Bruce Schneier ist der Meinung, Quantenkryptographie sei überflüssig. Google will in Zukunft Nutzer der Webmaster Tools warnen, wenn deren Seiten unsicher oder angreifbar sind. Kabelgebundene Tastaturen können belauscht werden, ein Paper beschreibt Fuzzing zur Fehlersuche und es gibt zwei neue Tools zur Schwachstellensuche in SQL. Und natürlich wurde im Handler's Diary des ISC ein weiterer Beitrag zum 'Cyber Security Awareness Month' veröffentlicht: Day 21: Removing Bots, Keyloggers, and Spyware.

Quantenkryptographie überflüssig

Bruce Schneier hat in seinem Blog einen Beitrag über Quantenkryptographie veröffentlicht. Fazit: Quantenkryptographie ist überflüssig, da die herkömmliche Kryptographie sicher genug ist. Jede Kette bricht an ihrem schwächsten Glied, und die Kryptographie ist das stärkste Glied der meisten Sicherheitsketten. Problematisch sind die Sicherheit der Netze und Rechner allgemein.

Google warnt Betreiber unsicherer Websites

Google plant, in Zukunft Nutzer der Webmaster Tools zu warnen, wenn ihre Seiten angreifbar sind. Als erster Test werden Benutzer einer angreifbaren WordPress-Version gewarnt. Ob später nur vor als angreifbar bekannten Versionen bestimmter Programme gewarnt werden soll oder ein Schwachstellentest geplant ist, ist noch nicht bekannt.

Belauschen kabelgebundener Tastaturen möglich

Martin Vuagnoux und Sylvain Pasini vom Security and Cryptography Laboratory (LASEC) der ETH Lausanne haben Eingaben über eine kabelgebundene Tastatur durch Aufzeichnen der abgegebenen Strahlung aus einer Entfernung von 20 Metern protokolliert: Compromising Electromagnetic Emanations of Wired Keyboards. Es wurden vier verschiedene Wege zur Erkennung der Tastendrücke gefunden, von 11 verschiedenen getesteten Tastaturen waren alle über mindestens einen Weg angreifbar.

Neues Paper: Fehlersuche mit Fuzzing

Jeremy Brown hat ein Paper über die Fehlersuche mit Fuzzing veröffentlicht: "Fuzzing: A Useful Approach to Finding Bugs". Neben den Grundlagen geht es darin auch um das Schreiben eigener Fuzzer.

Neues Tool: mySQLFUZZer, ein MySQL Server Fuzzer

Von Jeremy Brown stammt auch ein neues Fuzzing-Tool zur Suche nach Schwachstellen in MySQL-Datenbanken: mySQLFUZZer.

Neue Version des SQL-Injection-Tools sqlmap erschienen

Eine neue Version des in Python geschriebenen SQL-Injection-Tools sqlmap wurde veröffentlicht. Neu sind z.B. ein Modul für den Einsatz im Metasploit-Framework, mögliche Angriffe auf LIKE-Statements, Optionen für die Angabe des ersten und letzten auszugebenden Datenbankeintrags sowie ein Batch-Modus.

Gefährliche Schwachstellen vom 21.10.2008

• F-Secure-Produkte:
  Integerüberlauf beim Parsen präparierter RPM-Dateien erlaubt Ausführung beliebigen Codes
• VLC Media Player:
  Pufferüberlauf beim Verarbeiten präparierter TY-Dateien erlaubt Ausführung beliebigen Codes (vom 20.10.2008, aktualisiert)
• Microsoft Internet Explorer:
  Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes oder das Ausspähen sensitiver Informationen (MS08-058) (vom 14.10.2008, aktualisiert)

Carsten Eilers