Die SANS hat eine neue Liste der Top 25 Softwarefehler veröffentlicht: Top 25
Die Liste soll dabei helfen, Fehler zu vermeiden, die zu kritischen Schwachstellen führen können, die dann in gezielten Angriffen oder von Malware ausgenutzt werden können. Die Plätze 1 bis 3 gehen an SQL-Injection- und OS-Command-Injection-Schwachstellen und Buffer Overflows. Auf der Webseite steht auch einiges an Zusatzmaterial zu den Top 25 bereit.
Wer in einem fremden Auto geblitzt wurde, der konnte bislang der Strafverfolgung entgehen, wenn bloß alle dicht gehalten haben. In Zeiten von Facebook, XING und Co. ist das natürlich vorbei. Davon berichtet jetzt Spiegel-Online in einem Artikel. Dem Bericht zufolge sucht die Polizei gezielt bei Xing und Facebook nach Fotos von Verkehrssündern und gleicht diese mit Blitzerfotos ab:
Die „Morgenpost“ berichtet online von einem konkreten Fall, in der ein Geschäftsmann in einer Abstandsmessung geblitzt wurde. Per Anwalt berief sich der Abstandssünder darauf, nicht gefahren zu sein. Die Beamten fanden den Mann auf ihren Beweisfotos auch im Internet – Widerspruch zwecklos.
Diese denkwürdigen Worte hörte ich am Anfang der Woche nach dem Vortrag “Potenziale des neuen Personalausweises für Unternehmen” aus dem Munde des Leiters des Test und Demonstrationszentrums neuer Personalausweis (Fraunhofer-Instituts FOKUS). Er hatte während seines Vortrags auf der DuD einiges über die Sicherheitsfunktionen des ePA berichtet und nur am Rande erwähnt, dass die AusweisApp z.B. am 09.11. aus dem Netz genommen wurde. Statt die damals vorhandenen Sicherheitsmängel anzusprechen brachte er das mit der schwierigen Geschichte dieses Datums in Deutschland in Verbindung. Nach dem Vortrag sprach ich ihn darauf an, dass er dem Publikum verschwiegen hatte, warum die AusweisApp aus dem Netz musste. Seine knappe Antwort:
“Ich hab so einiges verschwiegen.”
Ich gehe jetzt einfach mal davon aus, dass er damit viele weitere Sicherheitsfunktionen gemeint hat, die man bisher noch nicht bekannt gegeben hat.
Die Beantwortung von Publikumsfragen zu Kartenlesern lehne er übrigens von vorneherein ab.
Auf der Webseite Attrition.org findet man eine sehr übersichtliche Tabelle zu den mittlerweile 12 Sony-Hacks. Denial-Of-Service-Attacken sind in der Aufstellung übrigens nicht enthalten. Am 26.04. fängt die Liste an und sie geht bis zum aktuellsten Angriff vom 03.06.
Auch nicht zu verachten ist die ohne Anspruch auf Vollständigkeit zusammengestellte Gesamtliste der Sony-Hacks, die seit 1999 bereits weitere 39 Defacements und 2 Datenverluste aufführt!
Noch während ich das schreibe kommt übrigens ein weiteres Defacement hinzu: Sony Brasilien.
Im F-Secure-Blog hat Mikko Hypponen eine echte Schwachstellen-Perle gepostet. Er hatte in einem Tweet folgende Zeile gepostet:
<script>alert('Scanned')</script>
Warum er das getan hat, ist viel weniger spannend, als die Frage, warum der Twitter-Client Tweetdeck dieses Skript ausführte. Einer seiner Follower reagierte daraufhin sofort und Mikko berichtete die Schwachstelle – natürlich auch über Twitter – an die Programmierer, die nur kurze Zeit später mit einem Patch reagierten.
Wie hätte man die aktuellen Google Phishing Angriffe erkennen können? Diese Frage kann anhand einer ganzen Reihe von Indizien beantwortet werden, die Security-Blogger Brian Krebs in seinem Blog zeigt.
Stellt sich immer wieder die Frage, wie man auf sowas reinfallen kann – wer klickt schon auf Koreanische Links? Mit dem iPad, mit dem ich gerade diesen Beitrag tippe, kann man beispielsweise nicht so einfach prüfen, wohin ein Link verweist, ohne ihn anklicken zu müssen. Auch das Erkennen von gültigen Zertifikaten ist im mobilen Safari-Browser nicht ganz so einfach. Aus diesem Grund wird sich einer meiner nächsten Beiträge mit der Sicherheit in Safari auseinandersetzen.
Wie Die Presse berichtet, führt die Türkei in Internetcafés eine verpflichtende Internetzensur ein, durch die ca. eine Millionen Webseiten gesperrt werden. Zu den blockierten Seiten gehören zum Beispiel Google, BBC, Facebook, eBay, Amazon und die Seiten des türkischen Menschenrechtsvereins.
Man könne sich bei Wikipedia nicht mehr über Kurden informieren, Bademoden seien verboten, die Automarke Peugeot scheint für die türkische Regierung ein rotes Tuch zu sein und natürlich seien auch Vereine für Schwulen und Lesben gesperrt. Ab dem 22. August sollen die bisher nur für Internetcafés vorgeschriebenen Filter auch für Privathaushalte verbindlich werden.
Willkommen in Europa kann man da nur sagen.
Am 25. Mai haben chinesische Ministeriumssprecher in einer Pressekonferenz die Existenz einer Hacker-Truppe bestätigt. Die so genannte “Blaue Armee” soll nach Angaben von msnbc.com China vor Angriffen aus dem Internet schützen.
Wie bei allen Waffen und Armeen auf dieser Welt: nur zur eigenen Verteidigung!
Und schon wieder den eigenen Geburtstag verschlafen: “Klipper on Security” ist vor zwei Jahren am 20. Mai mit dem Beitrag “Das Akronym Ps(i)²” online gegangen. In dieser Zeit wurden hier knapp 500 Artikel zum Thema Security veröffentlicht.
Schön war beispielsweise die Geschichte des australischen Studenten, mit dem ich mich ausgetauscht hatte. Nach einigen Mails konnte ich ihm dann sogar ein kostenloses Studentenabo der <kes> vermitteln.
An dieser Stelle möchte ich mich bei allen Lesern für Feedback, Artikelvorschläge und Zuspruch bedanken und hoffe auch in Zukunft auf regen Austausch.
Kaum hatte ich im Blog gepostet, dass Sony schon neunmal gehackt wurde, lieferte mir mein Newsreader den zehnten Hack. Diesmal zeichnet die libanesische Hacker-Gruppe Idahca für den Angriff verantwortlich, die die Datenbank der Website ca.eshop.sonyericsson.com kompromittierten konnte. Auch in diesem Fall handelte es sich um eine SQL-Injection und wieder sind Tausende von User-Konten betroffen.
Aktueller Zwischenstand: Hacker 10 – Sony 0!
Vielleicht betrachtet Sony das Ganze aber auch als ein international angelegten und obendrein kostenlosen Penetrationstest im Blackbox-Verfahren. Getreu dem Motto: Ist der Ruf erst ruiniert, lebt sich’s völlig ungeniert.
Ps(i)²™ und Sebastian Klipper (CISSP®, T.I.S.P.®) stehen für exzellentes Know-how und innovative Security- Management- Lösungen. Der Verfasser zahlreicher Fachartikel und Bücher arbeitet in Berlin als Unternehmensberater und Autor. Lernen Sie ihn bei einem seiner Vorträge persönlich kennen oder nutzen Sie eine der weiteren Kontaktmöglichkeiten.
Sie benötigen Unterstützung bei der Anwendung der Normenreihe ISO/IEC 27000? Oder möchten Sie in Ihrem Unternehmen lieber die BSI Standards anwenden?
Holen Sie sich das Know-how des "Klipper on Security"- Autors in Ihr nächstes Projekt. Erfahren Sie mehr über ψ² Security Consulting: ψ² = Ps(i)²
Von Sebastian Klipper
"Konfliktmanagement für Sicherheitsprofis"
Auswege aus der Buhmann-Falle für IT-Sicherheitsbeauftragte, Datenschützer und Co.
2010, Vieweg+Teubner-Verlag
Von Sebastian Klipper
"Information Security Risk Management"
Risikomanagement mit ISO/IEC 27001, 27005 und ISO/IEC 31010
2010, Vieweg+Teubner-Verlag
Ab 2011:
5 Themen für die Titelseiten von HAKIN9 und <kes>.
