Einige kommentierte Updates zu älteren Artikeln
Heute gibt es mal wieder einige kommentierte Ergänzungen zu älteren Artikeln.
Der SIM-Karten-Hack und Lenovos MitM-Zertifikat – Schlimmer geht immer!
Es gibt neue Informationen zum SIM-Karten-Hack und der ein MitM-Zertifikat installierenden Adware auf Lenovo-Notebooks. Und wie üblich keine guten, denn Sie wissen ja: Schlimmer geht immer. Das schreit natürlich nach einem Kommentar.
Gemalto meint, der SIM-Karten-Hack hat gar nicht stattgefunden
“Der SIM-Karten-Hack und Lenovos MitM-Zertifikat – Schlimmer geht immer!” vollständig lesenDie "Equation Group", Carbanak, JASBUG – Namen sind in!
Es gibt neue Angriffe und Schwachstellen mit mehr oder weniger schönen Namen: Die “Equation Group”, den Schädling Carbanak, und den JASBUG. Mit dem sich seine Entdecker gerne ein Denkmal setzen würden.
Die “Equation Group” – Cyberkrieger im Auftrag der USA?
“Die "Equation Group", Carbanak, JASBUG – Namen sind in!” vollständig lesenDer Konfigurationsfehler in MongoDB – Admins, bitte aufwachen!
Ein Konfigurationsfehler in MongoDB führt dazu, dass tausende Datenbanken frei aus dem Internet zugänglich sind. Was beweist, dass auch eigentlich kleine Fehler zu einem großen Problem werden können.
Sicherheit per Defaulteinstellungen ist üblich…
“Der Konfigurationsfehler in MongoDB – Admins, bitte aufwachen!” vollständig lesenKryptodebatte? Hatten wir doch schon!
Da die Überwachungsfanatiker mal wieder nach Hintertüren in Verschlüsselungen schreien, sei an den folgenden Artikel des leider viel zu früh verstorbenen Andreas Pfitzmann anlässlich der ersten Krypo-Debatte erinnert:
Andreas Pfitzmann:
Wie es zum Schlüsselhinterlegungs- und Aufbewahrungs-Gesetz (SchlAG) kam;
PIK, Praxis der Informationsverarbeitung und Kommunikation, 18/4 (1995)
246.
Zu finden im Archiv der SIRENE-Gruppe (in dem es auch noch einige weitere Texte zur ersten Krypo-Debatte gibt) als Pfit10_95SchlAG.ps.gz.
“Kryptodebatte? Hatten wir doch schon!” vollständig lesenMal wieder nichts Gutes zu Routern…
Es gibt mal wieder einige Neuigkeiten zu Routern, und wie üblich keine guten.
Ein DoS-Botnet, aufgebaut aus Routern
“Mal wieder nichts Gutes zu Routern…” vollständig lesenMicrosofts erster Patchday 2015 bringt den ersten 0-Day-Exploit
Am ersten Patchday des Jahres 2015 hat Microsoft auch schon die erste für Angriffe genutzte Schwachstelle gemeldet: Ein lokal ausnutzbare Privilegieneskalation. Und zwei weitere 0-Day-Schwachstellen der gleichen Kategorie behoben. Und das sind nicht die einzigen 0-Day-Schwachstellen im noch so neuen Jahr 2015: Auch in mehreren Corel-Programmen wurden 0-Day-Schwachstellen gemeldet.
Schwachstelle und Proof-of-Concepts veröffentlicht, aber keine Angriffe
“Microsofts erster Patchday 2015 bringt den ersten 0-Day-Exploit” vollständig lesenUrlaubsverlängerung bis zum 12.1., es ist ja nichts los
Der Titel sagt ja schon alles: Ich verlängere meinen Urlaub wie bereits vermutet bis zum 12.1., zu Microsofts Januar-Patchday gibt es dann den ersten Blog-Text dieses Jahres. Bisher ist ja nichts besonderes passiert.
“Urlaubsverlängerung bis zum 12.1., es ist ja nichts los” vollständig lesen2014 – Das Jahr, in dem die Schwachstellen Namen bekamen
2014 wird als das Jahr in die Geschichte eingehen, in dem die Schwachstellen Namen bekamen. Vorher gab es bereits Namen für Schadsoftware, aber für Schwachstellen haben die sich erst dieses Jahr wirklich durchgesetzt. Die Schwachstelle von Welt kommt heute nicht mehr ohne Namen aus. Jedenfalls nicht, wenn sie ernst genommen werden will.
Kennen Sie den Unterschied zwischen CVE-2014-6271 und Shellshock? Nicht? Dabei gibt es einen ganz gewaltigen: CVE-2014-6271 hätte es nie in die allgemeinen Medien geschafft, Shellshock ist das dagegen mit Leichtigkeit gelungen. Dabei ist es ein und dieselbe Schwachstelle. Werbung ist eben alles. Im Jahr 2014 auch für Schwachstellen.
Aber fangen wir vorne an. Die erste “berühmte” Schwachstelle war der im April vorgestellte Heartbleed-Bug in OpenSSL. Aber schon davor gab es Schwachstellen mit Namen. Jedenfalls irgendwie:
21. Februar – Apples “GOTO FAIL”-Schwachstelle
“2014 – Das Jahr, in dem die Schwachstellen Namen bekamen” vollständig lesenVor Weihnachten ist noch einiges zu tun…
Es ist bald Weihnachten, und bis dahin ist noch einiges zu tun. Und damit meine ich nicht die üblichen Aufgaben wie “Im letzten Moment die Geschenke kaufen” und “Am 23.12. Lebensmittelvorräte für die nächsten 4 Wochen einkaufen, weil die Geschäfte ja 2 Tage zu sind”, sondern einige Aufgaben rund um die IT (die natürlich auch außerhalb der Weihnachtszeit nicht vergessen werden dürfen, aber im allgemeinen Trubel gehen sie jetzt schnell unter):
1. Sind alle Passwörter sicher?
“Vor Weihnachten ist noch einiges zu tun…” vollständig lesenDie aktuelle 0-Day-Schwachstelle im IE – kein Grund zur Panik!
Oh Schreck, es gibt eine 0-Day-Schwachstelle im IE. Panik!1!ELF
Das ist alles total übertrieben. Wieso? Weil es “nur” eine 0-Day-Schwachstelle ist, es gibt bisher keinen Exploit dafür. Also: Kein Grund zur Panik. Denn wenn Sie wegen der einen Schwachstelle schon in Panik ausbrechen, was machen Sie denn dann wegen der womöglich zig hundert noch gar nicht entdeckten Schwachstellen? Die könnten jederzeit entdeckt werden, und je nachdem ob der Entdecker Sicherheitsforscher oder Cyberkrimineller ist wird sie dann an Microsoft gemeldet oder mit einem 0-Day-Exploit ausgenutzt. Also: Es gibt wirklich keinen Grund zur Panik!
Die Details zur aktuellen Schwachstelle …
“Die aktuelle 0-Day-Schwachstelle im IE – kein Grund zur Panik!” vollständig lesenDer "Standpunkt" fällt diese Woche aus
Sie kennen das ja: So viel zu tun, so wenig Zeit – da muss irgend was auf der Strecke bleiben. Und das ist diese Woche der “Standpunkt”.
Der Grundlagentext am Donnerstag erscheint wie gewohnt, der ist schon seit einigen Wochen fertig.
Ein Worst Case Szenario: Wenn über E-Zigaretten die Passwortmanager des IoT ausgespäht werden
Die Überschrift kann ja gar nicht passieren? Wieso denn nicht? Die einzelnen Bestandteile sind schon “in the Wild” im Umlauf, es muss sie nur noch irgend ein Cyberkrimineller kombinieren, und schon geht es los…
Angriffsvektor USB
“Ein Worst Case Szenario: Wenn über E-Zigaretten die Passwortmanager des IoT ausgespäht werden” vollständig lesenMicrosoft patcht 2. 0-Day-Schwachstelle in OLE
Am November-Patchday hat Microsoft unter anderem die bereits für Angriffe ausgenutzte und am 21. Oktober bekannt gewordene 2. Schwachstelle in OLE behoben.
Die OLE-Schwachstellen – Endlich dicht?
“Microsoft patcht 2. 0-Day-Schwachstelle in OLE” vollständig lesenDrupageddon – Die Geschichte einer Schwachstelle
Drupageddon ist der Name einer SQL-Injection-Schwachstelle, die schon kurz nach Veröffentlichung eines Patches ausgenutzt wurde. Was man seitens Drupal erst mit einiger Verzögerung bekannt gemacht hat.
