17.12.2010 yahe administration legacy security windows
Wisst ihr noch? Vor ein paar Tagen habe ich euch erklärt, dass man die Passworte von TightVNC ermitteln kann, wenn man Zugriff auf die Registry hat. Kurz darauf hatte ich euch gezeigt, wie ein entsprechendes Programm hierfür aussehen könnte.
Da ich hier Zuhause RealVNC einsetze, war das natürlich kein Problem. Trotzdem interessierte mich, wie das Problem wohl bei dieser Software gelöst ist. Da es sich jedoch um kommerzielle Software handelt, dachte ich nicht, dass ich darauf eine Antwort kriegen würde, bis ich letztens mal wieder den RealVNC-Viewer herunterladen musste.
11.12.2010 yahe administration code legacy security windows
Letztens hatte ich euch erklärt, dass es möglich ist, die Passwörter zu entschlüsseln, die das Tool TightVNC in der Registry ablegt. Heute möchte ich euch gerne anhand eines Quelltextes zeigen, wie das gemacht werden kann.
24.11.2010 yahe administration code legacy security windows
Nachdem ich letztens nachgewiesen habe, wie unsicher eines der Lieblingstools von Hannes Schurig ist, hat dieser mich gestern angeschrieben und gefragt, ob ich mir nicht mal das OpenSource-Tool TightVNC angucken könnte. Wie er mitbekommen hatte, speichert der TightVNC-Server in der Registry unter "HKCU\Software\TightVNC\Server" zwei Werte mit den Namen "Password" und "PasswordViewOnly". Seine Frage war nun, ob es möglich wäre, aus den kryptischen Werten die ursprünglichen Passworte für den "Remote Control"- und den "Remote View Only"-Zugang wiederherzustellen.
10.11.2010 yahe administration legacy linux security
In meinen Augen sollte dieses Verhalten selbstverständlich sein: Dateien und Ordner, die auf einem Linuxserver versteckt vorliegen (also solche, deren Name mit einem Punkt (".") beginnt), sollten vom Apache Webserver natürlich auch nicht ausgeliefert werden. Leider sehen das die Entwickler des Apache Webservers anders und liefern standardmäßig nur solche Dateien nicht aus, die mit ".ht" beginnen.
25.10.2010 yahe legacy security thoughts
Nachdem ich vor einiger Zeit einmal eine Schwachstelle bei Flattr aufgedeckt hatte, hat mich heute einmal interessiert, wie die Flattr-Links nun inzwischen abgesichert sind. Nach ein bisschen Graben habe ich nun die Antwort gefunden.
28.09.2010 yahe legacy security thoughts
Schon mehrfach habe ich auf Dienste hingewiesen, die anfällig für XSRF-Attacken waren. Heute habe ich mir einmal angesehen, wie es mit der Sicherheit des Webmarketing-Anbieters "Teliad" aussieht.
Wie es der Zufall so wollte, war auch Teliad anfällig für genau die gleichen Attacken.
27.09.2010 yahe code legacy security
Ich wurde letztens vom Deutschlandradio Kultur gefragt, ob ich für ein Interview zur Sicherheit der Musikplattform Bandcamp zur Verfügung stehen würde. Für das Interview hatte ich extra ein kleines Greasemonkey-Script geschrieben, um zu zeigen, wie sich die Nachlässigkeit der Bandcamp-Programmierer auf die Umsätze eines Künstlers auswirken könnte. Leider wurde das Interview nun abgesagt, da das Bandcamp-Thema wohl nicht mehr eine so hohe Priorität hat. Trotzdem wollte ich den Nutzern von Bandcamp gern mal vor Augen führen, worauf sie sich einlassen, wenn sie Bandcamp als Vertriebspartner nutzen wollen.
27.09.2010 yahe code legacy security windows
Ich finde es ja immer wieder interessant, wenn Hannes Schurig (@SchurigH) erklärt, wie ihm das Tool CPAU hilft, seine Administratorenaufgaben zu erledigen. Besonders spannend finde ich es, wenn er erklärt, wie es damit möglich ist, dem einfachen Nutzer Administratorenrechte zu geben, um eine Anwendung auszuführen, ohne, dass der Nutzer die eigentlichen Logindaten erfährt. Möglich ist das bei dem Programm dadurch, dass man sogenannte Job-Dateien erstellt, in denen der auszuführende Befehl inklusive der Accountdaten des Administrators verschlüsselt abgelegt wird. Letztens hat Hannes damit sogar ein Script gebaut, mit dem von einem Netzlaufwerk Programminstallationen ausgeführt werden können, natürlich wieder geschützt durch die Job-Dateien von CPAU.
Mich hat vor allem die sichere Verwahrung der Accountdaten fasziniert, denn wenn man sich das Tool genauer ansieht, erkennt man, dass für die Verschlüsselung der Job-Dateien gar kein Passwort angegeben werden muss. Ich dachte mir "Es müsste doch möglich sein, diese Job-Dateien auch wieder zu entschlüsseln.".
08.08.2010 yahe legacy security thoughts update
Nachdem ich mir letzes Mal Trigami angesehen habe, soll es heute um deren Konkurrenten "Hallimash" gehen. Denn auch deren Webseite enthält "CSRF"-Lücken (Cross-Site Request Forgery)
16.06.2010 yahe legacy security thoughts update
Heute geht es einmal um den Werbevermittlungsdienst "Trigami", in deren Nutzereinstellungsseiten sich mehrere "CSRF"-Lücken (Cross-Site Request Forgery) befinden. Das Problem ist hier vor allem, dass Trigami inaktive Nutzer nicht automatisch ausloggt. So ist die Wahrscheinlichkeit hoch, dass Trigami-Nutzer unbedarft in die Falle laufen könnten.