lost+found: Passwort-Schlampen, Katzen-Payload und ein lulz-PoC
Heute mit: einem Online-Pranger für Passwort-Schlamperei, zwei PoCs, einer Katze mit Payload und ein nicht ganz neuer Firewire-Hack für Windows 8.
- Ronald Eikenberg
Bei Plain Text Offenders kann man Webdienste verpetzen, die Nutzerpasswörter im Klartext speichern. So wurden schon 1.000 Dienste an den Online-Pranger gestellt. Aufgeflogen sind die Seiten, als sie Nutzern Zugangsdaten im Klartext zumailten.
Zur kritischen Zero-Day-Lücke in Java gibt es jetzt auch das passende Metasploit-Modul. Für die MoinMoin-Lücke ist ein PoC-Exploit auf Pasetbin aufgetaucht, der offenbar von den lulz inspiriert wurde. Und Charlie Somerville erklärt die Rails-Lücke en Detail.
Die 29c3-Videos sind da – und es gibt auch Mirrors. Wem die zu lang sind, der mag vielleicht die Kurzfilmchen zu typischen Situationen aus der Infoesec-Perspektive wie: "Ich hab es doch nur angefasst".
Cat Content: Japanische Ordnungshüter suchen weiter nach dem Entwickler einer Malware namens iesys.exe. Hinweise lieferte nun eine Katze, die auf einer Insel bei Tokio aufgelesen wurde: An ihrem Halsband war eine Speicherkarte befestigt, die Informationen über die Malware enthielt, die nur der Virenschreiber kennen kann.
Das Firewire-Hacking-Tool Inception kann übrigens seit Version 0.2.2 auch Windows 8 via DMA entsperren oder Memory Dups anfertigen (Ungetestet! Wer es bestätigen kann, schicke bitte eine Mail an red@heisec.de). (rei)
