lost+found: Was von der Woche übrig blieb

Heute unter anderem mit: einer Security-Policy bei OpenSSL, Probleme mit Forward Secrecy in C, Wifi-Deauth in einer Schachtel, Abzocker abgezockt und Lücken in einem Tor-Router.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 3 Min.

OpenSSL hat jetzt öffentlich dokumentiert, wie sie mit Informationen zu Sicherheitslücken verfahren. Dabei geht es insbesondere auch um die Bedingungen, die zu erfüllen sind, um in den Genuss von Vorab-Informationen zu kommen.

Am Sonntag läuft übrigens die Deadline für das Einreichen von Vorträgen beim nächsten Chaos-Kongress ab.

Das muss man erstmal verdauen: "It is impossible to safely implement any cryptosystem providing forward secrecy in C." Forward Secrecy in C prinzipiell unmöglich? Nein, das heißt nicht, dass wir alles auf JavaScript umstellen sollten – im Gegenteil. Colin Percival bezieht sich darauf, dass man sensible Daten wie Krypto-Schlüssel überschreiben sollte, wenn man es nicht mehr benötigt. Nur so kann man sicher stellen, dass sie nicht von Dritten ausgelesen werden. Doch Compiler wie GCC optimieren Code sehr effizient auf Geschwindigkeit. Dabei können sensible Daten in irgendwelchen Registern landen. Von dort werden sie bei einer Unterbrechung unter Umständen auf den Stack geschoben und verbleiben dort für undefinierte Zeit. Seine Forderung: Eine Spracherweiterung, um Funktionen so zu deklarieren, dass nach ihrer Ausführung alle genutzten Systemressourcen gesäubert werden.

Der Cyborg Unplug kickt Google Glass aus dem Netz.

Anti-Glass-Aktivisten haben WiFi-Deauth-Pakete entdeckt und ein Produkt draus gemacht: Das Cyborg Unplug im Format eines Steckernetzteils sendet diese WLAN-Pakete, wenn es anhand der MAC-Adresse ein Google-Glass-Device erkennt. Zudem kann es auch diverse andere "Cyborg Devices" aus dem Netz zu kicken. Das "Anti-Überwachungssytem" soll zwischen 50 und 100 Dollar kosten. Günstiger kommt man mit dem simplen Skript glasshole.sh weg, das man etwa auf einem alten Notebook oder einem Raspberry Pi starten kann.

Gegen die Telefonabzocker, die sich als Microsoft-Techniker ausgeben, könnte man sich jetzt elegant wehren: Der Pentester Matt Weeks hat eine Sicherheitslücke in der von den Betrügern gern genutzten Fernadmin-Software Ammyy Admin entdeckt. Verbindet sich der vermeintliche Helfer mit seinem Opfer in spe, wird auf seinem Rechner Shellcode ausgeführt. Dies ist keine Aufforderung!

Eine JPEG-Datei, die zum PNG wird, wenn man sie mit AES verschlüsselt? Und dann auch noch zum PDF, wenn man es mit 3DES entschlüsselt? Gibt's nicht? Gibt's anscheinend doch.

Nicht nur Tor birgt diverse Risiken, sondern auch die Hardware, mit der das Anonymisierungs-Netzwerk leichter nutzbar werden soll: Eine Analyse des Tor-Routers Safeplug förderte diverse Schwachstellen ans Licht; unter anderem eine CSRF-Lücke und einen voreingestellten root-Account, der auf allen Geräten das gleiche Passwort hat. (ju)