Datenschleuder des Tages: Die Antivirus-Schlangenöl-Klitsche Eset scheint mal eben ihre Kundendatenbank »veröffentlicht« zu haben, und diese Daten werden gerade für Phishing-Mails benutzt. Oh wie peinlich für ein Unternehmen, das »Computersicherheit« verkauft!
Schlagwort Security RSS
-
Nachtwächter
-
Nachtwächter
Crack und Malware-Schleuder des Tages: Bei Opera hats vor einer Woche einen klitzekleinen erfolgreichen Einbruch nach einem gezielten Angriff gegeben. Es ist möglich, dass einige tausend Windohs-Anwender […] automatisch schädliche Software erhalten und installiert haben könnten. Sehr vertrauenerweckend! Ins Netzwerk wurde eingebrochen. Ein Schlüssel für die Code-Signatur wurde mitgenommen. Der ist aber abgelaufen. Schadsoftware wurde damit digital signiert und ist im Umlauf. Dass der Schlüssel abgelaufen ist, hat dabei aus nicht kommunizierten Gründen kein Problem verursacht. Mindestens eine infizierte Datei wurde auf einen Server von Opera hochgeladen, und die könnte von Opera selbst heruntergeladen und installiert worden sein. Der Konjunktiv soll so tun, als ob wir keine verdammte Ahnung hätten, ob das wirklich passiert ist. Unser Experte fürs Betrachten von Logdateien unserer Downloadserver ist gerade im Sommerurlaub. Unser wichtigstes Anliegen ist die Privatsphäre und die Sicherheit unserer Nutzer. Solche Informationen geben wir eine Woche raus, nachdem der Angriff passiert ist, und wir formulieren sie so verharmlosend wie möglich. Vielen Dank, dass sie sich für Opera entschieden haben.
Auch weiterhin viel Spaß mit automatischen, quasi-unsichtbaren Updates und dem Glauben an signiertem Code als ganz tolle neue Sicherheit! Dass trotz sehr günstiger Möglichkeiten für einen besonders breiten und wirksamen Angriff nur Schadcode für Meikrosoft Windohs rausgegangen ist, hat natürlich nichts zu bedeuten; im Grunde sind alle Systeme gleich sicher. Gehen sie weiter, hier gibts nichts zu sehen!
Schnellnachtrag: Golem hats auch schon…
Nachtrag 15:00 Uhr: Inzwischen ists auch bei Heise ein Security-Alert geworden.
-
Nachtwächter
Datenschleuder des Tages sind die StoreOnce-Backup-Systeme von HP: Einer Analyse des Sicherheitsforschers Technion zufolge reicht ein SSH-Zugang aus, um aus der Ferne die Kontrolle über Backup-Systeme vom Typ StoreOnce des Herstellers HP zu erlangen. Gibt man als Benutzername ›HPSupport‹ ein sowie ein vordefiniertes Kennwort, öffnet das System ein undokumentiertes Administrator-Konto. Die Frage, warum man in solche Systeme einen undokumentierten, geheimgehaltenen
root
-Account einbaut, beantwortet ihnen der Geheimdienst ihres Vertrauens. Die Frage, ob man Geld für die Produkte von Klitschen ausgeben sollte, die so etwas machen und damit gesicherte Daten einem unbekannt großen Personenkreis zur Verfügung stellen, beantwortet die Füllmasse im Schädel. -
Nachtwächter
Bei Spottifei, diesen von Presse gehypten und von der Netzneutralität-Scheißegal-Drosselkom auf Händis priorisierten Streaming-Anbieter, konnte man übrigens beliebige Accounts pwnen, weil die dort Nutzernamen in Unicode erlauben, es aber verkackt hatten, diese Nutzernamen für Vergleiche fehlerfrei aufzubereiten. Und das wiederum hatte seine Ursache in einem… ähm… kleinen Bug in der Unicode-Bibliothek von Python. Scheint inzwischen korrigiert zu sein. Übrigens: Mit ASCII wäre das nicht passert. Oder genauer: waere das nicht passiert.
-
Nachtwächter
Äppel des Tages: Wenn du aus einem eiFohn oder einem eiPädd, weils so bequem geht, schnell einen WLAN-Hotspot machen willst, dann lass das Passwort dafür auf keinen Fall von deinem eiFohn oder eiPädd generieren, wenn du einen Schutz haben willst, der länger als eine Minute lang vorhält. Von den aussprechbaren Passwörtern mit vier angehängten Ziffern gibts eh schon nicht so viele (rd. 30 Milliarden), aber Äppel hats noch ein bisschen unsicherer gemacht und die Wörter nicht irgendwie generiert, sondern eine frei verfügbare Wortliste für ein Open-Source-Scrabble genommen. Die Implementation von Äppel sorgt dann dafür, dass die Wörter bei der Auswahl auch noch mit deutlich unterschiedlichen Häufigkeiten rauskommen, weil die einfach eine zufällige Zeichenkette in ihre Rechtschreibkorrektur reinschieben und mal schauen, zu was die korrigiert wird [sic!], um ein »Zufallswort« zu erhalten. Mit diesem Wissen und einem bisschen Rechenleistung – vier aktuelle Grafikkarten – knackt sich das Passwort in weniger als einer Minute.
-
Nachtwächter
Lustige Idee des Tages: Gib mal dein Passwort ein, wir übertragen das dann auf unseren Server und schauen dort nach, wie sicher es ist. Genau richtig für die Generation Doof mit ihrem Gadget, ihrem Glauben am Feenstaub aus der Cloud und ihrer intellektuellen Waffenlosigkeit!
Ganz schneller Nachtrag: Das sind so richtige Security-Spezialexperten!!1!ölf!!!
Oh, die hier eben noch von mir verlinkte XSS-Lücke ist schon draußen. Wenigstens etwas. Zur Erinnerung ein Screenshot dessen, was ich eben noch verlinkt habe:
Nachtrag Zwei: Ich biete diesen grandiosen Dienst jetzt auch an…
-
Nachtwächter
Linux-Kernel-Exploit wurde auf Android portiert… selten, dass ich schon beim Lesen einer Überschrift so eine unbezwingbare Heiterkeit spüre. Sicher, Android ist so eine Art Linux, aber der Unterschied zu einer richtigen Linux-Distri für einen richtigen Computer liegt eben darin, dass ich eine Linux-Distri auf aktuellem Stand halten kann, was für die Enteignungs-Wischofone in der Regel nicht vorgesehen ist. Da ist es doch besonders toll, wenn der Besitzer eines nicht-gerooteten Wischofons oder Wischopädds nur eingeschränkte Rechte auf seinem Gerät hat, aber die irgendwann einmal installierte Schadsoftware den großen Systemgott spielen kann. Die Wischofone sind eben die Security-Blauäugigkeit der Neunziger Jahre unter den Bedingungen der organisierten Internet-Kriminalität der Zehner Jahre.
-
Nachtwächter
Datenschleuder des Tages ist die dänische Polizei, die mal eben unter anderem die Führerscheindaten aller Dänen »veröffentlicht« hat.
-
Nachtwächter
Hallo?! Wenn jemand im Webserver einen Scriptalias auf
/usr/bin
setzt, braucht es kaum noch einen anderen Exploit. Keines der dort herumliegenden Binaries ist dafür gemacht, über CGI ausgeführt zu werden, aber dafür finden sich dort jede Menge lustiger Tools, die aufstdin
Eingaben erwarten. Zum Beispielmysql
. Fordert eine Installation von Plesk wirklich eine dermaßen idiotische Konfiguration? -
Nachtwächter
Hat doch das Zwitscherchen kürzlich damit angefangen, seine Nutzer um eine Telefonnummer anzubitteln, wisst schon, wegen der Sicherheit und so, sonst wird euer Account gehäckselt… und zeigt sich doch gerade, dass das für die Sicherheit gar nichts taugt, wenn ein Angreifer die Händinummer des Opfers kennt und einfach mal mit gespoofter Telefonnummer das Wort »STOP« hinsmst, um diese tolle »Sicherheit« wieder abzustellen. Und wer glaubt, dass das noch nicht Fail genug ist: Wer erst einmal ein Konto übernommen hat, kann einfach die neue Händi-Sicherheitssimulation mit einer eigenen Nummer aktivieren und so den eigentlichen Accountbesitzer vollkommen aussperren. Aber in dieser ganzen Trübnis und intellektuellen Lichtlosigkeit klappt eines wenigstens zuverlässig: Dass jetzt – nachdem Guhgell und Fratzenbuch es vorgemacht haben – auch das Zwitscherchen unter dem Vorwand erhöhter Sicherheit Telefonnummern seiner Nutzer einsammelt.
-
Nachtwächter
Und noch eine kommerzielle Website ohne seriöses Geschäftsmodell fordert die Nutzer dazu auf, doch mal bitte und ganz ehrlich nur wegen der Sicherheit eine aktuelle Telefonnummer zu hinterlegen: Das Zwitscherchen. Am besten, man gibt hier »wegen der Sicherheit« und um dabei doch keine Bequemlichkeit zu verlieren, die Nummer des Wischofones an, mit dem man auch ständig rumzwitschert und auf dem jede irgendwann einmal aus dem Äppstohr installierte trojanische Äpp die SMS einfach mitlesen kann…
Dass eine Firma ohne seriöses Geschäftsmodell das jetzt entstehende Telefonverzeichnis zusammen mit dem beim Stummeltext-Kommunizieren erstellbaren Profil irgendwie zu etwas anderem als zur Steigerung der gefühlten Sicherheit seiner Anwender verwenden könnte, ist doch eine völlig absurde Vorst… ähm…
-
Bio
Port scanning /0 using insecure embedded devices
Abstract While playing around with the Nmap Scripting Engine (NSE) we discovered an amazing number of open embedded devices on the Internet. Many of them are based on Linux and allow login to standard BusyBox with empty or default credentials. We used these devices to build a distributed port scanner to scan all IPv4 addresses. These scans include service probes for the most common ports, ICMP ping, reverse DNS and SYN scans. We analyzed some of the data to get an estimation of the IP address usage.
All data gathered during our research is released into the public domain for further study.[…]«
Hier gibt es die gesammelten Daten.