lost+found: Wählerische Phisher, MySQL, BackTrack

"Heute nur für geladene Gäste" – nach diesem Prinzip arbeitet ein Phishing-Kit, das RSA entdeckt hat. Die Phishing-Seite kann man nur mit einer gültigen Einladung aufrufen, die in Form eines einzigartigen Links per Mail verschickt wird. So können die Phisher gezielt steuern, von welchen Opfern oder Opfergruppen noch Daten eingesammelt werden sollen. Wer die Phishing-Seite uneingeladen besucht, bekommt nur einen "404"-Fehler.

MySQL kann keine Systembefehle ausführen. Wenn also Pen-Tester einen offenen MySQL-Sever ohne lohnende Daten finden, geben sie normalerweise auf und suchen ein anderes Ziel. Nicht so Tim Tomes: Er hat einen Weg gefunden, sich durch die Verzeichnisse zu hangeln und schließlich via MySQL dem Web-Server eine einfache PHP-Shell unterzuschieben – pwned!

Aus Backtrack wird Kali Linux – jedenfalls bald. Offensive Security hat die zusammengebastelte Entwicklungsumgebung auf Basis eines Ubuntu Systems auf ein komplettes Debian Repository umgestellt und die eigenen Erweiterungen in über 300 deb-Pakete verpackt. Einen Veröffentlichungstermin geben die Entwickler allerdings noch nicht preis.

Über einen Dienst des Hackers Buenos Aires konnte man mehrere Tage komfortabel durch einen Klick auf die Google-Weltkarte in fremde Wohnzimmer, Büros, Kinderzimmer und auch Schlafzimmer blicken. Möglich machte das eine Sicherheitslücke in der Firmware zahlreicher Trendnet-Überwachungskameras. Die Lücke ist bereits seit einem Jahr bekannt, ebenso lange bietet der Hersteller ein passendes Sicherheitsupdate an.

Memory Errors: The Past, the Present, and the Future gibt einen netten Blick aus der "Hubschrauber-Perspektive" auf über 20 Jahre Probleme der Speicherverwaltung und deren Konsequenzen. Das Fazit: Trotz SDL und vielfältigen Maßnahmen zur Eindämmung ist noch keine Entwarnung angebracht.

Der RFC für neue 7er-Fehlercodes für HTTP-Anfragen hat wohl kaum Chancen auf Erfolg. Schade eigentlich: "769 - Questionable Maturity Level" hätte ich gern mal gesehen. (rei)