lost+found: Was von der Woche übrig blieb
Heute unter anderem mit: gefährlichen Google-Tricks, einem Hacking-Tutorial, zwei Open-Source-Tools von Netflix, der INTERPOL-Konferenz und von Hackern manipulierte Kontodaten.
- Fabian A. Scherschel
Das Department of Homeland Security und das FBI haben Google Dorks entdeckt (PDF). Sie warnen jetzt die Polizei und andere Sicherheitsbehörden in den USA davor, dass Angreifer spezialisierte Suchbegriffe einsetzen, um Informationen über ihre Opfer zu sammeln. Dabei handelt es sich um so bedrohliche Tricks wie den Suchparameter site:heise.de mit dem man gezielt eine Domain durchsuchen kann.
Wer sein Büro gerne im Retro-Stil einrichtet, dem seien diese Sysadmin-Poster aus den späten Achtzigern ans Herz gelegt. Have you logged off your terminal?
FSExploitMe ist ein interaktives Tutorial, mit dem man seinen Internet Explorer mit Hilfe von Active X hackt und dabei lernt, wie man Speicherverwaltungsfehler ausnutzt, um einen Browser anzugreifen. Der Quellcode ist auf GitHub erhältlich und soll später weitere Lektionen erhalten, in denen man lernt, wie man Absicherungen wie die Speicherverwürfelung ASLR umgeht. Aber Vorsicht: Das Tutorial macht den eigenen Browser verwundbar, also bitte in einer VM ausprobieren.
(Bild: Netflix)
Netflix hat ein Tool gebaut, mit dem das Sicherheitsteam der Firma Foren und soziale Netzwerke automatisch nach Inhalten absucht. So können sie herausfinden, ob jemand Angriffe auf den Streaming-Dienst plant. Ein weiteres Tool macht voll automatisiert Screenshots von den Seiten, so dass potentiell gefährliche Links nicht manuell angesurft werden müssen. Die beiden Werkzeuge Scumblr und Sketchy gibts als Open Source auf GitHub.
Die internationale Polizeiorganisation INTERPOL veranstaltet im April 2015 eine Konferenz zu globalen Sicherheitsproblemen. Einer der Schwerpunkte der Interpol World ist dabei Cybersicherheit. Die Konferenz findet in Singapur statt und wird vom dortigen Innenministerium unterstützt.
Bei dem Angriff auf die Großbank JPMorgan Chase sollen die Hacker unter anderem Kontoführungsdaten manipuliert haben, wie CNN meldet. Ein Angriff dieser Art wäre äußerst ungewöhnlich und die Hacker müssten dafür einen tiefen Einblick in die internen Abläufe der Bank gehabt haben.
Chris Evans von Googles Project Zero beschreibt sehr eindrucksvoll, wie er in neun Schritten einen NUL-Byte-Fehler in glibc ausnutzt, um sich auf einem Linux-System Root-Rechte zu verschaffen. Entdeckt hatte den Bug sein Team-Kollege Tavis Ormandy. (fab)
