lost+found: Was von der Woche übrig blieb
Heute mit: Einem Linux-Exploit-Berater, falschen (aber lukrativen) Instagram-Freunden, den Usenix-Videos, einer Dropbox-Autopsie, Privilege Escalation für Admins und einer guten Frage.
Das Pentester-Tool Linux Exploit Suggester macht seinem Namen alle Ehre: Gibt man die Kernel-Versionsnummer einer Linux-Maschine ein, zeigt das Tool eine Reihe von Exploits an, mit denen man die Büchse potenziell öffnen kann.
Bots, die noch Kreditkartendaten klauen, sind voll von gestern. Laut RSA können Botnetz-Betreiber inzwischen mehr Geld daraus schlagen, ihre Bots Instagram-Follower generieren zu lassen. 1000 Kreditkartennummern seien auf dem Schwarzmarkt gerade einmal 6 US-Dollar wert, 1000 falsche Instragram-Freunde hingegen 15 US-Dollar.
Die Videomitschnitte von der Usenix-Security-Konferenz sind online. In einem der Vorträge wird der Dropbox-Client gründlich seziert und auf Sicherheitslücken abgeklopft.
Erinnern Sie sich noch an den skurrilen sudo-Bug, durch den zum Beispiel Mac-Admins durch Zurückstellen der Systemzeit an root-Rechte gelangen? Für Mac OS X gibt es noch keinen Patch, aber jetzt ein passendes Metasploit-Modul.
Micah F. Lee von der EFF wirft in seinem Blog eine berechtigte Frage auf: Warum bieten etliche Anbieter von Sicherheits-Tools ihre Webseiten eigentlich nicht über HTTPS an? Wer sich etwa TrueCrypt, GnuPG, Gpgp4win oder das OTR-Plugin für Pidgin herunterlädt, kann sich nicht sicher sein, dass das Binary auf dem Transportweg nicht ausgetauscht wurde – und die Checksumme auf der Download-Seite gleich mit. (ju)
