lost+found XXL: Was von der Woche übrig blieb
Heute unter anderem mit: Virtuellen Maschinen für reale Sicherheitstests, Nmap für Android, Passwörtern ohne Ende, Phishing-Links, Lorem Ipsum, Security-Konferenzen in Europa und einem Live-Rollenspiel des GCHQ.
Das US-CERT hat eine virtuelle Maschine zusammengestellt, die alles mitbringt, um verschiedene Man-in-the-Middle-Angriffe zu fahren. Ihr klangvoller Name: Tapioca [1] (Transparent Proxy Capture Appliance). Mit ihr kann man zum Beispiel Apps überführen, die beim Überprüfen von SSL-Zertifikaten patzen [2].
Auch Android Tamer [3] ist eine VM, allerdings vorkonfiguriert um der Sicherheit von Android auf den Zahn zu fühlen. Sehenswert ist die Zusammenstellung [4] wichtiger Sicherheits-Verbesserungen der einzelnen Android-Versionen.
Von der aktuellen Nmap-Version 6.46 gibt es jetzt auch einen inoffizielle Android-Build [5].
Sie bekommen nicht genug Phishing-Mails? OpenPhish [6] liefert einen Livefeed aktuell kursierender Phishing-URLs. Eignet sich natürlich auch hervorragend, um damit Mail-Filter zu befüllen.
Der Tumblr HTTP Shaming [7] stellt Webdienste und Programme an den Pranger, die kritische Informationen im Klartext übertragen.
Brian Krebs ist es mit Hilfe des Google-Übersetzers gelungen, die Geheimsprache Lorem Ipsum zu knacken [8]. CHINA, NATO, SEXY, SEXY.
Schon mal vormerken: Ab dem 27. Dezember steigt in Hamburg wieder der Chaos Communication Congress. Aktuell werden noch Vorträge gesucht [9]. Das Programm der BlackHat Europe steht indes schon [10]. Sie findet vom 14. bis zum 17. Oktober in Amsterdam statt.
Trustwave hat 576.533 Passwort-Hashes aus dem Firmenumfeld analysiert [11] und konnte 92 Prozent davon knacken. Das häufigste Passwort lautet Password1, das beliebteste Schema BBBBBBZZ (B = Kleinbuchstabe, Z = Zahl). Jede Menge Passwörter für Wörterbuch-Angriffe findet man übrigens auch in Tek Security Group's Password Repository [12] bei GitHub.
Apropos Passwörter: Wenn Sie im Freundes-, Familien- oder Kollegenkreis mal wieder einen Passwort-Recycler bekehren müssen, könnte die c't-Passwortkarte [13] gute Dienste leisten. Mit diesem PDF-Dokument kann man sich einen Passwortmanager im Kreditkartenformat basteln, von dem man bei Bedarf verschiedene Passwörter für verschiedene Dienste ableiten kann. Die Details finden Sie im c't-Artikel Passwort aus Papier.
Der Angriff auf den US-Krankenhausbetreiber Community Health Systems [14] ist wohl unter anderem über die Heartbleed-Lücke [15] erfolgt.
Sie stehen mal wieder im Stau vor der roten Ampel? Das könnte bald der Vergangenheit angehören, denn Forscher der Universität von Michigan haben gezeigt [16] (PDF), wie einfach es ist, alle Ampeln auf grün zu schalten.
Der britische Geheimdienst GCHQ sucht mit Hilfe von Live-Rollenspielen [17] Nachwuchsagenten. Das Ganze hört sich ein bisschen wie eine Mischung aus Ingress [18], LARP [19] und der Fernsehserie "24" an.
Für die neuen Versionen von oclHashcat braucht man ab jetzt die Beta-Treiber für Catalyst-Karten [20] von AMD. Die Treiber mit dem Status "stable" würden eh nicht stabiler laufen als die Beta-Treiber. (fab [21])
URL dieses Artikels:
https://www.heise.de/-2300476
Links in diesem Artikel:
[1] http://www.cert.org/blogs/certcc/post.cfm?EntryID=203
[2] https://www.heise.de/news/AVM-Router-Weitere-Luecke-in-der-FritzBox-Fernwartungsfunktion-2296040.html
[3] http://androidtamer.com/
[4] http://androidtamer.com/android-security-enhancements/
[5] http://k0st.wordpress.com/2014/08/17/nmap-6-46-on-android/
[6] http://www.openphish.com/
[7] http://httpshaming.tumblr.com/
[8] https://krebsonsecurity.com/2014/08/lorem-ipsum-of-good-evil-google-china/
[9] http://events.ccc.de/2014/07/12/31c3-call-for-participation-de/
[10] https://www.blackhat.com/eu-14/briefings.html
[11] https://gsr.trustwave.com/topics/business-password-analysis/2014-business-password-analysis/
[12] https://github.com/Tek-Security-Group/Password-Repo
[13] ftp://ftp.heise.de/pub/ct/listings/1418-092.zip
[14] https://www.heise.de/news/Hacker-erbeuten-Daten-von-4-5-Millionen-Patienten-in-den-USA-2294409.html
[15] https://www.trustedsec.com/august-2014/chs-hacked-heartbleed-exclusive-trustedsec/
[16] https://jhalderm.com/pub/papers/traffic-woot14.pdf
[17] http://www.theregister.co.uk/2014/08/21/come_all_thee_cyber_warriors_of_the_realm_gchq_wants_you/
[18] http://de.wikipedia.org/wiki/Ingress_%28Spiel%29
[19] http://de.wikipedia.org/wiki/Live_Action_Role_Playing
[20] https://hashcat.net/forum/thread-3627.html
[21] mailto:contact@fab.industries
Copyright © 2014 Heise Medien