Das ist interessant, auf was F-Secure da gestoßen ist. Ein Gesetzesentwurf aus Holland ist der Stein des Anstoßes. Dieser soll Anwender zwingen, ihre Daten zu entschlüsseln – sollte der Staat danach “fragen”. Ein Gericht sieht das aber als Verletzung gegen den 6. Artikel der ECHR (European Convention on Human Rights). Darin steht, dass sich Beschuldigte oder Verdächtige nicht selbst belasten müssen. Einige Länder in Europa, wie zum Beispiel Frankreich, Belgien und Großbritannien, hätten bereits solche Gesetze. Ich wusste nicht einmal, […]

Entwickler Andrey Karpov hat eine Sicherheitslücke in der Anonymisierungs-Software TOR (The Onion Router) gefunden. Das Problem ist die Funktion memset(). Es handelt sich hier um einen Schutzmechanismus, der nicht mehr benutzten Puffer aufräumt und löscht. Diese Buffer können Passwörter, IP-Adressen und andere Anwenderdaten enthalten. Zerstört man diese Daten nicht, könnten sie ins Internet gesendet werden. Den TOR-Entwicklern ist diese Gefahr natürlich bekannt und sie versuchen, die Buffer-Inhalte mittels der oben genannten Funktion zu löschen. Dies sei aber ein großer Fehler, […]

Ab sofort gibt es die Septemberausgabe von freiesMagazin. Wie immer gibt es darin viele Artikel rund um die Themen Open-Source und Linux. Unter anderem werden die Themen Passwortsicherheit und die NoSQL-Datenbank Redis behandelt. Außerdem erfährt man, was das Besondere an Opas Unterhose im Spiel “Tiny & Big – Grandpa’s Leftovers” ist. Der komplette Inhalt ist wie folgt: Passwortsicherheit Der August im Kernelrückblick Tiny & Big – Unterwäschefetischismus deluxe Redis – Mehr als ein Key-Value-Store Taskwarrior – What’s next? (Teil 2) Rezension: Schrödinger […]

Cyberkriminelle scheinen über Mac OS X auch langsam Interesse an Linux zu finden – gut kann auch eine Eintagsfliege sein, aber ein Novum ist es trotzdem. Es handelt sich laut der russischen Antiviren-Firma Doctor Web um den ersten Cross-Plattform-Trojaner, der sowohl unter Linux als auch Mac OS X läuft. Die Schadsoftware, als BackDoor.Wirenet.1 bezeichnet, versucht, Passwörter zu stehlen, die von diversen populären Internet-Appplikationen gespeichert sind. Wie sich der Backdoor-Trojaner verbreitet ist aber laut eigenen Angaben noch unklar. Sobald die Malware gestartet ist, […]

Windows-Passwörter wiederherstellen? Kein Problem mit Ophcrack …

Linus Torvalds hat es wieder einmal krachen lassen und möchte einige Leute am liebsten zum Mond jagen. Auf Google+ hat er recht unverblümt dargestellt, dass die Eingabe eines root-passworts bei der Verwendung eines Druckers absolut verblödet ist. Im Speziellen richtete sich sein Zorn gegen openSUSE. In der Tat gibt es hier wirklich Handlungsbedarf und die Rechte sollten wesentlich feiner eingestellt werden können. Heutzutage sollte es selbstverständlich sein, dass ein Anwender selbst ein WLAN hinzufügen kann. Aber auch hier sollte der […]

Auf Google Plus machte sich Linux-Vater Linus Torvalds etwas Luft. Weil er nicht über “Sicherheits”-Menschen ohne zu Fluchen sprechen könne, möchten manche vielleicht wegsehen, wettert er auf Google Plus. Stein des Anstoßes ist openSUSE. Torvalds hat es ausprobiert, weil es eigentlich immer so gut auf dem Macbook Air funktionierte. Aber nun hat er die Schnauze voll. Es gebe keine Chance, dass er dieses Betriebssystem anderen ans Herz legen könnte. Zunächst hätte er Wochen in Diskussionen auf Bugzilla verbracht, dass zum […]

Heise Security hat anscheinend mit NAS-Systemen (Network Attached Storage) mit integrierter Verschlüsselung herumgespielt und dabei einen undokumentierten zweiten Schlüssel entdeckt. Verbatim wurde über das Problem in der PowerBay Databank informiert, aber bisher keinen Kommentar abgegeben. Der Tester hat nur ein Passwort angegeben, aber das System hatte plötzlich definitv zwei Schlüssel. Verbatim benutzt Linux Unified Key Setup (LUKS), was die Definition mehrerer Passwörter erlaubt. Bei anderen, ähnlichen Systemen wurde wie erwartet nur ein Passwort gefunden. Möglicherweise setzt Verbatim das zweite Passwort, […]

Es ist immer wieder erstaunlich, was alles mit einer Firmware ausgestattet ist. Doch das gehört heute in der Elektronik einfach dazu. Interessant ist aber auch, was eine Firmware hat, ist eine potentielle Angriffsfläche. Apple MacBook-Akkus sind offenbar mit einem Standard-Passwort ausgestattet. Somit ist es theoretisch möglich, dass Angreifer diese Schwachstelle nutzen und die Batterie permanent ruinieren. Das ist mehr ein DoS-Angriff. Persistenter Schadcode sollte also möglich sein. Wieviel Zugriff dieser auf das System hat ist allerdings nicht klar. Auch Thunderbolt-Kabel […]

Die Antisec-Kampagne der Anonymous-Bewegung scheint sich nun mit den ganz großen Jungs anzulegen. Sie haben ein Torrent auf Piratebay veröffentlicht, das Daten von Booz Allen Hamilton (Technologie-Firma, die einen Vertrag mit der US-Behörde hat) enthält. Die Gruppe behauptet, das Archiv enthalte 90.000 E-Mails und Passwörter des US-Militärs und einen kompletten SQL-Dump (50 MByte) einer nicht näher spezifizierten Datenbank. Zuerst dachte man, die Passwörter seien ungesalzene MD5s. In einem Tweet revidierte man die Aussage später zu SHA1-Hashing mit Base64-Enkodierung. Die offizielle […]