Die Zertifizierungsstellen für SSL-Zertifikate sägen den Ast ab,
auf dem sie selber sitzen: Sie zerstören systematisch das Vertrauen in
sich selbst und in die von ihnen ausgestellten Zertifikate. Die ist der
erste von zwei Texten zu diesem Problem, hier gibt es die Kommentare, am
Donnerstag folgt ein Text mit den technischen Grundlagen.
SAP-Anwendungen drängen ins Web (bzw. werden ins Web genötigt).
Aber alles, was eine Weboberfläche hat und mit dem Internet verbunden ist,
ist auch den dort üblichen Angriffen ausgesetzt. Und darauf sind
die SAP-Anwendungen und deren Weboberflächen wenn überhaupt, dann
meist nur schlecht vorbereitet. Eine einzige Schwachstelle in der
Weboberfläche kann ausreichen, um einen Angreifer Tür und Tor zur
wichtigsten Unternehmensanwendung zu öffnen. Im letzten Teil der
Serie mit Berichten über Neuigkeiten von den Sicherheitskonferenzen
2011 geht es um diese Angriffe und Schwachstellen.
Mariano Nunez Di Croce: Your crown jewels online: Attacks to SAP Web Applications
Google (und andere Werbedienstleister) nutzen eine Schwachstelle in Safari
aus, um gegen den Willen der Benutzer einen Tracking-Cookie einzuschleusen.
Ein Angreifer mit dem Motto "Don't be evil" - Sachen gibt's, die
gibt's gar nicht.
Angriffe auf
Webbrowser,
Client-Rechner
oder
Webserver
sind ja eigentlich alltäglich, auch wenn es immer wieder neue
Entwicklungen gibt. Aber was macht der engagierte Hacker, wenn gerade
keine Client- oder Server-Rechner zur Hand sind? Nun, dann hackt er eben,
was gerade da ist, zum Beispiel Autos oder Insulinpumpen.
Software wird nie völlig fehlerfrei sein. Um so wichtiger ist es, sie
so fehlerfrei wie möglich zu machen. Und das bedeutet insbesondere,
erkannte Schwachstellen zu beheben und das Entstehen von Schwachstellen
möglichst zu verhindern. Dass das möglich ist, hat Microsoft
bewiesen. Adobe setzt dagegen auf Mitigations, um Angriffe zu verteuern.
Weiter geht es mit Informationen über interessante Vorträge zum
Thema "Websecurity" auf den verschiedenen Sicherheitskonferenzen 2011. Den
Anfang machen Vorträge rund um SSL:
Moxie Marlinspike: SSL And The Future Of Authenticity
Der
mittels www.dns-ok.de gesuchte
DNS-Changer-Schädling ist immer noch recht weit verbreitet.
Anscheinend sind die bisherigen Informationskampagnen nicht sehr
erfolgreich.
Zwei Berichten zu Folge wird (relativ) massiv über kompromittierte
Wordpress-3.2.1-Installationen ein
Exploit-Kit
verbreitet. Darüber, wie die Wordpress-Installationen kompromittiert
werden, herrscht Unklarheit. Zumindest gibt es zwei Erklärungen.
Aber allen Anschein nach gibt es auch zwei Angriffswellen. Was ist da also
los?