Heute gibt es Kommentare zu einem Root-Zertifikat des
US-Verteidigungsministeriums, einem neuen Java-Exploit, die 0-Day-Exploits
aus dem 1. Quartal, Passwort-Recycling in Großbritannien und einem
unerwarteten Support-Ende für Windows XP.
Vertrauen Sie dem US-Verteidigungsministerium?
"Kommentare zu diesem und jenem" vollständig lesen
Sichere Passwörter braucht man immer wieder. Wie Sie die erzeugen und
sich merken können, erfahren Sie hier. Zuvor geht es aber um die
Frage, warum Sie Passwörter nicht für mehrere Dienste nutzen
sollten.
Kein Recycling für Passwörter!
"Authentifizierung: Sichere Passwörter" vollständig lesen
Oracle hat mit
Java 7 Update 21
erneut eine Vielzahl von Schwachstellen behoben:
42 Stück,
von denen nur zwei Server-Installationen von Java betreffen. Dafür
können 39 der Schwachstellen ohne Authentifizierung aus dem Internet
ausgenutzt werden. Und 19 der Schwachstellen haben den
höchstmöglichen CVSS Base Score zur Bewertung von Schwachstellen
von 10.0 - schlimmer geht nicht. Wenigstens sind diesmal keine
0-Day-Schwachstellen dabei, die bereits für Angriffe ausgenutzt wurden.
Gefährdet: Browser Plug In und Java Web Start
"Java im Webbrowser - Oracle reitet ein totes Pferd" vollständig lesen
Oracles Antwort auf Javas ständige Sicherheitsprobleme: Der
Einsatz
von Code Signing. Vorerst gibt es nur mehr oder weniger ausführliche
Warnungen vor nicht oder falsch signierten Applets, irgendwann sollen dann
nur noch signierte Applets ausgeführt werden. Die damit erreichte
Sicherheit ist aber trügerisch. Wieso, erfahren Sie hier.
Code Signing im Überblick
"Code Signing - Auch Schadsoftware kann signiert sein" vollständig lesen
Zur Zeit greift ein Botnet Wordpress- und Joomla-Installationen an und
versucht, über einen Brute-Force-Angriff das Administrator-Passwort zu
ermitteln. Was danach passiert, ist nicht ganz klar: Entweder wird auf den
erfolgreich angegriffenen Servern ein Exploit-Kit installiert, oder die
Server sollen zu einem machtvollen Botnet zusammengefasst werden.
Die Angriffe
"Botnet greift Wordpress- und Joomla-Installationen an" vollständig lesen
Github hat alle Github Pages auf eigene github.io
-Domains
verlagert.
Auslöser dafür war unter anderem die Gefahr von
"Cookie Tossing",
einem Angriff, der nicht nur Github gefährlich werden kann. Was es damit
auf sich hat, erfahren Sie hier.
Als Beispiel-Webanwendung dient ein Portal, dass passenderweise auf
portal.example
läuft und das es seinen Benutzern unter
anderem erlaubt, unter [benutzername].portal.example
eigene
Websites zu speichern. Die Angriffe wären aber genauso über
XSS-Schwachstellen auf portal.example
möglich.
Schritt 1: Wir setzen einen Session-Cookie
"Websecurity: Cookie Tossing" vollständig lesen
Die Themen heute: PostgreSQL ergreift vor der Veröffentlichung eines
Sicherheitsupdates eine zweifelhafte Schutzmaßnahme, Ad-Blocker
können vor Drive-by-Infektionen schützen, und AT&T verwendet
unsichere Passwortregeln. Außerdem noch zwei kurze Lesetipps:
Der Schädling "Flashback" sorgte vor gut einem Jahr dafür, dass die
Gefahren von Schadsoftware auch auf dem Mac bekannt wurden: Er baute ein
für Mac-Verhältnisse
riesiges Botnet
auf und war der erste Mac-Schädling, der eine
Drive-by-Infektion nutzte,
und das sogar
vollständig ohne Benutzerinteraktion.
Brian Krebs konnte nun den mutmaßlichen Entwickler von Flashback
aufdecken,
einen 30 Jahre alten Einwohner von Saransk, der Hauptstadt der russischen
Region Mordwinien.
Und es gibt etwas Neues zu den Angriffen über Java: Shinsuke Honjo
von McAfee
berichtet
über eine JAR-Datei, die gleich mehrere Exploits enthält. Also
sozusagen eine JAR-Datei, sie alle zu knechten. Könnte mal jemand einen
Hobbit den Java-Quellcode geben? Nur die JAR-Datei zu entsorgen ist in diesem
Fall wohl zu wenig.
PostgreSQL mit zweifelhafter Schutzmaßnahme
"Kommentare zu PostgreSQL, Ad-Blockern, AT&T Passwortregeln und mehr" vollständig lesen
Im
Windows.Developer 5.2013
ist ein Artikel über die Sicherheit von Web-APIs erschienen.
Vorgestellt werden die sichere Authentifizierung und Autorisierung,
außerdem gibt es ein paar Hinweise darauf, was sonst noch zu beachten
ist.
Und hier noch die Links und Literaturverweise aus dem Artikel:
"Drucksache: Windows.Developer Magazin 5.2013 - Web-API-Entwickler sind Webentwickler" vollständig lesen
Im
Entwickler Magazin 3.2013
ist ein Artikel über Angriffe über den USB-Port erschienen.
Vorgestellt werden unter anderem Angriffe über getarnte USB Human Device
Interfaces wie USB Rubber Ducky und dem Social Engineering Toolkit.
Und hier noch die Links und Literaturverweise aus dem Artikel:
"Drucksache: Entwickler Magazin 3.2013 - Unsicherer Serial Bus" vollständig lesen
Haben Sie in der dritten Märzwoche etwas vom
größten DDoS-Angriff
aller Zeiten bemerkt? Die beinahe
das Internet zerstörte?
Nicht? Nun, dann liegt das wohl vor allem daran, dass die Berichte über
das Ende des Internets, gelinde gesagt, etwas übertrieben sind. Es
war der
bisher größte Angriff
auf das Opfer des Angriffs, Spamhaus.
Mehr aber auch nicht.
Es gab nur
lokale Auswirkungen,
und zwar
in Großbritannien, den Niederlanden und Deutschland.
Und selbst da haben die meisten Internetnutzer nichts davon bemerkt, sofern
sie nicht gerade einen der angegriffenen Server besuchten.
Trotzdem ist der Angriff recht interessant, zeigt er doch, wie einfach
DDoS-Angriffe heutzutage sind. Aber bevor ich zur Beschreibung des
Angriffs komme gibt es erst mal einen kurzen Überblick über das Domain
Name System.
Das Domain Name System
"DDoS durch DNS Amplification Attacks" vollständig lesen