Ein Konfigurationsfehler in MongoDB führt dazu, dass tausende Datenbanken frei aus dem Internet zugänglich sind. Was beweist, dass auch eigentlich kleine Fehler zu einem großen Problem werden können.
Da die Überwachungsfanatiker mal wieder nach Hintertüren in Verschlüsselungen schreien, sei an den folgenden Artikel des leider viel zu früh verstorbenen Andreas Pfitzmann anlässlich der ersten Krypo-Debatte erinnert:
Andreas Pfitzmann:
Wie es zum Schlüsselhinterlegungs- und Aufbewahrungs-Gesetz (SchlAG) kam;
PIK, Praxis der Informationsverarbeitung und Kommunikation, 18/4 (1995)
246.
Zu finden im Archiv der SIRENE-Gruppe (in dem es auch noch einige weitere Texte zur ersten Krypo-Debatte gibt) als Pfit10_95SchlAG.ps.gz.
"Kryptodebatte? Hatten wir doch schon!" vollständig lesenEs gibt mal wieder einige Neuigkeiten zu Routern, und wie üblich keine guten.
Am ersten Patchday des Jahres 2015 hat Microsoft auch schon die erste für Angriffe genutzte Schwachstelle gemeldet: Ein lokal ausnutzbare Privilegieneskalation. Und zwei weitere 0-Day-Schwachstellen der gleichen Kategorie behoben. Und das sind nicht die einzigen 0-Day-Schwachstellen im noch so neuen Jahr 2015: Auch in mehreren Corel-Programmen wurden 0-Day-Schwachstellen gemeldet.
Der Titel sagt ja schon alles: Ich verlängere meinen Urlaub wie bereits vermutet bis zum 12.1., zu Microsofts Januar-Patchday gibt es dann den ersten Blog-Text dieses Jahres. Bisher ist ja nichts besonderes passiert.
"Urlaubsverlängerung bis zum 12.1., es ist ja nichts los" vollständig lesen2014 wird als das Jahr in die Geschichte eingehen, in dem die Schwachstellen Namen bekamen. Vorher gab es bereits Namen für Schadsoftware, aber für Schwachstellen haben die sich erst dieses Jahr wirklich durchgesetzt. Die Schwachstelle von Welt kommt heute nicht mehr ohne Namen aus. Jedenfalls nicht, wenn sie ernst genommen werden will.
Kennen Sie den Unterschied zwischen CVE-2014-6271 und Shellshock? Nicht? Dabei gibt es einen ganz gewaltigen: CVE-2014-6271 hätte es nie in die allgemeinen Medien geschafft, Shellshock ist das dagegen mit Leichtigkeit gelungen. Dabei ist es ein und dieselbe Schwachstelle. Werbung ist eben alles. Im Jahr 2014 auch für Schwachstellen.
Aber fangen wir vorne an. Die erste "berühmte" Schwachstelle war der im April vorgestellte Heartbleed-Bug in OpenSSL. Aber schon davor gab es Schwachstellen mit Namen. Jedenfalls irgendwie:
Es ist bald Weihnachten, und bis dahin ist noch einiges zu tun. Und damit meine ich nicht die üblichen Aufgaben wie "Im letzten Moment die Geschenke kaufen" und "Am 23.12. Lebensmittelvorräte für die nächsten 4 Wochen einkaufen, weil die Geschäfte ja 2 Tage zu sind", sondern einige Aufgaben rund um die IT (die natürlich auch außerhalb der Weihnachtszeit nicht vergessen werden dürfen, aber im allgemeinen Trubel gehen sie jetzt schnell unter):
Oh Schreck, es gibt eine 0-Day-Schwachstelle im IE. Panik!1!ELF
Das ist alles total übertrieben. Wieso? Weil es "nur" eine 0-Day-Schwachstelle ist, es gibt bisher keinen Exploit dafür. Also: Kein Grund zur Panik. Denn wenn Sie wegen der einen Schwachstelle schon in Panik ausbrechen, was machen Sie denn dann wegen der womöglich zig hundert noch gar nicht entdeckten Schwachstellen? Die könnten jederzeit entdeckt werden, und je nachdem ob der Entdecker Sicherheitsforscher oder Cyberkrimineller ist wird sie dann an Microsoft gemeldet oder mit einem 0-Day-Exploit ausgenutzt. Also: Es gibt wirklich keinen Grund zur Panik!
Sie kennen das ja: So viel zu tun, so wenig Zeit - da muss irgend was auf der Strecke bleiben. Und das ist diese Woche der "Standpunkt".
Der Grundlagentext am Donnerstag erscheint wie gewohnt, der ist schon seit einigen Wochen fertig.
Die Überschrift kann ja gar nicht passieren? Wieso denn nicht? Die einzelnen Bestandteile sind schon "in the Wild" im Umlauf, es muss sie nur noch irgend ein Cyberkrimineller kombinieren, und schon geht es los...