Während sich draußen langsam ein Lüftchen zusammenbraut und die Online-Medien sich gegenseitig in „Live-Berichterstattung“ und Panikmache übertreffen, scheinen dies die Leutchen bei Spiegel-Online besonders ernst zu nehmen und konzentrieren sich voll und ganz auf ihren Job:

(aus dem Sturmticker von SpOn)

Jetzt aber schnell die Kinder retten!

Durch Analyse der öffentlich geposteten Daten einer Phising-Seite, in der MySpace-Nutzer zur Preisgabe ihrer Account-Angaben verleitet wurden, haben Sicherheitsspezialisten die am häufigsten von den (US-)Nutzern „abgephischten“ Passwörter veröffentlicht (dies dürfte einem realistischen Querschnitt duch die real benutzten Daten entsprechen).
Die am häufigsten benutzten Passwörter sind (in Klammern die Anzahl):

1. password1 (106)
2. abc123 (73)
3. swimmer1 (43)
4. iloveyou1 (41)
5. monkey1 (40)
6. fuckyou (37)
7. 123456 (33)
8. myspace1 (32)
9. fuckyou1 (32)
10. i (32)
11. password (27)
12. babygirl1 (25)
13. iloveyou2 (24)
14. football1 (24)
15. danny12031986 (23)
16. blink182 (23)
17. princess1 (22)
18. freeshit4me (22)
19. 16188s (22)
20. 123abc (22)

Beim Blick in die Details kam zu Tage, dass nur 37.621 der 57.406 Datensätze einmalige, d.h. nicht von verschiedenen Accounts, verwendete Passwörter benutzten; trotzdem waren immerhin nahezu 13.000 Kennworte mindestens acht Zeichen lang, fast genauso viele sogar neunstellig.
Trotzdem zeigen auch diese Angaben einmal mehr, wie wichtig es ist, sich individuelle Passwörter für seine Zugänge zu überlegen und sich nicht auf einfache Kombinationen zu verlassen.

16.01.2007 17:59 | 10 Comments | Posted in Netzwelt

Ende der Achziger veröffentlichten unsere Freunde von Microsoft „Windows/386“, ein etwas aufgebohrtes Windows 2.1, das heute kaum noch jemand bekannt sein dürfte.
Zur Markteinführung verschickten die Jungs ein 12minütiges Promo-Video an Händler, um die überragenden Fähigkeiten des Meilensteins zu bewerben.
Ganz im Stile einer 80er-Actionserie überzeugt uns Hauptdarstellerin ‘Linda’ von den bahnbrechenden Neuigkeiten des Stücks Software. Sollten die ab der achten Minute gezeigten Nebenwirkungen allerdings mit zum Produktportfolio gehört haben, so verwundert es nicht, dass sich Win/386 nicht durchsetzen konnte…
(Achtung, ganz großer ‘eighties alarm’ nach dem Klick!)

Schon kurz nach Erscheinen der letzten Version 2.0.6 von Wordpress, die u.a. auch Sicherheitslücken schloss, taucht nun erneut eine kritische Lücke auf, die auch bei Version 2.0.6 noch funktioniert. Neben Nennung der für die Ausführung nötigen Voraussetzungen wurde auch sofort ein passender Exploit mitgeliefert.
Es wird eine Lücke in der Datei wp-trackback.php ausgenützt, um mittels SQL-Injection Passwörter auszulesen.
Als Voraussetzung für den Exploit ist (einmal mehr) die PHP-Option register_globals=on von Nöten (eine der schlimmsten Sicherheitsproblemstellen in PHP), ausserdem PHP-Version zwischen 4 und 4.4.3, bzw. kleiner 5.1.4.
Es empfiehlt sich, bis ein Patch die Lücke schließt, entweder dafür zu sorgen, dass register_globals nicht aktiviert ist (leider bei vielen shared hosting – Paketen immer noch aktiv), oder temporär die Datei wp-trackback.php umzubenennen (oder zu löschen) — als „Nebenwirkung“ werden dann temporär keine Trackbacks mehr empfangen.
Es gibt ferner Spekulationen, dass ebengenannter Exploit auch dazu benutzt worden sein könnte, um heute Nacht das Firmen-Weblog der Studentencommunity StudiVZ mit einem ‘Defacement‘ zu versehen und dort eine Gegendarstellung des CCC zu veröffentlichen (inzwischen ist das Blog komplett offline). Solange hierzu allerdings keine offizielle Verlautbarung des Betreibers vorliegt kann dies aber nur vermutet werden.

Update:
In einem Artikel bei heise online stellt der PHP-Experte Stefan Esser einige Details klarer dar:

Laut Esser liegt der Fehler, den der neue Exploit ausnutzt, nicht bei Wordpress selbst, da es Sicherheitsabfragen gegen die eingesetzte Einbruchstechnik enthält. Laufe ein Server allerdings mit einer PHP-Version, die den Bug zend_hash_del_key_or_index aufweist, lasse sich der implementierte Schutz aushebeln, so Esser. (…) In aktuellen Linux-Distributionen ist die Lücke nicht enthalten. Auch in der unter Debian-Stable eingesetzten [PHP-]Version 4.3.10 ist die Schwachstelle bereits seit August behoben.

In ca. einer Stunde geht die diesjährige Apple-Keynote los.
Auch wenn die Jungs aus Cupertino sich meist nicht so doof anstellen, wie die Kollegen aus Redmond, ging in den letzten Jahren auch nicht alles so glatt über die Bühne, wie es geplant war.
Der Beweis:

Trotzdem wollen wir hoffen, dass es wieder ordentlich boom! macht…:

Kein Wunder – nach diesem Artikel bei heise online braucht man sich über die Reaktion im zugehörigen Forum nicht zu wundern.

Alles Kinder…