rfc1437.de: new entries tagged with Sicherheit

Security-Forscher: Bezahlen mit Kreditkarte und PIN unsicher - Golem.de

Fri, 12 Feb 2010 20:38:19 +0100

Security-Forscher: Bezahlen mit Kreditkarte und PIN unsicher - Golem.de - aber angeglich ist das Zahlen mit EC-Karten ja absolut sicher.

Please read: Security Issue on AMO « Mozilla Add-ons Blog

Sat, 6 Feb 2010 10:51:54 +0100

Please read: Security Issue on AMO « Mozilla Add-ons Blog - war ja nur eine Frage der Zeit, bis die ersten Firefox-Extensions mit Trojanern drin verteilt würden und durch die Prüfung bei Mozilla durchrutschen. Erweiterungen sind eben genau das - Codestücke die im selben Sicherheitskontext wie Firefox selber laufen. Ich glaube auf Dauer braucht es eine gänzlich andere Architektur mit weitaus stärkerem Sandboxing für Anwendungen und Erweiterungen wenn wir das sauber in den Griff bekommen wollen.

Windows hole discovered after 17 years

Wed, 20 Jan 2010 17:51:33 +0100

Windows hole discovered after 17 years - na das ist doch mal ein netter Gruß aus der Vergangenheit. Privileg-Eskalation in den alten DOS-Boxen - zurück bis NT 3.1!

Matasano Security LLC - Chargen - If You're Typing The Letters A-E-S Into Your Code, You're Doing It Wrong

Tue, 5 Jan 2010 11:25:17 +0100

Matasano Security LLC - Chargen - If You're Typing The Letters A-E-S Into Your Code, You're Doing It Wrong - interressanter Artikel (wenn auch in einer etwas seltsamen Präsentationsform) über typische Probleme bei Nutzung von Cryptographie für SSO in Websystemen. Einfach "ich verschlüssel das Cookie und dann ist alles gut" tuts eben nicht ...

Study shows viral SSIDs could be creating a massive wireless botnet | Tech Sanity Check | TechRepublic.com

Mon, 4 Jan 2010 22:54:02 +0100

Study shows viral SSIDs could be creating a massive wireless botnet Tech Sanity Check TechRepublic.com
- und noch etwas mehr über die viralen SSIDs und eine kleine Liste von SSIDs die in dem Zusammenhang aufgetaucht sind. Bin drauf gestoßen weil eine Freundin eines der Netze (hpsetup) bei sich in der Nähe hat und sich wunderte, woher die SSID kommt.

Viral SSID - WLAN/Wireless Security Knowledge Center

Mon, 4 Jan 2010 22:52:36 +0100

Viral SSID - WLAN/Wireless Security Knowledge Center - interessant. SSIDs von WLAN Netzen als Angriffsvector für Computer.

Privacy of 3.5 Billion Cellphone Users Compromised – GSM Code is Broken | ProgrammerFish

Tue, 29 Dec 2009 10:58:39 +0100

Privacy of 3.5 Billion Cellphone Users Compromised – GSM Code is Broken | ProgrammerFish - tja, das wars dann für GSM, mithören leicht gemacht. Wie der Artikel korrekt sagt: es hätte schon lange Updates zur Verschlüsselung von GSM geben müssen, das ist schlicht Schlamperei im Design der Technik, das Updates auf die Verschlüsselung nicht von vornherein eingeplant waren. Wird interessant zu sehen wann das im größeren Rahmen die Welle macht und die Telekom-Unternehmen gezwungen sind etwas zu unternehmen.

Either Mark Zuckerberg got a whole lot less private or Facebook’s CEO doesn’t understand the company’s new privacy settings.

Fri, 11 Dec 2009 15:31:22 +0100

Either Mark Zuckerberg got a whole lot less private or Facebook’s CEO doesn’t understand the company’s new privacy settings. - tja. Kalt erwischt. (bei mir sind die Sachen offen, weil mein Facebook Profil ja nur als Superaggregator dient, von daher fast nur öffentliche Inhalte sammelt und daher striktere Sicherheitseinstellungen darauf nicht viel Sinn machen)

Regierungs-Smartphones arbeiten mit Windows Mobile

Thu, 10 Dec 2009 18:37:48 +0100

Regierungs-Smartphones arbeiten mit Windows Mobile - weil, das ist ja bekannt dafür, das es so super sicher ist und es keine Backdoors in das System geben kann. Schließlich kann man ja das ganze System sehr leicht einem Audit unterziehen. Ooops. Oh, und besonders niedlich die Entscheidung für HTC Windows Mobile Smartphones, nachdem HTC selber bekanntgegeben hat, das zukünftig die neuen Geräte schwerpunktmäßig mit Droid (das tatsächlich realistisch einem Audit unterworfen werden könnte) rauskommen sollen. Da kann HTC dann seine Lagerrestbestände teuer an den Bund verkaufen.

Electric Alchemy: Cracking Passwords in the Cloud: Breaking PGP on EC2 with EDPR

Tue, 3 Nov 2009 14:00:41 +0100

Electric Alchemy: Cracking Passwords in the Cloud: Breaking PGP on EC2 with EDPR - interessanter Artikel über brute-force-cracking von Passwörtern mit Hilfe von dynamischen Instanzen auf Amazon EC2. Besonders interessant der zweite Teil mit den Analysen der Kosten dieser Lösung abhängig von Passwort-Komplexität und Länge. Da sind 8-Zeichen Passwörter (selbst mit Sonderzeichen und Ziffern) für wirklich schützenswerte Daten definitiv nicht mehr aktuell.

One bug to rule them all

Fri, 17 Jul 2009 13:56:46 +0200

One bug to rule them all - JavaScript, plattform-übergreifend. Wow.

iPhone to Get SMS Vulnerability Fix

Fri, 3 Jul 2009 11:42:55 +0200

iPhone to Get SMS Vulnerability Fix - autsch. autsch. autsch.

WPA angeblich in weniger als 15 Minuten knackbar

Thu, 6 Nov 2008 16:27:33 +0100

WPA angeblich in weniger als 15 Minuten knackbar - Holy Cow!

"Sichere Identität = Eindeutige Identität"

Thu, 6 Nov 2008 15:26:11 +0100

"Sichere Identität = Eindeutige Identität" - "Er ist überzeugt, dass die Informationelle Selbstbestimmung des Bürgers durch die neuen Technologien besser geschützt werden kann, deshalb solle man solche Systeme 'nicht immer als Bedrohungsszenario sehen'." - liegts vielleicht daran, dass der Schutz der Informationellen Selbstbestimmung in deren ganzen Präsentation nirgendwo Platz hat? Warum wird immer wieder einfach wahllos behauptet, irgendwas schütze die Informationelle Selbstbestimmung, obwohl es dafür dann keinerlei Beleg oder konkretes Beispiel gibt? Etwas mehr Sorgfalt beim Lügen wäre doch wirklich mal angebracht.

Wahlprüfer des Bundestags bezeichnet Wahlcomputer als sicher

Mon, 27 Oct 2008 17:50:24 +0100

Wahlprüfer des Bundestags bezeichnet Wahlcomputer als sicher - wieso sind eigentlich unsere Prolethiker immer mit besonders grosser Dummheit geschlagen? Ist der Hansel nicht mal in der Lage aktuelle Presse zu lesen, wo selbst in den USA die Staaten zurückrudern beim Thema Wahlcomputer, wo die Hersteller dieser Geräte so massive Imageverluste hinnehmen mussten, das einer sogar seinen Namen änderte? Von den ganzen Vorfälle in Europa und der guten Aufarbeitung des Themas durch den CCC ganz zu schweigen? Kriegen nur noch Dummblödel Jobs in der Regierung? Sollte nicht der Schutz einer der wichtigsten demokratischen Mittel - für die Prolethiker: ich spreche von den Wahlen, nicht von den Diäten - besonders schützenswert sein und gerade bei konkret vorliegenden Hinweise auf Unsicherheit mal lieber auf Nummer Sicher und Papier+Kugelschreiber gegangen werden?

US-Geheimdienste: Terroristen könnten Online-Rollenspiele zur Planung von Anschlägen nutzen

Wed, 17 Sep 2008 11:08:17 +0200

US-Geheimdienste: Terroristen könnten Online-Rollenspiele zur Planung von Anschlägen nutzen - Dauer-Sommerloch-Debatte in den USA? Haben die nicht ein paar Banken und Versicherungsunternehmen, über die sie sich Gedanken machen können? Die Auswirkungen einer Pleite bei AIG wären sicherlich deutlich grösser als diese Spielfilm-Horror-Szenarien, die sich irgendwelche Wichtigtuer einfallen lassen. Leider finden sich solche Theoretisierer mit ihren konstruierten Albernheiten auch hierzulande immer mehr. Und anstatt sich mit realen Gefahren auseinanderzusetzen (wann kommt endlich die Geschwindigkeitsbegrenzung auf Autobahnen?), kommen immer mehr absurde Vorschläge zum Thema Überwachung, die uns ganz klass vor nicht existenten Problemen beschützen. Und für so eine Moppelkotze wird dann noch Geld ausgegeben ...

The Associated Press: States throw out costly electronic voting machines

Wed, 20 Aug 2008 16:45:38 +0200

The Associated Press: States throw out costly electronic voting machines - nur bei uns wird immer noch den Lügen der Hersteller mehr geglaubt als den Experten. Es gibt keine unhackbaren Computer. Wie schon bei XKCD: "anti-virus programs on voting machines? You are doing it wrong."

Apple just gave out my Apple ID password because someone asked

Tue, 8 Jul 2008 16:14:10 +0200

Apple just gave out my Apple ID password because someone asked - autsch. Ganz schwaches Bild, Apple.

Keylogger in JavaScript mit IE bis Version 8beta

Fri, 27 Jun 2008 10:49:27 +0200

Keylogger in JavaScript mit IE bis Version 8beta - autsch. Das tut weh. Und ich frage mich mal wieder, warum man selbst bei Firefox so essentielle Funktionen wie NoScript per Extension installieren muss. Sowas gehört als Grundwerkzeug in jeden Browser direkt rein. Und nein, das banale an/aus für JavaScript, welches einem geboten wird, ist keine Alternative - in Zeiten von Ajax Oberflächen braucht man JavaScript nunmal immer wieder.

Revision3 DOS

Fri, 30 May 2008 10:40:31 +0200

Revision3 DOS - "First, they willingly admitted to abusing Revision3’s network, over a period of months, by injecting a broad array of torrents into our tracking server. They were able to do this because we configured the server to track hashes only – to improve performance and stability. That, in turn, opened up a back door which allowed their networking experts to exploit its capabilities for their own personal profit." - ein Handlanger der Musik und Filmindustrie legt einen legalen Betreiber eines Torrent-Trackers lahm. Da sieht man schön, mit welchen dreckigen Methoden (z.B. Diensteerschleichung) diese Leute arbeiten. Aus dem Nebensatz "das FBI interessiert sich dafür" entnehme ich mal, dass Anzeige erstattet wurde. Gut.