Dipl.-Inform. Carsten Eilers

Im ersten Teil dieses zweiteiligen Artikels über Sinn und Zweck von Passwortregeln ging es um das Aufschreiben von Passwörtern. Als nächstes geht es um das Wechseln der Passwörter:

Passwörter regelmäßig wechseln

Ein paar Worte zum Patch für die aktuelle 0-Day-Schwachstelle im Internet Explorer 8 führt zum Schluss, dass Cyberkrieger Cyberkriminelle unterstützen.

Ein Patch für die 0-Day-Schwachstelle im IE8?

Microsoft hat ein FixIt-Tool für die 0-Day-Schwachstelle im Internet Explorer 8 veröffentlicht. Und es gibt schon wieder eine 0-Day-Schwachstelle, diesmal in Coldfusion.

8. Mai: FixIt-Tool für IE 8 veröffentlicht

Hier finden Sie eine Übersicht über die 2013 eingesetzten 0-Day-Exploits:

Es gibt schon wieder eine 0-Day-Schwachstelle. Diesmal mal wieder im Internet Explorer, allerdings nur in Version 8. Und wie die 0-Day-Schwachstelle im Dezember 2012 wird auch diese Schwachstelle für Wasserloch-Angriffe ausgenutzt. Werfen wir mal einen Blick auf die wenigen bisher bekannten Fakten.

3. Mai - Microsoft veröffentlicht ein Security Advisory

Sicherheitsrichtlinien wie Passwortregeln werden oft ignoriert, weil sie überflüssig erscheinen oder lästig sind. Wie gefährlich ist das? Welche Regeln sollte man auf jeden Fall beachten und welche kann man ignorieren?

Die üblichen Passwort-Regeln

Heute gibt es Kommentare zu einem Root-Zertifikat des US-Verteidigungsministeriums, einem neuen Java-Exploit, die 0-Day-Exploits aus dem 1. Quartal, Passwort-Recycling in Großbritannien und einem unerwarteten Support-Ende für Windows XP.

Vertrauen Sie dem US-Verteidigungsministerium?

Sichere Passwörter braucht man immer wieder. Wie Sie die erzeugen und sich merken können, erfahren Sie hier. Zuvor geht es aber um die Frage, warum Sie Passwörter nicht für mehrere Dienste nutzen sollten.

Kein Recycling für Passwörter!

Oracle hat mit Java 7 Update 21 erneut eine Vielzahl von Schwachstellen behoben: 42 Stück, von denen nur zwei Server-Installationen von Java betreffen. Dafür können 39 der Schwachstellen ohne Authentifizierung aus dem Internet ausgenutzt werden. Und 19 der Schwachstellen haben den höchstmöglichen CVSS Base Score zur Bewertung von Schwachstellen von 10.0 - schlimmer geht nicht. Wenigstens sind diesmal keine 0-Day-Schwachstellen dabei, die bereits für Angriffe ausgenutzt wurden.

Gefährdet: Browser Plug In und Java Web Start

Oracles Antwort auf Javas ständige Sicherheitsprobleme: Der Einsatz von Code Signing. Vorerst gibt es nur mehr oder weniger ausführliche Warnungen vor nicht oder falsch signierten Applets, irgendwann sollen dann nur noch signierte Applets ausgeführt werden. Die damit erreichte Sicherheit ist aber trügerisch. Wieso, erfahren Sie hier.

Code Signing im Überblick

Zur Zeit greift ein Botnet Wordpress- und Joomla-Installationen an und versucht, über einen Brute-Force-Angriff das Administrator-Passwort zu ermitteln. Was danach passiert, ist nicht ganz klar: Entweder wird auf den erfolgreich angegriffenen Servern ein Exploit-Kit installiert, oder die Server sollen zu einem machtvollen Botnet zusammengefasst werden.

Die Angriffe

Github hat alle Github Pages auf eigene github.io-Domains verlagert. Auslöser dafür war unter anderem die Gefahr von "Cookie Tossing", einem Angriff, der nicht nur Github gefährlich werden kann. Was es damit auf sich hat, erfahren Sie hier.

Als Beispiel-Webanwendung dient ein Portal, dass passenderweise auf portal.example läuft und das es seinen Benutzern unter anderem erlaubt, unter [benutzername].portal.example eigene Websites zu speichern. Die Angriffe wären aber genauso über XSS-Schwachstellen auf portal.example möglich.

Schritt 1: Wir setzen einen Session-Cookie

Die Themen heute: PostgreSQL ergreift vor der Veröffentlichung eines Sicherheitsupdates eine zweifelhafte Schutzmaßnahme, Ad-Blocker können vor Drive-by-Infektionen schützen, und AT&T verwendet unsichere Passwortregeln. Außerdem noch zwei kurze Lesetipps:

Der Schädling "Flashback" sorgte vor gut einem Jahr dafür, dass die Gefahren von Schadsoftware auch auf dem Mac bekannt wurden: Er baute ein für Mac-Verhältnisse riesiges Botnet auf und war der erste Mac-Schädling, der eine Drive-by-Infektion nutzte, und das sogar vollständig ohne Benutzerinteraktion. Brian Krebs konnte nun den mutmaßlichen Entwickler von Flashback aufdecken, einen 30 Jahre alten Einwohner von Saransk, der Hauptstadt der russischen Region Mordwinien.

Und es gibt etwas Neues zu den Angriffen über Java: Shinsuke Honjo von McAfee berichtet über eine JAR-Datei, die gleich mehrere Exploits enthält. Also sozusagen eine JAR-Datei, sie alle zu knechten. Könnte mal jemand einen Hobbit den Java-Quellcode geben? Nur die JAR-Datei zu entsorgen ist in diesem Fall wohl zu wenig.

PostgreSQL mit zweifelhafter Schutzmaßnahme

Im Windows.Developer 5.2013 ist ein Artikel über die Sicherheit von Web-APIs erschienen. Vorgestellt werden die sichere Authentifizierung und Autorisierung, außerdem gibt es ein paar Hinweise darauf, was sonst noch zu beachten ist.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Im Entwickler Magazin 3.2013 ist ein Artikel über Angriffe über den USB-Port erschienen. Vorgestellt werden unter anderem Angriffe über getarnte USB Human Device Interfaces wie USB Rubber Ducky und dem Social Engineering Toolkit.

Und hier noch die Links und Literaturverweise aus dem Artikel: