Ein
Konfigurationsfehler in MongoDB
führt dazu, dass tausende Datenbanken frei aus dem Internet
zugänglich sind. Was beweist, dass auch eigentlich kleine Fehler zu
einem großen Problem werden können.
Da die Überwachungsfanatiker mal wieder nach
Hintertüren in Verschlüsselungen
schreien, sei an den folgenden Artikel des leider viel zu früh verstorbenen
Andreas Pfitzmann
anlässlich der ersten Krypo-Debatte erinnert:
Andreas Pfitzmann:
Wie es zum Schlüsselhinterlegungs- und Aufbewahrungs-Gesetz (SchlAG) kam;
PIK, Praxis der Informationsverarbeitung und Kommunikation, 18/4 (1995)
246.
Zu finden im
Archiv
der SIRENE-Gruppe (in dem es auch noch einige weitere Texte zur ersten
Krypo-Debatte gibt) als
Pfit10_95SchlAG.ps.gz.
Am ersten Patchday des Jahres 2015 hat Microsoft auch schon die erste
für Angriffe genutzte Schwachstelle gemeldet: Ein lokal ausnutzbare
Privilegieneskalation. Und zwei weitere 0-Day-Schwachstellen der gleichen
Kategorie behoben. Und das sind nicht die einzigen 0-Day-Schwachstellen im
noch so neuen Jahr 2015: Auch in mehreren Corel-Programmen wurden
0-Day-Schwachstellen gemeldet.
Schwachstelle und Proof-of-Concepts veröffentlicht, aber keine Angriffe
Der Titel sagt ja schon alles: Ich verlängere meinen Urlaub wie
bereits vermutet
bis zum 12.1., zu Microsofts Januar-Patchday gibt es dann den ersten
Blog-Text dieses Jahres. Bisher ist ja nichts besonderes passiert.
2014 wird als das Jahr in die Geschichte eingehen, in dem die
Schwachstellen Namen bekamen. Vorher gab es bereits Namen für
Schadsoftware, aber für Schwachstellen haben die sich erst dieses Jahr
wirklich durchgesetzt. Die Schwachstelle von Welt kommt heute nicht mehr
ohne Namen aus. Jedenfalls nicht, wenn sie ernst genommen werden will.
Kennen Sie den Unterschied zwischen CVE-2014-6271 und Shellshock? Nicht?
Dabei gibt es einen ganz gewaltigen: CVE-2014-6271 hätte es nie in die
allgemeinen Medien geschafft, Shellshock ist das dagegen mit Leichtigkeit
gelungen. Dabei ist es ein und dieselbe Schwachstelle. Werbung ist eben
alles. Im Jahr 2014 auch für Schwachstellen.
Aber fangen wir vorne an. Die erste "berühmte" Schwachstelle war der im
April vorgestellte Heartbleed-Bug in OpenSSL. Aber schon davor gab es
Schwachstellen mit Namen. Jedenfalls irgendwie:
Es ist bald Weihnachten, und bis dahin ist noch einiges zu tun. Und damit
meine ich nicht die üblichen Aufgaben wie "Im letzten Moment die
Geschenke kaufen" und "Am 23.12. Lebensmittelvorräte für
die nächsten 4 Wochen einkaufen, weil die Geschäfte ja 2 Tage zu
sind", sondern einige Aufgaben rund um die IT (die natürlich auch
außerhalb der Weihnachtszeit nicht vergessen werden dürfen, aber
im allgemeinen Trubel gehen sie jetzt schnell unter):
Oh Schreck, es gibt eine 0-Day-Schwachstelle im IE. Panik!1!ELF
Das ist alles total übertrieben. Wieso? Weil es "nur" eine
0-Day-Schwachstelle
ist, es gibt bisher keinen Exploit dafür. Also: Kein Grund zur Panik.
Denn wenn Sie wegen der einen Schwachstelle schon in Panik ausbrechen, was
machen Sie denn dann wegen der womöglich zig hundert noch gar nicht
entdeckten Schwachstellen? Die könnten jederzeit entdeckt werden, und
je nachdem ob der Entdecker Sicherheitsforscher oder Cyberkrimineller ist
wird sie dann an Microsoft gemeldet oder mit einem 0-Day-Exploit
ausgenutzt. Also: Es gibt wirklich keinen Grund zur Panik!
Die Überschrift kann ja gar nicht passieren? Wieso denn nicht? Die
einzelnen Bestandteile sind schon "in the Wild" im Umlauf, es muss sie nur
noch irgend ein Cyberkrimineller kombinieren, und schon geht es los...