Da wundert man sich ja, dass es noch nicht zu wirklich üblen Angriffen auf die Bahn gekommen ist: »Zum Teil sollen die Stellwerke nicht die bahneigenen Netzwerke für die Kommunikation, sondern über einen Security Gateway öffentliche ISDN-Leitungen nutzen, um Kosten zu sparen« – und um überhaupt keine Beruhigung aufkommen zu lassen: Es ist Technik von Siemens…
Schlagwort Security RSS
-
Nachtwächter
-
Nachtwächter
Ändräut des Tages: Werksseitig vorinstallierte Sicherheitslücken. Ich bin gespannt, wie das erst aussehen wird, wenn sehr viele Leute mit ihrem Händi Geld durch die Gegend bewegen und die heutige Computerkriminalität auf die Sicherheitsblauäugigkeit der Neunziger Jahre im Bereich der Händi-Software trift.
-
Nachtwächter
In den USA werden sie in den nächsten Tagen gewiss die Frage aufwerfen, wie man »Cyber-Attacken« gegen wichtige Infrastruktur in Zukunft verhindern kann, und vermutlich wird dies mit einer weiteren »kleinen« Einschränkung von Menschen- und Bürgerrechten verbunden sein. (In der BRD spricht man von »grundrechteschonenden« Eingriffen.) Und. In den USA werden sie in den nächsten Tagen gewiss nicht die nahe liegende Frage aufwerfen, wieso ein Wasserwerk eigentlich so am Internet hängt, dass eine »Attacke« über das Internet möglich ist. Aus welchem Grund es überhaupt am Internet hängt. Und ob das damit eingegangene Risiko in einer vernünftigen Relation zum Nutzen steht.
Jeder Computer mit einer permanenten Verbindung zum Internet ist ein Opferrechner, der allen möglichen Angriffen ausgesetzt ist. Punkt.
Nachtrag: Na, wenn man fürs Passwort nur drei Zeichen verwendet, ists ja auch nicht sooo schwierig…
-
Nachtwächter
Tolle Idee des Tages: Eine Browser-Erweiterung, damit auch Nutzer von Webmailern endlich PGP-signierte und -verschlüsselte E-Mail schreiben können. Ganz großartig! Unter den existierenden Anwendungen, denen ich niemals meinen private key anvertrauen würde, nimmt ein wegen seiner Komplexität sicherheitstechnisch fragiles und zudem ständig angegriffenes Ding wie ein Webbrowser die Spitzenposition ein.
Ach, was red ich! Wer mit einem Webmailer mailt, hat sie eh nicht mehr alle…
-
Nachtwächter
iHole des Tages: Eine Anwendung, die im Mac-OS-X-Sandkasten spielt, kann zwar, wenn das Recht nicht eingeräumt ist, nicht auf das Netzwerk zugreifen, aber sie kann eine beliebige andere Anwendung ohne diese Einschränkung dazu verwenden, um auf das Netzwerk zuzugreifen. Zum Beispiel auf das Terminal, dem einfach ein Skript rübergebeamt wird. Damit kann man übrigens auch die Platte so richtig platt machen…
Die Äppel-typische Lösung dieses Problems wäre es ja, Skripting für »nicht mehr zeitgemäß« zu erklären und abzuschaffen.
-
Nachtwächter
Leute, habt ihr etwas geglaubt, dass Äppels »Codesigning« ein Feature für die Sicherheit sei? Mitnichten ist es das. Es ist nur ein Verfahren, um die vollständige Kontrolle über den Software-Vertriebsweg zu erhalten. Oder: Es ist nur eine Entrechtung und Gängelung der Kunden, die sich das auch zu gern gefallen lassen, sind ja so schöne bunte Glasperlen…
-
Nachtwächter
Na, wenn das so ist, dass da bei einer CA seit vier Jahren ein Server kompromittiert ist, dann sollte man vielleicht heute mal die weitere Ausgabe von Zertifikaten stoppen. Die umlaufenden Zertifikate sollen natürlich weiterhin gültig bleiben. Das sind die Stellen, denen vertraut wird, wenns um sichere Verschlüsselung im Web geht.
-
Nachtwächter
Der August ist ja doch schon ein paar Tage her, und trotzdem werden immer noch WordPress-Blogs mit einem seit Monaten bekannten Problem in einigen Themes übernommen und zu Malware-Schleudern umgebaut.
Hey Leute! Seid euch nicht zu selbstgewiss, wenn derartige Security-Meldungen kommen! Ich war mir völlig sicher, keine timthumb.php verbaut zu haben, aber ich habe damals doch lieber noch einmal einen find auf das entsprechende Verzeichnis auf dem Webserver losgelassen. Eine Suche nach der Lücke ist für Angreifer automatisierbar, und der Schaden, wenn sie das Blog übernehmen können, ist maximal. Wenn in das Blog sogar – wie das aktuell läuft – ein Exploit-Pack wie Black Hole verbaut wird, dürfte der Betreiber des Blogs für den angerichteten Schaden haftbar sein. Bei Schäden durch manipuliertes Online-Banking kann das teuer werden. Einmal ganz davon abgesehen, dass niemand den ziemlich asozialen Arschlöchern helfen sollte, die vom Betrug im Internet leben. Also schaut doch bitte einmal nach!
-
Nachtwächter
Na, glaubt immer noch jemand, dass dieses »https« als Protokollangabe – das die modernen Browser so gern noch grafisch als »sicher« hervorheben – irgendwas mit Abhörsicherheit und der Gewissheit, dass man auch wirklich seine Daten zum richtigen Gegenüber überträgt, zu tun hat? Bei Heise gibts eine Therapie gegen diesen Glauben, es sind in den letzten vier Monaten mindestens fünf CAs missbraucht worden, um ein paar falsche Zertifikate auszuzstellen. Also vergesst das mit der einfachen, bequemen Schlangenöl-Sicherheit!
-
Nachtwächter
Herr Bundesinnenminister, kennen sie eigentlich den alten Werbespruch der »Spektrum der Wissenschaft«? Der lautete: »Weltbilder entstehen im Kopf«. Denken sie mal darüber nach, die Aussage ist gar nicht so trivial, wie sie im ersten Moment klingt. Wie ich da jetzt drauf komme. Ich glaube, es liegt daran, dass gerade Schmerzen in meinem Kopf entstanden sind…
-
Nachtwächter
eiFohn des Tages: Die Verwendung der Sprachsteuerung reißt ein Sicherheitsloch auf…
-
Nachtwächter
Sportlich, sportlich, Opera! Eine bekannte Sicherheitslücke ein Jahr lang offen zu lassen. Respekt! Und danke für diesen deutlichen Hinweis an die ganze Welt, dass man auch bei relativ freundlichen Firmen die Sicherheitslücken nicht nur an die Entwickler geben, sondern zusammen mit benutzbarem Exploit für jedermann veröffentlichen muss, damit sie geschlossen werden, bevor sie einmal von Kriminellen gefunden und ausgenutzt werden, ohne dass die Gefahr bekannt ist und ohne, dass sich Menschen mit einem Workaround vor der Gefahr schützen können. Ein Jahr…
Nachtrag für Opera-Nutzer: Da das Problem bei der Verarbeitung von SVG-Grafiken in einem IFRAME auftritt, dürfte es ausreichen, in den Einstellungen IFRAME abzuschalten. Dies geht über Einstellungen / Erweitert / Inhalte / Darstellungsoptionen / Häkchen bei »Inline-Frames zulassen« wegmachen – und wenn einmal eine wichtige (und vertrauenswürdige) Seite ohne IFRAMEs nicht mehr funktioniert, kann das immer noch über die »Seitenspezifischen Einstellungen« im F12-Menü geändert werden, ohne dass gleich dem ganzen Internet vertraut wird. Dankmails, um seine besondere Freude über diese Umstände auszudrücken, bitte an die Opera-Entwickler senden, die das verkackt haben.
Nachtrag 19. Oktober: Ah, eine neue Opera-Version ist draußen. Irgendeinen Hinweis, was im Upgrade gefixt wurde, habe ich auf der Opera-Website vergeblich gesucht, stattdessen jede Menge Reklametext. Ich bin ja so heiß auf WebGL, das wegen des direkten Hardwarezugriffs vermutlich in der Anfangsphase Sicherheitslöcher aufreißen wird, die so groß sind, dass man die Sonne darin verstecken kann.