Wer, wie, was? Wieso, weshalb, warum? Die machen da ja rum!
Schlagwort Hack RSS
-
Nachtwächter
-
Nachtwächter
Ich finde die Idee der Banken, dass man das so genannte »Online-Banking« (kann man nicht einfach »Fernkontoführung« sagen) sicherer macht, indem man es nicht nur in einer komplexen und deshalb für den Normalanwender undurchschaubaren Anwendung wie einem Webbrowser laufen lässt, sondern zudem die zusätzliche Komplexität eines für den Normalanwender ebenfalls undurchschaubaren mTAN-Verfahrens einbaut, bei dem die TAN über das (ebenfalls angreifbare) Händi übermittelt wird, mehr als nur ein bisschen bescheuert. Sicherheit und Komplexität sind ein Gegensatzpaar; ein komplexes Verfahren zur »Sicherheit« ist um so leichter angreifbar, je weniger die Menschen, die dieses Verfahren anwenden sollen, dabei in die Lage versetzt werden, es zu verstehen und damit die für wirkliche Sicherheit erforderliche Selbstverantwortung wahrzunehmen. Von daher bin ich nicht darüber überrascht, dass jetzt die ersten einigermaßen ausgefeilten Angriffe gegen das mTAN-Verfahren laufen. Vermutlich wird es Banken (und damit ihre Kunden) einige Milliarden Euro Lehrgeld kosten, bis endlich die Lektion gelernt wird, dass Sicherheit nur durch eine größtmögliche Reduktion der Komplexität (und damit der angreifbaren Komponenten eines Verfahrens) erreichbar ist. Vermutlich wird man dann erst einsehen, dass gewisse Dinge nicht in einem Browser getan werden sollten…
-
Nachtwächter
Und in der endlosen Galerie von Beispielen, warum man auch einigermaßen seriösen Websites nicht pauschal die Verwendung von Plugins und das Ausführen von Skripten im Browser gestatten sollte (wie es die Grundeinstellung aller Browser ist), gibt es ein weiteres Ausstellungsstück: Die Website MySQL.com wurde gecrackt und hat Malware an Windows-Rechner verteilt.
-
Nachtwächter
Der geschmacklose Hack zu 9/11: Der Zwitscherdingens-Kanal von NBC News meldete, dass ein Flugzeug entführt wurde und dass ground zero attackiert wurde. Im Moment ist der Account vom Zwitscherdingens gesperrt worden, was wohl die beste Methode war, große Verunsicherung in den USA zu vermeiden. Mit einem bisschen Abstand (also hier aus Deutschland) ist das ja ganz lustig, und vermutlich wurde die Falschmeldung auch ordentlich weitergezwitschert, ganz ohne einmal nachzuschauen, ob es dafür ein paar andere Quellen gibt. Medienkompetenz 2.0 halt. Fragt sich eigentlich nur eines: Wie kamen die Skriptkiddies an den Account.
Nachtrag: Falls sich die Bilder bei TwitPic in Wohlgefallen auflösen sollten (das passiert da öfter), hier gibts eine weitere Kopie. Inzwischen verbreitet sich auch beim Zwitscherding die Nachricht, dass es sich um einen Fake handelt.
Nachtrag Zwei: Hier die AFP-Meldung als deutlich seriösere Quelle.
-
Nachtwächter
Bwahahahahaha! Leider ist diese Seite (nicht nur) in Deutschland nicht verfügbar, da sie auf ein Unternehmen verweisen könnte, für das Anonymous die erforderlichen Freiheitsrechte nicht eingeräumt hat. Das tut uns leid. Nicht. Und die GEMA hat nach einigen Stunden lieber erstmal ihre Website vom Netz genommen, weil sie die Lücke, über die das kleine Defacement lief, wohl nicht gestopft bekommen hat.
Nachtrag: Anonymous hat übrigens letzte Nacht die meisten Drucker der GEMA offline genommen, die Passwörter der Geräte wurden dabei verändert – wow, müssen die Admins da »Experten« gewesen sein! Da will ich gar nicht mehr wissen, was sonst noch über einen »Opferrechner« (Webserver) zugreifbar war. Vermutlich werden wir es alle in den nächsten Tagen doch erfahren, wenn abgegriffene Daten frei im Netz zirkulieren.
Gerücht-Nachtrag (völlig ungesicherte Quelle): Username: root – Password: gameover – und die Screenshots sehen sehr »lecker« aus. Aber so etwas lässt sich auch leicht photoshoppen, also nicht alles für bare Münze nehmen.
Noch ein Gerücht-Nachtrag (mit ebenfalls völlig ungesicherter Quelle): Diese Passwörter kann doch nicht wirklich jemand verwendet haben?! Und die werden doch nicht wirklich im Klartext gespeichert?! Ich wollte, ich könnte ernsthaft zweifeln…
-
Nachtwächter
Nichts ist so erfolgreich wie ein Bug, dessen Zeit gekommen ist. Zum Beispiel, wenn ein verbreiteter Webshop eine Sicherheitslücke hat, darüber massenhaft (offenbar automatisiert) geowned wird und Schadsoftware an seine Besucher verteilt. Im Moment kann man sich also auf ansonsten seriösen Websites, die man vielleicht schon ein paar Mal besucht hat, etwas einfangen. Abhilfe ist übrigens einfach: JavaScript deaktivieren! Nicht jeder Seite im Internet gestatten, Skripten im Browser auszuführen! Das hilft wieder einmal – und weil mans manchmal doch braucht, nimmt man für Firefox NoScript, so dass Ausnahmen möglich sind.
-
Nachtwächter
Ach ja, Anonymous will die NATO gehackt haben und ordentlich teils geheimes Material in die Hände bekommen haben, über eine SQL-Injection. Aber veröffentlichen können die das nicht, weil es unverantwortlich wäre. Diese etwas müde klingende Begründung lässt mich an der ganzen Geschichte zweifeln. Sollte es sich aber als richtig herausstellen, dass irgendwelche Sonderexperten der NATO geheimes Material erstens auf einem Webserver hinterlegt hätten und zweitens in einer Datenbank abgelegt hätten, auf die eine Internet-Anwendung zugreifen kann und drittens diese Internet-Anwendung so gestaltet hätten, dass jeder durch eine Eingabe in ein Eingabefeld Zugriff auf Datenbankinhalte bekommt; sollte das wirklich stimmen… es wäre schon ein Brüller. Es klingt so unfassbar inkompetent, dass es fast schon wieder möglich wäre.
-
Nachtwächter
Für die geleakten Daten aus einem praktisch ungesicherten, mit dem Internet verbundenen Server der Bundespolizei gibt es die ersten Auswertungen.
-
Nachtwächter
Und nochmal die Bundespolizei. Wie speichert man dort, bei diesen ganz besonderen Sonderexperten, die Passwörter in der Datenbank? Na, ist doch klar, im Klartext natürlich.
-
Nachtwächter
Datenschleuder des Tages: Die Bundespolizei.
-
Nachtwächter
»Internet-Hacker haben in der Nacht auf Freitag die Webseite der SPÖ vollständig und jene der FPÖ vorübergehend lahm gelegt. Was im Falle der SPÖ […] zur Folge hatte, dass […] wegen starker Beschädigungen Neuprogrammierungen notwendig waren« – na, habt ihr bei der SPÖ vielleicht jemanden rumsitzen, der wenigstens noch so viel Kompetenz hat, dass er mal nachschlagen kann, was das Wort »Backup« bedeutet?
-
Nachtwächter
Sicherheitsproblem des Tages: Die USB-Maus mit ein paar zusätzlichen, aber natürlich weniger offensichtlichen Funktionen. Großartige Idee für einen Hack!