(Mögliche) Datenschleuder des Tages: zap-hosting.com ist gecrackt, und angeblich hat der erpresserische Cracker sämtliche Daten und droht dem Betreiber mit Veröffentlichung. (Der Cracker schreibt aber ansonsten Bullshit vom Standardport für ssh
, ganz so, als ob er als Cracker noch nie nmap
benutzt hätte, so dass ich erstmal nichts glaube.) Na ja, der Betreiber hat ja auch lustige Ideen gehabt, wie er seine Kunden mit »Leistung« überzeugen konnte: eine SEO-Optimierung direkt zu Beginn; evtl. Forenwerbung zu Beginn (Vorteil: kostenlos; Nachteil: unseriös)… [dauerhauft archiverte Version, falls dieses Interview verschwinden sollte…] na ja, ist halt ein bisschen unseriös, aber wenns Leute gibt, die es nicht selbst hinkriegen, ein paar Foren vollzumachen, kann man das ja als »Leistung« anbieten. Das führt zwar manchmal zu etwas unwirschen Worten und demonstrativer Mitleidslosigkeit, aber wenn man Rechnungen schreiben kann, die auch Vorkasse bezahlt werden, ist für den werdenden Wirtschaftsinformatiker ja alles alles gut, scheiß auf den Ruf…
Schlagwort Hack RSS
-
Nachtwächter
-
Nachtwächter
Crack und Malware-Schleuder des Tages: Bei Opera hats vor einer Woche einen klitzekleinen erfolgreichen Einbruch nach einem gezielten Angriff gegeben. Es ist möglich, dass einige tausend Windohs-Anwender […] automatisch schädliche Software erhalten und installiert haben könnten. Sehr vertrauenerweckend! Ins Netzwerk wurde eingebrochen. Ein Schlüssel für die Code-Signatur wurde mitgenommen. Der ist aber abgelaufen. Schadsoftware wurde damit digital signiert und ist im Umlauf. Dass der Schlüssel abgelaufen ist, hat dabei aus nicht kommunizierten Gründen kein Problem verursacht. Mindestens eine infizierte Datei wurde auf einen Server von Opera hochgeladen, und die könnte von Opera selbst heruntergeladen und installiert worden sein. Der Konjunktiv soll so tun, als ob wir keine verdammte Ahnung hätten, ob das wirklich passiert ist. Unser Experte fürs Betrachten von Logdateien unserer Downloadserver ist gerade im Sommerurlaub. Unser wichtigstes Anliegen ist die Privatsphäre und die Sicherheit unserer Nutzer. Solche Informationen geben wir eine Woche raus, nachdem der Angriff passiert ist, und wir formulieren sie so verharmlosend wie möglich. Vielen Dank, dass sie sich für Opera entschieden haben.
Auch weiterhin viel Spaß mit automatischen, quasi-unsichtbaren Updates und dem Glauben an signiertem Code als ganz tolle neue Sicherheit! Dass trotz sehr günstiger Möglichkeiten für einen besonders breiten und wirksamen Angriff nur Schadcode für Meikrosoft Windohs rausgegangen ist, hat natürlich nichts zu bedeuten; im Grunde sind alle Systeme gleich sicher. Gehen sie weiter, hier gibts nichts zu sehen!
Schnellnachtrag: Golem hats auch schon…
Nachtrag 15:00 Uhr: Inzwischen ists auch bei Heise ein Security-Alert geworden.
-
Nachtwächter
Äppel des Tages: Wenn du aus einem eiFohn oder einem eiPädd, weils so bequem geht, schnell einen WLAN-Hotspot machen willst, dann lass das Passwort dafür auf keinen Fall von deinem eiFohn oder eiPädd generieren, wenn du einen Schutz haben willst, der länger als eine Minute lang vorhält. Von den aussprechbaren Passwörtern mit vier angehängten Ziffern gibts eh schon nicht so viele (rd. 30 Milliarden), aber Äppel hats noch ein bisschen unsicherer gemacht und die Wörter nicht irgendwie generiert, sondern eine frei verfügbare Wortliste für ein Open-Source-Scrabble genommen. Die Implementation von Äppel sorgt dann dafür, dass die Wörter bei der Auswahl auch noch mit deutlich unterschiedlichen Häufigkeiten rauskommen, weil die einfach eine zufällige Zeichenkette in ihre Rechtschreibkorrektur reinschieben und mal schauen, zu was die korrigiert wird [sic!], um ein »Zufallswort« zu erhalten. Mit diesem Wissen und einem bisschen Rechenleistung – vier aktuelle Grafikkarten – knackt sich das Passwort in weniger als einer Minute.
-
Bio
Port scanning /0 using insecure embedded devices
Abstract While playing around with the Nmap Scripting Engine (NSE) we discovered an amazing number of open embedded devices on the Internet. Many of them are based on Linux and allow login to standard BusyBox with empty or default credentials. We used these devices to build a distributed port scanner to scan all IPv4 addresses. These scans include service probes for the most common ports, ICMP ping, reverse DNS and SYN scans. We analyzed some of the data to get an estimation of the IP address usage.
All data gathered during our research is released into the public domain for further study.[…]«
Hier gibt es die gesammelten Daten.
-
Nachtwächter
Polizei des Tages: Hat es doch ein 15jähriger aus Österreich geschafft, […] sich das Vertrauen von Bediensteten zu erschleichen und sich als interessierter Jugendlicher darzustellen, um zu internen Informationen/strukturellen Abläufen zu gelangen, die nicht für ihn bestimmt sind. Zum Beispiel Namen von Polizeibeamten, gefolgt von einem anschließenden, offenbar nicht besonders schwierigen Hack mehrerer E-Mail-Konten. Oder auch mal der Login zur IT der Wiener Polizei. Jetzt müssen die Polizeibeamten erstmal aufgeklärt werden, wie man das so macht mit dem Internetdingens: Links aus E-Mails, die persönliche Daten als Eingabe verlangen, sind nicht zu verwenden. Da hoffe ich mal, dass Beamte, denen man so etwas sagen muss, nicht nebenbei die Präventions- und Aufklärungsarbeit gegen Internetkriminalität machen.
[via]
-
Nachtwächter
Cloud des Tages (in Englisch): […] someone gained entry to my iCloud account, used it to remote wipe all of my devices, and get entry into other accounts too. Den ganzen von Werbung und Presse verdummten Lemmingen wünsche auch weiterhin viel Spaß dabei, unnötige Angriffs- und Fehlermöglichkeiten zu schaffen!
Nachtrag: Es kann gut sein, dass es nicht einmal ein Hack war, sondern Äppel-Kundendienst. Honan, der anfangs davon ausging, dass die Angreifer auf irgendeine Weise an sein Apple-ID-Passwort gelangt seien, geht inzwischen davon aus, dass ein Apple-Supportmitarbeiter telefonisch ein Ersatz-Passwort an die Hacker herausgab, die damit den Account übernehmen konnten. Aber vielleicht ist Äppel auch mal hilfreich für den richtigen Computerbesitzer, der kein anderes Backup hatte und völlig auf Äppels eiKlaut vertraut hat…
-
Nachtwächter
Das Auto 2.0 ermöglicht lustige Spielereien: […] gelang es ihnen unter anderem, per Telefon die Telematik-Einheit des Autos anzurufen, dem Software-Modem eine bestimmte Tonfolge vorzuspielen und so einen Puffer-Überlauf zu provozieren. Anschließend konnten sie aus der Ferne die Fahrzeugelektronik manipulieren. Bremsen kann man übrigens auch abschalten. Aber bitte weitergehen, es droht keine Gefahr für niemanden, denn niemand wird jemals solche Lücken finden.
-
Nachtwächter
Hack des Tages: 4chan…
-
Nachtwächter
Wow, es gab ein Skript, das Guhgells Recaptcha mit 99 Prozent Trefferquote löste. Das war ja deutlich besser als ich, der ich bestenfalls 60 Prozent schaffe. Wozu diente dieser ganze Captcha-Schwachsinn nochmal? Ach ja, um sicherzustellen, dass da ein Mensch auf der anderen Seite sitzt…
-
Nachtwächter
Kleines Lacherchen am Rande: Offenbar wird die Domain kino.to jetzt von so richtigen Spezialexperten der Staatsanwaltschaft verwaltet… [natürlich via Gulli]
-
Nachtwächter
Oops! GitHub wurde ordentlich gepwned. Gut, dass das jemand war, der nicht die Gelegenheit genutzt hat, ein paar Backdoors in so ein Projekt wie Ruby on Rails oder Linux reinzufummeln…
Nachtrag: Bei Heise gibts jetzt eine deutsche Meldung…
-
Nachtwächter
Lange nichts mehr von SoNie gehört, aber dafür ist das so eine richtige Bombe: 50.000 Stücke von Michael Jackson von SoNies Rechnern runtergeladen, darunter etliche bislang unveröffentlichte. Hach, wenn die jetzt auch noch veröffentlicht worden wären, dann wäre es wohl nichts mehr geworden mit der ertragreichen, über Jahre hingezogenen Leichenfledderei, für die sich SoNie dieses Schätzchen sicherlich damals gegriffen hat.
Übrigens Spiegel: Da wurden keine Daten geklaut, sondern kopiert. Begreift das endlich mal! Es gibt Metaphern, die so falsch sind, dass sie nichts taugen. Da ist nichts entwendet worden, da ist etwas mühelos vermehrt worden, das eigentlich künstlich knapp gehalten werden sollte, um mit dieser Knappheit ein Geschäft zu machen.