lost+found: Twitter hilft Passwortknackern, Malware verletzt GPL

Der Sicherheitsexperte Joshua Dustin hat aus Tweets effiziente Wortlisten erstellt, mit deren Hilfe er Klartext-Passwörter zu MD5-Hashes von der Webseite MilitarySingles.com ermitteln konnte. Dabei hat er eine beachtliche Trefferquote erzielt: mit 4400 Wörtern konnte er 1978 Hashes "knacken". Sein Geheimnis: Er hat Twitter nach Begriffen aus dem potentiellen Interessengebiet der Webseitennutzer durchsucht: "Iraq", "Afghanistan", "Navi" oder auch "Love".

Nicht ganz ernst gemeint ist das Anliegen der Virenforscher von CrySyS.hu, die die Offenlegung des Duqu-Quellcodes fordern – von... "wer auch immer die Entwickler sind". Die begründen dies mit der GPL. Der Trojaner nutzt eine angepasste Version der GPL-lizensierten Kompressionsbibliothek LZO. Und laut der GPL sind Entwickler dazu verpflichtet, auch den modifizierten Quellcode zu veröffentlichen, wenn die Programme das Licht der Öffentlichkeit erblicken. Die Flame-Entwickler verhalten sich in dieser Hinsicht übrigens geradezu vorbildlich: Laut den Experten kommen ausschließlich Komponenten unter MIT- und BSD-Lizenz sowie Public Domain zum Einsatz.

Die Cyberangriffstruppe der NSA sucht mit einer Stellenanzeige nach neuen Hacker-Talenten. Wer sich bewirbt, sollte Kompetenzen im Bereich Computersicherheit, Einbruchserkennung (Instrusion Detection), Pentesting und Packetanalyse mitbringen. Bekommt man den Job, nimmt man an "Computer-Netzwerkoperationen" teil, die unter anderem "taktische forensische Analysen" und das "Sammeln wertvoller Geheiminformationen" umfassen. (rei)