Inhalte überspringen »

News

Donnerstag, 2. Oktober 2008 | News

Security-Hinweise zu Banken-Websites mit CSRF-Schwachstellen und mehr

(Link zum Artikel: http://www.entwickler.de///045383)

Ein Paper über Cross-Site Request Forgery Schwachstellen enthält Informationen über Schwachstellen in einer Banken-Website, gebraucht gekaufte Mobilgeräte enthalten vertrauliche Daten und Stefan Esser hat beschrieben, warum man in PHP nicht $_REQUEST verwenden sollte. Bruce Schneier weist darauf hin, das eine CA nicht vor ePassport-Fälschungen schützt, laut Symantec reicht Fingerprinting nicht mehr aus, um alle Schädlinge zu erkennen, und Microsoft geht gegen Fake-Sicherheitsprodukte vor. Außerdem wurden Angriffe über Windows-Mobile-Geräte mit ActiveSync beschrieben und ein Oracle-Passwort-Cracker in PL/SQL vorgestellt.

Paper über Cross-Site Request Forgery

Ed Felten und Bill Zeller haben ein Paper über Cross-Site Request Forgery Schwachstellen veröffentlicht (PDF) und gleichzeitig einige betroffene populäre Websites genannt. Besonders bemerkenswert: Da in Amerika beim Onlinebanking anscheinend keine TANs oder ähnliche Sicherheitsmaßnahmen verwendet werden, konnten auf der Website der ING Direct Bank Überweisungen über CSRF-Angriffe durchgeführt werden. Details gibt es im Paper.

Vertrauliche Daten in gebrauchten Handys

Laut einer Studie von BT, der University of Glamorgan und der Edith Cowan University enthält ein fünftel aller gebraucht verkaufen Handys und Handhelds noch vertrauliche Daten: One in Five Second Hand Mobiles Contain Sensitive Data. Und wie der britische Geheimdienst MI6 eindrucksvoll bewiesen hat, gilt das auch für Digitalkameras. Wenn es um das Verteilen vertraulicher Daten geht gibt es eben keine besseren Spezialisten als britische Regierungsbehörden.

Warum man $_REQUEST in PHP nicht verwenden sollte

Stefan Esser hat in seinem Blog einen interessanten Beitrag über die Gefahren, die sich durch die Nutzung von $_REQUEST in PHP-Skripts ergeben, veröffentlicht: PHP 5.3 and Delayed Cross Site Request Forgeries/Hijacking.

Eine CA schützt nicht vor ePassport-Fälschungen

Bruce Schneier hat dargelegt, wieso eine CA nicht vor den gestern vorgestellten ePassport-Fälschungen schützt. In Kurzform: Eine CA ist ein Single-Point-of-Failure und ein attraktives Ziel, mehrere erleichtern das Fälschen erst recht.

Fingerprinting ist nicht genug

Im Blog von Symantec wird beschrieben, warum die Berechnung von Fingerprints zur Erkennung von Schadsoftware nicht mehr ausreicht: Es gibt einfach zu viele Schädlinge und Variationen davon, um sie effektiv erfassen zu können, von der Verwaltung der anfallenden Datenmengen ganz zu schweigen.

Microsoft und die Fake-Virenscanner

Microsoft und der State of Washington gehen gegen die Hersteller von Fake-Sicherheitsprodukten vor, die ihre Opfer mit falschen Sicherheitswarnungen zum Kauf ihrer unbrauchbaren Produkte verleiten. Im Blog von F-Secure gibt es zwei Beiträge zu diesen 'rogue security applications': Really Legal Stuff und John Doe is a Criminal Mastermind. Vor allem der zweite Text ist sehr interessant. Er beschreibt außer einer Reihe angeblicher Sicherheitsprodukte auch, wie die Hersteller ihre Herkunft verschleiern.

Angriffe über Windows-Mobile-Geräte mit ActiveSync

Seth Fogie hat herausgefunden, wie Rechner über den USB-Port kompromittiert werden können, indem ein Windows-Mobile-Gerät angeschlossen wird: Exploiting Systems through ActiveSync. Dabei wird ausgenutzt, das ein über USB an einen PC angeschlossenes Windows-Mobile-Gerät durch ActiveSync eine vollständige TCP/IP-Verbindung zum PC hat. Dadurch ist z.B. ein Portscan und die Ausnutzung so gefundener potentieller Schwachstellen möglich (Demo-Video).

Oracle-Passwort-Cracker in PL/SQL

Pete Finnigan hat einen vollständig in PL/SQL geschriebenen Oracle-Passwort-Cracker veröffentlicht. Da er direkt in SQL*Plus ausgeführt wird, ist keine Installation oder der Download weiterer Komponenten notwendig.