lost+found: Was von der Woche übrig blieb
Heute unter anderem mit: anarchistischen Kryptologen, tückischen Perl-Konstrukten, gemeinen Zertifikaten und DNS-Antworten, mitteilsamem Slack und Hintergrund-Infos zu iPhone-Verschlüsselung und Shellshock
Die Forderung "eliminate the state" und exzessiver Einsatz von Wörtern wie "hash" kann schon mal auf die falsche Fährte führen. Sicherheitshalber erklären die Krypto-Forscher rund um DjB und Tanja Lange in ihren besonderen Hinweisen für Strafverfolger also: "Wir lieben die meisten Staaten – ganz besonders Euren!". Es geht übrigens um ein Signaturverfahren namens SPHINCS, das von Quanten-Computern nicht geknackt werden kann.
Der Krypto-Experte Matthew Green erklärt gut und anschaulich die Hintergründe der iOS-8-Verschlüsselung und Warum Apple dein iPhone nicht entschlüsseln kann. Mehr technische Details liefert A (not so) quick primer on iOS encryption. Green empfiehlt übrigens ähnlich wie c't sicherheitsbewussten iPhone-Usern, einen Passcode aus mindestens 9 Ziffern, so dass das Knacken über ein Jahr dauert. Ziffern haben gegenüber Passwörtern mit Buchstaben den Vorteil, dass man weiterhin die große Zahlentastatur bekommt und sie somit besser eintippen kann.
Ein Update für die Cloud-Datenbank HANA von SAP stopft eine Lücke, die es Angreifern erlaubt, Schadcode in deren App-Plattform einzuschleusen. Die Lücke ist aus dem Netz angreifbar und wurde Mitte Juni geschlossen – sie betrifft anscheinend nur die "Developer Edition" der Software. Da die Details der Sicherheitslücke nun von den Entdeckern bekannt gegeben wurden, sollten Administratoren sicherstellen, dass das Update auf Revision 74 eingespielt wurde.
Die Entwickler von Bugzilla berichten von einer neuen beziehungsweise wiederentdeckten Kategorie von Bugs in Perl-Web-Applikationen. Durch geschickte Parameterwahl kann man dabei deren Validierung austricksen. Bugzilla musste derartige Probleme gleich an mehreren Stellen fixen; Perl-Entwickler tun gut daran, ihre Web-Applikationen auch mal vorsorglich zu checken.
Zertifikats-Checks sind komplex und deshalb sehr fehleranfällig. Mit dem Fuzzer x509test kann man Test-Zertifikate erstellen, die versuchen, solche Fehler zu provozieren. Besser man findet sie selber bevor andere es tun.
Wer mal eben ein paar DNS-Anfragen passend beantworten muss, kann das mit dem Python-Programm dnschef erledigen. Der DNS-Proxy beherrscht sowohl IPv4 als auch IPv6, lässt sich leicht einrichten und starten und kann nahezu alle DNS-Records liefern.
Die Kollaborations-Plattform Slack hatte offenbar ein Informations-Leck – wenn man das so nennen will. Der viel genutzte Discovery Mode, der allen Firmenmitgliedern einfachen Zugang und vor allem einen Überblick der vorhandenen Teams bieten soll, ermöglichte es auch Externen, diese Übersicht abzurufen. Die mussten nur eine passende E-Mail-Adresse eingeben, um zu sehen, dass etwa bei Microsoft ein eigenes iOS-Team via Slack kommuniziert. Um dort dann Mitglied zu werden, musste man allerdings tatsächlich Zugang zu einer autorisierten Microsoft-Mail-Adresse haben. Slack bestätigt das Problem und arbeitet an besseren Authentifizierungsverfahren.
David Wheeler hat ein lesenswertes Mehr als Sie zu Shellshock jemals wissen wollen erstellt; es erklärt nicht nur das Problem, dessen Entdeckung und wie man sowas – auch in Zukunft – vermeiden kann, sondern auch woher der schräge Name kommt. (ju)
