lost+found: Was von der Woche übrig blieb

Manchmal sagt ein Bild mehr als viele Worte. Das hier zeigt sehr gut, warum man eine Nonce – also eine "Number used only once" – wirklich nicht zweimal verwenden sollte.

Mit der WebRTC-API und etwas JavaScript-Magie können Webseiten die internen IP-Adressen all Ihrer Netzwerkkarten herausbekommen – jedenfalls fast. Der Test funktionierte bei uns mit Chrome und Firefox.

Die Linux-Distribution BlackArch bietet 630 einsatzbereite Pentesting-Tools. Es basiert auf dem leichtgewichtigen Arch Linux.

Falls jemand den Besitzer zum Entsperren des Systems nötigt, hat Kali Linux in Version 1.06 einen Selbstzerstörungsmechanismus: Gibt man beim Booten ein bestimmtes Passwort ein, werden die zur Entschlüsselung der Festplatte nötigen Krypto-Schlüssel unwiederbringlich zerstört. Außerdem gibt es Kali jetzt auch als vorkonfigurierte VM für die Amazon EC2-Cloud.

Nachdem erhebliche Datenschutzprobleme bei dem Chat-Dienst Snapchat bekannt wurden, müssen die verbliebenen Nutzer nun ein Captcha lösen. Es gilt, das weiße Gespenst aus dem Firmenlogo auf verschiedenen Bildern zu identifizieren. Dieses Rätsel ist jedoch auch von Maschinen leicht zu lösen, wie dieser Blog-Eintrag beweisen soll. Der Geisterjäger besteht aus weniger als 100 Zeilen Code.

Facebook zahlte immerhin 33,500$ für das Melden eines Fehlers, der das Ausführen von Code auf Facebooks Servern erlaubte. Das Problem trat bei der Auswertung von XML External Entities auf, die bei OpenID zum Einsatz kommen. Bei Googles Pwnium 4 soll es fette 110.000$ geben, wenn es einer Web-Seite gelingt, Chrome OS zu infizieren.

Wer die Kommunikation von Android-Apps checken will, die nicht nur SSL nutzen, sondern auch noch CA-Pinning einsetzen, kann mit diese Tests mit dem Android-SSL-TrustKiller außer Kraft setzen. Und noch ein Tool für Android-Pen-Tester: Ein kleines Python-Skript knackt die Passcode-Hashes eines Samsung Galaxy S4 in wenigen Sekunden.

Hach – die gute alte Zeit. So sahen Hacking-Sites in den 90ern aus. (ju)