lost+found: Passwortleser, PIN-Märchen, Lücken-Vermeider, Trojaner-Stories

Tool plappert Mac-OS-Passwörter aus, Mutter "knackt" iPhone, Microsoft klopft nachlässigen Programmierern auf die Finger, Forscher brechen aus VM und Sandbox aus, Sicherheitsexperte veröffentlicht erfundene Geschichten.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Als Root-User steht man über den Dingen, auch bei Mac OS X: Will man an bestimmte Daten, kommt man in der Regel auch irgendwie ran. Das Open-Source-Tool keychaindump liest die Keychain-Passwörter direkt aus dem Arbeitsspeicher.

lost+found-Sehtest: Können Sie die "PIN" entdecken?

Thomas Roth erzählt eine nette Geschichte, wie seine Mutter angeblich die PIN seines iPhones geknackt hat, indem sie die neben dem CE-Zeichen aufgedruckten Ziffern 0682 eingab. Seine Mutter hat offensichtlich deutlich bessere Augen als wir.

Es gibt Funktionen wie strcpy, die tun, was sie sollen – benutzen sollte man sie trotzdem nicht, weil sie Hackern etwa Angriffsflächen für Buffer Overflows bieten. Microsoft erinnert in seinem Security Blog an die Header-Datei banned.h, die beim Kompilieren eines Programms Fehlermeldungen ausgibt, wenn man eine der "verbotenen" Funktion nutzt.

Die Sicherheitsfirma Vupen wirbt in einem Blog-Eintrag damit, dass sie einen zuverlässigen Exploit für eine im Juni entdeckte Xen-Lücke gebaut hat und plaudert bei dieser Gelegenheit über die Hintergründe des Angriffs.

Forscher haben Löcher in den Sandbox-Profilen von Suse und Ubuntu ausgemacht. Beide setzen zwar AppArmor ein, die mitgelieferten Profile sind jedoch anscheinend noch verbesserungsbedürftig.

Der Sicherheitsexperte und Autor der Sysinternals-Tools Mark Russinovich hat nicht nur Admin-Wälzer wie Windows Sysinternals Administrator’s Reference verfasst, sondern mit dem Cyber-Thriller Zero Day auch spannende Unterhaltungslektüre. Mit Trojan Horse vereint er nun erneut Fachwissen und Fiktion.

Cryptohaze stellt jetzt Rainbow Tables für MD5- und NTLM-Hashes mit 8 Zeichen (US-Charset) via BitTorrent bereit -- Gesamtgröße 1,5 TByte. (rei)