Security des tages

Benutzerfreundlichkeit macht alles besser, und die modernen brauser sind ein segen… vor allem für kriminelle:

Vermutlich ist es allgemein bekannt: wenn sie etwas mit ihrem modernen brauser wie zum beispiel guhgells krohm oder meikrosofts „edge“ herunterladen, wird diese datei auf einen einfachen klick hin auf ihr lokales system heruntergeladen, ohne dass es zusätzlicher bestätigungen bedarf. In der standardeinstellung wird die datei in ihrem daunlohd-verzeichnis unter C:\Users\<username>\Downloads abgelegt.

[…]

Dieses funkzjonsmerkmal „auto-daunlohd“ ist gut, wenn man es von der benutzererfahrung her betrachtet, aber es ist nicht so gut für die kompjutersicherheit, insbesondere, weil der daunload auch über javascript angestoßen werden kann. Der angreifer könnte einfach eine boshaft erstellte DLL mit einem bestimmten namen in das daunlohds-verzeichnis legen, wenn das opfer eine webseit besucht, die vom angreifer kontrolliert wird. Später, wenn das opfer versucht, gute programme (also: ausführbare dateien) von seriösen webseis daunzulohden und zu installieren, wird diese gute ausführbare datei ebenfalls daungelohdet und natürlich im daunlohds-order ausgeführt — und schon kommt es dazu, dass der vorgang der installazjon oder ausführung übernommen wird.

Das hat seinen grund darin, dass die meisten ausführbaren dateien DLLs benötigen. In jedem fall ist dabei das verzeichnis der anwendung der allererste ort in der suchreihenfolge, wenn eine DLL gesucht und geladen wird […] Es ist auf diese weise möglich, die meisten DLLs und sogar die DLLs des betriebssystemes zu übernehmen, indem eine gleichnamige DLL in das verzeichnis der ausführbaren datei platziert wird. […]

Die ganze geschichte in englischer sprache und mit dem video einer demonstrazjon bei Haifei weiterlesen. [via full disclosure]

Übrigens ist der krohm von guhgell bei diesem häckchen unsicherer als der „edge“ von meikrosoft, der beim daunlohd einer nichtsignierten DLL eine warnung anzeigt.

Contentindustrie und kwalitätsjornalismus des tages

Die seit Jahren zum Teil sehr treuen Print-Leser, die nicht nur Geld ausgeben wollen und können, sondern sich auch mit dem jeweiligen Blatt identifizieren, genau die Leute, die eigentlich die Kern-Community auch im Netz werden müssten, hohe Prio, Bernd, die sind den Verlagen dort scheinbar ein eher ein lästiges Anhängsel. Gepflegt und hofiert wird stattdessen eine über zufällige Facebook-Links kommende LOL-Masse

„Leck mich am arsch“ auf VW-deutsch

[…] wir müssen Sie leider informieren, dass der in Ihrem Fahrzeug […] eingebaute Dieselmotor vom Typ EA189 von einer Software betroffen ist, die Stickoxidwerte (NOx) im Prüfstandlauf (NEFZ) optimiert […] Wir bedauern zutiefst, dass wir Ihr Vertrauen enttäuscht haben und arbeiten mit Hochdruck an einer technischen Lösung. Volkswagen übernimmt selbstverständlich die Kosten für alle notwendigen Maßnahmen und setzt alles daran, Ihr Vertrauen vollständig wiederzugewinnen

So so, „optimieren“ tut die betrügerische softwäjhr, die nicht etwa zu diesem zweck programmiert wurde, sondern von der ein auto „betroffen ist“.

Arschlöcher! *spei!*

Security-gruselüberschrift des tages

Developing Acrobat Applications Using JavaScript

Neben der fetten, aufgeplusterten und unsicheren laufzeitumgebung „webbrauser“ brauchen wir alle schließlich noch eine weitere fette, aufgeplusterte und unsichere laufzeitumgebung „acrobat“, die dann keine dokumente mehr anzeigt, sondern „acrobat“-anwendungen ausführt. Entwickelt mal schön eure anwendungen für den „acrobat“!

(Ich bin drauf gestoßen, als ich mich um einen blogkommentar im spämmblog gekümmert habe.)

„Linux ist doch sicher“ des tages

Ein Sicherheitsteam des Content Distribution Networks Akamai hat eine große Anzahl Denial-of-Service-Angriffe ausgemacht, die von kompromittierten Linux-Servern ausgehen. Das sogenannte XOR-Botnetz ist laut dem Bericht in der Lage, über 150 GBit/s Traffic auf seine Ziele zu richten

Hui, einfach root-passwörter durchprobieren. Mal schauen:

# cat /var/log/auth.log | grep -y failed | grep root | wc -l
20357

Scheint zu laufen…

Wer nicht den root-zugang über ssh blockieren will, wie die kompjuterbild mit schlips namens „heise onlein“ empfiehlt, sollte sich mal fail2ban anschauen, das sehr gut funkzjoniert. 😉