20. September 2008
WASC (Web Application Security Council) hat Statistiken zur Sicherheit von Webanwendungen erstellt.
Problem Nummer 1: Cross Site Scripting. Das liegt vermutlich daran, dass viele Betreiber von Webseiten das Problem noch immer nicht kapiert haben. Abgeschlagen auf den Plätzen 2 und 3 befinden sich Information Leakage und SQL Injection.
Erschreckend ist auch die Zahl von 7% aller Webseiten die inzwischen mit automatischen Scannern kompromittiert werden können. Bei einer manuellen detaillierten Untersuchung der Seiten konnten sogar in über 90% aller Webseiten potentielle Schwachstellen nachgewiesen werden.
Faszinierend ist in diesem Zusammenhang die Webseite der Berliner Wasserbetriebe. Ohne wirklich groß zu suchen fielen mir zwei potentielle Sicherheitslücken ins Auge:
- Cross Site Scripting im Suchfeld. Das war aber auch kaum anders zu erwarten, gerade in Hinblick auf die oben erwähnten Statistiken.
- Viel lustiger finde ich jedoch, wenn man mit der Maus über die E-Mail-Adresse unterhalb der 0800-Service-Nummer links fährt. Dort ist auf ein Formular verlinkt, dass diese E-Mail-Adresse in den Parametern e1, e2 und e3 übergeben bekommt. Diese Parameter e1, e2 und e3 finden sich im Formular auch wieder in versteckten Feldern die zurück an das PHP-Mailprogramm geschickt werden. Wenn das nicht nach Spam via Webmail riecht, weiß ich’s auch nicht.
Und das bei einem von einer Webagentur konzipierten Auftritt. Die sollten das eigentlich besser wissen. Seufz.
17. September 2008
Cisco hat auf der VMware Konferenz Vmworld einen komplett in Software implementierten virtuellen Switch basierend auf der Cisco Nexus-Architektur vorgestellt. Der Cisco Nexus 1000V integriert sich in den VMware Hypervisor und nutzt VMwares vNetwork Distributed switch framework. Soweit so unspektakulär.
Meines Wissens ist das jedoch die erste komplette und veröffentlichte Cisco Switch-Implementierung die auf einer Standard-PC-Hardware läuft. Und für eine Standard-PC-Hardware habe ich einen guten Debugger.
Ich denke, wir werden in den nächsten Jahren noch viele spannende Vorträge ähnlich dem von Michael Lynn auf der Black Hat 2005 in Las Vegas sehen. Und vermutlich noch viele Drohbriefe amerikanischer Cisco-Anwälte, die versuchen werden die Veröffentlichung von Sicherheitslücken zu verhindern.
Danke, Cisco 🙂
15. September 2008
Winzip überrascht mich immer wieder. Und Antivir leider auch.
Neulich habe ich mich ein wenig geärgert, dass Winzip 10.0 scheinbar kein BZIP2 beherrscht, das von Linux aufgrund der hohen Kompressionsrate gerne verwendet wird. Heute habe ich gemerkt, dass meine Annahme falsch war und Winzip sehr wohl BZIP2 kann, allerdings muss die Dateiendung weiterhin .ZIP lauten.
Ich habe dann ein wenig mit dem EICAR-Testvirus rumgespielt und ihn einmal mit Winzip normal komprimiert (eicar1.zip) und einmal mit Winzip BZIP2 komprimiert (eicar2.zip). Interessanterweise erkennt Antivir (8.01.01.21, V7.00.06.154) den Testvirus nur in einem normal komprimierten ZIP-File, nicht jedoch in einem BZIP2-komprimierten ZIP-File.
Ich werde demnächst mal eine Sammlung von Viren mit verschiedenen Packern zusammenstellen, langsam macht mir das Thema nämlich ein wenig Sorgen.
Nachtrag:
Ich wollte die Datei eigentlich auch an Avira schicken aber die nehmen Anfragen anscheinend nur von zahlenden Kunden entgegen und ich habe hier nur eine private Antivir Personal Version am laufen. Jedenfalls habe ich auf der Webseite keine Kontaktmöglichkeit ohne Eingabe einer Seriennummer gefunden. Fehlermeldungen durch Privatanwender sind wohl nicht vorgesehen.
14. September 2008
Ein paar Griechen sind in die Webseite des Large Hadron Colliders des CERN eingedrungen. Der Pressesprecher des CERN bestätigte jedoch, dass die Hacker keine der frisch produzierten schwarzen Löcher entwendet hätten. Und der Schäuble ist leider auch noch da. Aber lustig, ausgerechnet bei den Jungs, die das Web erfunden haben … 🙂
13. September 2008
Jesper Johansson, einer der Windows Security Gurus hat bei The Register einen richtig guten Artikel über ein falsches Antivirus-Programm mit dem Namen XP-Antivirus geschrieben. Das ist Pflichtlektüre für alle Pappnasen, die regelmäßig einfach Software auf ihren Rechnern installieren nur weil Popups sie dazu auffordern. Manchmal sogar, wenn diese Firefox-Warnung sie daran hindern will.
Das XP-Antivirus ist wirklich gut gemacht, selbst erfahrene ITler fallen auf falsche Windows-Fenster gerne mal rein, besonders wenn so eine oder eine ähnliche Meldung erwartet wird und man nicht genau liest, was da steht. Sowas muss ich glaube ich auch mal programmieren 🙂
Nachtrag:
Der Nachtwächter hat das Thema aufgegriffen und eine schöne deutsche Zusammenfassung geschrieben.
8. September 2008
Zumindest behauptet das Cyber-Ark in einer Studie. Leider gibt es die nur nach Eingabe einer Unmenge persönlicher Daten, deshalb hier der direkte Link (PDF). Was für ein glücklicher Zufall, dass ausgerechnet Cyber-Ark auch Produkte zur Verwaltung sensibler Zugangsdaten wie Administratorpasswörtern anbietet. Wir wären sonst ja verloren.
Ich denke, die Zahlen muss man mit großer Vorsicht genießen. Cyber-Ark hat Unternehmen gefragt, ob sie befürchten, dass Systemadministratoren unberechtigt auf Daten zugreifen könnten. Das hat mit tatsächlichen Zugriffen erstmal wenig zu tun. Klar, es gibt spektakuläre Fälle wie den des ehemaligen UBS-Administrators Roger Duronio, aber die sehe ich als krasse Ausnahme. Wenn es so schlimm wäre, liebe Systemadministratoren, gäbe es nämlich ab nächstes Jahr keinen Kuchen mehr.
Unabhängig davon … die meisten Unternehmen haben tatsächlich keine Strategie was nach dem Ausscheiden eines Systemadministrators zu tun ist. Passwörter ändern ist ja nur ein Baustein. Was muss denn noch alles geändert (z.B. Remote-Zugänge) und kontrolliert (z.B. Dokumentation) werden? Nur mal so als kleiner Denkanstoß.
3. September 2008
Software:
Google Chrome Browser 0.2.149.27
Tested:
Windows XP Professional SP3
Result:
Google Chrome Crashes with All Tabs
Problem:
An issue exists in how chrome behaves with undefined-handlers in chrome.dll version
0.2.149.27. A crash can result without user interaction. When a user is made to visit
a malicious link, which has an undefined handler followed by a ’special‘ character,
the chrome crashes with a Google Chrome message window „Whoa! Google Chrome has crashed. Restart now?“. It lies in dealing with the POP EBP instruction when pointed out by the EIP register at 0x01002FF4.
Proof of Concept:
http://evilfingers.com/advisory/google_chrome_poc.php
Credit:
Rishi Narang (psy.echo)
www.greyhat.in
www.evilfingers.com
(via Milw0rm)
1. September 2008
In USA Today ist ein Artikel erschienen, der zeigt, dass kurz vor der Nominierung der Running Mates Joe Biden (für Barack Obama) und Sarah Palin (für John McCain) massive Änderungen an den beiden Artikeln durchgeführt wurden. Man könnte jetzt darüber spekulieren, ob sich durch geschickte Beobachtung der Wikipedia-Änderung auch andere Nominierungen vorhersagen lassen. In den USA mag das vielleicht funktionieren, dort hat die Politik die Wichtigkeit des Internets erkannt. Ich fürchte jedoch, bei der nächsten Papstwahl versagt das Verfahren 🙂
Im Grunde ist eine solche Beobachtung vergleichbar mit einer klassischen Traffic Analyse. So kann man beispielsweise anhand der E-Mail-Profile wer mit wem kommuniziert in der Regel die Hierarchie eines Unternehmens ermitteln, ohne die tatsächlichen Inhalte der Mails auszuwerten. Ich verweise dazu auf die veröffentlichte E-Mail-Kommunikation des spektakulär pleite gegangenen Enron-Konzerns.
(via Gulli)
28. August 2008
ich kommentiere das gar nicht mehr. Hier ist der Link zu Heise. Schlimm ist, die lernen gar nix. Das gleiche gab es schon mal 2006.
27. August 2008
und zwar Computerviren, keine echten!
Einige Laptops auf der ISS sind von einem Wurm befallen worden, der eigentlich Zugangsdaten zu Online-Spielen spielt. Die NASA weiß nicht so genau, wie das passieren konnte.
Ich bin mir jetzt nicht ganz sicher, was das bedeuten soll. Ist die ISS ein gewaltiger Schwindel wie die angeblichen Mondlandungen? Quasi ein Live-Computerspiel für die NASA mit lustigen computergenerierten Bildern für uns ahnungslose Zuschauer? Und wer hat jetzt die Zugangsdaten zu diesem Spiel? David L. Lightman? Dr. Stephen Falken?
Oder sitzen die Astronauten da oben im Weltall und wenn ihnen langweilig ist zocken sie eine Runde World of Warcraft? Muss die NASA jetzt neue WoW-CDs ins All schicken weil die geklauten Zugangsdaten gesperrt wurden? Fragen über Fragen.
Was ich dagegen verstehe ist, wenn auf den Rechnern im All kein Virenscanner läuft. Das ist in Produktionsumgebungen nicht so einfach und gerüchteweise soll ab und an auch nicht die neueste Hardware zum Einsatz kommen.
(via Wired)
