Mittwoch, Juli 30, 2008

heise.de: Sicherheitsangriffe über Business Logic Flaws

heise.de zitiert den Security-Spezialisten Jeremiah Grossman, der Business Logic Flaws in Web-Anwendungen als den Angriffspunkt der Zukunft sieht.

Diese Angriffe lehnen sich an die Technik des "Forceful Browsing" an, sind aber deutlich ausgefeilter. So können z.B. bei Kenntnis der entsprechenden Abläufe bestimmte Prozessschritte umgangen werden, oder unzureichende Absicherungen leicht ausgehebelt werden.

Angriffe dieser Art stellen eine ganz neue Herausforderung an die Entwicklung von Software. Die ursächlichen Fehler geschehen NICHT in der Entwicklung (wie bei Cross-Site-Scripting oder SQL-Injection), auch NICHT im Operating (wie bei offenen Ports und fehlenden Patches). Die Ursache liegt grösstenteils auf Seiten der beauftragenden Fachabteilungen, die ihre Anforderungen an umzusetzende Prozess-Abläufe auch unter dem Gesichtspunkt der Sicherheit betrachten muss.

Nett zu lesen ist auch das Dokument "Seven Business Logic Flaws That Put Your Website At Risk" von Jeremiah Grossman

Dienstag, Juli 22, 2008

Wie klingt ein Virus?

Aus der Computerwoche ...

Der Wurm "Worm.Win32.GetCodec.a" verbreitet sich alleine über Audio-Files. Dazu werden die Audio-Files in WMA umgewandelt, und ein infizierter WMA-Tag eingefügt. Beim Öffnen von infizierten Dateien wird über diesen WMA-Tag ein Browser-Fenster geöffnet mit der Information, ein neuer Codec müsse geladen werden. Natürlich wird dann kein Codec geladen, sondern ein Trojaner, der den Rechner übernimmt.

Der Wurm setzt an einer durchaus erfolgreichen Stelle an: den eigenen Audio-Dateien werden die meisten Nutzer vertrauen, ohne misstrauisch zu werden.

Dienstag, Juli 08, 2008

Gen-Informationen in der Wikipedia

... aus dem heise-Newsticker: Gen-Forscher nutzen die Wikipedia, um ihre Forschungsergebnisse direkt zu publizieren und auf einfache Weise einer breiten Öffentlichkeit zugänglich zu machen. Ein Wikipedia-Bot sammelt die Informationen aus den Gen-Datenbanken der Forscher und fügt sie in die Wikipedia ein. Die eingefügten Daten werden über spezielle Tags identifiziert, so dass die anderen Inhalte nicht zerstört werden.