SoNie: Let’s hack it again and again and again… [via Fefe]
Schlagwort Security RSS
-
Nachtwächter
-
Nachtwächter
Fratzenbuch des Tages: Was macht ein Cracker, der massenhaft anderer Leute Accounts beim Fratzenbuch ownen will? Ganz einfach, er proggt ihnen eine App.
-
Nachtwächter
SoNie-PSN-Bullshit-Gelaber des Tages: »Nun tue man alles, um die Sicherheit des Netzwerks wieder herzustellen« – wie jetzt, »wieder herstellen«? Welche vorherige Sicherheit denn? Die, die dadurch entstanden ist, dass man über Monate hinweg verwundbare Serversoftware verwendet hat, obwohl die möglichen Sicherheitsprobleme bekannt waren und dass auch nichts getan hat, um möglichen Schäden durch dieses Vorgehen vorzubeugen. (Ich kann durchaus verstehen, dass man bei Upgrades sehr konservativ wird, vor allem, wenn »alles läuft« und die Installation geschäftskritisch ist. Aber hey, um so etwas durchzuführen, werden eben fachkundige Administratoren bezahlt. Oder vielleicht auch nicht…)
Nachtrag: Nun hat SoNie endlich eine Strategie gefunden, wie man Crackversuchen ihrer Server wirksam begegnet. Man legt die Daten einfach selbst offen.
-
Nachtwächter
Nach Aussage eines Hackers sind Mac-Anwender, die Skype verwenden, verwundbar durch sich selbstständig ausbreitende Exploits, die einem Angreifer die Möglichkeit geben, ungehinderten Zugriff auf das System zu erhalten, indem er eine Direktnachricht mit einem speziell manupulierten Anhang versendet – aber nächste Woche wirds ein gefixtes Skype geben. Bis dahin sollten Mac-Anwender lieber verzichten, wenn sie können, denn die Beschreibung klingt wirklich nicht gut. Auch wenn es im Moment noch keine Hinweise darauf gibt, dass der Bug in der Kombination Skype/Mac ausgebeutet wird. Die Skype-Versionen für Windows und Linux sind von der Schwachstelle nicht betroffen.
Nachtrag: Jetzt auch in deutscher Sprache bei Heise Online.
-
Nachtwächter
Dank SoNie und dem dort gepflegten Standard der »Sicherheit« im Internet wirds Verbrechen mit abgegriffenen Kreditkartendaten richtig billig, denn jetzt wird »beobachtet, dass sich inzwischen Mitglieder von Foren, in denen geklaute Kreditkarten gehandelt werden, über einen Preisverfall wegen des Überangebots beschweren« – hoffentlich führt das in Zukunft dazu, dass nicht mehr so blind vertraut wird und an allen möglichen Stellen missbrauchbare Daten preisgegeben werden. Wie sich an SoNie zeigt, sind auch große Unternehmen mit einer gewissen Reputation nicht automatisch vertrauenswürdig. Total veraltete Webserver mit bekannten ausbeutbaren Sicherheitslücken auf der Seite, wo Kundendaten gespeichert werden, und auf der anderen Seite werden die Kunden mit DRM-Schrott gegängelt, damit auch gleich klar ist, wie scheißegal SoNie die Kunden zu sein scheinen. Toller Fail.
-
Nachtwächter
Wow, das ist eine Meldung! Der Internet Explorer 9 ist jetzt sowas von sicher, dafür hat Microsoft sogar für ein TÜV-Siegel bezahlt. Genau wie beim IE 8. Aber bitte nicht vergessen, wie viel diese TÜV-Siegel über die Sicherheit aussagen und wie »gründlich« bei der Zertifizierung durch den TÜV vorgegangen wird. Und der IE 9 hat die Anforderungen »teilweise erfüllt«, weil der HTTPS kann und sogar darauf hinweist, wenn auf einer über HTTPS dargestellten Seite ein paar Elemente sind, die über HTTP abgeholt wurden (also über eine unverschlüsselte Verbindung). Zumindest so lange, bis man auf »Diese Meldung nicht mehr anzeigen« klickt – na ja, die »Sicherheit« hängt ja auch von den Einstellungen ab. Ach!
(Aber hey, wer zu den Gestalten gehört, die noch mit einem ollen IE 6 unterwegs sind und den IE ganz toll finden – bloß updaten!)
-
Nachtwächter
Warum man nur einer sehr begrenzten Auswahl von Websites gestatten sollte, auf dem eigenen Rechner Plugins oder JavaScript auszuführen? Weil man sich sonst selbst beim Besuch völlig unverdächtiger Sites wie etwa der von Amnesty International seine Schadsoftware einfangen kann. Je weniger der Browser darf, desto weniger Ansatzpunkte haben die Kriminellen.
-
Nachtwächter
Wisst ihr, wessen Server gehäckt wurden? Die von WordPress.com…
-
Nachtwächter
Ich halte diese Idee des »cloud computing« ja nicht für eine so gute, wenn es nicht gerade um das verteilte Rechnen geht – vor allem, wenn man dabei auch an die Datensicherheit denken möchte. Der File-Storage-Anbieter Dropbox hat jedenfalls einen unsicheren Windohs-Client rausgegeben. Das wird in den nächsten Tagen bestimmt noch ein bisschen Freude für alle machen, die sich darauf verlassen – und sorry, bitte, wo soll das Ding die Anmeldedaten denn speichern. Es gibt halt nur eine Datei oder die Registry, und beides lässt sich durch einen gezielten Angriff auslesen. Die einzige Alternative ist es, wenn die Zugangsdaten jedesmal eingegeben werden müssen, und so etwas empfinden Menschen als unkomfortabel, weil es halt anders ist als das Speichern auf eine Partition der Festplatte. Und selbst eine solche Eingabe könnte noch mit einem Keylogger mitgelesen werden. Sicherheit ist eben etwas anderes als die Cloud.
-
Nachtwächter
Unser täglich Security-Fail gib uns heute: Die Website von VMWare war doch sehr auskunftsfreudig, und Mailadressen bekommt man beim Adresshändler seines Vertrauens…
-
Nachtwächter
Schlagenöl des Tages: Was ist so ein Zertifikat wert, mit dem etwas digital signiert wird? Na, ungefähr so viel wie die Klitsche, die so ein Zertifikat ausstellt. Bei den Trojanern, die gerade Nokia-Händis überschwemmen, ist das Zertifikat gar nichts wert: »Damit sich Software auf einem Symbian-Handy ohne auffällige Warnungen installieren lässt, muss diese digital signiert sein. Der SpyEye-Trojaner ist deshalb mit einem Entwickler-Zertifikat unterschrieben, wie man es kostenlos etwa vom chinesischen Dienstleister OPDA erhalten kann«. Hoffentlich braucht es nicht noch mehr Schäden durch diese simulierte Sicherheit, die ein völlig falsches Sicherheitsgefühl verbreitet.
Hey, und wer mit seinem PC wirklich Geld bewegen will, der sollte schon darauf achten, dass die Kiste dicht ist. Wirklich dicht! Ein sauberes Betriebssystem, dass man von einem Read-Only-Medium bootet, ist nicht etwa paranoid, sondern ein Minimum an Sorgfalt. Egal, was Banken in ihren Hochglanzprojekten von »Einfachheit« faseln und was irgendwelche Hersteller von Anti-Viren-Software an Reklame machen.
-
Nachtwächter
Das Sicherheitstool des Tages gibts für Android, und es ist ein Trojaner. Schön, dass man sich wenigstens sicher fühlen kann – an dieses Gefühl hat man sich durch andere »Sicherheitssoftware« ja schon gewöhnt.