Category Archives: Allgemein

Real ,- & Das Geheimnis hinter der Säule

Posted on by

Was man in Braunschweig nicht so alles sieht, wenn man Einkaufen geht :

Ein preischild hinter einer Säule, das man normalerweise nicht sehen kann- Das Real ,- Kauf an der Hamburgerstraße platziert Ware direkt hinter einer Säule und erwartet tatsächlich, daß man es sieht und kauft 😉

Klar, man kann nur mit den Gegebenheiten in einem Gebäude zurechtkommen, die vorhanden sind. Aber deswegen macht es keinen Sinn die Waren so hinter einer Säule zu verstecken, daß man nicht mal ohne Mühe das Preisschild lesen kann, geschweige denn für welchen Artikel es gilt 😉 Preisschild des Artikels hervorgehoben.Wer clever wäre, würde ja die Säule außen bestücken, oder zumindest dort die Produkt- und Preisinformation platzieren, so daß man auf der Suche nach dem Artikel, eine Chance hat ihn auch zu erblicken. Ich z.B. habe so gar keine Idee, was im untersten Fach angeboten wird 😉 Das die Milchzahnpasta für Kinder 99 ¢ kostet, erschließt sich aus dem sichtbaren Bild, aber was verkaufen die darunter ??? Trotz Bildbearbeitung habe ich das nicht lesbar machen können:

erfolgloser Versuch den Artikelnamen zu bekommen.

Die Säule ist übrigens recht breit, was bedeutet min. ein Artikel verschwindet tatsächlich dahinter 😉 Stören tut das offensichtlich keinen, weil das scheint seit zwei Jahren so ist 😀

 

Bundeshack – Lernplattform Ilias mit Sicherheitslücke

Posted on by

Wie wir ja alle erfahren haben, wurde das Außenministerium über einen Hack bei der Bundeswehr erfolgreich angegriffen.

E-Learning als Einfallstor

Wie sich jetzt rausgestellt hat, war es wohl eine Schwachstelle der E-Learning Plattform Ilias . Das DNF-Cert hat heute eine entsprechende Mitteilung zu Ilias veröffentlicht, in der vor dieser RXSS Lücke und noch unentdeckten anderen gewarnt wird, da nicht klar ist, ob es diese Lücke war, die genutzt wurde.

Betroffen davon sind folgende Versionen:

ILIAS < 5.1.24
ILIAS < 5.2.13
ILIAS < 5.3.1

Das CERT spricht zu Recht an, daß wegen der medialen Aufmerksamkeit, alle Scriptkidis nach verwundbaren Illias Installationen suchen werden. Das bedeutet für alle Illias Betreiber, daß Sie Ihre alten Installationen updaten sollten, um die zu erwartenden Angriffe abwehren können.

Quellen:

https://www.golem.de/news/government-hack-hack-on-german-government-via-e-learning-software-ilias-1803-133231.html

„DFN-CERT-2018-0466 ILIAS: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Apple][Windows]“

Ethereum – Eclipse Sicherheitslücke behoben

Posted on by

Über solche Meldungen im Bezug auf „Geld“ freut man sich immer:

„Developers of Ethereum, the world’s No. 2 digital currency by market capitalization, have closed a serious security hole that allowed virtually anyone with an Internet connection to manipulate individual users‘ access to the publicly accessible ledger.“

bedeutet, wenn man verhindert, daß sich ein Miner zum Netz verbindet, und er so nur Verbindungen zu Servern von Angreifern aufbauen kann, kann ihm eine geänderte Blockchain untergejubelt und er dazu gebracht werden, daß er u.a. Transaktionen doppelt signiert ( was wie bei BitCoin der eigentliche Job ist ).

Der Eclipse Angriff

Das ganze nennt sich Eclipse Angriff, weil man das eigentliche Netz, wie bei einer Sonnenfinsternis, nicht mehr sehen kann.
offensichtlich war die Software dagegen nicht gewappnet. Weil man das Netz als Korrektur nicht sieht, würden dann auch die „intelligenten“ :DDD Smart-Verträge ausgelöst werden, weil in der „falschen“ Blockchain, die passenden Bedingungen dafür „herrschen“.

Blockchaintechnik ist echt cool… wenn man Verbrecher ist 😀

Wie muß man sich das vorstellen ?

Ein Angreifer erstellt auf einem Server ein ganzes Rudel von Nodes.  Mit den Informationen vergiften er das Node-Cache des Opfer-Clienten. Wenn der absichtlich oder aufgrund eines ausgelösten DOS rebootet, hat er nur noch Nodeadressen die vom Angreifer kontrolliert werden.  Er ist damit vom Netz abgeschnitten und merkt es nicht mal.

Das gleiche gibts dann nochmal in einer „Ein-Server“ Version, aber technisch läuft es auf das gleiche hinaus!

Problem behoben

In der neusten Version 1.8 von der geth Software ist das Problem soweit behoben worden. Aber neu ist das Problem nicht, da es bereits seit 2015 bekannt war, als Forscher es einfach mal ausprobiert haben. Soooo sicher alles !!

Quelle: https://arstechnica.com/information-technology/2018/03/ethereum-fixes-serious-eclipse-flaw-that-could-be-exploited-by-any-kid/