Möglicherweise hast Du einen Linux-Server, der über das Internet und via OpenSSH erreichbar ist. In der Regel ist direkter Zugriff mit root gesperrt und es gibt einen Anwender, den Du als Eingang benutzt. Durch einen Bug in OpenSSH können Angreifer überprüfen, ob es auf dem System einen Anwender gibt oder nicht. Der Fehler ist hier beschrieben. Wenn jemand von außen ein langes Passwort mit einem beliebigen Nutzer an SSHD schickt, dann kann er herausfinden, ob es diese Anwender gibt oder nicht. […]

Red Hats Matthew Garret hat wieder ein paar Neuigkeiten in Sachen UEFI Secure Boot. Er hat nach eigenen Angaben diese Woche weiter am Bootloader Shim gearbeitet und sei schon sehr nahe an einem Feature Complete – also fast alle Funktionen sind schon vorhanden. Die größte Änderung ist die MokList-Variable von einem eigenen Format in eines zu wandeln, das von der UEFI Spec Datenbank vrwendet wird. Somit tut sich der Kernel leichter, die MOK-Einträge zu importieren und die Modul-Signaturen abzusegnen. Ein […]

RFC für eine einfacher benutzbare Passwort Hashing API für PHP5 wurde akzeptiert. Allerdings schreiben die Entwickler, dass der Vorschlag sehr technisch ist und man die meisten darin beschriebenen Beispiele nicht nutzen sollte – das gibt Vertrauen bezüglich Passwörtern 🙂 … Deswegen gibt es in diesem Eintrag auf github einen besseren Einblick. Eigentlich sollte jeder Entwickler wissen, dass sie Passwörter-Hashing zusammen mit bcrypt nutzen sollen. Allerdings verwende immer noch eine überraschend große Anzahl an Entwicklern md5 oder sha1. Als Grund dafür machen die […]

Windows-Passwörter wiederherstellen? Kein Problem mit Ophcrack …

Es gibt wieder eine neue Ausgabe des kostenlosen freiesMagazin mit vielen Artikeln aus der Open-Source-Welt. Zu den Themen gehören Ubuntu und Kubuntu 11.10 “Oneiric Ocelot”, Erweitertes RC-System von OpenBSD und einen Kernel-Rückblick für den Oktober. Ebenso gehören zum Inhalt, Perl-Tutorium: Teil 3 – Hashes, Schleifen und Subroutinen, so wie PHP-Programmierung – Teil 2: Kontrollstrukturen. Ob freie Software in Schulen sinnvoll oder nicht ist, wird ebenfalls durchleuchtet. Weitere Themen sind Pixelfreie Screenshots Ren’Py als Entwicklertool für 2-D-Spiele Kurzreview: Humble Voxatron Debut […]

Die Antisec-Kampagne der Anonymous-Bewegung scheint sich nun mit den ganz großen Jungs anzulegen. Sie haben ein Torrent auf Piratebay veröffentlicht, das Daten von Booz Allen Hamilton (Technologie-Firma, die einen Vertrag mit der US-Behörde hat) enthält. Die Gruppe behauptet, das Archiv enthalte 90.000 E-Mails und Passwörter des US-Militärs und einen kompletten SQL-Dump (50 MByte) einer nicht näher spezifizierten Datenbank. Zuerst dachte man, die Passwörter seien ungesalzene MD5s. In einem Tweet revidierte man die Aussage später zu SHA1-Hashing mit Base64-Enkodierung. Die offizielle […]

Im Zuge der AntiSec-Kampagne ist Anonymous auf einen Apple-Server eingebrochen. Dabei konnten die Hacker Zugriff auf 27 Administrator-Namen und deren Passwörter erlangen und haben diese auf Pastebin veröffentlicht. Aber keine Panik, liebe iTunes-Anwender. Dieser kleine Hack verursacht wenig bis gar keinen Schaden. Auch wenn LulzSec offiziell aufgelöst ist und nun unter fremder Flagge weitersegelt, hackt man dennoch munter Firmenseiten weiter. Die meiste davon sind recht uninteressant. Aber wenn Apple gehackt wird, stutzt man schon einen Augenblick. Der Hack wurde auf […]