Schlagwort Archiv: security

McAfee Lücken: Das Verhängnis vom root-User

Durch das ersetzen eines Request-Parameters konnte man eine RCE auslösen.

Durch das ersetzen eines Request-Parameters konnte man eine RCE auslösen.

Wer mit root-Rechten (also als Administrator) in Windows arbeitet wird sicher schon einmal eine Fehlermeldung nach dem Motto „Bitte kontaktieren sie Ihren Systemadministrator“ bekommen. Blöd, wenn man selbst der Systemadministrator ist.
Wäre es da nicht schön einfach alle Rechte auf einem System zu haben oder sie gegebenenfalls temporär erteilt zu bekommen? Sicherlich, doch birgt das auch immense Sicherheitsrisiken, wie die Entdeckung mehrerer Sicherheitslücken in dem McAfee Virus-Scanner für Linux zeigte.

Diverse Sicherheitslücken in McAfee für Linux

Der Virus-Scanner von McAfee ist auch für Linux erhältlich und muss natürlich als Benutzer mit root-Rechten installiert und ausgeführt werden.

Einmal installiert, kann die gehackte Software dann Code ebenfalls mit root-Rechten ausführen, was natürlich eine sehr große Gefahr für das System ist. Im Gegensatz zu Windows Systemen kann der root-User bei Linux wirklich alles – nur nicht sich selbst löschen 😉

Andrew Fasano fand nun zehn Sicherheitslücken, mit deren Hilfe man Code als root-User ausführen kann:

(mehr …)

Docker: Hinweise in puncto Sicherheit

Ist Docker wirklich Sicher?

Docker erfreut sich immer höherer Beliebtheit und gilt als sicher, doch stimmt das wirklich?

Docker dient in erster Linie dazu Anwendungen (meist Server-Anwendungen) einzukapseln und vom Rest des Betriebssystems zu entkoppeln. Dabei wird auf den Linux Kernel vom Host-System zurückgegriffen und mittels cgroups und namespaces die Möglichkeiten des Docker-Containers eingeschränkt.

Container sind dabei kein Mittel um Anwendungen sicherer zu machen, sondern dienen in erster Linie dazu skalierbare Dienste bereit zu stellen. Sie haben jedoch den Vorteil, dass Anwendungen vom Rest des Systems entkoppelt sind, mehr dazu aber später.

Das Prinzip von Containern

Ein Container ist sehr grob gesagt eine leichtgewichtige VM (virtual machine). Er enthält ebenfalls ein virtuelles Betriebssystem besitzt jedoch eine andere Virtualisierungsebene als eine VM. (mehr …)

WhatsApp und Co.: Messenger vs. Sicherheit

Messenger Apps gibt es viele, doch welche kann man sicher nutzen?

Die Auswahl an Messenger Apps ist groß, doch auf Sicherheit wird leider wenig geachtet. Welche Apps kann man jetzt gefahrlos nutzen und welche nicht?

Wer benutzt heute keine Messenger Dienste? Richtig: Niemand. Von XMPP, IRC, ICQ und Skype hin zu mobilen Clients wie WhatsApp, Threema, Signal oder Telegram oder auch Facebooks Messenger sind alle Arten in den letzten Jahren vertreten gewesen. Heute werden jedoch nur noch wenige davon genutzt, wie etwa WhatsApp, Skype oder der Facebook Messenger.

Viele Messenger verschlüsseln nicht

Man sollte meinen, dass seit den Snowden-Enthüllungen jeder große Dienst im Internet begriffen hat, dass Sicherheit in all seinen Fassetten ein sehr wichtiger Bestandteil ist. Leider ist dieser Gedanke noch nicht bei allen angekommen. (mehr …)

Warum SHA-1 unsicher ist

SHA-1 ist unsicher und sollte ersetzt werden

Der Hashingalgorithmus SHA-1 gilt als unsicher und sollte ersetzt werden. Doch warum eigentlich? Hier sieht man den Grund: Unterschiedliche Nachrichten generieren den selben Hash-Wert.

Schon seit längerem gilt der Hashing-Algorithmus SHA-1 als unsicher und sollte durch SHA-2 oder SHA-3 ersetzt werden. Was macht aber SHA-1 zu einem unsicheren Hash-Verfahren und wie hat man das herausgefunden?

Das Lustige an der Sache: SHA bedeutet secure hash algorithm, was in diesem Zuge doch recht ironisch ist.

Was Hash-Verfahren sind

Hash-Verfahren erzeugen aus einer Menge an Daten eine scheinbar willkürliche Folge an Bits. So wird durch SHA-1 beispielsweise aus dem Wort curi0sity die Zeichenfolge e544b48a746e297c9a10957ff0cf433cb41073d9. Ändert man nun ein Zeichen, also Curi0sity (großes statt kleines C am Anfang), so ändert sich der Hash-Wert komplett zu 5eed9a4940371dadad8119be0f9f32d94e52296c. Kleine Änderung, große Wirkung.

Genutzt werden Hash-Werte z.B. um zu überprüfen ob eine Datei richtig übertragen wurde. Der Sender stellt die Datei und den Hash bereit und der Empfänger bildet den Hash der empfangenen Datei. Sind die Werte identisch, so war die Übertragung mit sehr hoher Wahrscheinlichkeit erfolgreich. Sind die Werte nicht identisch, so war die Übertragung definitiv nicht erfolgreich.
Auch werden von Passwörtern erst die Hash-Werte bestimmt und diese dann übertragen oder gespeichert, sodass Hacker, die den Netzwerkverkehr mitschneiden, das Passwort nicht als Klartext haben. Sie haben somit nur den Hash-Wert, aus dem sich die originale Zeichenkette nicht wieder herstellen lässt (jeden Falls nicht mit einfachen mitteln und in kurzer Zeit).

Skizze einer Hash-Funktion

Skizze einer Hash-Funktion. Die Eingaben „John Smith“ und „Sam Doe“ erzeugen hier den selben Hash-Wert – dies bezeichnet man als Kollision.

Wann ist ein Hash-Algorithmus „gebrochen“?

(mehr …)

Nationaler „Ändere dein Passwort“-Tag

Ein sicheres Passwort ist nicht leicht zu knacken.

Vergessene Passwörter sind meist nicht genz so witzig, deswegen sollte man sie sich gut merken. Unsichere Passwörter sind jedoch noch unwitziger 😉

Heute, am 01.02., ist der nationale Ändere-Dein-Passwort-Tag an dem alle Passwörter in Deutschland geändert werden sollen. Der erste Ändere-Dein-Passwort-Tag (Change-Your-Password-Day) wurde von den beiden Blog Gizmodo und Lifehacker ausgerufen.

Passwörter dienen im allgemeinen der Authentifizierung gegenüber Diensten oder Personen und sollten niemals Dritten bekannt sein. Da dies jedoch oftmals der Fall ist, bzw. ein Passwort unsicher ist und somit erraten werden kann, gibt es diesen Tag an dem alle für mehr Sicherheit sorgen sollen. Schon seit langem ist das häufigste Passwort 123456 und wahrlich eines der unsichersten die man sich vorstellen kann.

Beim erstellen/ausdenken eines Passwortes sollte man jedoch einiges bedenken und ein wenig theoretisches Grundverständnis mitbringen was das knacken eines Passwortes angeht. Darum gibt es hier eine kleine Anleitung mit ein paar einfachen Tipps zum Thema Passwort ausdenken.