 0
Datenschleuder des Tages: Die Antivirus-Schlange… http://localhost/blah-dev/2013/06/27/datenschleuder-des-tages-die-antivirus-schlange/ http://localhost/blah-dev/2013/06/27/datenschleuder-des-tages-die-antivirus-schlange/#comments Thu, 27 Jun 2013 09:49:58 +0000 Nachtwächter http://localhost/blah-dev/2013/06/27/datenschleuder-des-tages-die-antivirus-schlange/ Datenschleuder des Tages: Die Antivirus-Schlangenöl-Klitsche Eset scheint mal eben ihre Kundendatenbank »veröffentlicht« zu haben, und diese Daten werden gerade für Phishing-Mails benutzt. Oh wie peinlich für ein Unternehmen, das »Computersicherheit« verkauft!

]]>
http://localhost/blah-dev/2013/06/27/datenschleuder-des-tages-die-antivirus-schlange/feed/ 0
Crack und Malware-Schleuder des Tages: Bei Opera… http://localhost/blah-dev/2013/06/27/crack-und-malware-schleuder-des-tages-bei-opera/ http://localhost/blah-dev/2013/06/27/crack-und-malware-schleuder-des-tages-bei-opera/#comments Thu, 27 Jun 2013 09:32:30 +0000 Nachtwächter http://localhost/blah-dev/2013/06/27/crack-und-malware-schleuder-des-tages-bei-opera/ Crack und Malware-Schleuder des Tages: Bei Opera hats vor einer Woche einen klitzekleinen erfolgreichen Einbruch nach einem gezielten Angriff gegeben. Es ist möglich, dass einige tausend Windohs-Anwender […] automatisch schädliche Software erhalten und installiert haben könnten. Sehr vertrauenerweckend! Ins Netzwerk wurde eingebrochen. Ein Schlüssel für die Code-Signatur wurde mitgenommen. Der ist aber abgelaufen. Schadsoftware wurde damit digital signiert und ist im Umlauf. Dass der Schlüssel abgelaufen ist, hat dabei aus nicht kommunizierten Gründen kein Problem verursacht. Mindestens eine infizierte Datei wurde auf einen Server von Opera hochgeladen, und die könnte von Opera selbst heruntergeladen und installiert worden sein. Der Konjunktiv soll so tun, als ob wir keine verdammte Ahnung hätten, ob das wirklich passiert ist. Unser Experte fürs Betrachten von Logdateien unserer Downloadserver ist gerade im Sommerurlaub. Unser wichtigstes Anliegen ist die Privatsphäre und die Sicherheit unserer Nutzer. Solche Informationen geben wir eine Woche raus, nachdem der Angriff passiert ist, und wir formulieren sie so verharmlosend wie möglich. Vielen Dank, dass sie sich für Opera entschieden haben.

Auch weiterhin viel Spaß mit automatischen, quasi-unsichtbaren Updates und dem Glauben an signiertem Code als ganz tolle neue Sicherheit! Dass trotz sehr günstiger Möglichkeiten für einen besonders breiten und wirksamen Angriff nur Schadcode für Meikrosoft Windohs rausgegangen ist, hat natürlich nichts zu bedeuten; im Grunde sind alle Systeme gleich sicher. Gehen sie weiter, hier gibts nichts zu sehen!

Schnellnachtrag: Golem hats auch schon

Nachtrag 15:00 Uhr: Inzwischen ists auch bei Heise ein Security-Alert geworden.

]]>
http://localhost/blah-dev/2013/06/27/crack-und-malware-schleuder-des-tages-bei-opera/feed/ 0
Datenschleuder des Tages sind die StoreOnce-Back… http://localhost/blah-dev/2013/06/24/datenschleuder-des-tages-sind-die-storeonce-back/ http://localhost/blah-dev/2013/06/24/datenschleuder-des-tages-sind-die-storeonce-back/#comments Mon, 24 Jun 2013 20:58:48 +0000 Nachtwächter http://localhost/blah-dev/2013/06/24/datenschleuder-des-tages-sind-die-storeonce-back/ Datenschleuder des Tages sind die StoreOnce-Backup-Systeme von HP: Einer Analyse des Sicherheitsforschers Technion zufolge reicht ein SSH-Zugang aus, um aus der Ferne die Kontrolle über Backup-Systeme vom Typ StoreOnce des Herstellers HP zu erlangen. Gibt man als Benutzername ›HPSupport‹ ein sowie ein vordefiniertes Kennwort, öffnet das System ein undokumentiertes Administrator-Konto. Die Frage, warum man in solche Systeme einen undokumentierten, geheimgehaltenen root-Account einbaut, beantwortet ihnen der Geheimdienst ihres Vertrauens. Die Frage, ob man Geld für die Produkte von Klitschen ausgeben sollte, die so etwas machen und damit gesicherte Daten einem unbekannt großen Personenkreis zur Verfügung stellen, beantwortet die Füllmasse im Schädel.

]]>
http://localhost/blah-dev/2013/06/24/datenschleuder-des-tages-sind-die-storeonce-back/feed/ 0
Bei Spottifei, diesen von Presse gehypten und vo… http://localhost/blah-dev/2013/06/22/bei-spottifei-diesen-von-presse-gehypten-und-vo/ http://localhost/blah-dev/2013/06/22/bei-spottifei-diesen-von-presse-gehypten-und-vo/#comments Sat, 22 Jun 2013 11:11:11 +0000 Nachtwächter http://localhost/blah-dev/2013/06/22/bei-spottifei-diesen-von-presse-gehypten-und-vo/ Bei Spottifei, diesen von Presse gehypten und von der Netzneutralität-Scheißegal-Drosselkom auf Händis priorisierten Streaming-Anbieter, konnte man übrigens beliebige Accounts pwnen, weil die dort Nutzernamen in Unicode erlauben, es aber verkackt hatten, diese Nutzernamen für Vergleiche fehlerfrei aufzubereiten. Und das wiederum hatte seine Ursache in einem… ähm… kleinen Bug in der Unicode-Bibliothek von Python. Scheint inzwischen korrigiert zu sein. Übrigens: Mit ASCII wäre das nicht passert. Oder genauer: waere das nicht passiert. :D

]]>
http://localhost/blah-dev/2013/06/22/bei-spottifei-diesen-von-presse-gehypten-und-vo/feed/ 0
Äppel des Tages: Wenn du aus einem eiFohn oder … http://localhost/blah-dev/2013/06/22/aeppel-des-tages-wenn-du-aus-einem-eifohn-oder/ http://localhost/blah-dev/2013/06/22/aeppel-des-tages-wenn-du-aus-einem-eifohn-oder/#comments Sat, 22 Jun 2013 08:17:28 +0000 Nachtwächter http://localhost/blah-dev/2013/06/22/aeppel-des-tages-wenn-du-aus-einem-eifohn-oder/ Äppel des Tages: Wenn du aus einem eiFohn oder einem eiPädd, weils so bequem geht, schnell einen WLAN-Hotspot machen willst, dann lass das Passwort dafür auf keinen Fall von deinem eiFohn oder eiPädd generieren, wenn du einen Schutz haben willst, der länger als eine Minute lang vorhält. Von den aussprechbaren Passwörtern mit vier angehängten Ziffern gibts eh schon nicht so viele (rd. 30 Milliarden), aber Äppel hats noch ein bisschen unsicherer gemacht und die Wörter nicht irgendwie generiert, sondern eine frei verfügbare Wortliste für ein Open-Source-Scrabble genommen. Die Implementation von Äppel sorgt dann dafür, dass die Wörter bei der Auswahl auch noch mit deutlich unterschiedlichen Häufigkeiten rauskommen, weil die einfach eine zufällige Zeichenkette in ihre Rechtschreibkorrektur reinschieben und mal schauen, zu was die korrigiert wird [sic!], um ein »Zufallswort« zu erhalten. Mit diesem Wissen und einem bisschen Rechenleistung – vier aktuelle Grafikkarten – knackt sich das Passwort in weniger als einer Minute.

]]>
http://localhost/blah-dev/2013/06/22/aeppel-des-tages-wenn-du-aus-einem-eifohn-oder/feed/ 0
Lustige Idee des Tages: Gib mal dein Passwort ei… http://localhost/blah-dev/2013/06/14/lustige-idee-des-tages-gib-mal-dein-passwort-ei/ http://localhost/blah-dev/2013/06/14/lustige-idee-des-tages-gib-mal-dein-passwort-ei/#comments Fri, 14 Jun 2013 12:52:19 +0000 Nachtwächter http://localhost/blah-dev/2013/06/14/lustige-idee-des-tages-gib-mal-dein-passwort-ei/ Lustige Idee des Tages: Gib mal dein Passwort ein, wir übertragen das dann auf unseren Server und schauen dort nach, wie sicher es ist. Genau richtig für die Generation Doof mit ihrem Gadget, ihrem Glauben am Feenstaub aus der Cloud und ihrer intellektuellen Waffenlosigkeit! :mrgreen:

Ganz schneller Nachtrag: Das sind so richtige Security-Spezialexperten!!1!ölf!!! :rofl:

Oh, die hier eben noch von mir verlinkte XSS-Lücke ist schon draußen. Wenigstens etwas. Zur Erinnerung ein Screenshot dessen, was ich eben noch verlinkt habe:

testedeinpasswort

Nachtrag Zwei: Ich biete diesen grandiosen Dienst jetzt auch an:D

]]>
http://localhost/blah-dev/2013/06/14/lustige-idee-des-tages-gib-mal-dein-passwort-ei/feed/ 0
Linux-Kernel-Exploit wurde auf Android portiert…. http://localhost/blah-dev/2013/06/12/linux-kernel-exploit-wurde-auf-android-portiert/ http://localhost/blah-dev/2013/06/12/linux-kernel-exploit-wurde-auf-android-portiert/#comments Wed, 12 Jun 2013 12:59:27 +0000 Nachtwächter http://localhost/blah-dev/2013/06/12/linux-kernel-exploit-wurde-auf-android-portiert/ Linux-Kernel-Exploit wurde auf Android portiert… selten, dass ich schon beim Lesen einer Überschrift so eine unbezwingbare Heiterkeit spüre. Sicher, Android ist so eine Art Linux, aber der Unterschied zu einer richtigen Linux-Distri für einen richtigen Computer liegt eben darin, dass ich eine Linux-Distri auf aktuellem Stand halten kann, was für die Enteignungs-Wischofone in der Regel nicht vorgesehen ist. Da ist es doch besonders toll, wenn der Besitzer eines nicht-gerooteten Wischofons oder Wischopädds nur eingeschränkte Rechte auf seinem Gerät hat, aber die irgendwann einmal installierte Schadsoftware den großen Systemgott spielen kann. Die Wischofone sind eben die Security-Blauäugigkeit der Neunziger Jahre unter den Bedingungen der organisierten Internet-Kriminalität der Zehner Jahre.

]]>
http://localhost/blah-dev/2013/06/12/linux-kernel-exploit-wurde-auf-android-portiert/feed/ 0
Datenschleuder des Tages ist die dänische Poliz… http://localhost/blah-dev/2013/06/06/datenschleuder-des-tages-ist-die-daenische-poliz/ http://localhost/blah-dev/2013/06/06/datenschleuder-des-tages-ist-die-daenische-poliz/#comments Thu, 06 Jun 2013 18:05:40 +0000 Nachtwächter http://localhost/blah-dev/2013/06/06/datenschleuder-des-tages-ist-die-daenische-poliz/ Datenschleuder des Tages ist die dänische Polizei, die mal eben unter anderem die Führerscheindaten aller Dänen »veröffentlicht« hat.

]]>
http://localhost/blah-dev/2013/06/06/datenschleuder-des-tages-ist-die-daenische-poliz/feed/ 0
Hallo?! Wenn jemand im Webserver einen Scriptali… http://localhost/blah-dev/2013/06/06/hallo-wenn-jemand-im-webserver-einen-scriptali/ http://localhost/blah-dev/2013/06/06/hallo-wenn-jemand-im-webserver-einen-scriptali/#comments Thu, 06 Jun 2013 13:05:48 +0000 Nachtwächter http://localhost/blah-dev/2013/06/06/hallo-wenn-jemand-im-webserver-einen-scriptali/ Hallo?! Wenn jemand im Webserver einen Scriptalias auf /usr/bin setzt, braucht es kaum noch einen anderen Exploit. Keines der dort herumliegenden Binaries ist dafür gemacht, über CGI ausgeführt zu werden, aber dafür finden sich dort jede Menge lustiger Tools, die auf stdin Eingaben erwarten. Zum Beispiel mysql. Fordert eine Installation von Plesk wirklich eine dermaßen idiotische Konfiguration?

]]>
http://localhost/blah-dev/2013/06/06/hallo-wenn-jemand-im-webserver-einen-scriptali/feed/ 0
Hat doch das Zwitscherchen kürzlich damit angef… http://localhost/blah-dev/2013/05/27/hat-doch-das-zwitscherchen-kuerzlich-damit-angef/ http://localhost/blah-dev/2013/05/27/hat-doch-das-zwitscherchen-kuerzlich-damit-angef/#comments Mon, 27 May 2013 11:26:02 +0000 Nachtwächter http://localhost/blah-dev/2013/05/27/hat-doch-das-zwitscherchen-kuerzlich-damit-angef/ Hat doch das Zwitscherchen kürzlich damit angefangen, seine Nutzer um eine Telefonnummer anzubitteln, wisst schon, wegen der Sicherheit und so, sonst wird euer Account gehäckselt… und zeigt sich doch gerade, dass das für die Sicherheit gar nichts taugt, wenn ein Angreifer die Händinummer des Opfers kennt und einfach mal mit gespoofter Telefonnummer das Wort »STOP« hinsmst, um diese tolle »Sicherheit« wieder abzustellen. Und wer glaubt, dass das noch nicht Fail genug ist: Wer erst einmal ein Konto übernommen hat, kann einfach die neue Händi-Sicherheitssimulation mit einer eigenen Nummer aktivieren und so den eigentlichen Accountbesitzer vollkommen aussperren. Aber in dieser ganzen Trübnis und intellektuellen Lichtlosigkeit klappt eines wenigstens zuverlässig: Dass jetzt – nachdem Guhgell und Fratzenbuch es vorgemacht haben – auch das Zwitscherchen unter dem Vorwand erhöhter Sicherheit Telefonnummern seiner Nutzer einsammelt.

]]>
http://localhost/blah-dev/2013/05/27/hat-doch-das-zwitscherchen-kuerzlich-damit-angef/feed/ 0
Und noch eine kommerzielle Website ohne seriöse… http://localhost/blah-dev/2013/05/23/und-noch-eine-kommerzielle-website-ohne-serioese/ http://localhost/blah-dev/2013/05/23/und-noch-eine-kommerzielle-website-ohne-serioese/#comments Thu, 23 May 2013 10:06:26 +0000 Nachtwächter http://localhost/blah-dev/2013/05/23/und-noch-eine-kommerzielle-website-ohne-serioese/ Und noch eine kommerzielle Website ohne seriöses Geschäftsmodell fordert die Nutzer dazu auf, doch mal bitte und ganz ehrlich nur wegen der Sicherheit eine aktuelle Telefonnummer zu hinterlegen: Das Zwitscherchen. Am besten, man gibt hier »wegen der Sicherheit« und um dabei doch keine Bequemlichkeit zu verlieren, die Nummer des Wischofones an, mit dem man auch ständig rumzwitschert und auf dem jede irgendwann einmal aus dem Äppstohr installierte trojanische Äpp die SMS einfach mitlesen kann… m(

Dass eine Firma ohne seriöses Geschäftsmodell das jetzt entstehende Telefonverzeichnis zusammen mit dem beim Stummeltext-Kommunizieren erstellbaren Profil irgendwie zu etwas anderem als zur Steigerung der gefühlten Sicherheit seiner Anwender verwenden könnte, ist doch eine völlig absurde Vorst… ähm… :mrgreen:

]]>
http://localhost/blah-dev/2013/05/23/und-noch-eine-kommerzielle-website-ohne-serioese/feed/ 0
»Internet Census 2012 Port scanning /0 using… http://localhost/blah-dev/2013/05/18/internet-census-2012port-scanning-0-using/ http://localhost/blah-dev/2013/05/18/internet-census-2012port-scanning-0-using/#comments Sat, 18 May 2013 10:08:33 +0000 Bio http://localhost/blah-dev/2013/05/18/internet-census-2012port-scanning-0-using/

»Internet Census 2012

Port scanning /0 using insecure embedded devices

Abstract While playing around with the Nmap Scripting Engine (NSE) we discovered an amazing number of open embedded devices on the Internet. Many of them are based on Linux and allow login to standard BusyBox with empty or default credentials. We used these devices to build a distributed port scanner to scan all IPv4 addresses. These scans include service probes for the most common ports, ICMP ping, reverse DNS and SYN scans. We analyzed some of the data to get an estimation of the IP address usage.

All data gathered during our research is released into the public domain for further study.[…]«

Hier gibt es die gesammelten Daten.

]]>
http://localhost/blah-dev/2013/05/18/internet-census-2012port-scanning-0-using/feed/ 0
Freut ihr euch auch alle schon so auf das Intern… http://localhost/blah-dev/2013/05/18/freut-ihr-euch-auch-alle-schon-so-auf-das-intern/ http://localhost/blah-dev/2013/05/18/freut-ihr-euch-auch-alle-schon-so-auf-das-intern/#comments Sat, 18 May 2013 09:52:59 +0000 Nachtwächter http://localhost/blah-dev/2013/05/18/freut-ihr-euch-auch-alle-schon-so-auf-das-intern/ Freut ihr euch auch alle schon so auf das Internet der Dinge, von dem die PR-Schreibnutten immer alle faseln? Wo eine einzige Abfrage (und noch nicht einmal ein Hack) einiger süddeutscher Gas-Zählerstände mit einem Multicast schon beinahe dazu führen kann, dass mal eben in Österreich das Stromnetz zusammenbricht? Früher hat man für den so genannten Cyber-Terrorismus wenigstens noch Hacker gebraucht, aber die idiotische Idee, alles ans Internet zu hängen, erspart diesen Aufwand. Man muss einfach nur auf die ganz normale Panne oder auf den unzufriedenen Mitarbeiter, der nichts mehr zu verlieren hat oder auf einen mit Technik experimentierenden Zwölfjährigen warten. Internet der Dinge: Tod durch Selbst-DoS!

]]>
http://localhost/blah-dev/2013/05/18/freut-ihr-euch-auch-alle-schon-so-auf-das-intern/feed/ 0