Dirty Cow: Ein Uralt-Bug im Linux Kernel
24.10.2016 - "Dirty Cow": Eine Race Condition im Kernel kann dazu führen, dasss lokale Nutzer Dateien überschreiben können, auf die sie eigentlich nur Leserechte haben.
Die Lücke ist als CVE-2016-5195 registriert. Die Schwachstelle existiert in ihrer aktuellen Form zu mindest seit Linux Kernel Version 2.6.22 - und die gibt es seit mehr als neun Jahren.
Lesen Sie mehr dazu:
Massive DDoS Angriffe auf Twitter, Spotify, Paypal und andere
24.10.2016 Das letzte Wochenende wird einigen großen Unternehmen in den USA in schlechter Erinnerung bleiben. Angriffe auf Dienste wie Twitter, Spotify, Paypal und andere legten deren Services (großteil) lahm.
Nach dem DDoS Test mit über 1 TBit Bandbreiten, der vor einigen Tagen stattgefunden hat, suchen sich die Angreifer nun lohnendere Ziele. Gleichzeitig wurden mehrere große Internet Serviceanbieter, darunter Twitter, Spotify, Paypal, Netflix und einige andere angegriffen. Die Angriffe bewegen sich im Bereich von vielen 100 GBit - beachtlich, wenn man die Gesamtbandbreiten addiert. Viele der Dienste sind zumindest teilweise, meist deutlich, beeinträchtigt gewesen.
Die Analyse der Angriffe zeigt, dass immer mehr IoT Devices für DDoS genutzt werden.
Ein Artikel im Standard betitelt sogar: Internet-Blackout: "System, dass Atomschläge überlebt, ist nun anfällig für Toaster".
Dies zeigt sehr gut auf, wohin mangelnde Sicherheit (fehlende Patches und Updates sowie default Passwörter) führen. Die Frage, die wir uns stellen müssen ist: Wie lange wird man das Internet bei den vielen DDoS Angriffen überhaupt noch sinnvoll nutzen können?
Web Anbieter Weebly gehackt
21.10.2016 - Weebly, ein Anbieter von Web-Baukastensystemen bestätigt, dass Angreifer ca. 43 Millionen Accounts abgegriffen haben.
Der Angriff dürfte im Februar 2016 stattgefunden haben, die betroffenen Kunden wurde aufgefordert, Ihre Passwörter zu ändern.
Weitere Details finden Sie bei Heise.
Was kosten uns sichere Passwörter?
11.10.2016 - Security / Datensicherheit geht uns alle an. Aber um welchen Preis?
Compliance- und Security-Guidelines werden in der Zwischenzeit in fast allen Unternehmen entwickelt und angewendet. Ab und zu meines es die Security-Abteilungen aber leider zu gut: Es werden zum Schutz der Daten Unmengen an Richtlinien entwickelt, aber was bedeutet das in der Praxis?
Folgender Blog Eintrag zeigt anhand einer fiktiven Geschichte, wie es vielleicht auch Ihnen schon mal ergangen ist:
https://therockjack.com/2016/09/20/how-changing-your-password-sucks/
Der Preis der Sicherheit
Oftmals denken wir bei den Kosten für Datensicherheit nur an die unmittelbar entstehenden Kosten:
- für Verschlüsselungssoftware
- mehr CPUs, die es für die Verschlüsselung braucht
- Administratoren für das Einrichten von sicheren Verbindungen
- und noch einiges mehr.
Dabei entstehen an anderer Seite ebenfalls Kosten, die in den meisten Fällen nirgendwo aufscheinen:
- Helpdesk Calls für Password Resets
- Mitarbeiterzeiten beim Password-Reset
- "Stehzeiten" von Mitarbeitern aufgrund von Security-"Fallen"
Preis / Leistung
Es ist naturgemäß nicht einfach, alle Vorgaben unter einen Hut zu bringen. Manchmal helfen aber schon kleine Zugeständnisse an die Mitarbeiter, das Leben mit der Datensicherheit erträglich zu gestalten. So kann eine Password-Lifetime von 2 Monaten statt 2 Wochen schon zu einer merklichen Entspannung auf dem Arbeitsplatz führen. Zu kurze Password-Lifetimes führen in der Regel sogar dazu, dass die verwendeten Passwörter potenziell unsicherer werden:
- Die Benutzer beginnen, Patterns für die Passwörter zu verwenden, die möglichst wenig geändert werden.
- Jede Menge Post-Its auf dem Bildschirm
Links zum Thema
- Random-Passwörter gibt's hier: https://www.grc.com/passwords.htm
- Schneier on Security
- http://arstechnica.com/security/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/
- Zum Schmunzeln - oder auch nicht: http://www.randalspangler.com/IMOrigPassword.html
Neuer TCP/IP Stack für OpenVMS
22.09.2016 - VMS Software, Inc. (VSI) hat bekanntgegeben, dass der aktuelle TCP/IP Stack in OpenVMS durch einen neuen Stack ersetzt wird, der großteils auf dem Produkt MultiNet von Process Software, LLC. basiert.
VSI und Process Software arbeiten bereits seit 2 Jahren eng in diesem Bereich zusammen. VSI wird das neue Produkt als VSI TCP/IP V10.5 auf den Markt bringen.
“We have collaborated with Process Software for two years, and are delighted that VSI can leverage decades of their excellent work to jumpstart VSI’s own effort to modernize OpenVMS TCP/IP,” erläutert Duane P. Harris, CEO of VMS Software, das aktuelle Projekt. “This license saves us the substantial time and resources required to update the existing TCP/IP stack to current industry standards. More importantly, VSI engineers can focus on our most important priority: porting the OpenVMS operating system to the Intel x86-64 hardware platform.”
Details über das neue Produkt wird es in Kürze auf der VSI Website zu lesen geben. Unter anderem wird es folgende neue Features enthalten:
- OpenSSL 1.0.2
- SSH (V1 und V2)
- DHCP v3
- IPv6
- IPSEC
- Bind 9.9
- Kerberos 5
- IPS
Natürlich gibt es Unterschiede zu den bisherigen TCP/IP Implementierungen UCX und TCP/IP Services for OpenVMS, der Umstieg auf das neue Produkt muss daher ausgiebig getestet werden. Trotz allem ist dieses Vorhaben ein großer Schritt in der Modernisierung von OpenVMS.
Kritische MySQL-Lücke erlaubt das Kapern von Servern
17.9.2016 - Kritische Sicherheitslücken ermöglichen es Angreifern, Server über die Datenbank-Systeme MySQL, MariaDB und Percona komplett zu übernehmen. Oracle hat die Lücke in MySQL bisher nicht geschlossen.
Unter den Bezeichnungen CVE-2016-6663 und CVE-2016-6662 wurden Lücken registriert, die es erlauben, fremden Code in den MySQL Server einzuschleusen.
MariaDB und Percona haben dafür bereits Updates herausgebracht, bei Oracle wird dies erst für das Oktober Update von MySQL erwartet.
Quelle: Heise.de