Es gibt einen Test von Mac-Virenscannern. Auch wenn es immer noch keine
Viren für Mac OS X gibt. Dass musste ich einfach kommentieren.
Außerdem gibt es noch ein paar interessante Links, die diesmal aber
ohne Kommentar.
Was ein Pufferüberlauf (Buffer Overflow) ist und wie er ausgenutzt
wird, wurde bereits
beschrieben.
Nun geht es um die Frage, wie man diese Angriffe verhindern oder zumindest
erschweren kann.
Heute gibt mal wieder "nur" ein paar mehr oder weniger kommentierte Links statt
eines "Standpunkts" zu einem Thema. Los geht es mit einem Text von Paul
Ducklin von Sophos:
"Anatomy of a brute force attack - how important is password complexity?".
Das Ergebnis könnte man mit "Brute force ist relativ"
umschreiben. Oder: Für die einen ist es unerreichbare Brute force, für
andere nur ein Mausklick. Oder so.
Ab dieser Folge geht es um Schutzmaßnahmen, die Angriffe über
Pufferüberlauf-Schwachstellen wenn schon nicht verhindern, dann doch
zumindest erschweren sollen. Aber zuvor muss geklärt werden, was ein
Pufferüberlauf (Buffer Overflow) überhaupt ist. Es handelt sich
dabei um eine vor allem in C-Programmen schnell entstehende Schwachstelle,
die für IT-Verhältnisse uralt ist. Die erste ausführliche
Beschreibung wurde von Aleph One nach einer Reihe entsprechender Angriffe
1996 veröffentlicht:
Smashing The Stack For Fun And Profit.
Im
windows.developer Magazin 9.2013
ist ein Artikel über die Sicherheit von Natural User Interfaces
erschienen. Vorgestellt werden theoretische und praktische Angriffe,
außerdem werden zwei Gerüchte auf ihren Wahrheitsgehalt untersucht.
Es gibt erste Ansätze, Angriffe auf bzw. über NUIs zu entwickeln.
Zumindest bisher erfordern die aber keine besonderen Gegenmaßnahmen,
wenn man vom üblichen Clickjacking-Schutz gegen TapJacking-Angriffe
absieht.
Und hier noch die Links und Literaturverweise aus dem Artikel:
Der sichere E-Mail-Anbieter
Lavabit,
der unter anderem von Edward Snowden genutzt wurde, hat seinen Betrieb
eingestellt: Der Betreiber, Ladar Levison, hatte anscheinend die Wahl, den
Betrieb einzustellen oder Abhöranweisungen der US-Behörden zu
befolgen und darüber zu schweigen und hat sich für die
Einstellung entschieden. Sein
Fazit:
Heute gibt es mal wieder eine bunte Mischung an Lesetipps. Und weil mich
GMX und Co. gerade mit Info-Mails nerven, das "meine" De-Mail-Adresse
demnächst anderweitig vergeben wird: Nur zu, ich will die nicht.
Erst mal
grundsätzlich nicht,
und seit dem Bekanntwerden von PRISM und Co. erst recht nicht. Da haben
wohl ein paar Leute den sprichwörtlichen Schuss nicht gehört.
Was soll ich mit einer "sicheren" E-Mail, die auf den Servern der Betreiber
entschlüsselt wird? Wieso eigentlich? Damit die Schnüffler die
Daten leichter abgreifen können? Und die Bundesregierung fördert
das auch noch, indem sie das unsichere System für Behörden
einfach als sicher definiert. Eine "sichere" E-Mail-Lösung, bei der
auf den Servern der Betreiber Mails ausgespäht, manipuliert oder gar
eingeschleust werden können? Ein Schelm, der böses dabei denkt?
Sorry, aber De-Mail kommt mir nicht ins Haus.