lost+found: Was von der Woche übrig blieb
Heute unter anderem mit: Polizei bezahlt Lösegeld-Trojaner, KASLR, neuen alten Instagram-Lücken, einem Darknet-Bot, Heap Spraying und anfälligen Ampelsteuerungen.
- Fabian A. Scherschel
Eine Polizeibehörde in Swansea, Massachusetts hat nach Angaben der dortigen Lokalpresse umgerechnet 750 US-Dollar in Bitcoins an Kriminelle bezahlt, die Rechner der Polizeistation mit CryptoLocker infiziert hatten. Wie ein Polizeisprecher mitteilte, habe man Textdokumente und Fotos retten wollen, die allerdings nichts mit polizeilicher Ermittlungsarbeit zu tun hatten. Die Situation sei eine "lehrreiche Erfahrung" gewesen.
NIST und ENISA sind sich einig, dass RSA-Schlüssel mit 1024 Bit überholt und auszurangieren sind. Google hat jetzt die angekündigte Umstellung auf RSA-Schlüssel mit mindestens 2048 Bit abgeschlossen. Ab 2014 soll Chrome dann auch Warnungen für Zertifikate mit kürzeren Schlüsseln ausgeben.
Alex Ionescu dokumentiert, wie Microsoft die Adressverwürfelung des Kernels (KASLR) in Windows 8.1 besser schützt. Viele der Funktionsaufrufe, die Informationen über Speicheradressen verraten, erfordern damit nun mindestens einen Integrity Level Medium, sind als somit allen Windows-Store-Apps sowie Prozessen in einer Sandbox wie Protected Mode IE, Chrome und Adobe Reader verwehrt.
Sicherheitsforscher der Firma rt-Solutions zeigen, wie man schon länger bekannte Schwächen im Authentifizierungsverfahren von Instagram nutzen kann, um Fotos in fremde Konten hochzuladen. Ebenso kann man die eigenen Fotos durch andere Nutzer mit Likes versehen lassen und ihnen damit unter Umständen Geld aus der Tasche ziehen. Dazu muss das Opfer allerdings ein Flattr-Konto mit Instagram verknüpft haben.
Der Banking-Trojaner i2Ninja kommuniziert mit Kontrollservern über das verschlüsselte Darknet-Protokoll I2P. Vom Aufbau her ähnelt der Schadcode vielen anderen Banking-Trojanern, die verschlüsselte Kommunikationsmethode hebt i2Ninja allerdings hervor. Aufmerksam auf den Trojaner wurden Sicherheitsforscher, als Gauner die Software in einem russischen Malware-Forum zum Kauf anboten.
Microsoft-Entwickler Neil Sikka zeigt in seinem Blog anschaulich, wie Heap Spraying funktioniert.
Sicherheitsforscher haben 42 Millionen Klartext-Passwörter aus der Datenbank des Online-Dating-Dienstes Cupid Media im Internet entdeckt. Laut Aussage der Betreiber war der Dienst war im Januar gehackt worden und man hätte kurz danach alle betroffenen Nutzer informiert. Allerdings wurde der Vorfall wohl erst mit dem Auftauchen der Passwörter bekannt.
Die Ampel-Steuerungen in Brisbane, der Hauptstadt des Australischen Bundesstaates Queensland, sind anfällig für Hackerangriffe. Das hat das Queensland Audit Office in einem Bericht (PDF-Datei) festgestellt, welcher der Regierung vorgelegt wurde. Hacker könnten die Verkehrssteuerung übernehmen und so Chaos stiften. (fab)
