Veni, Vidi, VISA

Aus gegebenem Anlass habe ich vorhin mit einem Krankenhaus in der Umgebung telefoniert und wollte wissen wo $Patient liegt; die nette Dame an der Pforte hat mir auch bereitwillig gesagt auf welchem Zimmer (soweit ja auch OK) und mir angeboten mit gleich mit der Station zu verbinden, damit ich nachfragen kann wie es $Patient geht.
Der Schwester auf der Station hab ich mich lediglich mit "Hi, $Name aus $Wohnort hier. Ich wollt nur fragen wie es $Patient geht!" vorgestellt; die war dann auch gleich so freundlich mich an den behandelnden Arzt weiterzureichen und der hat mir dann ohne langes Nachfragen bereitwillig Auskunft ueber $Patient erteilt. Ich glaub ich sollt das mal bei einer Bank probieren..

http://www.verbraucherzentrale-sh.de/UNIQ121850297519293/link481821A.html
11.08.2008
Callcenter sind im Besitz von Kontodaten
Verbraucherzentrale Schleswig-Holstein deckt Datenmissbrauch auf

Immer häufiger beschweren sich Verbraucher über Anrufe von Callcentern, die irgendwelche Waren oder Dienstleistungen verkaufen wollen. Besonders häufig sind Glückspielangebote Inhalt dieser ungebetenen und ungesetzlichen "Cold Calls".
Verbraucher, die durch solche Anrufe belästigt wurden, mussten bisher nicht unbedingt fürchten, dass ihr Konto leer geräumt wird. Das ist jetzt anders, denn den Callcentern liegen Listen vor, in denen die Kontoverbindungen der Angerufenen stehen.
"Diese Tatsache ist erschreckend! Uns sind die ersten Fälle bekannt, in denen von Konten der betroffenen Verbraucher abgebucht wurde, obwohl diese unmissverständlich jegliche Teilnahme an einem Glücksspiel ablehnten", so Thomas Hagen, Sprecher der Verbraucherzentrale Schleswig-Holstein.
Im Dunkeln blieb bislang, woher die Daten stammen. Viele Betroffene, die sich bei der Verbraucherzentrale Schleswig-Holstein beschwerten, gaben an, dass sie vor längerer Zeit SKL-Lose per Kontoabbuchung bezahlt haben. Die Verbraucherzentrale hat anonym eine CD mit über 17.000 Datensätzen erhalten. Neben dem Namen, der vollständigen Adresse mit Telefonnummer und dem vollständigen Geburtsdatum sind die kompletten Bankdaten von über 17.000 Verbrauchern auf dieser Diskette gespeichert. Die Namen der Exceldateien weisen auf die Süddeutsche Klassenlotterie (SKL) hin.

"Es sind nur ein paar Mausklicks und solche Daten können kopiert, per Mail versand und somit sehr schnell öffentlich zugänglich gemacht werden, was dem Missbrauch Tür und Tor öffnet", so Hagen weiter.

Die Verbraucherzentrale Schleswig-Holstein rät daher, die Kontoauszüge regelmäßig zu prüfen. Dies gilt auch für Kontobewegungen von Angehörigen, die aufgrund von Alter oder Krankheit den Überblick verlieren und dank des bekannten Geburtsdatums leichte Beute unseriöser Anbieter werden können.


Banken und Sparkassen sollten die Möglichkeit einräumen, dass Abbuchungen unbekannter Quellen nicht ausgeführt werden, wenn der Kontoinhaber dies wünscht – auch wenn jetzt schon unberechtigt abgebuchte Beträge innerhalb von 6 Wochen zurückgefordert werden können.

Die Verbraucherzentrale hat nach Kenntnis dieses Vorganges das Unabhängige Landeszentrum für Datenschutz (ULD) informiert, das weitere juristische Schritte, u.a. die Einleitung eines Strafverfahrens, vornehmen wird.
Der Leiter des ULD, Thilo Weichert, gibt Tipps, um den Missbrauch von Kontodaten zu verhindern:

"Bei der Preisgabe der privaten Kontoverbindung sollte man absolut zurückhaltend sein, v. a. im Internet oder am Telefon. Mindestens alle zwei Wochen sollten die eigenen Kontoauszüge kontrolliert werden, ob unerwünschte bzw. unberechtigte Abbuchungen vorgenommen wurden; diesen muss umgehend bei der eigenen Bank widersprochen werden. Sobald jemand erfährt, dass Unbefugte die eigenen Kontodaten nutzen, sollte die Verbraucherzentrale oder die zuständige Datenschutzbehörde – in Schleswig-Holstein also das ULD – mit weiteren Ermittlungen beauftragt werden. Denn von solchen Datenmissbräuchen sind zumeist viele Tausend Menschen betroffen."

[x] Fuer Pruegelstrafe fuer Callcenter und deren Mitarbeiter/Inhaber. Und zwar nicht nur deswegen.

$ADMIN hat einen Webserver aufgesetzt und ein Perlscript unter ./cgi-bin abgelegt. Nach einiger Zeit tauchte fuer dieses Perlscript ein Exploit auf, welches das Auslesen/Ausfuehren von lokalen Dateien ermoeglicht. $MAINTAINER des Scripts hat keinen richtigen Patch rausgebracht, sondern lediglich eine kurze Anleitung mit Instruktionen was zu aendern ist. $ADMIN macht das und wundert sich nach einiger Zeit wieso sein Webserver gecrackt wurde. Er hat mir versichert das er das Script exakt nach den Vorgaben geaendert hat, was ja auch stimmte. Bringt nur relativ wenig wenn script~ noch mit 755 unter ./cgi-bin rumliegt.
Jetzt hab ich neben "Uebersichtlichkeit" wenigstens noch ein Argument fuer

if has("unix")

        if !isdirectory(expand("~/tmp/."))

                !mkdir -p ~/tmp/

        endif

endif

set bdir=~/tmp

http://www.welt.de/[..]/Gefaehrliche_Sicherheitsluecken_bei_Firefox.html
Peinlicher Auftakt für den neuen Firefox: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor gravierenden Fehlern beim Internet-Browser. Angreifer könnten leicht Daten ausspähen und Viren oder Trojaner einschleusen. Eine Lösung für das Problem gibt es zum Glück bereits.
[more]

Apropos Sicherheitsluecken.. um Wordpress ist es momentan ziemlich still.. obs daran liegt das sich niemand mehr den Source ansieht weil niemand soviel essen kann? :>

http://www.amazon.de/dp/B0000CFUIX und http://www.amazon.com/dp/B0002CYTL2

Thx an MrTweek

Nicht nur der (erfolgreiche?) Weltrekordversuch in Bezug auf die Downloads, sondern auch ein neuer Rekord was Sicherheitsluecken anbelangt, denn so wie es aussieht bleibt Firefox seiner Linie treu: Speicherfressend und auf dem besten Weg mehr Bugs zu haben als OjE und/oder Sendmail.
Aber hey.. ja nicht dagegen meckern, weil Firefox ist naemlich voll gut und mit 'n Haufen Addons und so!!!111!

// Update:
http://dvlabs.tippingpoint.com/blog/2008/06/18/vulnerability-in-mozilla-firefox-30

http://blog.s9y.org/archives/193-Serendipity-1.3.1-released.html

erendipity 1.3.1 has been released. This is a bugfix and security related release, basically adressing a potential XSS issue within the Top Referrers plugin as well as hypothetical XSS issues with the installer.

This release also adresses some basic PostgreSQL8 related problems, because implicit type casts have been removed from this version, causing breakage with several Serendipity core features. The fix for this is only partial and will still happen in (less common) functions of Serendipity. There is no ultimate solution to this because implicit type casts are required for certain entryproperty operations. Maybe the PostgreSQL8 team will think about if implicit type casts are not also quite helpful.

The only new feature addition is the exposition of a new smarty {serendipity_getImageSize} function.

This upgrade is recommended for users that use the Top Referrers plugin and new installations of Serendipity. Many thanks to Hanno Böck, once again, for reporting (and fixing) the two XSS issues (CVE-2008-1385 and CVE-2008-1386)!

You can find the new release on the s9y.org download page. Upgrade by simply uploading the deflated archive files to your webspace.

Ich muss jetzt doch irgendwann mal updaten *sigh*

http://www.gulli.com/news/datenpanne-geklaute-laptops-2008-04-19/

In den letzten drei Jahren sind in Bundesbehörden über fünfhundert Computer abhanden gekommen. Diese sollen auch sensible Daten enthalten haben, gab das Innenministerium in einer Pressemeldung bekannt. Unter anderem sollen Steuerdaten und Geheimunterlagen des Verteidigungsministeriums darauf gespeichert gewesen sein. Eine Meldepflicht für Datenverluste wird gefordert.

Wie im März bekannt wurde sind etwa http://www.gulli.com/news/hunderte-computer-verschwanden-2008-03-20/ in Bundesbehörden abhanden gekommen. Auf denen sind zum Teil sensible Daten gespeichert gewesen, wenn auch in überwiegend verschlüsselter Form. Erteilt wurde diese Auskunft vom Innenministerium auf Anfrage vom FDP-Abgeordneten Carl-Ludwig Thiele. Aus der Pressemeldung vom Innenministerium, die der Presseagentur dpa vorliegt, soll hervorgehen, dass den Bundesbehörden in diesem Zeitraum insgesamt 189 Computer, 328 Laptops, 38 Speichermedien und 271 Mobiltelefone abhanden gekommen oder gestohlen worden sind.
[..]

Ich glaube ja das die den Bundestrojaner nur deswegen einsetzen wollen, damit sie die verloren gegangenen Daten wieder bekommen, weil sie kein Backup davon haben. Besonders witzig finde ich aber das wenn auch in ueberwiegend verschluesselter Form .. "ueberwiegend".. wie kann man sensible Daten unverschluesselt speichern? Arbeite dort nur technische Komplettvollpfosten oder ist Inkompetenz und Unfaehigkeit Voraussetzung um dort eingestellt zu werden?

Dann bin ich endlich fertig mit dem Job hier. Dann muss ich keine mit 777 chmod'ete Upload-Verzeichnisse von FTP-Servern, unter Windows erstellte Textdateien, Frontpage-Webseiten, offene Sendmail-MTAs und -rwx------ Repos von CVS mehr sehen.
~Zwei Wochen Intrusion Detection und Forensics; ist neuer Rekord bei mir *sigh*

http://blog.s9y.org/archives/192-Serendipity-1.3-released-addresses-security.html
Serendipity 1.3 has finally been released. The new release is mainly a feature consolidation release, but also contains XSS security fixes:

• The karma rating plugin has been upgraded to support nice, CSS-based rating graphics (see this post) and an overall rehaul on the its coding.
• Make the Spartacus plugin be able to use FTP upload, a workaround for SafeMode PHP restrictions. Also add a remote backend for plugin update checks.
• An importer for phpNuke and lifetype has been added.
• Support for pingbacks has been improved a lot. Trackbacks can now be blocked based on Sender IP checks.
• Add better CSS styling for some internal plugins and the embedding of images. Also made the Remote-RSS plugin to be capable of Smarty-Templating.
• Increased Smarty templating features for the {serendipity_fetchPrintEntries} function, to be able to check for entry properties.
• Add support for SQRelay.
• Minor CSS and graphic updates to the Bulletproof template.

The full list of 41 changes to this release are documented within the NEWS file.

Regarding Security, the bundled Smarty library has been updated to version 2.6.19 and adresses an issue in environments where the PHP security mode is required. Also, the new Serendipity release contains tighter backend XSS checks so that environments with untrusted authors can be more secure - many thanks to Hanno Böck for addressing this. Most importantly, an issue with XSS attacks within received trackbacks has been discovered by Peter Hüwe and was fixed.

The update is easy as usual, and recommended for Serendipity users - especially if you do not regularly moderate or check your incoming trackbacks.

Upgrade pointers can be found in the FAQ and is as easy as just to upload the new files.

Have fun!

Wenn das Blog hier also mal wieder down ist (Database error), dann wisst ihr das ich update.. maybe..