Donnerstag, August 07, 2008
Wurde auch deine Kreditkartennummer geklaut? Schau nach!
Internet-Diebe haben 41 Millionen Kreditkartennummern gestohlen
Quelle: Internet-Diebe haben 41 Millionen Kreditkartennummern gestohlen - Wirtschaft - Tages-Anzeiger
Ist auch deine Nummer darunter? Ein hilfreicher Zeitgenosse hat sich die Mühe gemacht und bietet folgendes Tool an:
(Wer auch immer dieses Banner kreiert hat - genialer geht's nimmer! Da fällt jetzt garantiert jeder darauf rein - sogar ich)
Labels: Betrug, Funny, Internet, Sicherheit
Mittwoch, Juli 30, 2008
Symantec und der Uber-Virus
Sie müssen den Computer für mindestens 30 Sekunden ausschalten, um den Virus aus dem Arbeitsspeicher zu entfernen. Verwenden Sie nicht die Reset-Taste, um Ihren Computer im abgesicherten Modus zu starten.
Hä?
Labels: IT, PC-Support, Sicherheit, Viren, Windows
Dienstag, Juli 29, 2008
Seriöse Flugsicherheit
"Überspitzt gesagt muss im Flugzeug nur eine Glühbirne flackern - und schon darf die Maschine nicht starten."
Labels: Airlines, Flug, Sicherheit, Wirtschaft
Freitag, Juni 27, 2008
Damals: Abschlussfeier meiner 9. Klasse
Grundsätzlich ist gegen ein Fest zum Schulschluss nichts einzuwenden. Im Gegenteil: Eltern sollen ihre Kinder bei der Organisation eines Festes unterstützen, Verantwortung und vor allem auch die Aufsicht übernehmen; sie sollen also während des Festes anwesend sein und die Kinder oder Jugendlichen nicht unbeaufsichtigt lassen. Weiter empfiehlt die Polizei ein Verbot von Alkohol, Rauchen und Drogen.
[...] „Anlässe an einem Gewässer, im Wald oder überhaupt draussen sind eher gefährlich, wenn sie bis spät andauern“, schreiben die Kommandanten der Stadtpolizeien Grenchen, Olten und Solothurn.
Quelle: polizeinews.ch - So bleiben Schulschlussfeste friedlich
Ich kann mich nicht erinnern, dass bei unserem Fest Mitte der Neunziger Jahre Eltern die Aufsicht hatten und Alkohol verboten war. Die Ortswahl (Schönebrunne) hätte der Polizei überhaupt nicht gepasst. Immerhin stiessen keine Fremden zur Party (wir hatten dank Pesca Frizz plötzlich genügend "Fremde" in den eigenen Reihen).
Labels: Neuenegg, Party, Polizei, Schule, Sicherheit
Mittwoch, Juni 18, 2008
Alle Monate wieder: Briten verlieren Kundendaten
Was Bill Bonner von The Daily Reckoning mit seiner spitzen Zunge für die Finanzwelt ist, ist The Register für die IT-Welt:
Providing proof, if it were needed, that every single piece of personal data in the UK has now been lost - probably several times over, by multiple corporations and government offices - news has just broken of another theft of laptops crammed with easily accessed info.
Quelle: London hospital loses 20,000 unencrypted patient files | The Register
Labels: Datenschutz, Funny, Grossbritannien, IT, Sicherheit
Sonntag, Juni 15, 2008
Wie zwei auskommentierte Zeilen Code SSL-Zertifikate unbrauchbar machten
/* MD_Update(&m,buf,j); */
Quelle: Diff for /openssl/trunk/rand/md_rand.c between version 140 and 141
Labels: Debian, Linux, OpenSSL, Sicherheit, SSL
Sonntag, Juni 15, 2008
Der bernische Scheff Schissi hat versagt
Wüste und unappetitliche Szenen gab es entgegen Medienberichten letzten Freitag eben doch in Bern. Für die Bleus selbstverständlich auf dem Fussballfeld im Wankdorf (4:1 - "Adieu les Bleus!"), doch für die Besucher der Public Viewings auch in der Innenstadt. Es herrschte nämlich Toiletten-Notstand.
Keine Ahnung, wer für besagten Abend die Vorbereitungen bezüglich sanitären Einrichtungen orchestriert hatte. Fakt war: Zu wenig Toiletten, zu viele Besucher und eindeutig zu viel Bier.
Da es in der Innenstadt aus mir unerklärlichen Gründen an offenen Pissoirs fehlte, gestaltete sich das Anstehen zu einer Geduldsprobe - insbesondere für Männer. Kein Wunder, dass unser Geschlecht überall hinschiffte; nur nicht dort, wo es eigentlich vorgesehen war. Nachfolgend ein Erinnerungsbericht über den Weg von mir und Kollege Zgräsch während der Halbzeit des Matches, ausgehend vom Lorenzini hin zur Perry-Bar (auf Grund des Trubels auf dem Kornhausplatz mussten wir einen längeren Umweg über die Brunngasshalde in Kauf nehmen).
Die Notdurft wird überall errichtet
Da sah man beispielsweise einen Jugendlichen, der seine Notdurft noch bevor dem Eindunkeln an die Wand des Kioskes an der Zytglogge verrichtete - gekrümmt stand er auf einer Kiste unter dem Vordächli, hielt sein Pfiffli irgendwie in der Hand und gab "Wasser Marsch!" zum Besten. Schön gedeckt von seinen einen Halbkreis bildenden Kollegen.
Einen Meter weiter bildete sich eine lange Schlange vor den Pissoirs an der Zytglogge. Sichtlich angeheiterte Seisler rissen eine Zote nach der anderen, doch man kam in der Schlange kaum vorwärts (von der anderen Seite her dasselbe Bild). Als ich so weit vorgerückt war, dass ich in die Nähe des penetranten Urin-Gestankes kam, sah ich angewiedert, wie sich im abgesenkten Boden der Pissoirs ein See gebildet hatte, der jede Minute über die Pflastersteine auf die Strasse zu schwappen drohte. Wahrscheinlich hatte ein unachtsamer Zeitgenosse den Ablauf mit Abfall verstopft ...
Als wir in die Brunngasse einbogen, sahen wir nach wenigen Metern einen Oranje, der ein eingetopftes Bäumchen bewässerte, während Passanten an ihm vorbeischlenderten. Zwei, drei Häuser später jagte ein Berner, dessen Funktion mir nicht ganz klar war und immer noch ist, zwei Holänder um einen Brunnen herum, weil diese an die Häuserwand pinkeln wollten. Er wies die Gäste an, doch bitte in den am Boden eingelassenen gitternen Ablauf am anderen Ende des Brunnen zu schiffen.
Nachdem wir die Brunngasshalde durch die Treppe am Ende der Brunngasse erreicht hatten und einige Meter Richtung Kornhausbrücke gegangen waren, sahen wir am Boden plötzlich ein Rinnsal auf die Strasse plätschern. Als wir unsere Blicke nach links, der Herkunft der Urinströme, lenkten, sahen wir hinter einem tschechischen Wohnmobil zum ersten Mal auch weibliche Geschöpfe, die ganz hinten an der Wand kauerten und mit den Jeans in den Knien ihre Notdurft verrichteten. Die Kollegin, die auf dem Trottoir die Stellung hielt, beschwerte sich über unsere Blicke während ihre Kolleginnen vor sich hinglucksten und eine Gaudi zu haben schienen.
Hatte man den Leopard II passiert, kam einem erneut ein pisseliger Geruch entgegen - Richtung Kornhaus schauend hatte man linkerhand an die Französische Kirche angelehnt eine Toiletten-Meile eingerichtet. Vis-a-vis davon standen gut bevölkerte Sauf- und Fressstände von Hotel Bern & Co. (TV, Bier, Bratwürste und Toiletten innerhalb von 10 Meter - was braucht der Mensch mehr?). Ich frage mich bis heute, wie man in dieser geruchsbetonten Umgebung während 105 Minuten einen Match verfolgen konnte.
Noch bevor wir auf dem Platz vor der Perry-Bar angekommen waren, sahen wir kurz nach den Toilettenhäuschen ein halbes Dutzend Männer, welches in der einbrechenden Dunkelheit seine Notdurft an der Wand der Französischen Kirche verrichtete. Nur wenige Meter daneben stand ein Polizist, der mit dem Rücken zu ihnen das Treiben auf dem Platz überwachte.
Schlussfolgerungen
Meine Frage: Dass an diesem Abend die Stadt von einer Unmenge an Fans bevölkert sein würde war lange zuvor klar, so klar jedenfalls, dass die Gastronomie-Betriebe befürchteten, dass das Bier ausgehen könnte.
Anscheinend hat man nicht überlegt, dass wenn sogar das Bier auszugehen droht, auch proportional mehr Urin die Aare und Altstadt herunterfliessen könnte. Mir will es nicht in den Kopf, dass man an diesem Abend zwar weitere Hektoliter Bier organisieren und zusätzliche Leinwände aufstellen konnte, die Toiletteninfrastruktur aber anscheinend nicht ausbaubar war.
Scheff Schissi in Bern, Sie haben versagt!
Labels: Bern, Euro08, Sicherheit, Toilette
Samstag, Juni 07, 2008
Schäuble, einfach mal Fresse halten!
Diesen Terror-Scheiss kann ich nicht mehr hören! Steht uns etwa "Der Angriff der besoffenen Klompen-Bomber" bevor?
Die Gefahr eines Terroranschlags bei der Fussball-Europameisternschaft ist nach Einschätzung des deutschen Innenministers Wolfgang Schäuble unverändert hoch.
Quelle: Schäuble warnt vor Terrorgefahr - Ausland - Tages-Anzeiger
Labels: Deutschland, Euro08, Sicherheit
Freitag, Juni 06, 2008
Atomkraftwerk schaltete sich nach Software-Update ab
Darf ich raten: Dort wird garantiert Microsoft Windows eingesetzt. Und ich kann aus eigener Erfahrung bezeugen: Jawoll, Windows fährt sich nach erfolgtem Software-Update herunter. Selbst wenn ich "Jetzt nicht" anklicke, erscheint das verfluchte Fenster nach spätestens fünf Minuten wieder und frägt mich erneut, ob ich die soeben gepatchte Kiste wirklich sicher nicht herunterfahren möchte ...
Dass es keine gute Idee ist, in Kraftwerken die Netze der Prozessleittechnik mit denen der Verwaltung zu verknüpfen, zeigt ein Vorfall im März dieses Jahres in den USA. Laut einem Bericht der Washington Post fuhr das Atomkraftwerk Hatch in Georgia automatisch herunter, nachdem ein Techniker ein Software-Update auf einem Rechner im Verwaltungsnetz einspielte und diesen neu startete. Dabei versuchte sich der PC mit einem Server des primären Kontrollsystems zu synchronisieren und setzte dabei dessen Datenspeicher zurück. In der Folge interpretierte das Sicherheitssystem das Fehlen von Daten als einen Abfall der Wassermenge im Kühlreservoir der Kühlung, woraufhin Block 2 des Kraftwerks herunterfuhr.
Quelle: heise online - US-Atomkraftwerk schaltete sich nach Software-Update ab
Donnerstag, Mai 08, 2008
Der Weltwoche-Hack
Wie immer nichts weltbewegendes:
Man logge sich unter Log-in für bereits registrierte Abonnenten und Abonnentinnen mit dem Benutzernamen roger und demselben (!) Passwort an.
Via: Alles Roger bei der Weltwoche
Es scheint, als würden Schweizer Web-Entwickler noch oft ein Passwort erlauben, das identisch mit dem dem Benutzernamen ist. Die Weltwoche ist da in guter Gesellschaft.
Labels: Hack, Sicherheit, Web
Samstag, April 19, 2008
Beurteilung der Sicherheit eines komplexen Systems
Soviel zum "Geschtr isches ja o guet cho!" ...
[...] There are several references to flights that had gone before. The acceptance and success of these flights is taken as evidence of safety. But erosion and blow-by are not what the design expected. They are warnings that something is wrong. The equipment is not operating as expected, and therefore there is a danger that it can operate with even wider deviations in this unexpected and not thoroughly understood way. The fact that this danger did not lead to a catastrophe before is no guarantee that it will not the next time, unless it is completely understood. When playing Russian roulette the fact that the first shot got off safely is little comfort for the next.
Quelle: Personal observations on the reliability of the Shuttle
Via: The Six Dumbest Ideas in Computer Security (auch sehr lesenswert!)
Labels: Engineering, Sicherheit, Wissenschaft
Freitag, April 18, 2008
Wie man garantiert keine sichere Web-Applikation entwickelt
Können Web-Entwickler eigentlich noch dümmer werden? Es besteht zu befürchten ...
The unfortunate developers executed several critical errors in establishing the site. First, they allowed a database with sensitive content to face the outside Internet. Second, they allowed queries from the website to access any of the information in that database. Third, they placed the SQL queries required to extract information inside GET requests from the browser (most easily recognised as the part of the URL after the question mark(?) if it is there). Finally, and possibly most critically, they did not perform any filtering of the anonymous GET requests, happily executing the SQL requests and returning the results.
Quelle: SQL string in URL exposes sex offender data
Labels: IT, Sicherheit, Web
Donnerstag, April 10, 2008
Mac-Nutzer müssen Virenscanner kaufen!
Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden.
Quelle: "Apple-Nutzer tragen Hawaii-Hemden"
Sagt wer? Ah, ... der Rüstungsverkäufer? Was der nicht sagt!
Labels: Apple, Mac, Sicherheit, Viren
Donnerstag, April 03, 2008
Wohin würde Jesus surfen?
Christian Internet Filter
A Christian Internet filter will spare you spam, porn, viruses, spyware and other undesirable content on your personal computer. Our Christian filtered Internet service is not just another ISP! If you are using another security suite like Norton, McAfee or Parental Controls, there are some big differences in how you and your family are protected. If you are concerned that your computer's Internet safety isn't up to par, you need an Internet content filter that helps protect your Christian lifestyle. [...]
Quelle: Christian Internet Filter
Labels: Funny, Internet, Sicherheit
Samstag, Februar 16, 2008
Verbreitet Partyguide Malware?
Am 13. Februar wurde ich von zwei Bekannten darauf hingewiesen, dass kurz nach dem Besuch der Homepage von Partyguide mit dem Internet Explorer ein nerviges Pop-Up erschien (s. Bild).
Indem der Benutzer auf Abbrechen klickt, erscheint das Pop-Up immer und immer wieder. Nach einigen Klickversuchen liess das Tool einem dann gar keine Wahl mehr:
DiskRetter wird jetzt ihre Festplatte scannen
Der eine Kollege vermutete daraufhin, dass dies wohl eine Revanche der Betreiber sei, wenn jemand mit einem Referer à la blog.emeidi.com oder pgwatch.wordpress.com auf Partyguide gelangt ...
Über DiskRetter
Eine Google-Suche liefert knapp 7'000 Treffer zu diskretter:
Folgender Bericht im Winboard-Forum scheint sich mit den Erfahrungen meiner Kollegen zu decken:
Ich habe eben mit Firefox 2.0.0.6 gesurft, habe ein neues Tab geöffnet und wollte mich bei kwick. anmelden, [...] aber plötzlich verschwindet mein Firefox-Fenster. In der Task-Leiste steht nur noch ein Icon vom Firefox und dahinter "Error Detectet - Mozilla Firefox" dafür aber erscheint Rechts untern ein Fenster (wie bei Fehlermeldungen). Siehe Screenshoot!!!
Quelle: diskretter.com
Mundtot machen
Bei mir kann ein solches Pop-Up gar nicht erst auftreten, da ich die Domain
phpads.partyguide.ch
seit Jahr und Tag in meinem DNS geblacklistet habe.
Dank: Mäxu & Bäschtu
Labels: Partyguide, Sicherheit, Viren, Web
Donnerstag, Februar 14, 2008
Stützlisex am Flughafen
Am Flughafen Zürich soll erstmals ein so genannter Bodyscanner zum Einsatz kommen. [...] Auf einem Überwachungsmonitor wird daraufhin ein «Nacktbild» der Person mit den Konturen aller Gegenstände angezeigt, die sie auf sich trägt.
Quelle: «Nacktbilder» von Flugpassagieren
Wieso nur habe ich das Gefühl, dass die männlichen Sicherheitsbeamten vornehmlich gutaussehende Frauen durch diesen Apparat schleusen lassen werden? Wann leakt wohl das erste YouTube-Video?
Labels: Funny, Schweiz, Sicherheit
Mittwoch, Dezember 19, 2007
Excel Blattschutz aufheben
Wer nebenstehende Meldung zu Gesicht erhält, muss nicht darben. Im Netz gibt es nämlich funktionierende Anleitungen, wie der Blattschutz einer Excel-Datei auch ohne Kenntnis des Passwortes aufgehoben wird:
Binden Sie dazu einfach das Script pcwBreaker.BAS in Excel ein. Dazu starten Sie Excel, wählen "Extras, Makros, Visual Basic Editor" und importieren das Script über "Datei, Datei importieren" in ein neues Modul. Laden Sie nun die Arbeitsmappe, öffnen Sie das geschützte Tabellenblatt, und starten Sie das Script über "Extras, Makro, Makros". Nach einigen Minuten haben Sie vollen Zugriff auf das Tabellenblatt.
Quelle: pcwBreaker (Teil 1)
Da das Script bei PC Welt nicht abrufbar ist, habe ich eine "Sicherheitskopie" im Netz gefunden. Ich gebe die Programmieranweisungen hier wieder und hoffe, kein geistiges Eigentum zu verletzen:
Sub pcwBreaker() Dim i As Integer, j As Integer, k As Integer Dim l As Integer, m As Integer, n As Integer Dim i1 As Integer, i2 As Integer, i3 As Integer Dim i4 As Integer, i5 As Integer, i6 As Integer On Error Resume Next For i = 65 To 66: For j = 65 To 66: For k = 65 To 66 For l = 65 To 66: For m = 65 To 66: For i1 = 65 To 66 For i2 = 65 To 66: For i3 = 65 To 66: For i4 = 65 To 66 For i5 = 65 To 66: For i6 = 65 To 66: For n = 32 To 126 Kennwort = Chr(i) & Chr(j) & Chr(k) & Chr(l) & Chr(m) & Chr(i1) & Chr(i2) & Chr(i3) & Chr(i4) & Chr(i5) & Chr(i6) & Chr(n) ActiveSheet.Unprotect Kennwort If ActiveSheet.ProtectContents = False Then MsgBox "Fertig" & vbcr & "Das alternative Kennwort lautet:" & vbcr & Kennwort Exit Sub End If Next: Next: Next: Next: Next: Next Next: Next: Next: Next: Next: Next End Sub
Quelle: Excel Blattschutz aufheben
Labels: Microsoft, Sicherheit
Freitag, November 30, 2007
Einmal gefoltert, nie mehr gestoppt!
We give ourselves the right to conduct wars of choice, with destructive effects on others out of all proportion to the risk to ourselves, because we know we are not the sort of people who enjoy wars. So, too, we may reserve the right to torture when torture is really necessary, just because we are not the sort of people who torture. By contrast, the enemy must be fought by tremendous and disproportionate means precisely because the enemy are the sort of people who do torture. Hunted back to its hiding place, this train of thought would perhaps disclose the premise that it is better to be killed by Americans than it is to be killed by other people.
Quelle: The Torture Compromise of 2007
Labels: Folter, Sicherheit, USA
Dienstag, Oktober 16, 2007
Partyguide versendet unkonforme Mails
Gestern Abend kam ich aus einem mir unerklärlichen Grund auf die Idee, den Quellcode eines von Partyguide automatisch versandten Mails unter die Lupe zu nehmen (in Apple Mail: Apfel + Alt + U):
Return-Path: <partyguide@partyguide.ch> Received: from all01.mx.genotec.ch (unknown [IPv6:2001:1b50::82:195:224:51]) by gmc-pop-bsd-014.genotec.ch (Postfix) with ESMTP id 94C481739A51 for <spam@emeidi.com>; Tue, 16 Oct 2007 00:34:09 +0200 (CEST) Received: from partyguide.ch (defiant.partyguide.ch [217.150.245.69]) by all01.mx.genotec.ch (Postfix) with ESMTP id C634B558B8E for <spam@eMeidi.com>; Tue, 16 Oct 2007 00:31:23 +0200 (CEST) Received: (qmail 3397 invoked from network); 15 Oct 2007 22:33:57 -0000 Received: from unknown (HELO nebula.partyguide.ch) (192.168.0.13) by defiant.partyguide.ch with SMTP; 15 Oct 2007 22:33:57 -0000 Received: by nebula.partyguide.ch (Postfix, from userid 507) id 238C850D831; Tue, 16 Oct 2007 00:33:57 +0200 (CEST) To: spam@eMeidi.com Subject: ******* hat heute Geburtstag! From: noreply@partyguide.ch<noreply@partyguide.ch> X-Mailer: PHP/5.2.3 X-Sender-IP: Content-Type: text/html Message-Id: <20071015223357.238C850D831@nebula.partyguide.ch> Date: Tue, 16 Oct 2007 00:33:57 +0200 (CEST) X-GIC-MailScanner-SpamCheck: not spam, SpamAssassin (not cached, score=-0.045, required 10, BAYES_00 -2.60, FORGED_RCVD_HELO 0.14, HTML_30_40 0.37, HTML_MESSAGE 0.00, HTML_MIME_NO_HTML_TAG 1.08, MIME_HEADER_CTYPE_ONLY 0.00, MIME_HTML_ONLY 0.00, NO_REAL_NAME 0.96) <font face="verdana" size="2">Hallo mad4you! <br><br> Dein PartyGuide.ch myFriend ******* hat heute Geburtstag!<br> Vergiss nicht zu gratulieren :-) <br><br> Hier gehts zum Profil von *******:<br> <b><a href="http://my.PartyGuide.ch/*******">http://my.PartyGuide.ch/*******</a></b> <br><br> Dies ist ein automatisch generiertes eMail... <br><br> Liebe Grüsse<br> PartyGuide.ch Team </font>
Einige Bemerkungen:
- Fangen wir mit der einzigen vorbildlichen Eigenschaft des Mails an: Return-Path ist gesetzt. Tritt beim Versand des Mails ein technisches Problem auf, kriegt dies Partyguide über die Adresse partyguide@partyguide.ch mit.
Würde man diese Adresse als Absender einsetzen, würden wohl täglich unzählige unerwünschte Antworten von Endbenutzern auf die erwähnte Adresse eintrudeln, die gedankenlos den Antworten-Knopf drücken. Deshalb noreply@partyguide.ch im From:-Feld. - Irgendwie sieht aber genau dieses From-Feld nicht ganz koscher aus: From: noreply@partyguide.ch<noreply@partyguide.ch> Sollte da nicht noch ein Abstand zwischen dem anzuzeigenden Namen und dem < zu stehen kommen? Da die Information aber sowieso redundant ist, sollte man den Namen einfach weglassen und nur <noreply@partyguide.ch> schreiben ...
- Wo bleibt der html und der body-Tag (inkl. End-Tags)?! Wenn das Mail als Content-Type: text/html versandt wird, sollte es auch den minimalsten Anforderungen des HTML-Standards genügen. Der Entwickler hat - wieder einmal - geschlampt. Nebenbei: Wieso muss für einen solchen Text überhaupt ein HTML-Mail versandt werden? Nur damit die URL fett eingefärbt werden kann?
Man beachte X-GIC-MailScanner-SpamCheck (SpamAssassin), der sich auch über die fehlenden Tags beschwert (HTML_MIME_NO_HTML_TAG) und dafür satte 1.08 Spam-Punkte vergibt - X-Mailer: PHP/5.2.3 - wieso um Gottes willen greift man nicht auf OSS-Klassen wie den ausgereiften (und von Profis programmierten) PHPMailer zurück, die das Versenden von HTML-Mails mit alternativem Plain-Text-Body und Attachment zum Klacks machen?
- Immerhin verwendet man nicht mehr PHP 3.x, sondern 5.2.3. Der erste Schritt in die Absicherung der Plattform ist somit getan. Nun kommt aber noch der deutlich grössere Teil der Arbeit: Der Code-Audit und damit einhergehend neu schreiben von mehrere Jahre altem Spaghetti-Code ...
Ein zufälliger Blick in ein Nebenprodukt von Partyguide - und man wird sich wieder einmal bewusst, wie gering die Ambitionen der Programmierer sind (waren?), standardkonformen und sauberen Code vorzulegen. Aus meiner Sicht ein klassisches Beispiel von "Internet-Frevel" und symptomatisch für das Portal. Nur weil ein Script funktioniert und auf dem Internet Explorer und in Microsoft Outlook anständig gerendert wird, heisst das noch lange nicht, dass der Code auch professionellen Anforderungen standhält.
Jason und Argonauten: Das ist eure Visitenkarte, die euer "Unternehmen" Techies unter die Nase hält - kein Wunder, hat sich Tamedia für die Zusammenarbeit mit dem geringsten aller Übel, Tilllate, entschieden ...
Labels: IT, Partyguide, Sicherheit, Web
Mittwoch, September 05, 2007
Zugangsdaten für registrierungspflichtige Web-Sites
Wer wie ich gerade einem Bekannten Zugang zu Partyguide-Profilen verschaffen muss, ohne dass er sich in einem langwierigen und pingeligen Prozess registriert (just kidding), sei folgende Web-Site empfohlen:
Labels: Partyguide, Sicherheit, Web
Samstag, September 01, 2007
Parallelen zum dritten Partyguide-Hack
Underscoring a major susceptibility threatening thousands of high-profile computer users across the world, a Swedish security consultant has published login credentials belonging to some 100 embassies.
Quelle: Mystery SNAFU exposes email logins for 100 foreign embassies (and counting)
Beim dritten Partyguide-Hack veröffentlichte ich 13'000 Passwörter von Benutzerkonten der Online-Community Partyguide. Zum Zeitpunkt der Veröffentlichung des Blog-Artikels (Samstag, 9. Juni 2006) waren die Passwörter der komprimittierten Accounts aber bereits von den Verantwortlichen zurückgesetzt worden.
"It will only take 10 minutes and every script kiddie is going to be using the exact same method," he told The Reg. "I'm probably not the first one grabbing these passwords, but I'm absolutely the first one publishing them."
Die Sicherheitslücke entdeckte ich während der Programmierung einer Suchfunktion für Partyguide-Benutzer (was bringt eine Suchfunktion, wenn man nicht auch gleich das Bild der gefundenen Benutzern präsentiert erhält). Nachdem ich beim Zugriff auf das AJAX-Such-Script auf Grund falsch formulierter GET-Parameter SQL-Errors zu Gesicht bekam, versuchte ich mich einer SQL-Injection. Leider führte dies zu keinem Erfolg. Umso erstaunter war ich, als ich der Suchabfrage einfach ein Parameter user_search.php?bla=bla...&password=123456 beifügte - und als Resultat alle Benutzer präsentiert erhielt, die dieses Passwort gesetzt hatten. Diese Lücke war selbst für Script-Kiddies schon fast zu einfach ...
Ob vor mir bereits jemand auf diese Lücke aufmerksam geworden ist und diese ausgenutzt hat, weiss ich nicht. Die Entwickler hinter Partyguide wohl auch nicht. Schliesslich wurden sie auf den Hack nur aufmerksam, weil ich während sieben Tagen zehntausende von Anfragen auf das Suchscript losfeuerte. Die Sicherheitslücke wurde nach der Entdeckung durch die Partyguide-Entwickler innert Stunden gefixt. Ich war der erste, der die Lücke öffentlich machte (Partyguide hat bis heute zu keiner der von mir veröffentlichten Sicherheitslücken und Datenlecks weder öffentlich Stellung genommen noch seine Benutzer informiert).
Egerstad's list offers a rare glimpse into the password robustness, or lack thereof, of various countries. At the top of the list was Uzbekistan, where a typical password looks something like "s1e7u0l7c." Surprisingly, the ultra-secret Iran was near the bottom of the list; passwords for its various embassies tended to be the city or country in which the embassy resides. The Hong Kong Liberal Party used "12345678" while one for an Indian embassy was simply "1234."
Auch ich liess es mir im Nachgang zur Veröffentlichung der Lücke nicht nehmen, die Liste der Zugangsdaten nach häufigen Passwörtern zu durchforsten.
Egerstad's decision to publish the account details online is sure to reignite the frequent debate about whether such full disclosure is irresponsible because it simply allows a broader base of people to misuse the information. He says he's well versed in the merits of responsible disclosure but decided that posting the login details was the only way to get the attention this problem deserves.
"I don't have time calling all over the world to tell them something they won't understand or listen to," Egerstad said. "I'm probably going to get charged for helping to commit a crime. I don't really care."
Eine ähnliche Diskussion hat sich auch bei der Veröffentlichung meiner Erkenntnisse entfacht. Und auch ich forderte Partyguide auf, ein Gericht über die Illegalität meiner Handlungen entscheiden zu lassen. Nun, Letzteres bahnt sich mittlerweile an.
Nachtrag: "Millionenraub" auch bei Monster.com
[...] As is the case with many companies that maintain large databases of information, Monster is from time to time subject to attempts to illegally extract information from its database.
As you may be aware, the Monster resume database was recently the target of malicious activity that involved the illegal downloading of information such as names, addresses, phone numbers, and email addresses for some of our job seekers with resumes posted on Monster sites.
The Company has determined that this incident is not the first time Monster's database has been the target of criminal activity. [...] While no company can completely prevent unauthorized access to data, [...]
Quelle: Security Notice
Labels: Partyguide, Sicherheit, Web
Freitag, Juli 27, 2007
Data-Mining StudiVZ
Bevor der StudiVZ-Virus in der Schweiz um sich griff (irgendwann einmal im Frühjahr 2007 begann die virale Infektion der Schweiz von Fribourg her nach Bern ausbreitend), nutzte ein findiger deutscher Programmierer seine Web-Kenntnisse, um mehr als eine Million StudiVZ-Profile abzugrasen. Die Auswertung ("Data-Mining") der so gewonnenen Daten finden sich hier:
StudiVZ - Inoffizielle Statistikpräsentation
Seither hat StudiVZ einiges (Geld & Grips) in Lösungen investiert, um das "crawlen" von Profilen zu verhindern. Als gelegentlicher Benutzer der Plattform sind mir primär zwei Vorsichtsmassnahmen aufgefallen:
- Captchas. Nachdem jemand eine bestimmte Anzahl von Seiten aufgerufen hat, muss er eine in einer Grafik angezeigte Zeichenfolge abschreiben. So verhindert man, dass die Anfragen von einer "Maschine" ausgeführt werden.
- Hashes als User-ID. Anstelle einer aufsteigenden Nummer verwendet man eine Zeichenkette aus Zahlen und Buchstaben, um einen Benutzer eindeutig zu identifizieren. Verwendet man wie bspw. Partyguide Benutzernummern, kann ein selbst geschriebenes Programm die Profile abgrasen, indem ein Zähler in einer Schleife konstant um hochgezählt wird (für Programmierer: i++).
Labels: Kunde, Sicherheit, Web
Samstag, Juli 07, 2007
Virenscanner: Ursache (fast) aller Flaschenhälse
Mehr muss wohl nicht gesagt werden - ist der Virenscanner mal drauf, ist die Geschwindigkeit im Eimer:
Quelle: What Really Slows Windows Down
Ich kann aus Erfahrung bestätigen: Auf der Arbeit sind Pentium II und III-Geräte kaum mehr benutzbar, sobald Symantec Antivirus darauf installiert wurde. Der Bootvorgang verzögert sich um Minuten, sobald die Virenwächter ihren Dienst verrichten.
Neben den wiederkehrenden Abo-Kosten für die Updates der Virendefinitionen ein weitere Grund, wieso man schleunigst auf Mac OS X oder Linux wechseln sollte. Macs und Linux-PCs sind auch deshalb viel zuverlässiger, weil ich keine Norton- oder Symantec Bloatware installieren und permanent laufen lassen muss. (Unter Mac OS X ist es sogar so, dass ich mit der Installation von Symantec-Produkten völlig neue Probleme schaffe, die man vorher nicht hatte).
Hiermit ist bewiesen (qed., wie es Smythe zu sagen pflegt): Microsoft, Adobe und Symantec gehören der Achse des Bösen an; garantieren aber durch ihre Aktivitäten, dass viele, viele Familien von Computerexperten und Hardwareherstellern täglich warme Mahlzeiten auf dem Tisch haben.
Labels: IT, PC-Support, Sicherheit
Dienstag, Juni 19, 2007
Xing und die Profilbilder
Bisher empfand ich es nicht für nötig, dem sozialen Netzwerk Xing für eine aufgebohrte Mitgliedschaft monatlich Geld nachzuwerfen.
Dennoch würde man selbstverständlich gerne wissen, welche Benutzer das eigene Profil besucht haben (analog zu StudiVZ, wo diese Auskunft gratis ist ...).
Heute wurde ein unbekanntes, hübsches Gesicht aufgeführt, dessen Besitzerin mein Profil angeklickt hat. Nachfolgend einige Findings:
- Rechtsklick auf das Foto • "Open image in new tab" (Safari) • /img/users/4/6/b/69582b325.6624751_s2.jpg
- Probieren wir mal aus: /img/users/4/6/b/69582b325.6624751_s1.jpg (Aha, die kleine Version des Thumbnails) • /img/users/4/6/b/69582b325.6624751_s3.jpg (Aha, eine grössere Version des Bildes) • /img/users/4/6/b/69582b325.6624751_s4.jpg (Aha, das gibbet nicht!)
- Hmmm, aber in meinem Profil gibt es noch ein grösseres Foto von mir: /img/users/4/6/b/69582b325.6624751.jpg (Aha, man entferne einfach "_s[0-3]" aus der Pfadangabe ...)
- Die zwei Zeichenketten (46b)69582b325 wie auch 6624751 kommen in allen Bildvarianten vor. Ich tippe, dass letztere Zahl die User-ID ist. Doch was bedeutet der erste Teil? Ein 12-stelliger Hash-Wert, der sich aus der ID berechnet, um stupide wget-Anfragen in einem hochzählenden for-Loop zu unterbinden?
Da ich jetzt (zumindest vermute) die User-ID besitzen - wo finde ich einen Link, der nicht auf den Namen des Benutzers verweist, sondern auf seine User-ID? So könnte ich dann doch noch herausfinden, wer sich hinter der anonymisierten Person verbirgt. Und hätte den Betreibern ein Schnäppchen geschlagen.
Ich bleibe auf jeden Fall dran.
Labels: Sicherheit, Web, Xing
Dienstag, Juni 19, 2007
Partyguide lernt ...
Bravo! Langsam scheint die Larifari-Kultur beim Partyfoto-Dienstleister auszusterben.
Im Grund finde es keine schlechte Idee, nur eine bestimmte Art von GET-Variablen zuzulassen und "Verstösse" dagegen umgehend an den Entwickler weiterzuleiten. So kann man nicht nur Hackversuche enttarnen, sondern auch Fehlprogrammierungen aufdecken.
Inwiefern der Endanwender hingegen über das "technische Problem" (= "Hackversuch") informiert werden sollte - darüber kann man sich wohl stundenlang streiten. Ein Schelm, wer die URL www.partyguide.ch/ indexp.php? ld=no& mid=12345& special=einsaetze nun mit einem Script 10'000 Mal aufruft ... und so wohl die Mailbox des Entwicklers sprichwörtlich fluten würde.
Dank: ****
Labels: Partyguide, Sicherheit, Web
Mittwoch, Juni 13, 2007
Der AutoScout24-Hack
Disclaimer: Ich habe rein gar nichts mit dem Hack zu tun. Meine zwei Verbindungen zum Unternehmen: a) Anscheinend habe ich auf der Web-Site vor langer Zeit einmal einen Account eröffnet und b) Der Sitz befindet sich in Sichtweite von meinem Zuhause, ca. 2km 580m Luftlinie (mit Google Earth nachgemessen).
Gestern Abend erreichte mich folgendes Mail:
Sehr geehrte Kundin, sehr geehrter Kunde
Immer wieder kann es vorkommen, dass gerade erfolgreiche Online-Anbieter das Ziel von Hacker-Angriffen werden. So wurde auch AutoScout24 von Hackern „besucht“.
Dank unserer hoch entwickelten technischen Überwachungssysteme konnten wir den versuchten Angriff aber ebenso schnell registrieren wie abwehren. Über die Identität und die Absichten der Hacker haben wir derzeit keine Anhaltspunkte. Bislang ist es aber zu keinen Unregelmässigkeiten auf unserer Plattform oder in Kunden-Accounts gekommen.
Die Sicherheit Ihrer Daten ist für AutoScout24 immer vorrangig. Wir haben uns deshalb entschlossen, heute ab 20.00 Uhr sämtliche Passwörter unserer Kundinnen und Kunden zurück zu setzen. Diese Massnahme hat rein präventiven Charakter und bietet das Höchstmass an Sicherheit nach einem abgewehrten Hacker-Angriff.
Benutzername: user Ihr neues Passwort lautet: password Link zur Passwortänderung: http://www.autoscout24.ch/AS24Member/Login.aspx?wl=1&lng=gerBitte loggen Sie sich umgehend mit ihrem neuen, oben stehenden Passwort ein und ändern Sie es gleich nach Ihren Wünschen wieder ab. Klicken Sie dazu auf den Button „Passwort ändern“.
Benutzen Sie aber auf keinen Fall das Passwort, das Sie bislang auf unserer Plattform verwendet haben. An dieser Stelle möchten wir unsere Sicherheitsempfehlung wiederholen, alle Ihre Passwörter einmal im Monat zu ändern.
Wenn Sie weitere Fragen dazu haben kontaktieren Sie bitte unseren Kundendienst unter der Nummer: 031 744 21 31 oder schreiben Sie uns eine E-Mail an: info@autoscout24.ch
Quelle: E-Mail von info@autoscout.ch an mich, 12. Juni 2007, 22.34 Uhr
Partyguide sollte sich daran ein Vorbild nehmen!
So machen es die Semi-Profis (Profis müssten nie ein solches Mail versenden, weil es nichts zu hacken gibt):
- Systeme werden konstant auf verdächtige Aktionen überwacht
- Im Zweifelsfalle werden Passwörter aller Kunden zurückgesetzt
- Kunden werden umgehend über das Problem und dessen (vermuteten) Umfang informiert
- Kunden werden explizit darauf hingewiesen, dass es äusserst töricht wäre, wieder auf das alte Passwort zu wechseln
- Der Anbieter gibt Tipps, die über den Vorfall hinaus gültig sind (Passwörter regelmässig wechseln)
- Angabe einer E-Mail-Adresse und einer Telefonnummer, um mit dem Anbieter in Kontakt zu kommen
Das Tüpfchen auf den i wäre nun nur noch, wenn der Anbieter es unmöglich machen würde, das vorherige Passwort erneut zu verwenden.
Unpassend finde ich aber folgenden Satz:
Immer wieder kann es vorkommen, dass gerade erfolgreiche Online-Anbieter das Ziel von Hacker-Angriffen werden. So wurde auch AutoScout24 von Hackern „besucht“.
Hacker-Angriffe passieren - das bestreitet niemand ab. Es besteht aber ein himmelgrosser Unterschied, ob ein Angriff stattgefunden hat oder aber ob er tatsächlich erfolgreich war. Hier scheint letzterer Fall vorzuliegen - eine Verniedlichung ist definitiv nicht angebracht!
Labels: Hack, Sicherheit, Web
Dienstag, Mai 22, 2007
Sicherheit à la Microsoft
[...] Das Unternehmen sieht nun Handlungsbedarf, um das Arbeiten mit der Office-Suite sicherer zu machen, und stellt zwei Software-Updates vor, die die Gefahren durch die Verarbeitung von manipulierten Office-Dokumenten verringern sollen: Microsoft Office Isolated Conversion Environment (MOICE) und eine File-Block-Funktion.
Die MOICE-Software macht nichts anderes, als Office-Dokumente im Office-Binärformat mit Hilfe der Office-2007-Konvertierungsroutinen in dessen XML-Format umzuwandeln. Den Office-Entwicklern fiel nämlich bei der Analyse der bislang aufgetauchten, schadhaften Dokumente auf, dass der Konvertierer aus Office 2007 daraus ein Dokument ohne Schadwirkung erzeugte, die Umwandlung fehlschlug oder die Software einfach abstürzte.
Quelle: Microsoft will Office sicherer machen
Analogon: Dem Bauherren ist bekannt, dass das Fundament eines Hauses einem starken Erdbeben nicht standhalten wird. Was macht er? Er montiert mehr Erste-Hilfe-Sets als geplant an die Wände. Das eigentliche Problem ist damit zwar nicht gelöst, aber die Bewohner des Hauses fühlen sich nun vollumfänglich sicher.
Ich will und kann nicht glauben, dass diese geniale Eingebung ("Defective by design"?) auf dem Mist eines Technikers gewachsen ist. Viel Eher hat ein Marketing-Fuzzi wieder einmal seine Anstellung rechtfertigen müssen, auch wenn er von IT eigentlich keinen blassen Schimmer hat.
Labels: Microsoft, Sicherheit
Abonnieren
