INS-ecommerce

Schwere Sicherheitslücke in Linux-Server (libc) und die Reaktion des Hosting-Providers

Heute früh bekam ich eine Email von einem Geschäftskollgen, dass es bei Linux einen schweren Sicherheitsfehler gäbe, über den Angreifer von Aussen Zugriff auf das System erhalten können und ich solle am besten auf allen Server ein aktualisiertes Softwarepaket "Glibc 2.23" installieren um den Fehler zu beheben.

Erst berichtete gestern am späten Nachmittag Golem darüber:
Glibc: Sicherheitslücke gefährdet fast alle Linux-Systeme

Und heute früh kam dann auch bei heise ein "Alert":
Alert! glibc: Dramatische Sicherheitslücke in Linux-Netzwerkfunktionen

Nach erstem Überfliegen scheint der Fehler nicht so ganz ohne zu sein. Also habe ich mal den Hoster meines Vertrauens, Intares, kontaktiert um zu fragen was jene davon halten und wann das Sicherheits-Update auf unseren Servern bei Intares eingespielt werden wird.

Antwort des Managed-Hosting Dienstleisters lesen, wann auf die neue Glibc aktualisiert wird ...

Verfasst von af in IT Security am: Mittwoch, 17. Februar 2016.   Kommentare (0)

So sicher wie bei der Polizei ...

Als der neue Personalausweis mit biometrischen Daten vorgestellt wurde, wurde dieser als absolut Fälschungssicher bezeichnet. Und die Möglichkeit, dass Mitarbeiter irgendwo in der Produktionskette bestochen werden könnten, um falsche Dokumente auszustellen sei auszuschliessen, weil Mitarbeiter nach extrem hohen Sicherheitsstandards ausgewählt würden und so sicher und vertrauenswürdig seien wie bei der Polizei. (..) Und der aktuelle Abhörskandal in England zeigt jetzt: Auch bei der Polizei, so wie in jeder anderen Organisation, gibt es Menschen die bestechlich sind, wenn nur der Preis stimmt. Mehr ...

Verfasst von af in IT Security am: Montag, 18. Juli 2011.   Kommentare (0)

Lieber nicht ETd6*4Sl

In der aktuellen Oktoberausgabe der Zeitschrift Test haben die Verbraucherschützer unter der Überschrift "Lieber ETd6*4Sl als 123" einen Tipp für sichere Passwörter veröffentlich: Sie empfehlen, sich einen leicht zu merkenden Satz auszudenken und dann als Passwort die jeweiligen Anfangsbuchstaben zu nutzen. Beispiel: "Ein Tag dauert 6 mal 4 Stunden lang" ergibt das Passwort "ETd6*4Sl". Grundsätzlich ist der Tipp nicht schlecht.

Es fehlt aber der Hinweis, genau das im Tipp genannte Beispielpasswort eben nicht zu verwenden. Denn nach meiner Erfahrung mit Nutzern werden viele Leser, statt sich ein neues Passwort eines selbst ausgedachten Merksatzes auszudenken, einfach das genannte übernehmen - schließlich ist es ja vermeintlich sicher.

Verfasst von af in IT Security am: Freitag, 1. Oktober 2010.   Kommentare (0)

Der Westen: Dümmer als es die Polizei erlaubt?

Hält das WAZ-Portal DerWesten.de seine Leser für dümmer, als es die Polizei erlaubt?
Oder anders gefragt: Für wie Dumm hält DerWesten/WAZ seine Leser? Mehr lesen ...

Verfasst von af in IT Security am: Dienstag, 27. Oktober 2009.   Kommentare (0)

Der Müntefering ist nicht echt.

Ich twitter jetzt auch ein wenig. Und fand das erstaunlich, wer schon alles so am twittern ist. Für diejenigen, die Twitter nicht kennen: Das ist eine Mischung aus Live-Chat und Email in der maximalen Länge einer SMS. Mehr ...

Verfasst von af in IT Security am: Montag, 22. Juni 2009.   Kommentare (3)

Website von kinderhilfe.de gehackt

Die Website www.kinderhilfe.de wurde gehackt. Genauer "defaced", das heisst, jemand ist dort auf den Server eingedrungen und hat dort eigene, gegen die Aktionen der Kinderhilfe gerichtete Inhalte und Links eingestellt. mehr ...

Verfasst von af in IT Security am: Samstag, 16. Mai 2009.   Kommentare (0)

Computerangriffe durch "Drive-By infections"

"Drive-By" Infektionen sind Angriffe, bei denen ein Computer - quasi im Vorbeifahren - bereits durch das Besuchen/Ansurfen einer Website mit Schadcode (meist ein Bot/Trojaner) infiziert wird.

Das hat sich inzwischen zu einem technisch sehr ausgereiften und erfolgreichen (für Cyber-Kriminelle) Verfahren entwickelt.

Weiter ...

Verfasst von af in IT Security am: Dienstag, 12. Mai 2009.   Kommentare (0)

Geheime IP-Nummern des BND veröffentlicht

Auf wikileaks.org ist ein internes PDF-Dokument der T-Systems aufgetaucht, in dem eine Liste der vom BND (Bundesnachrichtendienst) genutzten IP-Nummern steht. Jetzt kann jeder in seinen Logs (sofern er IP-Nummern speichert) nachsehen, ob seine Seiten in der Vergangenheit vom BND besucht wurden. Mehr ...

Verfasst von af in IT Security am: Donnerstag, 20. November 2008.   Kommentare (0)

Apple und die Hintertür im iPhone

Die Firma Apple hat sich mit ihren Produkten ja noch nie besonders "offen" gezeigt. Im Gegenteil: Apple scheint immer und überall möglichst viel Kontrolle darüber behalten zu wollen, was auf Apple-Produkten gespeichert und installiert wird. Damit Kunden die (kostenpflichtigen) Angebote von Apple nutzen.

Doch in dieser Kontrollwut ist Apple, nach Meinung vieler, jetzt einen Schritt zu weit gegangen. Mehr...

Verfasst von af in IT Security am: Dienstag, 19. August 2008.   Kommentare (0)

Steuerberater und Email: Zwei Welten treffen aufeinander!

Mich beschleicht ja immer ein ungutes Gefühl, wenn Ärzte, Rechtsanwälte oder Steuerberater Email benutzen. Weil die wenigsten überhaupt von der Notwendigkeit wissen, dass vertrauliche Informationen über das Internet (und damit per Email) nur verschlüsselt übertragen werden sollten.

Den Vogel hat jetzt mein Steuerberater abgeschossen: Mehr lesen ...

Verfasst von af in IT Security am: Dienstag, 12. August 2008.   Kommentare (3)

Neuer Wurm impaeg

Eines der Dinge, die ich bisher noch nicht gemacht habe, war, einen neuen Computervirus/Wurm zu entdecken, der bisher noch nicht bekannt war. Bis heute. Weiterlesen ...

Verfasst von af in IT Security am: Dienstag, 27. Mai 2008.   Kommentare (0)

Was kostet ein Blog Spam-Kommentar?

Um ein Blog vor massenhaftem Kommentarspam zu schützen werden verschiedene Verfahren eingesetzt, die darauf beruhen, eine Anforderung zu stellen, die eine Maschine nicht erfüllen kann, ein Mensch aber schon. Weil man bisher annahm, dass Massen-Spam aufgrund der hohen Kosten kaum manuell erzeugt wird. Was kostet ein Blog-Spam Kommentar inzwischen?...

Verfasst von af in IT Security am: Dienstag, 11. Dezember 2007.   Kommentare (0)

IT-Security-Problem? DerWesten mag mich nicht ...

Jetzt wollte ich mich mal bei www.derwesten.de als User registrieren, und dann kommt eine Fehlermeldung, die in mir den unguten Verdacht aufkommen lässt, dass wegen der fehlenden oder fehlerhaften Überprüfung der Benutzereingaben der "Westen" unsicher und anfällig gegen XSS und Injection Attacken sein könnte. Weiter...

Verfasst von af in IT Security am: Montag, 29. Oktober 2007.   Kommentare (1)

Google Bestrafung Variante A (Werbeblogger)

Den Werbeblogger hat es erwischt. Er ist bei Google komplett aus dem Index rausgeflogen. Nach anfänglicher Ratlosigkeit bekam man den Grund dafür von Google mitgeteilt:
Wir haben auf Ihren Seiten insbesondere die Verwendung folgender Techniken festgestellt: verborgene Links


Das mag Google überhaupt nicht. Ein Geschäftskollege ist deswegen vor einem Jahr schon mal für 4 Wochen temporär aus dem Index geflogen. Weiterlesen ...

Verfasst von af in IT Security am: Donnerstag, 25. Oktober 2007.   Kommentare (0)

Sicherheitsrisiko Windows-Update und der Bundestrojaner

Wie ich ja schon einmal im Artikel "Vista-Security, die NSA und der Bundes-Trojaner" schrieb, hat sich Microsoft anscheinend von der NSA bei der Windows Vista Security helfen lassen.

Ich fragte mich in dem Artikel bereits, welche nur den Bundesbehörden bekannten Sicherheitslücken denn wohl verwendet werden sollten, um den sogenannten "Bundestrojaner", den auch Herr Schäuble so gerne hätte, unbemerkt auf Rechnern einzuschleusen.

Die Antwort lautet nun: Die Sicherheitslücke ist das "Windows Update" selbst.
Die Hintergründe lesen ...

Verfasst von af in IT Security am: Montag, 17. September 2007.   Kommentare (0)

Automatischen Kommentarspam blockieren

In der letzten Zeit nahm die Anzahl der Kommentar Spammer wieder zu. Es scheint, dass Urlaubs- und Ferienzeiten, in denen viele Blogger sich nur eingeschränkt um ihr Blog kümmern können, beliebte Zeiten für Spammer sind.

Wie ich im Log sehe, werden zwar 80% der Spamversuche durch die in diesem Blog auch angewandte Methode der zu lösenden Rechenaufgabe verhindert. Doch die Anzahl der Kommentar-Spams die durchkommen wird immer größer, weil der Rechenaufgaben-Schutz ausgehebelt werden kann.

Jetzt habe ich mir zu Nutze gemacht, dass der Kommentarspam meist nicht direkt von Menschen, sondern von automatischen Spam-Scripten/Robots massenhaft in Blogs verteilt wird. Weiter ...

Verfasst von af in IT Security am: Freitag, 20. Juli 2007.   Kommentare (1)

Das iPhone und die Security (Lücken)

Viele Anwender installieren ein neues Betriebssystem eines gewissen Herstellers frühestens, nachdem das erste Service Pack herausgekommen ist. Vorher sind meist noch viel zu viele schwere Fehler enthalten.

Diese Weisheit scheint nun auch für das Apple iPhone sinnvoll zu sein, wenn man sich anschaut, welche Sicherheitslücken jetzt vermehrt auftauchen. mehr

Verfasst von af in IT Security am: Dienstag, 17. Juli 2007.   Kommentare (0)

VPN-Support: Geiz ist gar nicht geil!

VPN-Router: Lancom vs. Netgear

Letztens durfte ich mal wieder die Erfahrung machen, dass Geiz nicht geil sondern ziemlich teuer sein kann, wenn man seine Arbeitszeit mit betrachtet (siehe: Das Eh-Da Prinzip).

Was man leicht übersieht: Wenn es darum geht, mehrere Standorte miteinander zu vernetzen und Fernzuverwalten, sind Anschaffungskosten eher die geringeren Kosten. Viel wesentlicher sind die Kosten für den Support der Geräte, doch diese erkennt man oft erst zu spät. So auch hier. Weiterlesen.

Verfasst von af in IT Security am: Montag, 9. Juli 2007.   Kommentare (0)

Datenbank mit 2,3 Millionen Kundendaten verkauft

Nicht immer kommt der Angreifer von Aussen. Nach einer Pressemitteilung von Fidelity hat ein "Senior Datenbank Administrator" der Tochterfirma Certegy eine Kundendatenbank mit 2,3 Millionen Datensätzen (2,2 Millionen Bankdaten, 99.000 Kreditkartendaten) an eine externen externen Broker verkauft, der wiederum die Daten bzw. Teile davon an verschiedene Direktmarketing Firmen verkauft haben soll.

Dieser "Diebstahl" soll schon im Mai einem Kunden von Fidelity/Certigy aufgefallen sein, als dieser einen Zusammenhang zwischen verschiedenen Werbeanrufen und Werbesendungen und seinen Daten bei Fidelity/Certigy bemerkte.

Wohin die Kundendaten überallhin gewandert sind, ist bis heute noch nicht feststellbar. Man vermutet aber, dass es noch keinen sonstigen Missbrauch gab. Die Hoffnung stirbt zuletzt.

Verfasst von af in IT Security am: Mittwoch, 4. Juli 2007.   Kommentare (0)

Die schlecht angesehensten Jobs: Microsoft Security Grunt

Popular Science veröffentlicht einmal im Jahr die Top-10 der in der Wissenschaft besonders schlecht angesehen Jobs. Auf Platz 6: "Microsoft Security Grunt". Das sei, als wenn man ein T-Shirt tragen würde mit der Aufschrift "Hack mich!".

Hier die Top-10 der schlechtangesehensten Jobs. Weiterlesen.

Verfasst von af in IT Security am: Donnerstag, 28. Juni 2007.   Kommentare (0)