ICANN und IANA Sites Hacked
Gemäss dem Blog von Wired wurde sämtlicher Verkehr von ICANN und IANA während rund 20 Minuten zu einer türkischen Site umgelenkt. Die Hacker haben sich über zone-h gemeldet. Man vermutet, dass die Attacke via Cross Site Scripting oder Cross Site Request Forgery stattgefunden hat. Für diesen Fall schliesst man einen Bug im DNS Server aus - oder vielleicht doch nicht?
Traffic Redirection ist extrem mächtig.
Traffic Redirection ist extrem mächtig.
Verseuchung über Fake Anti-Viren Tools
Die Idee ist alt: Man lenkt ein Opfer auf eine Malware Site, gaukelt ihm vor dass sein System keine Anti-Viren Check Software hat und bietet die eigene Anti-Viren Software gratis zum Download an.
In Tat und Wahrheit macht aber das heruntergeladene Tool genau das Gegenteil. Es wird der lauffähige Anti-Viren Check deaktiviert und die eigene Trojaner Software installiert.
Damit lassen sich sehr viele, gutgläubige und in Computer Sachen ungeübte User hinters Licht führen.
Ein Beispiel einer solchen Attacke mit Bildern und guter Erläuterung findet man im Blog von Sophos.
Empfehlung Compass: Bitte kein Download via Pop-Up Windows installieren, sondern nach gründlicher Prüfung der Quelle über die Webseite der Hersteller.
In Tat und Wahrheit macht aber das heruntergeladene Tool genau das Gegenteil. Es wird der lauffähige Anti-Viren Check deaktiviert und die eigene Trojaner Software installiert.
Damit lassen sich sehr viele, gutgläubige und in Computer Sachen ungeübte User hinters Licht führen.
Ein Beispiel einer solchen Attacke mit Bildern und guter Erläuterung findet man im Blog von Sophos.
Empfehlung Compass: Bitte kein Download via Pop-Up Windows installieren, sondern nach gründlicher Prüfung der Quelle über die Webseite der Hersteller.
Microsoft stellt Anti-SQL Injection Tools bereit
PCI-DSS referenziert eine veraltete OWASP Top Ten Liste
Jeremiah Grossman hat darauf aufmerksam gemacht, dass der Section 6.5 des PCI-DSS 1.1 Standards exakt den gleichen Inhalt wie die OWASP Top Ten 2004 hat. Nun hat aber OWASP seit Dezember 2007 ein neues Rating! Was gilt nun? Grundsätzlich geht es um die Frage, wie ein Standard "aktuell" gehalten werden kann.
Section 6.5 Inhalt
6.5.1 Unvalidated input
6.5.2 Broken access control (for example, malicious use of user IDs)
6.5.3 Broken authentication and session management (use of account credentials and session cookies)
6.5.4 Cross-site scripting (XSS) attacks
6.5.5 Buffer overflows
6.5.6 Injection flaws (for example, structured query language (SQL) injection)
6.5.7 Improper error handling
6.5.8 Insecure storage
6.5.9 Denial of service
6.5.10 Insecure configuration management
Section 6.5 Inhalt
6.5.1 Unvalidated input
6.5.2 Broken access control (for example, malicious use of user IDs)
6.5.3 Broken authentication and session management (use of account credentials and session cookies)
6.5.4 Cross-site scripting (XSS) attacks
6.5.5 Buffer overflows
6.5.6 Injection flaws (for example, structured query language (SQL) injection)
6.5.7 Improper error handling
6.5.8 Insecure storage
6.5.9 Denial of service
6.5.10 Insecure configuration management