Auflistung aller Beiträge aus der Kategorie

Schwachstellen

ψ² = Ps(i)²

Weitere Kommerzialisierung mit Firefox Schwachstelle

Der Sicherheitsdienstleister Secunia hat vor zwei Tagen ein Advisory herausgegeben. Ganz normale Geschichte eigentlich. Das Advisory trägt den Namen “Mozilla Firefox Unspecified Code Execution Vulnerability”. Unspecified? Warum das? Sonst ist Secunia wirklich gut informiert. Warum diesmal nicht?

“Die Schwachstelle hängt mit einem nicht genau bekannten Fehler zusammen und kann ausgenutzt werden um bösartigen Code einzuschleusen. Die Schwachstelle wurde für Version 3.6 bekannt gegeben. Andere Versionen könnten aber auch betroffen sein”, heißt es in dem Advisory.

Das Advisory verweist auf einen Forumsbeitrag, der von einem Update für die Exploitation-Software VulnDisco 9.0 berichtet. Update meint hier jedoch “neues Exploit” – nicht neues Patch ;-) Der Beitrag spricht von zwei 0-Day-Exploits: Eins für Firefox 3.6 und eins für Lotus Notes, jeweils für XP und Vista Plattformen. Die Exploits kann man auf der Website von VulnDisco käuflich erwerben – Preis auf Anfrage. Das ist eigentlich das erste Mal, dass ich einen so “offenherzigen” Umgang mit dem Verkauf von Exploits erlebe. Die Kommerzialisierung der Hacker schreitet also weiter voran…

Lesen Sie mehr →
ψ² = Ps(i)²

Blödsinnige Passwortbewertung

Seltener eine blödsinnigere Passwortbewertung gesehen als die des CXO-Magazins. Das Magazin beruft sich in einer Infografik zu einem en Bericht über sichere Passwörter auf die Bewertungen der Gmail Password Strenght Meter und bewertet darin Passwörter wie enzoferrari, ggecko und ncc1701 als “gute” Passwörter und deathknight55 wird gar als “starkes” Passwort bewertet. Na dann viel Glück.

Lesen Sie mehr →
ψ² = Ps(i)²

Wieder Schwachstellen bei Adobe

Diesmal hat ein israelischer Blogger (Aviv Raff) über eine Schwachstelle berichtet, die es über einer manipulierten Website und den Adobe Download Manager erlaubt, beliebige Software auf einem Windows-Rechner zu installieren. Die Schwachstelle wurde bereits im Adobe PSIRT-Blog bestätigt. Ein Security Bulletin gibt es aktuell noch nicht.

Lesen Sie mehr →
ψ² = Ps(i)²

Deutsche Kredit- und ec-Karten “nicht betroffen”

Das zumindest sagt der Zentrale Kreditausschuss (ZKA) der deutschen Kreditwirtschaft in einer Pressemitteilung und bestätigt sich damit selbst den uneingeschränkt hohen Schutz des Chip- und PIN-Systems auf deutschen girocards und Kreditkarten.

“Bei der Untersuchung des Angriffsszenarios stellte der ZKA fest, dass dieser mit girocard-Karten an Geldautomaten und an POS-Terminals des girocard-Systems in Deutschland nicht möglich ist”, stellt die Pressemitteilung in Bezug auf eine neue Angriffsvariante fest, die an der Universität Cambridge erarbeitet wurde.

Die Pressemitteilung lässt bei mir mehr Fragen offen, als sie schließt. Die Frage, ob z.B. der Angriff in Deutschland mit englischen Karten funktioniert, oder umgekehrt mit deutschen Karten in England bleibt offen. Ob die Aussage für alle in Deutschland im Umlauf befindlichen Karten gilt, wird ausgeklammert. Meine Kreditkarten sind jedenfalls vier Jahre gültig. Leider kenne ich mich bei diesem Thema nur begrenzt aus. In solchen Fällen bleibt nur gesundes Misstrauen gegenüber “Alles-ist-gut”-Pressemitteilungen:

“Die deutschen ec-Karten des girocard-Systems sind so konstruiert, dass die dargestellten Manipulationen effektiv verhindert werden. Das gilt ebenfalls für Kreditkarten mit dem vom ZKA freigegebenen Chipkarten-Betriebssystem SECCOS.”

Dass es bei der Implementierung der Kartensoftware doch den einen oder anderen Unterschied gibt und die Freigabe durch den ZKA auch nicht viel bringt, hat man ja Anfang des Jahres gesehen:

“SECCOS erlangte Anfang 2010 traurige Berühmtheit als die auf Gemplus (heute Gemalto) Chips installierte Version SECCOS 5 einen grossen Teil der in Deutschland eingesetzten EC- und Kreditkarten ausser Gefecht setzte”, ist die kurze Zusammenfassung aus dem Wikipedia-Artikel zu SECCOS.

Auch Heise-Security sieht die Sache kritisch: “Die Antwort der Banken, “Spezifikation verhindert den Angriff”, hatte Ross Anderson, Mitglied des Forscherteams, bereits vergangene Woche vorausgesagt. Auch die britischen Banken würden diese Antwort geben, obwohl Anderson und seine Kollegen den Angriff ja bereits praktisch demonstriert hätten. Daher müssten praktische Tests bei deutschen Banken zeigen, ob die Spezifikation auch korrekt umgesetzt wurde und der Angriff nicht nur theoretisch unmöglich sei. Anderson bezweifelt in einer Mail an heise Security, dass (durchschnittliche) deutsche Banken diese Tests durchgeführt haben. “Dafür fehlt ihnen vermutlich das Ingenieurswissen”, schreibt Anderson weiter.”

Mit dieser Aussage widersprechen sich die Wissenschaftler natürlich selbst: Sie hatten in dem BBC-Bericht gesagt, das der Angriff relativ leicht nachzuvollziehen sei.

Lesen Sie mehr →
ψ² = Ps(i)²

Adobe Reader 9.3 und 8.2 Updates

Adobe stellt heute die Updates auf Adobe Reader 9.3 für Windows, Mac und UNIX bereit. Adobe Acrobat 9.3 wird nur für Windows und Mac bereitgestellt. Updates für Adobe Reader 8.2 and Acrobat 8.2 gibt es für Windows und Mac. Die Installationspakete stehen zum Download bereit, auch wenn das Security-Bulletin zum jetzigen Zeitpunkt noch nicht aktualisiert wurde. Adobe schließt damit mehrere kritische Schwachstellen (u.a. Flash Player Security Bulletin APSB10-06).

Lesen Sie mehr →
ψ² = Ps(i)²

WordPress 2.9.2 behebt Sicherheitsproblem

Das Problem betrifft die in Version 2.9 neu eingeführte Trash-Funktion, mit der man Beiträge nicht direkt löscht, sondern in einen Papierkorb verschiebt. Die Version 2.9.2 behebt eine Schwachstelle, die von eingeloggten Nutzern ausgenutzt werden kann. Diese können einen unerlaubten Blick in den Papierkorb anderer Benutzer werfen (users can peek at trashed posts). Das Update wird von den Entwicklern empfohlen, wenn man User hat, denen man nicht vertraut.

Insgesamt wurden mit dem Update 8 Tickets geschlossen. Eines davon behebt die Möglichkeit mancher User mit bestimmten Tools (wie Firebug oder Web-Developer), das comment_post_ID Feld des Kommentarformulars zu manipulieren und damit auf alle – auch unveröffentlichte Beiträge – Kommentare zu verfassen. Mit Web-Developer sieht das dann so aus:

In meinen Tests klappt das nicht nur bei einigen Usern, sondern bei allen Besuchern der Website, wenn es um veröffentlichte Beiträge geht. Das ist aber wenig sinnvoll, weil man dort ja auch ganz regulär Kommentare schreiben kann. Für Artikel im Papierkorb und Artikel, bei denen Kommentare geschlossen sind, klappt es nicht. Das verletzte Sicherheitsparadigma: “Never trust client data!” Die Variable comment_post_ID darf natürlich ihren Wert nicht vom Browser bekommen.

In manchen Web-Shops kann man auf diese Art und Weise günstig einkaufen, weil der Artikel-Preis von einem solchen Feld an den Warenkorb weitergegeben wird. Da können sich dann die Kunden den Preis nach den eigenen Wünschen anpassen (das ist natürlich nicht erlaubt).

Lesen Sie mehr →
ψ² = Ps(i)²

PIN-Verfahren bei Kreditkarten etc. endgültig gebrochen

So jedenfalls ist es im Kaspersky-Blog threatpost zu lesen. Die Universität Cambridge hat ein Verfahren entwickelt, mit dem man PIN-basierte Karten zum bezahlen benutzen kann, ohne die PIN zu wissen – 0000 reicht aus! Auf der Webseite Light Blue Touchpaper wurde dazu ein Beitrag gepostet, der wegen des bisher entstandenen Wirbels um den Angriff einige Dinge klarstellt:

“We can set the record straight on a few things:

  • the attack applies to cards used online (where the merchant POS contacts the bank) as well as offline;
  • the attack works regardless of the amount of money spent (not just for small value amounts that are below floor limit);
  • the attack doesn’t work once a card has been cancelled by the bank — just like stolen cards in the past can only be used for a certain window of time once the cardholder discovers the loss;
  • the attack doesn’t work at ATMs (cash machines);
  • the failure applies to bank card schemes based on EMV – the most widely deployed standard for smartcard payments. Older national smartcard schemes may or may not be vulnerable; we don’t know.”

BBC berichtete gestern Abend ausführlich mit einem Video-Beitrag und einem Artikel. Es handelt sich um den bisher schwersten Angriff auf das PIN-Verfahren. Ich bin schon sehr auf die Berichterstattung in Deutschland gespannt.

Lesen Sie mehr →
ψ² = Ps(i)²

Gnome-Bildschirmsperre in OpenSuse-Linux wirkungslos

Die Gnome-Bildschirmsperre von OpenSuse 11.2 lässt sich mit einfachsten Mitteln aushebeln. Das haben Tests von heise Security auf einen Leserhinweis hin ergeben. Alles was man tun muss: Die Eingabetaste gedrückt halten. Nach wenigen Sekunden bringt das den Gnome-Screensaver zum Absturz.

Offenbar lässt sich das Problem nicht auf allen Systemen reproduzieren. Laut Marcus Meissner vom Suse-Security-Team handelt es sich wahrscheinlich um den Gnome-Bug #598476, “Don’t crash when lock dialog dies during shake”. Dieser wurde nach Angaben von Heise im Quellcodeverwaltungssystem von Gnome erst in Version 2.28.1 gefixt. Ein installationsfertiges Paket gibt es von dieser Version aber noch nicht.

In der News-Section der OpenSuse-Website ist der Vorfall offenbar keine Erwähnung wert. Selbiges bisher bei den Suse-Bloggern. Einzig das User Forum hat sich schon vor einer Woche mit einem ähnlichen Fall beschäftigt. Dem User konnte geholfen werden. Ich habe es nicht überprüft, aber vielleicht taugt das als Work-Around, bis Suse Updates zur Verfügung stellt.

Lesen Sie mehr →
ψ² = Ps(i)²

Wo ist das Problem?

Das ist alles, was die Pressestelle des italienischen Innenministeriums auf eine ARD-Anfrage antwortet:

“Perchè è un problemo grave?”

Sie fragen sich, um was es eigentlich geht? Um nichts weniger als die komplette Aussetzung der Passagierkontrollen am Flughafen Rom bei Nacht – komplett!!! Und nicht nur das: Nachts schlafen im Sicherheitsbereich die Obdachlosen und Türen die tagsüber nur mit Code-Card zu öffnen sind, stehen nachts offen und laden zum Spaziergang ein. Sogar die Gepäckbänder konnte der Journalist Tommaso Cerno in Betrieb nehmen, ohne dabei gestört zu werden! Seinen Ausflug hat er freundlicherweise per Video festgehalten. Nicht schlecht.

Also nachts einfach die Knarre unter dem Sitz im Sicherheitsbereich deponieren und dann tagsüber für die Flugzeugentführung verwenden. Einzige Gefahr dabei: Einer der Obdachlosen findet und klaut sie. Fast wäre das zum Lachen, wenn es nicht so traurig wäre.

Aber Nacktscanner sind jetzt erst mal gaaanz wichtig für unsere Sicherheit:
Nacktscanner übersieht Sprengstoff, Zünder etc
Mit dem ICE in den Abgrund

Creative Commons License
Dieser Beitrag ist unter einer Creative Commons-Lizenz lizenziert.

Lesen Sie mehr →
ψ² = Ps(i)²

Einfach freundlich fragen: Masterkey für Hotel-Safe

Das Hotel-Safes einen Masterkey haben war mir ja schon immer klar. Dass man diesen aber einfach in der Lobby erfragen kann und er nur dreistellig ist, hätte ich nicht gedacht. So ist es mir dieser Tage in einem Hotel ergangen: Der Dometic-Safe ließ sich nicht mehr öffnen: BATTERY ERROR! Mit meinem vierstelligen Code war der Tresor nicht mehr zu öffnen. Also fragte ich an der Rezeption nach und der freundliche Herr ging mit mir nach oben. Nachdem ich ihm gezeigt hatte, dass ich den Tresor nicht mehr öffnen kann, stellte er sich vor den Tresor, begann zu tippen und sagte:

“Enter, 0, 0, 2, Enter, Enter.”

Klack – offen! Das war alles. Danach ging er und ich hatte den Masterkey. Wie so oft ist es der einfachste Weg ein Sicherheitssystem zu überwinden, einfach freundlich zu fragen.

Creative Commons License
Dieser Beitrag und die zwei Bilder sind unter einer Creative Commons-Lizenz lizenziert.

Lesen Sie mehr →